Programmare la sicurezza per garantire la riservatezza

di Stefano Gorla

26 Maggio 2008 09:00

Il "Documento programmatico in materia di sicurezza" deve essere redatto ogni anno, entro il 31 Marzo, data in cui gli interessanti hanno l'occasione per fare il punto della situazione

Il provider deve custodire un registro elettronico, denominato data log, contenente notizie di carattere personale tali da identificare un internauta. Anche in questo caso l’utente deve essere il formato dell’esistenza di tale registro. Già un articolo è stato dedicato ad approfondire la questione relativa al traffico telematico
dopo l’intervento del Garante del gennaio 2008. La posta spazzatura ricevuta sotto forma di comunicazioni commerciali non richieste è quello che potremmo definire il “tormentone” di Internet, al punto che i messaggi di tale tipo arrivano a superare quelli ricevuti da soggetti conosciuti.

Nel marzo 2008 il Garante è intervenuto ancora una volta sul fenomeno dei fax indesiderati e ha vietato a due società l'”ulteriore trattamento” dei dati personali usati a fini di marketing. La validità della disposizione è estesa alla posta elettronica e agli sms: anche se il destinatario è identificato attraverso elenchi categorici (es. Pagine Gialle o banche dati ) è necessario ottenere prima il suo consenso.

Già in data 29 maggio 2003 il Garante aveva adottato un provvedimento relativo all’invio di mail non richieste e con carattere pubblicitario. Allora il Garante aveva stabilito la necessità di un consenso liberamente manifestato, in modo esplicito e in forma chiara e differenziata rispetto alle diverse finalità e alla tipologia dell’offerta. Con questo intervento il Garante ha vietato lo spamming nella forma dell’opting-out (che esige un comportamento attivo di rifiuto preliminare da parte del destinatario), ribadendo l’adesione della normativa italiana all’opting-in (con l’obbligo di ricevere previamente il consenso dell’interessato).

L’art.130 c.4 del Codice della Privacy ha mitigato la severità della norma, disponendo che «se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni».

Purtroppo la posta spazzatura arriva spesso e volentieri dall’estero. E questo è il punto debole di Internet. Il garante, dopo avere osservato che ai messaggi provenienti dall’estero non si applica la legge italiana, afferma che in ogni modo è possibile comunque per il destinatario tutelarsi, tramite un’istanza all’autorità del paese estero. Si tratta di una affermazione totalmente priva di concretezza.

In conclusione la privacy non può essere considerata un bene di scambio ma un diritto inalienabile
e la sua difesa deve entrare nelle regole del diritto internazionale.