|
GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29
Parere 5/2009 - WP 163 sui social network on-line adottato il 12 giugno 2009
INDICE Sintesi 1. Introduzione 2. Definizione di Òservizio di social network (SNS)Ó e modello commerciale 3. Applicazione della direttiva sulla protezione dei dati 3.1 Chi il responsabile del trattamento 3.2 Sicurezza e impostazioni per default sulla privacy 3.3 Informazioni che devono essere fornite dagli SNS 3.4 Dati sensibili 3.5 Trattamento dei dati dei non iscritti 3.6 Accesso di terzi 3.7 Basi giuridiche della commercializzazione diretta 3.8 Conservazione dei dati 3.9 Diritti degli utenti 4. Bambini e minori 5. Sintesi degli obblighi/diritti
Sintesi
Il presente parere tratta del modo in cui il funzionamento dei siti di social network pu soddisfare le prescrizioni UE sulla protezione dei dati ed inteso in primo luogo a fornire ai fornitori di servizi di social network (SNS) indicazioni sulle misure necessarie per conformarsi alla normativa comunitaria. Il parere osserva che i fornitori di SNS e in molti casi i fornitori di applicazioni sono i responsabili del trattamento dei dati, con i conseguenti obblighi nei confronti degli utenti. Il documento sottolinea che molti utenti agiscono in una sfera del tutto personale, contattando altri utenti nel quadro delle proprie attivit personali, familiari o domestiche. In questi casi, secondo il Gruppo di lavoro articolo 29 vale la cosiddetta esenzione domestica (Òhousehold exemptionÓ) e non si applicano le norme sul responsabile del trattamento. Il parere specifica le circostanze in cui le attivit dellĠutente non rientrano nellĠesenzione. La diffusione e lĠuso delle informazioni contenute in un SNS per scopi secondari e non previsti sono fra le principali fonti di preoccupazione per il Gruppo di lavoro. In tutto il documento si insiste sulla necessit di una maggiore sicurezza e sullĠuso di impostazioni per default orientate alla privacy come punto di partenza ideale per tutti i servizi proposti. UnĠaltra fonte di grande preoccupazione lĠaccesso alle informazioni del profilo-utente. Sono inoltre affrontate questioni come il trattamento di immagini e di dati sensibili, la pubblicit e la commercializzazione diretta sugli SNS e la conservazione dei dati. Le raccomandazioni principali vertono sullĠobbligo dei fornitori di SNS di conformarsi alla direttiva sulla protezione dei dati e di rispettare e rafforzare i diritti degli utenti. é estremamente importante che i fornitori di SNS comunichino immediatamente la loro identit agli utenti precisando tutte le diverse finalit per le quali i dati personali sono elaborati. I fornitori di SNS dovrebbero poi riservare particolare attenzione al trattamento dei dati personali dei minori. Nel parere si raccomanda infine agli utenti di caricare foto o dati relativi a terzi soltanto dopo aver ottenuto il consenso degli interessati e si afferma che gli SNS hanno anche il dovere di informare gli utenti sul diritto altrui alla privacy.
IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI istituito con direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 19951, visti lĠarticolo 29 e lĠarticolo 30, paragrafo 1, lettera a), e paragrafo 3 della richiamata direttiva, e l'articolo 15, paragrafo 3, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002, visto l'articolo 255 del trattato CE e il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione, visto il proprio regolamento interno, HA ADOTTATO IL PRESENTE DOCUMENTO
1. Introduzione L'evoluzione delle comunit virtuali e di altri servizi ospitati sul web, quali i servizi di social network (Social Network Services - SNS), rappresenta un fenomeno relativamente recente e il numero di utenti di tali servizi continua a crescere a un ritmo esponenziale. I dati personali che lĠutente inserisce on-line, insieme ai dati che ne descrivono le azioni e le interazioni con altri utenti, possono creare un profilo articolato dei suoi interessi e delle sue attivit. I dati personali pubblicati sui siti di social network possono essere usati da terzi per svariati scopi, anche commerciali, e possono comportare gravi rischi come il furto dĠidentit, il danno economico, la perdita di opportunit commerciali e di possibilit di impiego e pericoli per lĠincolumit fisica. Nel marzo 2008 il Gruppo di lavoro internazionale sulla protezione dei dati nelle telecomunicazioni (Gruppo Berlino) ha adottato il Memorandum di Roma2, nel quale esamina i rischi dei social network per la privacy e la sicurezza e fornisce linee-guida a legislatori, fornitori di SNS e utenti. Anche la recente risoluzione sulla tutela della privacy nei servizi di social network si sofferma sulle sfide poste dagli SNS3. Il Gruppo di lavoro tiene infine conto del documento pubblicato nellĠottobre 2007 dall'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA), ÒSecurity Issues and Recommendations for Online Social NetworksÓ4, rivolto ai legislatori e ai fornitori di servizi di social network.
2. Definizione di Òservizio di social network (SNS)Ó e modello commerciale LĠSNS pu essere definito sostanzialmente come una piattaforma di comunicazione on-line che consente ad un utente di creare reti di utenti che condividono i suoi stessi interessi o di entrarne a far parte. Dal punto di vista giuridico, i social network sono servizi della societ dell'informazione, ai sensi dell'articolo 1, paragrafo 2 della direttiva 98/34/CE modificata dalla direttiva 98/48/CE. Gli SNS hanno delle caratteristiche comuni: - gli utenti sono invitati a fornire dati personali per creare una descrizione di se stessi o ÒprofiloÓ; - gli SNS mettono a disposizione anche strumenti che consentono agli utenti di inserire in rete il loro materiale (contenuto generato dallĠutente, come foto, testi, musica, video clip, oppure link verso altri siti5); - Òla socializzazione in reteÓ avviene attraverso strumenti che forniscono agli utenti un elenco di contatti con i quali possono interagire. Gran parte degli introiti degli SNS assicurata dalla pubblicit proposta sulle pagine web che gli utenti pubblicano e consultano. Gli utenti che inseriscono nel proprio profilo grandi quantit di dati sui loro interessi rappresentano un ricco mercato per gli inserzionisti, che sulla base di tali dati possono proporre pubblicit mirata. é quindi importante che gli SNS operino nel rispetto dei diritti e delle libert degli utenti, i quali si aspettano legittimamente che i loro dati personali siano elaborati conformemente alla legislazione europea e nazionale sulla protezione dei dati e sulla privacy.
3. Applicazione della direttiva sulla protezione dei dati Le disposizioni della direttiva sulla protezione dei dati si applicano ai fornitori di SNS nella maggior parte dei casi, anche se la loro sede si trova al di fuori del territorio SEE. Il Gruppo di lavoro articolo 29 rinvia al suo precedente parere sui motori di ricerca per ulteriori orientamenti sui temi dello stabilimento e del ricorso a strumenti ai fini dellĠapplicazione della direttiva sulla protezione dei dati, nonch per le norme applicabili in caso di trattamento degli indirizzi IP e di uso dei cookie6. 3.1 Chi il responsabile del trattamento? Fornitori di SNS I fornitori di SNS sono i responsabili del trattamento ai sensi della direttiva sulla protezione dei dati. Mettono a disposizione i mezzi per lĠelaborazione dei dati degli utenti e forniscono tutti i servizi di base relativi alla gestione degli utenti (per esempio, la registrazione e la cancellazione degli account). Determinano inoltre il modo in cui i dati degli utenti possono essere usati a fini pubblicitari e commerciali - inclusa la pubblicit fornita da terzi. Fornitori di applicazioni Anche i fornitori di applicazioni possono essere responsabili del trattamento, se sviluppano applicazioni che funzionano in aggiunta a quelle degli SNS e se gli utenti decidono di servirsene. Utenti Nella maggior parte dei casi gli utenti sono considerati gli interessati. La direttiva non estende gli obblighi del responsabile del trattamento a chi elabora dati personali Òper l'esercizio di attivit a carattere esclusivamente personale o domesticoÓ – la cosiddetta Òesenzione domesticaÓ. In alcuni casi, possibile che queste attivit non siano pi coperte dallĠesenzione e si pu allora ritenere che allĠutente dellĠSNS incombano alcuni obblighi del responsabile del trattamento. Nei punti che seguono se ne riporta qualche esempio. 3.1.1. Oggetto e natura Nel settore degli SNS si nota sempre pi spesso il passaggio del web 2.0 da strumento per il tempo libero a strumento per la produttivit e i servizi,7 in quanto le attivit di alcuni utenti possono andare al di l della sfera esclusivamente personale o domestica, per esempio quando l'SNS usato come piattaforma di collaborazione per un'associazione o una societ. Se lĠutente agisce per conto di una societ o di unĠassociazione, oppure usa il servizio di social network soprattutto come piattaforma a fini commerciali, politici o filantropici, lĠesenzione non si applica. In questo caso lĠutente assume tutti gli obblighi di un responsabile del trattamento che comunica dati personali ad un altro responsabile del trattamento (SNS) e a terzi (altri utenti SNS o potenzialmente anche altri responsabili del trattamento con accesso ai dati). In tali circostanze, lĠutente ha bisogno del consenso degli interessati o di unĠaltra opportuna base giuridica ai sensi della direttiva sulla protezione dei dati. Spesso lĠaccesso ai dati (profilo, messaggi, contenuti, ecc.) inseriti da un utente limitato ai contatti che lĠutente stesso ha scelto. Talvolta per lĠutente pu acquisire molti contatti di soggetti terzi, alcuni dei quali del tutto sconosciuti. Un numero elevato di contatti pu indicare che lĠesenzione domestica non si applica e che lĠutente va quindi considerato un responsabile del trattamento. 3.1.2. Accesso alle informazioni del profilo Gli SNS dovrebbero garantire impostazioni per default gratuite e orientate alla privacy, che limitino lĠaccesso ai contatti scelti dallĠutente. Quando lĠaccesso alle informazioni del profilo non si limita ai contatti scelti, come nel caso in cui tutti gli iscritti allĠSNS hanno la possibilit di consultare un profilo8 o i relativi dati possono essere indicizzati da motori di ricerca, si oltrepassa la sfera personale o domestica. Analogamente, se un utente decide con cognizione di causa di non limitare lĠaccesso ad ÒamiciÓ scelti, assume gli obblighi di un responsabile del trattamento. Si applica quindi lo stesso regime giuridico di quando una persona usa altre piattaforme tecnologiche per pubblicare dati personali sul web9. In vari Stati membri, lĠaccesso senza restrizioni (e quindi il carattere pubblico) implica lĠapplicazione della direttiva sulla protezione dei dati nel senso che all'utente di Internet incombono gli obblighi del responsabile del trattamento10. Va tenuto presente che, anche se lĠesenzione domestica non si applica, lĠutente dellĠSNS pu beneficiare di altre esenzioni, per esempio a fini giornalistici o di espressione artistica o letteraria. In questi casi occorre trovare un equilibrio tra libert di espressione e diritto alla privacy. 3.1.3 Trattamento dei dati di terzi da parte degli utenti LĠapplicazione dellĠesenzione domestica limitata anche dalla necessit di garantire i diritti dei terzi, soprattutto per quanto riguarda i dati sensibili. Inoltre, va osservato che anche se si applica lĠesenzione, lĠutente potrebbe comunque essere tenuto responsabile ai sensi delle disposizioni nazionali generali di diritto privato o penale (per esempio, diffamazione, responsabilit per violazione dei diritti della personalit, responsabilit penale). 3.2 Sicurezza e impostazioni per default sulla privacy La sicurezza del trattamento delle informazioni costituisce un elemento chiave di fiducia negli SNS. Il responsabile del trattamento deve adottare adeguate misure tecniche ed organizzative, Òsia al momento della progettazione che a quello dell'esecuzione del trattamentoÓ, per garantire la sicurezza ed impedire qualsiasi trattamento non autorizzato, tenendo conto dei rischi presentati dal trattamento e della natura dei dati11. Un elemento importante delle impostazioni relative alla privacy lĠaccesso ai dati personali pubblicati in un profilo. Se lĠaccesso non limitato, un terzo pu venire a conoscenza di particolari intimi della vita dellĠutente, in quanto iscritto allĠSNS o attraverso i motori di ricerca. Tuttavia, solo una minoranza di utenti modifica le impostazioni per default quando si iscrive ad un servizio. Per questo motivo, gli SNS dovrebbero proporre impostazioni per default orientate alla privacy che permettano agli utenti di accettare liberamente e specificamente lĠaccesso di persone che non fanno parte dei loro contatti al loro profilo per ridurre i rischi di trattamento illecito da parte di terzi. I motori di ricerca interni non dovrebbero poter risalire a profili ad accesso limitato, neppure con la funzione di ricerca per parametri come lĠet o la localit. La decisione di estendere lĠaccesso non deve essere implicita, per esempio con una scelta di esclusione (opt-out) proposta dal responsabile dellĠSNS12. 3.3 Informazioni che devono essere fornite dagli SNS Conformemente allĠarticolo 10 della direttiva sulla protezione dei dati, i fornitori di SNS dovrebbero comunicare agli utenti la loro identit e le differenti finalit del trattamento cui sono destinati i dati, tra le quali: - lĠuso dei dati a fini di commercializzazione diretta; - lĠeventuale condivisione dei dati con categorie specifiche di terzi; - informazioni generali sui profili: loro creazione e loro principali fonti di dati; - lĠuso di dati sensibili. Il Gruppo di lavoro raccomanda ai fornitori di SNS di: - mettere adeguatamente in guardia gli utenti sui rischi per la loro privacy e per quella altrui quando inseriscono dati sugli SNS; - ribadire ai loro utenti che inserire dati su terzi pu pregiudicare il diritto altrui alla privacy e alla protezione dei dati; - informare i loro utenti che, se desiderano pubblicare foto o dati riguardanti terzi, dovrebbero farlo solo con il consenso degli interessati13. 3.4 Dati sensibili I dati che rivelano lĠorigine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, lĠappartenenza sindacale, nonch quelli relativi alla salute e allĠorientamento sessuale sono considerati dati sensibili. I dati personali sensibili possono essere pubblicati su Internet soltanto con il consenso esplicito dellĠinteressato o se lĠinteressato stesso ad averli resi pubblici14. In alcuni Stati membri dellĠUE le immagini degli interessati sono considerate una categoria speciale di dati personali, poich possono essere usate per distinguere tra origini razziali/etniche o per dedurre le convinzioni religiose oppure dati relativi alla salute. In linea di massima il Gruppo di lavoro non considera le immagini su Internet dati sensibili15, a meno che non siano esplicitamente usate per rivelare informazioni sensibili sulle persone. Nella veste di responsabili del trattamento dei dati, gli SNS non possono elaborare dati sensibili sugli iscritti o su persone non iscritte senza il consenso esplicito degli interessati16. Se nel modulo di iscrizione ad un SNS figurano domande relative a dati sensibili, lĠSNS deve indicare molto chiaramente che rispondere del tutto facoltativo. 3.5 Trattamento dei dati dei non iscritti Molti servizi di social network permettono agli utenti di inserire dati su terzi, per esempio un nome sotto una foto, un giudizio su una persona, lĠelenco delle Òpersone che ho incontrato/voglio incontrareÓ nel corso di determinati avvenimenti. Questo ÒtaggingÓ pu identificare anche persone non iscritte al servizio. LĠSNS per pu trattare i dati dei non iscritti soltanto se ricorre una delle condizioni di cui allĠarticolo 7 della direttiva sulla protezione dei dati. Inoltre, la creazione di profili predefiniti di soggetti non iscritti grazie allĠaggregazione di dati forniti indipendentemente da utenti SNS, inclusi quelli sui rapporti tra di loro ricavati dagli indirizzari on-line, non ha base giuridica17. Anche se lĠSNS avesse i mezzi per contattare i non iscritti e informarli dellĠesistenza di dati personali che li riguardano, un eventuale invito per e-mail ad iscriversi al servizio per consultare i dati violerebbe il divieto di inviare messaggi di posta elettronica indesiderati a fini di commercializzazione diretta previsto allĠarticolo 13, paragrafo 4 della direttiva sulla protezione della vita privata nel settore delle comunicazioni elettroniche. 3.6 Accesso di terzi 3.6.1 Accesso tramite gli SNS Oltre al servizio di base, la maggior parte degli SNS propone agli utenti applicazioni supplementari fornite da terzi che le sviluppano e che pure elaborano dati personali. Gli SNS dovrebbero avere i mezzi per garantire che queste applicazioni rispettino le direttive sulla protezione dei dati e sulla protezione della vita privata nel settore delle comunicazioni elettroniche, in particolare che informino gli utenti in modo chiaro e specifico sul trattamento dei loro dati personali e abbiano accesso esclusivamente ai dati personali necessari. Pertanto, i servizi di social network dovrebbero offrire agli sviluppatori terzi un accesso a pi livelli in modo che possano optare per una modalit di accesso intrinsecamente pi limitata. Dovrebbero inoltre fare in modo che gli utenti possano comunicare facilmente i loro timori riguardo alle applicazioni. 3.6.2 Accesso tramite gli utenti I servizi di social network consentono talvolta agli utenti di accedere ai loro dati e di aggiornarli attraverso altre applicazioni. Gli utenti possono per esempio: - leggere e inviare messaggi dal loro cellulare alla rete; - sincronizzare le coordinate dei loro amici nellĠSNS con lĠindirizzario sul computer; - aggiornare automaticamente il loro status o la loro localizzazione nell'SNS usando un altro sito web. Gli SNS pubblicano il modo in cui si pu creare questo software sotto forma di Òinterfaccia per programmi applicativi (API)Ó. In questo modo qualunque terzo pu creare software per eseguire questi compiti e gli utenti possono scegliere liberamente tra vari fornitori18. Quando propongono unĠAPI che consente lĠaccesso ai dati dei contatti, gli SNS dovrebbero: - assicurare un grado di articolazione che permetta allĠutente di scegliere un livello di accesso per i terzi che sia limitato allĠesecuzione di un determinato compito. Quando accedono per conto di un utente ai dati personali tramite le API di terzi, i fornitori di servizi terzi dovrebbero: - elaborare e conservare i dati per una durata non superiore a quella necessaria ad eseguire un compito specifico; - limitare le operazioni sui dati dei contatti importati dallĠutente allĠuso personale dellĠutente che li ha forniti. 3.7 Basi giuridiche della commercializzazione diretta La commercializzazione diretta un aspetto essenziale del modello commerciale degli SNS; i servizi di social network possono usare modelli di commercializzazione diversi. Tuttavia, coloro che gestiscono dati personali a fini di commercializzazione dovrebbero rispettare le disposizioni pertinenti delle direttive sulla protezione dei dati e sulla protezione della vita privata nel settore delle comunicazioni elettroniche19. La commercializzazione contestuale adattata al contenuto che lĠutente visiona o consulta20. La commercializzazione segmentata consiste nel diffondere pubblicit a gruppi mirati di utenti21; lĠutente inserito in un gruppo in funzione delle informazioni che ha comunicato direttamente allĠSNS22. Infine, la commercializzazione comportamentale seleziona gli annunci pubblicitari grazie allĠosservazione e allĠanalisi dellĠattivit dellĠutente nel tempo. Queste tecniche possono essere soggette a requisiti giuridici diversi, in funzione delle basi giuridiche applicabili e delle caratteristiche delle tecniche usate. Il Gruppo di lavoro raccomanda di non usare dati sensibili nei modelli pubblicitari comportamentali, a meno che non siano soddisfatti tutti i requisiti di legge. A prescindere dal modello o dalla combinazione dei modelli usati, gli annunci possono essere diffusi sia direttamente dallĠSNS (il fornitore di SNS funge in questo caso da intermediario) sia da un pubblicitario terzo. Nel primo caso, non occorre comunicare a terzi i dati personali degli utenti. Nel secondo caso invece il pubblicitario terzo potrebbe elaborare i dati personali dellĠutente, per esempio se tratta lĠindirizzo IP dellĠutente o un cookie memorizzato sul suo computer. 3.8 Conservazione dei dati I servizi di social network esulano dalla definizione di servizi di comunicazione elettronica di cui allĠarticolo 2, lettera c) della direttiva quadro 2002/21/CE. I fornitori di SNS possono per proporre servizi supplementari che rientrano in tale definizione, per esempio un servizio di posta elettronica accessibile al pubblico, e che saranno quindi disciplinati dalla direttiva relativa alla vita privata e alle comunicazioni elettroniche e dalla direttiva sulla conservazione dei dati. Alcuni SNS consentono ai loro utenti di inviare inviti a terzi. Il divieto di usare la posta elettronica per la commercializzazione diretta non si applica alle comunicazioni personali. Per beneficiare della deroga, lĠSNS deve rispettare i seguenti criteri: - non incitare il mittente o il destinatario a comunicare; - il fornitore non seleziona i destinatari del messaggio23; - lĠidentit del mittente deve essere menzionata chiaramente; - il mittente deve conoscere lĠintero contenuto del messaggio che sar inviato a suo nome. Alcuni SNS conservano poi i dati identificativi degli utenti che sono stati espulsi dal servizio per assicurarsi che non possano registrarsi nuovamente. In tal caso, gli interessati devono essere informati della misura presa nei loro confronti. Inoltre, le uniche informazioni che si possono conservare sono i dati identificativi e non le motivazioni dellĠespulsione dal servizio. Queste informazioni non dovrebbero essere conservate per pi di un anno. I dati personali comunicati dallĠutente quando si iscrive ad un SNS dovrebbero essere cancellati non appena lĠutente o il fornitore di SNS decide di cancellare lĠaccount24. Allo stesso modo non dovrebbero essere conservati i dati cancellati dall'utente quando aggiorna il suo account. Prima di procedere a queste operazioni, gli SNS dovrebbero avvisare gli utenti con i mezzi a loro disposizione per informarli in merito ai periodi di conservazione. In casi specifici, per motivi giuridici e di sicurezza, potrebbe essere giustificato conservare i dati cancellati o aggiornati e gli account per un periodo determinato al fine di contribuire ad impedire atti dolosi derivanti da furti di identit e da altri reati. Quando lĠutente non usa pi il servizio per un certo periodo di tempo, il suo profilo dovrebbe diventare inattivo, cio non essere pi visibile agli altri utenti o allĠesterno, e trascorso un certo lasso di tempo, i dati dellĠaccount abbandonato dovrebbero essere cancellati. Prima di procedere a queste operazioni, gli SNS dovrebbero avvisare gli utenti con i mezzi a loro disposizione. 3.9 Diritti degli utenti Gli SNS dovrebbero rispettare i diritti degli interessati dal trattamento dei dati conformemente alle disposizioni di cui agli articoli 12 e 14 della direttiva sulla protezione dei dati. I diritti di accesso e rettifica non sono limitati agli utenti del servizio ma si estendono ad ogni persona fisica i cui dati sono sottoposti a trattamento25. Sia gli iscritti che i non iscritti allĠSNS devono avere la possibilit di esercitare il diritto di accesso, rettifica e cancellazione. La homepage dei siti di SNS dovrebbe segnalare chiaramente lĠesistenza di uno Òsportello reclamiÓ istituito dal fornitore di SNS per occuparsi dei problemi relativi alla protezione dei dati e della vita privata e dei reclami di iscritti e non iscritti. A norma dellĠarticolo 6, paragrafo 1, lettera c) della direttiva sulla protezione dei dati, i dati devono essere Òadeguati, pertinenti e non eccedenti rispetto alle finalit per le quali vengono rilevati e/o per le quali vengono successivamente trattatiÓ. In questo contesto, si pu osservare che lĠSNS pu aver bisogno di registrare alcuni dati identificativi dei suoi iscritti, ma non di diffonderne il vero nome su Internet. Pertanto, gli SNS dovrebbero considerare attentamente se sia giustificabile obbligare gli utenti ad usare il loro vero nome anzich uno pseudonimo. Solidi argomenti indicano che gli utenti dovrebbero avere libert di scelta al riguardo e in almeno uno Stato membro la libert di scelta prevista per legge. Questi argomenti acquistano maggior peso nel caso di SNS che contano iscritti in tutto il mondo. A norma dellĠarticolo 17 della direttiva sulla protezione dei dati, il responsabile del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali. In particolare, queste misure di sicurezza includono meccanismi di controllo dellĠaccesso e di autenticazione che possono essere attuati anche se sono usati pseudonimi.
4. Bambini e minori Gran parte dei servizi di social network usata da bambini/minori. Il parere WP14726 del Gruppo di lavoro si sofferma sullĠapplicazione dei principi della protezione dei dati nelle scuole e nel mondo dellĠistruzione, sottolineando la necessit di tenere conto dellĠinteresse superiore del minore come stabilito anche nella Convenzione delle Nazioni Unite sui diritti del fanciullo. Il Gruppo di lavoro desidera evidenziare lĠimportanza di questo principio anche nel contesto degli SNS. In tutto il mondo le autorit garanti della protezione dei dati hanno preso alcune interessanti iniziative27 incentrate soprattutto sulla sensibilizzazione agli SNS e ai possibili rischi connessi. Il Gruppo di lavoro invita ad approfondire la ricerca sul modo in cui risolvere i problemi relativi alla verifica dellĠet richiesta e alla prova del consenso informato per affrontare al meglio queste sfide. Sulla base delle considerazioni sopra esposte, il Gruppo di lavoro ritiene che per affrontare il tema della protezione dei dati dei minori nel contesto degli SNS occorrerebbe una strategia pluridimensionale. Questa strategia potrebbe essere basata: - su strategie di sensibilizzazione, che sono fondamentali per assicurare la partecipazione attiva dei minori (attraverso le scuole, lĠintroduzione di nozioni di base sulla protezione dei dati nei programmi scolastici, la creazione di strumenti didattici ad-hoc, la collaborazione di organismi nazionali competenti); - su un trattamento equo e lecito dei dati personali dei minori, per esempio rinuncia a chiedere dati sensibili nel modulo di iscrizione e assenza di commercializzazione diretta, richiesta del consenso dei genitori prima dellĠiscrizione e garanzia di un adeguato livello di separazione logica tra comunit di minori e di adulti; - sullĠattuazione di tecnologie a difesa della privacy, per esempio, impostazioni per default orientate alla privacy, finestre pop-up di avvertimento al momento opportuno, software per la verifica dellĠet; - sullĠautoregolamentazione dei fornitori di SNS per incoraggiare lĠadozione di manuali di buone pratiche con misure dĠapplicazione efficaci, incluse sanzioni disciplinari; - se necessario, su misure legislative ad hoc per scoraggiare le pratiche sleali e/o ingannevoli nel contesto degli SNS.
5. Sintesi degli obblighi/diritti Applicabilit delle direttive CE 1. La direttiva sulla protezione dei dati si applica generalmente al trattamento dei dati personali effettuato da SNS, anche quando la loro sede si trova al di fuori del SEE. 2. I fornitori di SNS sono considerati responsabili del trattamento ai sensi della direttiva sulla protezione dei dati. 3. I fornitori di applicazioni possono essere considerati responsabili del trattamento ai sensi della direttiva sulla protezione dei dati. 4. Gli utenti sono considerati gli interessati per quanto riguarda il trattamento dei loro dati ad opera degli SNS. 5. Nella maggior parte dei casi il trattamento di dati personali ad opera degli utenti rientra nellĠambito di applicazione dellĠesenzione domestica. In alcuni casi tuttavia le attivit degli utenti sono escluse dallĠesenzione. 6. Gli SNS esulano dalla definizione di servizi di comunicazione elettronica e pertanto ad essi non si applica la direttiva sulla conservazione dei dati.
Obblighi degli SNS 7. Gli SNS dovrebbero comunicare la loro identit agli utenti e fornire loro informazioni chiare e complete sulle finalit per le quali e sui diversi modi in cui intendono effettuare il trattamento. 8. Gli SNS dovrebbero proporre impostazioni per default orientate alla privacy. 9. Gli SNS dovrebbero informare e mettere adeguatamente in guardia gli utenti sui rischi per la privacy derivanti dallĠinserimento dei dati in rete. 11. Gli SNS dovrebbero raccomandare agli utenti di non mettere in rete immagini o informazioni relative a terzi senza il consenso degli interessati. 12. Sulla homepage degli SNS dovrebbe figurare almeno un link verso uno Òsportello reclamiÓ destinato agli iscritti e ai non iscritti per le questioni relative alla protezione dei dati. 13. LĠattivit di commercializzazione deve rispettare le norme previste nelle direttive sulla protezione dei dati e sulla protezione della vita privata nel settore delle comunicazioni elettroniche. 14. Gli SNS devono fissare i limiti massimi per la conservazione dei dati degli utenti inattivi. Gli account abbandonati devono essere cancellati. 15. Per quanto riguarda i minori, gli SNS dovrebbero prendere le misure appropriate per limitare i rischi.
Diritti degli utenti 16. I diritti degli iscritti e dei non iscritti agli SNS sono quelli dellĠinteressato, se applicabili, ai sensi delle disposizioni degli articoli da 10 a 14 della direttiva sulla protezione dei dati. 17. Sia gli iscritti che i non iscritti dovrebbero avere accesso ad una procedura di trattamento delle denunce predisposta dagli SNS e facile da seguire. 18. In generale, agli utenti dovrebbe essere consentito l'uso di uno pseudonimo.
Fatto a Bruxelles, il 12 giugno 2009
Per il Gruppo di lavoro Il Presidente Alex TRK
NOTE 1 GU L 281 del 23.11.1995, pag. 31, http://ec.europa.eu./justice_home/fsj/privacy/workinggroup/index_en.htm 2 http://www.datenschutz-berlin.de/attachments/461/WP_social_network_services.pdf 3 Adottata in occasione della XXX Conferenza internazionale dei Garanti della privacy e della protezione dei dati a Strasburgo il 17 ottobre 2008, disponibile sul sito: http://www.privacyconference2008.org/adopted_resolutions/STRASBOURG2008/resolution_social_networks_en.pdf 4 http://www.enisa.europa.eu/doc/pdf/deliverables/enisa_pp_social_networks.pdf 5 Nei casi in cui gli SNS forniscono servizi di comunicazione elettronica, si applicano anche le disposizioni della direttiva relativa alla vita privata e alle comunicazioni elettroniche (2002/58/CE). 6 WP 148, ÒParere sugli aspetti della protezione dei dati connessi ai motori di ricercaÓ. 7 "Internet of the future: Europe must be a key player" (LĠInternet del futuro: lĠEuropa deve avere un ruolo fondamentale), discorso di Viviane Reding, commissario responsabile per la societ dellĠinformazione e i media, a proposito dellĠiniziativa ÒIl futuro di InternetÓ del Consiglio europeo di Lisbona (2 febbraio 2009). 8 Oppure se si pu dimostrare che non cĠ alcuna selezione vera quando si accettano i contatti, cio gli utenti accettano i ÒcontattiÓ senza preoccuparsi dei legami esistenti tra loro. 9 Per esempio, le piattaforme di pubblicazione che non sono SNS o i software self-hosted. 10 Al punto 44 della sentenza Satamedia la Corte di giustizia delle Comunit europee ha invece statuito: ÒNe discende che tale seconda eccezione deve interpretarsi nel senso che comprende unicamente le attivit che rientrano nellĠambito della vita privata o familiare dei singoli (v. sentenza Lindqvist, cit., punto 47). Questo non , manifestamente, il caso per quanto riguarda le attivit della Markkinaprssi e della Satamedia, il cui obiettivo quello di portare i dati estratti a conoscenza di un numero indefinito di persone.Ó 11 Articolo 17 e considerando 46 della direttiva sulla protezione dei dati. 12 Nel Rapporto e nelle linee-guida in materia di privacy nei servizi di social network (ÒMemorandum di RomaÓ) si sottolineano rischi come ÒlĠidea ingannevole di comunitÓ, punto 2, Òrivelare pi informazioni personali di quanto si credaÓ, punto 6. Una societ di sicurezza informatica avverte un noto SNS dellĠaccesso per default agli iscritti di una stessa localit geografica: http://www.sophos.com/pressoffice/news/articles/2007/10/facebook-network.html 13 Si potrebbe facilitare il compito con lĠintroduzione di strumenti di gestione del tagging sui siti dei social network, per esempio creando spazi su un profilo personale per indicare la presenza di un nome utente nelle immagini o nei video ÒetichettatiÓ in attesa di consenso o fissando una scadenza per i tag che non hanno avuto il consenso dellĠinteressato. 14 Gli Stati membri possono prevedere eccezioni a tale norma; cfr. articolo 8, paragrafo 2, lettera a), seconda frase e articolo 8, paragrafo 4 della direttiva sulla protezione dei dati. 15 La pubblicazione di immagini su Internet suscita per sempre pi preoccupazioni in termini di rispetto per la vita privata, se si considera lo sviluppo delle tecniche di riconoscimento facciale. 16 Il consenso deve essere libero, informato e specifico. 17 Il considerando 38 della direttiva sulla protezione dei dati specifica: Òconsiderando che il trattamento leale dei dati presuppone che le persone interessate possano conoscere l'esistenza del trattamento e disporre, quando i dati che le riguardano sono forniti direttamente da loro, di un'informazione effettiva e completa in merito alle circostanze della raccolta.Ó Si presume che per alcuni SNS la pubblicazione dei profili dei non iscritti sia diventata importante per la commercializzazione dei loro ÒserviziÓ. 18 Il termine tecnico ÒAPIÓ ha un ampio significato, ma in questo caso si riferisce all'accesso per conto dell'utente, nel senso che questĠultimo deve dare le proprie credenziali al software affinch questo possa agire per suo conto. 19 Il Gruppo di lavoro intende esaminare prossimamente in un documento distinto i diversi aspetti della pubblicit on-line. 20 Per esempio, se la pagina visionata contiene la parola ÒParigiÓ, la pubblicit potrebbe riguardare un ristorante della citt. 21 Ogni gruppo definito in base ad una serie di criteri. 22 Per esempio quando si iscritto al servizio. 23 é vietata cio la prassi di alcuni SNS di inviare inviti indiscriminatamente all'intero indirizzario di un utente. 24 A norma dellĠarticolo 6, paragrafo 1, lettera e) della direttiva sulla protezione dei dati, i dati personali devono essere Òconservati in modo da consentire lĠidentificazione dellĠinteressato per e non oltre il tempo necessario a conseguire le finalit per le quali sono rilevati o successivamente trattatiÓ. 25 Per esempio, se lĠindirizzo email della persona stato usato dal servizio SNS per inviarle un invito. 26 http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2008/wp147_en.pdf 27 Per esempio, lĠiniziativa portoghese ÒDadusÓ http://dadus.cnpd.pt/, o il ÒChat Check BadgeÓ danese, http://www.fdim.dk/
|