La legge sulla privacy riguarda tutti gli operatori del settore
e-commerce:
- il provider
- il fornitore, titolare del sito
- l’ente certificatore
- il titolare della chiave privata
Il Provider
I fornitori di servizi di accesso ad Internet devono provvedere
agli adempimenti relativi alla legge sulla privacy, con riguardo
al trattamento dei dati relativi ai propri clienti, fornendo un'adeguata
informativa e raccogliendo il consenso al trattamento e alla comunicazione,
quando necessari da parte degli utenti del sistema.
In questo caso assumono particolare rilievo i famosi registri elettronici,
i c.d. Data Log, nei quali vengono memorizzati i movimenti degli
utenti, durante la navigazione su Intemet.
I providers infatti, oltre a procedere alla identificazione degli
utenti all'atto della stipulazione del contratto, provvedono
a registrare sui log tutti gli accessi al sistema, con la data
e ora di inizio e di fine del collegamento, gli indirizzi di rete,
i codici identificativi degli abbonati nel caso di anonimato o di
uso di pseudonimi ecc. Tale prassi risponde ad esigenze di controllo
della qualità dei servizi, dei tempi di accesso dell'utente al fine
dell'esatta fatturazione, nonché‚ di eventuale verifica della
commissione di reati, a richiesta dell'autorità giudiziaria.
L'esistenza dei Log e di altri tipi di registrazioni ivi contenute
deve essere comunicata nell'informativa all'interessato, insieme
con le diverse finalità del trattamento ai fini di consentire all'utente
di esprimere un consenso libero e consapevole.
La necessità del consenso dell'utente/interessato per la conservazione
(trattamento) dei dati relativi al traffico delle comunicazioni
effettuate, è confermata comunque dall'art. 4 del D.Lgs. 13 maggio
1998, n. 171, che ne impone la cancellazione o l'anonimato al termine
della chiamata, a meno che il trattamento non sia finalizzato alla
fatturazione.
Infine, il provider, come tutti i titolari di trattamento dati, deve predisporre le misure di sicurezza idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (art. 15, comma 1, L. 675/1996), lasciando però nell’incertezza in quanto non vengono chiaramente definite quali siano tutte le misure idonee ad evitare il danno, in termini di progettazione, organizzazione e costi relativi. A tal fine deve essere tenuta presente anche la disposizione contenuta nell'art. 9 della L. 675/1996 che, trattando della modalità di raccolta e requisiti dei dati personali, fissa i criteri sulla base dei quali valutare la qualità dei dati, che costituisce un altro aspetto della sicurezza (esattezza, pertinenza, completezza, non eccedenza rispetto allo scopo della raccolta).
Il titolare del sito
L'imprenditore che intende fornire prodotti o servizi tramite Internet,
in quanto titolare del sito nonché‚ del trattamento dei dati
relativi ai visitatori del sito stesso, dovrà provvedere, da parte
sua, agli adempimenti previsti dalla legge sulla privacy.
Pertanto l'offerta commerciale on-line dovrà contenere l'informativa
ex art. 10 L. 675/1996 ed essere predisposta in modo da consentire
all'utente, sia esso professionista o consumatore, di prestare o
meno il proprio consenso, quando necessario. Infatti, per la raccolta
di dati personali da parte del gestore di un sito di commercio elettronico
on line per l'esecuzione dei contratti, non è necessario che venga
raccolto anche il consenso. Imprescindibile è solo l'informativa;
se i dati sono trattati per le sole finalità di esecuzione del contratto,
la legge prevede espressamente un'esenzione alla raccolta del consenso.
Diversa soluzione, invece, se il commerciante elettronico intende
comunicare i dati raccolti per eseguire il contratto a soggetti
terzi: in questo caso, il consenso è assolutamente necessario.
Solo dopo aver letto la nota informativa, il visitatore del sito
potrà prestare il proprio consenso, quale condizione per l'inoltro
dell'ordine. Si sottolinea, infine, che anche il titolare del sito
è tenuto naturalmente a predisporre le misure di sicurezza di cui
si è detto a proposito del provider.
Il certificatore
L'osservanza delle misure di sicurezza, indicate dall'art. 15 della
L. 675/1996, costituisce un obbligo fondamentale del certificatore.
Infatti, il regolamento sulla firma digitale espressamente dichiara
che tale soggetto, nel predisporre l'infrastruttura per la certificazione,
è tenuto ad adottare tutte le misure organizzativi e tecniche idonee
ad evitare danno ad altri ed è tenuto, in particolare, ad attenersi
alle misure minime di sicurezza per il trattamento dei dati personali
da emanarsi ai sensi del citato art. 15, comma 2, della L. 675/1996
(art. 9, commi 1 e 2, lett. f, del D.P.R. 513/1997).
In realtà il certificatore, in quanto titolare del trattamento
dei dati relativi ai titolari delle chiavi, è tenuto in ogni caso
ad adottare tutte le misure di sicurezza idonee, ai sensi dell'art.
15 della legge n. 675/1996.
Il titolare della chiave privata
Anche il titolare della chiave privata infine, in quanto titolare
di trattamento dati, ha l'obbligo di adempiere alle prescrizioni
relative alla privacy e predisporre le misure di sicurezza di cui
all'art. 15, commi 1 e 2. e dovrà pertanto adempiere alle prescrizioni
della legge n. 675/1996.
Nella prossima lezione analizzeremo quali sono le soluzioni a disposizione
per chi vuole difendere la privacy dei propri dati sensibili.
Torna all'indice Generale del corso di Corso di Privacy di Software Planet