Corso di Privacy

Gli attori della privacy

 

La legge sulla privacy riguarda tutti gli operatori del settore e-commerce:

- il provider
- il fornitore, titolare del sito
- l’ente certificatore
- il titolare della chiave privata

Il Provider

I fornitori di servizi di accesso ad Internet devono provvedere agli adempimenti relativi alla legge sulla privacy, con riguardo al trattamento dei dati relativi ai propri clienti, fornendo un'adeguata informativa e raccogliendo il consenso al trattamento e alla comunicazione, quando necessari da parte degli utenti del sistema.
In questo caso assumono particolare rilievo i famosi registri elettronici, i c.d. Data Log, nei quali vengono memorizzati i movimenti degli utenti, durante la navigazione su Intemet.

I providers infatti, oltre a procedere alla identificazione degli utenti all'atto della stipulazione del contratto, provvedono a registrare sui log tutti gli accessi al sistema, con la data e ora di inizio e di fine del collegamento, gli indirizzi di rete, i codici identificativi degli abbonati nel caso di anonimato o di uso di pseudonimi ecc.  Tale prassi risponde ad esigenze di controllo della qualità dei servizi, dei tempi di accesso dell'utente al fine dell'esatta fatturazione, nonché‚ di eventuale verifica della commissione di reati, a richiesta dell'autorità giudiziaria.
L'esistenza dei Log e di altri tipi di registrazioni ivi contenute deve essere comunicata nell'informativa all'interessato, insieme con le diverse finalità del trattamento ai fini di consentire all'utente di esprimere un consenso libero e consapevole.
La necessità del consenso dell'utente/interessato per la conservazione (trattamento) dei dati relativi al traffico delle comunicazioni effettuate, è confermata comunque dall'art. 4 del D.Lgs. 13 maggio 1998, n. 171, che ne impone la cancellazione o l'anonimato al termine della chiamata, a meno che il trattamento non sia finalizzato alla fatturazione.

Infine, il provider, come tutti i titolari di trattamento dati, deve predisporre le misure di sicurezza idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (art. 15, comma 1, L. 675/1996), lasciando però nell’incertezza in quanto non vengono chiaramente definite quali siano tutte le misure idonee ad evitare il danno, in termini di progettazione, organizzazione e costi relativi.  A tal fine deve essere tenuta presente anche la disposizione contenuta nell'art. 9 della L. 675/1996 che, trattando della modalità di raccolta e requisiti dei dati personali, fissa i criteri sulla base dei quali valutare la qualità dei dati, che costituisce un altro aspetto della sicurezza (esattezza, pertinenza, completezza, non eccedenza rispetto allo scopo della raccolta).

Il titolare del sito

L'imprenditore che intende fornire prodotti o servizi tramite Internet, in quanto titolare del sito nonché‚ del trattamento dei dati relativi ai visitatori del sito stesso, dovrà provvedere, da parte sua, agli adempimenti previsti dalla legge sulla privacy.
Pertanto l'offerta commerciale on-line dovrà contenere l'informativa ex art. 10 L. 675/1996 ed essere predisposta in modo da consentire all'utente, sia esso professionista o consumatore, di prestare o meno il proprio consenso, quando necessario. Infatti, per la raccolta di dati personali da parte del gestore di un sito di commercio elettronico on line per l'esecuzione dei contratti, non è necessario che venga raccolto anche il consenso. Imprescindibile è solo l'informativa; se i dati sono trattati per le sole finalità di esecuzione del contratto, la legge prevede espressamente un'esenzione alla raccolta del consenso.

Diversa soluzione, invece, se il commerciante elettronico intende comunicare i dati raccolti per eseguire il contratto a soggetti terzi: in questo caso, il consenso è assolutamente necessario.

Solo dopo aver letto la nota informativa, il visitatore del sito potrà prestare il proprio consenso, quale condizione per l'inoltro dell'ordine. Si sottolinea, infine, che anche il titolare del sito è tenuto naturalmente a predisporre le misure di sicurezza di cui si è detto a proposito del provider.

Il certificatore

L'osservanza delle misure di sicurezza, indicate dall'art. 15 della L. 675/1996, costituisce un obbligo fondamentale del certificatore. Infatti, il regolamento sulla firma digitale espressamente dichiara che tale soggetto, nel predisporre l'infrastruttura per la certificazione, è tenuto ad adottare tutte le misure organizzativi e tecniche idonee ad evitare danno ad altri ed è tenuto, in particolare, ad attenersi alle misure minime di sicurezza per il trattamento dei dati personali da emanarsi ai sensi del citato art. 15, comma 2, della L. 675/1996 (art. 9, commi 1 e 2, lett. f, del D.P.R. 513/1997).

In realtà il certificatore, in quanto titolare del trattamento dei dati relativi ai titolari delle chiavi, è tenuto in ogni caso ad adottare tutte le misure di sicurezza idonee, ai sensi dell'art. 15 della legge n. 675/1996.

Il titolare della chiave privata

Anche il titolare della chiave privata infine, in quanto titolare di trattamento dati, ha l'obbligo di adempiere alle prescrizioni relative alla privacy e predisporre le misure di sicurezza di cui all'art. 15, commi 1 e 2. e dovrà pertanto adempiere alle prescrizioni della legge n. 675/1996.

Nella prossima lezione analizzeremo quali sono le soluzioni a disposizione per chi vuole difendere la privacy dei propri dati sensibili.

 

Torna all'indice Generale del corso di Corso di Privacy di Software Planet