Garante per la protezione
    dei dati personali

Newsletter

I SITI WEB DEL REGNO UNITO E LA PROTEZIONE DEI DATI: UN'INDAGINE MOSTRA LUCI E OMBRE

Luci ed ombre per quanto riguarda il rispetto della privacy su Internet nel Regno Unito.

E' quanto emerge da un'indagine, condotta dall'Autorità garante inglese (Data Protection Commissioner) insieme all'Università di Manchester, sul grado di rispetto e conoscenza della normativa in materia di protezione dei dati personali da parte dei siti web localizzati nel Regno Unito. I risultati sono stati pubblicati di recente sul sito Web dell'Autorità (http://www.dataprotection.gov.uk/dpr/dpdoc.nsf).

Il quadro che ne risulta è composito: dei 170 siti web, tutti con un'elevata percentuale di contatti, la maggioranza dimostra un buon grado di conoscenza della legge; tuttavia, il grado di rispetto della normativa varia in rapporto alle dimensioni dell'azienda e all'esistenza di altre norme che ne disciplinino l'attività (è il caso, ad esempio, delle compagnie di assicurazione). Le imprese di minori dimensioni sono quelle generalmente meno "in linea" con la legge, ed hanno più problemi a garantire anche la sicurezza dei dati personali che esse detengono.

Lo studio è stato condotto fra il gennaio ed il marzo del 2002 allo scopo di valutare il grado di rispetto della nuova legge UK in materia di protezione dati (Data Protection Act 1998), evidenziare i settori bisognosi di intervento e sensibilizzare titolari e interessati nei confronti dei problemi connessi alla protezione dei dati. Il campione esaminato è stato ristretto ai siti web con sede nel Regno Unito, con un numero consistente di contatti, e tali da comportare verosimilmente la raccolta di dati personali: siti di società che offrono servizi finanziari o fanno vendita per corrispondenza, siti di soggetti pubblici, società che offrono servizi o prodotti per la salute, agenzie di collocamento o di impiego, agenzie di viaggio, enti locali, società che offrono servizi mirati in particolare ai minori. Il campione comprendeva, inoltre, 20 dei siti più visitati in assoluto nel Regno Unito, in modo da coprire anche settori non necessariamente legati ad attività di e-commerce (portali, ISP, informazione, meteo, TV e radio, ecc.).

Il Data Protection Act 1998 ha recepito la direttiva europea sulla protezione dati (95/46/CE), e presenta numerosi punti di contatto con la normativa italiana. Va ricordato che nel Regno Unito esisteva comunque una legge in materia di protezione dati fin dal 1984, in base alla quale i titolari di trattamento avevano già alcuni obblighi (fra cui quello di notificare il trattamento e informare gli interessati almeno in via generale).

Come si è accennato, i siti appartenenti alle imprese di piccole dimensioni mostrano un minor grado di rispetto della normativa, in particolare per quanto riguarda i requisiti in materia di sicurezza dei dati e conservazione dei dati raccolti. Inoltre molti siti non sembrano comprendere (né far comprendere agli utenti) che cosa si intenda per "raccolta" dei dati: ad esempio, è emerso che molti di questi siti ritengono erroneamente che i dati che gli utenti possono inserire nelle finestre a compilazione libera, ossia senza una specifica indicazione delle voci da riempire (chat, gruppi di discussione, e-mail, siti di consulenza e assistenza sanitaria), non sarebbero "raccolti" perché il titolare non ha espressamente chiesto di fornirli.

Esaminando più in dettaglio i risultati dello studio, emerge che:

1) le informative fornite dai siti non sono adeguatamente chiare. Solo il 5% raggiunge la soglia minima di leggibilità (valutata secondo l'indice di leggibilità di Flesch); particolarmente oscuri sono risultati i testi utilizzati dalle società finanziarie e assicurative, mentre le informative presenti sui siti dedicati ai minori e quelli gestiti da agenzie di viaggio sono più intelligibili. Tuttavia, ben il 42% dei siti non reca alcuna informativa per gli interessati. Del 58% provvisto di un'informativa, quasi la metà (43%) spiega agli utenti come esercitare il diritto di accesso ai propri dati, ma solo 1/3 indica che si tratta, appunto, di un diritto riconosciuto dalla legge (18% dei 170 siti esaminati). Va rilevato che questa informazione, se presente, è data comunque nell'ambito dell'informativa generale sulla privacy e non contestualmente alla raccolta dei dati personali dell'utente — ossia, non compare sul modulo eventualmente utilizzato per raccogliere i dati personali dell'interessato. Inoltre solo il 27% dei siti spiega come fare per segnalare abusi o violazioni della privacy (ricorso all'Autorità garante, ecc.).

2) il 35% dei siti esaminati utilizza i dati raccolti per fini di marketing diretto o per altri fini. Questa informazione è fornita dal 61% dei siti dotatisi di un'informativa generale sulla privacy, fatto che sembra indicare come questi siti si comportino con maggiore correttezza rispetto agli utenti. Tuttavia, appena al 35% arriva anche la percentuale dei siti che consentono agli utenti di scegliere se essere contattati da un altro soggetto per scopi di marketing diretto, e nel 50% dei casi la scelta è basata sull'opt-out, mentre solo nel 28% si ricorre all'opt-in, ossia al consenso preventivo esplicito a questo tipo di trattamento. Va detto che visitando le pagine dei siti esaminati, i ricercatori hanno lasciato un indirizzo e-mail fittizio indicando (laddove possibile) di non voler ricevere comunicazioni di marketing. Ciononostante, parecchi siti hanno inviato egualmente messaggi pubblicitari (che in un caso, ironicamente, riguardavano un software utile a potenziare la tutela della propria privacy).

3) la distinzione fra dato personale e dato personale "sensibile" non è risultata particolarmente chiara: solo il 60% degli intervistati conosceva la differenza, e di questi solo il 37% ha saputo fornire una definizione corretta di dato sensibile. La quantità di informazioni sensibili e non sensibili raccolte dipende comunque non tanto dalle dimensioni dell'impresa titolare del sito, quanto dalla sua tipologia: prevedibilmente, i siti che offrono servizi finanziari, assicurativi o di collocamento tendono a raccogliere molti più dati personali degli altri. La pertinenza di questi dati non è sempre certa.

4) la conservazione dei dati personali dipende sostanzialmente dall'esistenza di meccanismi interni in grado di tenere traccia dei dati memorizzati e delle rispettive finalità. Il 24% dei siti esaminati non ha messo a punto alcun sistema del genere, e il 9% addirittura conserva i dati a tempo indeterminato. In una percentuale consistente (25.5%) la cancellazione dei dati avviene solo per iniziativa dell'utente/cliente oppure per motivazioni di ordine tecnico.

5) la sicurezza: il 49% dei siti ha adottato misure di sicurezza; si tratta prevalentemente di siti appartenenti a grandi imprese. Le piccole imprese sono meno attente a questo aspetto: solo il 37% dichiara di avere adottato misure per garantire la sicurezza dei dati.

Lo studio ha mostrato, dunque, le maggiori difficoltà in cui versano le piccole imprese operanti sul Web. Si tratta di difficoltà legate soprattutto alla scarsa conoscenza della legislazione ed a problemi di natura economica (i "costi" della privacy), il che ha evidenziato la necessità di un'operazione "didattica" da parte dell'autorità garante. Fra i suggerimenti avanzati dalle imprese, l'organizzazione di corsi da parte dell'autorità a costi ragionevoli e facilmente accessibili e la prospettazione di casi tipici che fungano da esempio in termini di comportamenti — una sorta di prontuario di comportamento basato su esempi concreti.