| Garante per la protezione dei dati personali 25ma Conferenza Internazionale delle Autorità di Protezione dei Dati e della Privacy Sydney, 10-12 Settembre 2003 RISOLUZIONE RELATIVA AGLI AGGIORNAMENTI AUTOMATICI DI SOFTWARE adottata venerdì 12 settembre 2003 Risoluzione Le Autorità per la protezione dei dati della Germania, della Repubblica Ceca, dell’Italia, l’Ispettorato per la protezione dei dati della Repubblica di Lituania, l’Autorità per l’informazione e la privacy dello stato di Ontario e l’Autorità federale svizzera per la protezione dei dati propongono che la Conferenza Internazionale adotti la seguente risoluzione: 1. La Conferenza rileva con preoccupazione che le case produttrici di software in tutto il mondo fanno sempre più ricorso a meccanismi non trasparenti per trasferire aggiornamenti di software nel computer degli utenti. Così facendo, esse - sono in grado di leggere e raccogliere dati personali memorizzati nel computer dei singoli utenti (ad esempio, le impostazioni dei programmi di navigazione, e informazioni sulle abitudini di navigazione del singolo utente) senza che questi abbiano la possibilità di accorgersene, intervenire o impedirlo, - possono assumere il controllo, almeno parziale, del computer terminale e, quindi, limitare la capacità dell’utente di far fronte agli obblighi ed alle responsabilità previsti dalla legge nei suoi riguardi, in quanto titolare del trattamento, al fine di garantire la sicurezza dei dati personali eventualmente oggetto di trattamento, - modificano il software installato sul computer, che sarà quindi utilizzato senza essere collaudato o approvato nei modi previsti, e - possono provocare malfunzionamenti del computer senza che sia possibile individuarne la causa nell’aggiornamento. Tutto ciò può comportare particolari problemi per la pubblica amministrazione e le aziende private, nella misura in cui sussistano specifici obblighi di legge a loro carico relativamente alle modalità di trattamento dei dati personali. 2. La Conferenza, pertanto, invita le società produttrici di software a. ad offrire procedure per l’aggiornamento online del software soltanto su richiesta o iniziativa dell’utente, secondo modalità trasparenti e senza consentire accessi non controllati al computer dell’utente; b. a chiedere la comunicazione di dati personali soltanto con il consenso informato dell’utente e nella misura in cui ciò risulti necessario per effettuare l’aggiornamento online. Gli utenti non dovrebbero essere obbligati a fornire le proprie credenziali di identificazione — anziché di autenticazione — per dare inizio alla procedura di caricamento remoto; c. a prevedere meccanismi di libera scelta, offrendo l’aggiornamento online esclusivamente in alternativa ad altre forme (offline) di distribuzione del software, ad esempio via CD-ROM. 3. La Conferenza promuove la definizione e l’applicazione di tecnologie per l’aggiornamento del software che siano rispettose della privacy e dell’autonomia degli utenti. |