Garante per la protezione
    dei dati personali

Newsletter

INTERNET: LA DIRETTIVA UE SULLA PRIVACY SI APPLICA ANCHE AI SOFTWARE SPIA

La direttiva europea sulla privacy si applica non solo alle informazioni raccolte attraverso cookies, ma anche attraverso i cosiddetti spywares, cioè quei software in grado di raccogliere informazioni su chi naviga in Internet a sua insaputa. Tali informazioni possono essere raccolte in occasione del dowloading di complessi software, anche musicali.

Il Gruppo che riunisce le autorità europee di protezione dati ha approvato lo scorso 30 maggio un documento di lavoro nel quale fa il punto sull'applicazione della direttiva europea sulla protezione dei dati (n. 95/46/CE) ai trattamenti effettuati da siti Web che siano situati in un Paese non appartenente all'UE.

Dopo avere sottolineato che la direttiva si applica a questi trattamenti purché il titolare del sito Web faccia ricorso ad uno strumento situato in un Paese membro, i Garanti hanno indicato alcuni esempi specifici dell'applicazione di questo principio (cookies, Javascript, spyware) e hanno ribadito l'intenzione di approfondire ed ampliare la riflessione su questi temi anche per la loro complessità tecnica.

Il documento nasce dall'esigenza di esaminare l'applicazione del principio - fissato nell'art. 4, primo comma, lettera c) della direttiva — secondo cui "Ciascuno Stato membro applica le disposizioni nazionali adottate per l'attuazione della presente direttiva al trattamento di dati personali (…) il cui responsabile [titolare, secondo la definizione italiana, ndr], non stabilito nel territorio della Comunità, ricorre, ai fini del trattamento di dati personali, a strumenti, automatizzati o non automatizzati, situati nel territorio di detto Stato membro, a meno che questi non siano utilizzati ai soli fini di transito nel territorio della Comunità europea."

La necessità di stabilire se il diritto interno di uno Stato si applichi a situazioni in cui sono coinvolti più Paesi stranieri nasce dall'esigenza di garantire la tutela dei cittadini di uno Stato (o dell'Unione) nei loro rapporti con soggetti non appartenenti a quello Stato (o all'Unione). Per quanto riguarda la tutela dei dati personali, il Parlamento ed il Consiglio europei hanno raggiunto questo obiettivo facendo riferimento (come previsto appunto dall'art. 4 della direttiva) al legame fisico fra attività e ordinamento giuridico — in pratica, il legislatore UE ha scelto la localizzazione geografica degli strumenti utilizzati per il trattamento. Dunque, il principio fondamentale è che la direttiva dell'UE sulla protezione dei dati personali si applica ai trattamenti di dati personali effettuati per scopi specifici da titolari extra-UE che utilizzino strumenti situati nel territorio di uno Stato membro.

Questo principio prescinde dalla cittadinanza della persona i cui dati sono oggetto di trattamento: quello che conta è il luogo geografico in cui sono situati gli strumenti che il titolare utilizza per trattare i dati personali dell'individuo considerato.

I Garanti hanno poi fornito alcuni esempi concreti dell'applicazione di questi principi: in particolare, sull'impiego dei cookies da parte di un sito Web e di applicazioni tipo JavaScript o altre similari.

I cookies sono file di testo che vengono memorizzati nel disco rigido del PC di un utente quando questi visita un sito Web che decida di farne uso. Il cookie permette al sito Web di identificare il PC dell'utente, attraverso le informazioni in esso memorizzate, ogniqualvolta si ha un nuovo contatto fra il PC e quel sito Web. Le informazioni possono essere di vario genere: le pagine visitate, gli annunci pubblicitari consultati, il numero identificativo dell'utente (GUI, Global Unique Identifier), ecc. In questo caso, il titolare del sito Web, situato in un Paese terzo, decide di utilizzare il PC dell'utente (lo strumento) situato nel territorio di un paese UE attraverso i cookies, che realizzano un trattamento di dati personali che sfugge al controllo dell'interessato nell'UE. Il titolare dunque dispone degli strumenti informatici dell'utente; pertanto, a questi trattamenti si applica la legge nazionale dello Stato Membro in cui è situato il PC dell'utente. Come già sottolineato in un documento elaborato dalla Internet Task Force nel 1999, ciò significa che l'utente deve essere informato dal titolare del sito Web sul fatto che verranno utilizzati cookies, sulle informazioni che verranno memorizzate nei cookies e sulle finalità di tale memorizzazione; l'utente deve poter scegliere se accettare o rifiutare i cookies nel loro complesso, e stabilire quali informazioni debbano essere inserite nel cookie in rapporto, ad esempio, al periodo di validità del cookie stesso (esistono infatti anche i cosiddetti "cookie di sessione", la cui durata ha termine con l'uscita dell'utente dalla connessione in rete).

Per quanto riguarda JavaScript, si tratta di una serie di istruzioni che vengono inviate da un sito Web al computer dell'utente per consentire l'esecuzione di determinate operazioni su tale computer. Se il titolare decide di fare uso di queste applicazioni per raccogliere dati personali memorizzati nel computer dell'utente, si può affermare che egli ricorra a strumenti automatizzati secondo la definizione della direttiva, e dovrà dunque adeguarsi alla normativa nazionale in materia.

Lo stesso vale per i banner, ossia gli annunci pubblicitari che compaiono sulla pagina Web dopo che ci si è collegati ad un sito. In questo caso il meccanismo di funzionamento è tale per cui il PC dell'utente, una volta collegatosi al sito di interesse, viene "costretto" a connettersi anche ad un altro server — quello della società pubblicitaria dalla quale viene inviato il banner. Inoltre, per personalizzare l'invio dei messaggi pubblicitari, alcune società pubblicitarie profilano gli utenti attraverso cookies che sono inviati al PC dell'utente utilizzando il legame ipertestuale invisibile fra il sito Web visitato e la società pubblicitaria. In tutti questi casi è indubbio che il titolare situato in un Paese terzo utilizzi il PC dell'utente senza che questi possa controllarne le modalità, e che pertanto si ricada nellambito di applicazione della legge nazionale (ai sensi della direttiva).

Lo stesso concetto vale per il cosiddetto "spyware", ossia i programmi installati in modo occulto sul PC dell'utente — ad esempio, al momento in cui questi scarica un programma di maggiori dimensioni, anche di tipo musicale — per raccogliere dati personali come, per esempio, i file musicali ascoltati più di frequente. Sono applicazioni definite "applicazioni ET" perché "una volta entrate nel PC dell'utente e apprese le informazioni necessarie, fanno quello che faceva l'extraterrestre di Spielberg: telefonano a casa."

I Garanti - consapevoli dell'esistenza di numerose altre situazioni legate ad Internet nelle quali l'interpretazione della norma comunitaria si presta a considerevoli difficoltà - si sono dunque riproposti di continuare a riflettere su questi temi per individuare casi specifici nei quali un intervento chiarificatore sia particolarmente necessario.

Queste, in sintesi, le raccomandazioni che i Garanti rivolgono ai titolari extra-UE per i quali valgono i principi della direttiva rispetto al trattamento di dati personali via Internet:

- indicare chiaramente le finalità del trattamento ed informare gli interessati almeno sull'identità del titolare (ed eventualmente del suo rappresentante), sui possibili destinatari delle informazioni e sui diritti riconosciuti agli interessati.

- accertarsi che i dati personali siano adeguati, pertinenti e non eccedenti rispetto alle finalità della loro raccolta

- accertarsi della legittimità della raccolta (consenso dell'interessato, fondamento contrattuale, rispetto di un requisito di legge, ecc.) e garantire all'interessato il diritto di accesso e rettifica/cancellazione dei propri dati personali

- garantire l'esistenza di adeguate misure di sicurezza

- prevedere particolari cautele per la raccolta di dati sensibili

I Garanti europei hanno sottolineato, infine, che l'attuazione pratica di questi principi necessita di soluzioni tecnologiche che garantiscano a monte il rispetto dei requisiti concernenti la tutela dei dati personali (essendo tali requisiti già incorporati in un software apposito); un'altra possibilità potrebbe consistere nella messa a punto di procedure per autorizzare singoli prodotti, ossia nella creazione di un sistema europeo di "bollini di qualità" per i siti Web, aperto anche ai siti Web extra-UE.