Embed Size (px)
Citation preview
Regolamentazione italiana in tema di privacy
• Dir.95/46/CE Tutela delle persone fisiche rispetto al trattam. dei dp e alla loro libera circolazione• L. 675/96 Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali• d.l. 467/01 Novellazione 675/96• d.lg.171/98 Privacy nel settore telecomunicazioni• d.lg.185/99 Telecomunicazioni• Dir.97/66 CE Telecomunicazioni• Dir 2001/31CE Commercio elettronico• Dir 2002/58 CE Trat.dati personali e tutela alla vita privata nel settore delle comunicazioni elettroniche• d.l.196/2003 Codice in materia di protezione dp CP• Codici di condotta - FEDMA Federaz. europea direct marketing 2003 - AIDIM-Ass.it.direct marketing – ANFOV- AIIP
DP relativi ad attività economiche L.n.675/96
art.20e) 24 d)CP Consenso non necessario per comunicazionee diffusione di dp “Se i dati sono relativi allo svolgimento di attività economiche nel rispetto del segreto az.le e industriale” Attività economiche di quale soggetto?
A)Soggetto che raccoglie,registra,conserva,comunica,diffondedp nell’ambito di attività d’impresa.Crit.:sufficiente creare impresa per trattare dp senza consenso
B)Soggetto sul cui conto dp sono raccolti.Pers.fisica non impr.Regola del mercato su circolaz.informazioni econ. Per evitareche il negato consenso crei disparità tra imprese su dati utili aaltre imprese,ai consumatori e agli enti regolatori del mercato
Banche dati gestite a fini commerciali
art.13e) l’interessato ha il potere di opporsi (opting out) per:- Informazione com.le,comunicazione interattiva,invio pubbl.- Vendita diretta o compimento ricerche di mercatoTutela più ampia di dir.95/46 CE. Critiche:A) Ricerche di marketing non rivolte a invio materiale pubblicitario
invadenteB) Dir.97/7 CE vendite a distanza consenso a tecnichedi comunicaz..invadenti (tel.,fax,e-mail,sistemi automatici)- Consenso implicito interessato salvo diritto di opposizione
- Necessità di regolam.tramite Codice deontologico
Regole e prassi US di garanzia della privacy
• US Gramm-Leach-Bliley Act ’99 Limiti a diffusione informazioni finanziarie su clienti da banche e gestori carte. Notifica a clienti delle politiche e pratiche di privacy
• Divieto di fornire informaz.su pagamenti per telemarketing• FTC pubblica regolamenti privacy per settore bancario e fin.• NY District Court Southern,28/3/01 in tema di liceità uso cookies a
fini registraz. dp internetnauti
• Programma che genera identità fittizia per l’utente Soc.NY Nome,indirizzo,e-mail fittizi,post code codificato, credit card monouso; identità fittizia trasmessa a terzi (vend.on-line) a post office indirizzo postale codificatoUnico sogg.che conosce dp è gestore cr. card che ha già i datiId. fittizia usata una sola volta,non profilabile né catturabile
Proposte US di garanzia della privacy
• FTC – 2002 Proposta di Registro nazionale di opt-out Robinson list,oping-out generale Ora consumatore USA può opt-out solo verso ogni singola impresa• Affidare a FTC Controllo su associazioni senza fini di lucro in
applicazione del US PATRIOT Act su controlli a fini anti-terrorismo per impedire a corporations di usare assoc.non lucrative per eludere controlli su privacy
Alleanza virtuosa tra associaz.consumatori e imprese leader Certificazione siti :VERISIGN, TRUST E, BBB on lineCertificazione di qualità, Concertazione con assoc.consumatoriCodici di condotta, Sanzioni (perdita del logo-immagine az.le)
UE – Esperimenti pilota Altroconsumo - Milano
Raccolta invisibile di dp su Internet e mail grabbing
Dati traffico dir.2002/21:Trasmis. di comunic. su reti elettron.Instradamento,durata,tempo,volume comunicaz.,protocollo,ubicazione terminale,rete,inizio,fine,durata collegamento• IP deve adottare misure di sicurezza e informare su rischi e tecniche che utente può attivare per proteggere la propria sicurezza e privacy. Duty of disclosure . Devoir d’information et de conseil du professionel • Ammessa memorizzazione contenuto comunicazioni e dt se a fini di trasmissione e per periodo strettamente necessario se dp anonimi o consenso dell’interessato.IP provvede a identificare utente tramite doc.d’identificazione• Registro elettronico su tracciamento dei movimenti virtualiutente,contrattualmente autorizzato a fini probatori per esec. contratto di accesso: prova traffico (pagamenti) o per illeciti
Profilazione del consumatore virtuale Adsware,Spyware
Cookie,contenitore di informazioni inviato tramite browster (web bugs) dal sito Web visitato a memoria interna computer Adsware,Spyware,Log,registraz.automat. collegam.dell’utentePasswords,user-id,e-mail.siti visitati screenshot videate aperteInvio inconsapevole(stealth)di e-mail o sms con dp a indirizzo responsabile sito quando viene visulizzata pagina web. Clicktrail Personaliz.aspetti navigazione:ubicazione,siti visitatilinks durata colleg. datamining interessi e consumi dell’utenteRiconoscere utente,, personalizzare informaz.,banner calibrati
Raccolta,spesso invisibile,è attività lecita o illecita?A) Lecita se impossibile identificare navigatore associando dati traffico
a dp utente B) Illecita se non si limita a dati com.li,ma trasferisca dati presenti in memoria di massa del computer C) Autotutela,browster che segnalano cookie registrandi Potere di impedire la registrazione
Regole comparate di controllo uso cookies
• NY District Court Southern,28/3/01 Soc. Double Clickadvertising on line.Violaz. Ecpa Electr.Com.Privacy Act in tema di liceità uso cookies a fini registraz.dp degli utentiRule:Uso cookies da az.adv.on line non è violazione privacy
• GdP 13/1/00 illiceità senza preventiva informativa art.10/675•Collocata prima richiesta di registr.on line dei dp utente•Su tutti gli aspetti del trattam.e riepilogativa testo contratto•Sintetico richiamo a diritti utente art.13-675,accesso,rettifica reclamo – indicaz. Ufficio o servizio competenti •Necessario consenso non solo per trattam.dp a fini com.li e di marketing,ma anche per comunicare dati a terzi,da indicare nell’informativa
• Dir.2001/31 Requisiti inform.minimi per comunic.com.li- comunic.com.le chiaramente identificabile- identific.soggetto per cui comunic. com.le è effettuata- offerte,premi,concorsi,giochi,chiaram.identificabili- Registri negativi cui possono iscriversi pers.fisiche
Invio di posta elettronica pubblicitaria e mail spamming
Spamming(UCE unsollicited com.e-mail messaggi indesiderati-da spam carne in scatola in scketch)creano disagio ai consum.• Rallentamento funzioni sistema informatico• Indebito aggravio costi di accesso• Costo tempi necessari a visionare,valutare e erasePotenzialità spamming .Direct marketing 50% investim.advert.Tassi rendim.5-15%v.0,5-2% Tassi risposta 18%v.0,65%100 mil.e-mail/di’ Imprese transnaz. e mercato 300 mil.utenti Reazioni:• messaggi di protesta,se elevati,intasanti,boycott• perdita di immagine di IP,impresa e advertiserIn US spamming considerato controproducente:Prassi az.li volte a concordare con utenti pubblicità (opt-in) e cessione aterzi data base o a personalizzare servizi da cui trarre consenso
Netiquette- regole autodisciplinari di buon comportamento incontratto di accesso:divieto advert. con e-mail non richiesteDivieto di spoofing-cammuffare identità. Ammessi i banner
Regole italiane sullo spamming
•
Art.10 d.lg.171 consentito se consenso espresso
Art.9 d.lg.185/99 • Divieto fornitura non richiesta se soggetta a pagam. • Esonero dal pagam.e irrilevanza del silenzio-consenso GdP 11/1/01 Comunicazione elettorale via Internet
400.000 e-mail visualizzati su pag.web it.,org.,com.net
Impossibilità o difficoltà a farsi cancellare dalle listeDistinzione tra comunicazione anonima e personalizzata “Viola privacy chi utilizza,senza consenso,indirizzi e-mail reperiti in rete,in particolare se raccolti con software di ricerca relativo a utilizzatori di e-mail”“Pubblici registri,elenchi,atti o doc.conoscibili da “chiunque”solo per dp sottoposti a regime giur.di piena conoscibilità dachiunque (elenchi telefonici)Partecipazione a forum non rende pubblici indirizzi legati afinalità specifiche,non utilizzabili per altri fini. Idem per siti web per scopi associativi o az.li (elenchi soci,dip)11 Provvedi di blocco del trattamento dp e sanzioniRegol.servizio Telecom- Divieto di turbativa ad altri abbonati
Dir. 2002/58 Privacy in comunicazioni elettroniche
Art.13 Comunicazioni indesiderate.• Uso sistemi automatici di chiamata a fini commerciali se consenso
preliminare (opting in)• Dp ottenuti da vendita,usabili per commercializzare propri analoghi
prodotti o servizi se diritto di opporsi (opting out) gratutitamente e in maniera agevole
• Per telemarketing scelta naz.tra consenso preventivo opting in o opt-out list
con garanzia di consultaz.periodica da parte dei prestatori• Divieto di invio cammuffato o senza indirizzo mittente valido cui
inviare richiesta di cessazione• Ammissibilità cookies per scopi di miglioramento servizi
Riordino in Testo Unico - Codice Privacy 196/03
Codice in materia di protezione dei dati personali DL196/03 del 30/6/03 in vigore dal 1/1/04 in recep.dir CE 96/45-2002/58 privacy in comunic.elettronicheArt.118 Rinvio a Codice di deontologia e buona condotta per trattamento
dp a fini di informazione commerciale • Modalità semplificate di informativa a interessato• Meccanismi per garantire qualità e esattezza dpArt.119 Dati relativi al comportamento debitorioDivieto di fondare valutazioni giuridic.rilevanti su profilazioneArt.14 CP Potere di opporsi,eccetto per conclusione contratto,previo consenso interessato o con garanzie dettate dal GdP
Consenso dell’utente al trattamento dp
Dir.2002/58CE , considerando 17“consenso fornito on line con modalità appropriate peresprimere liberamente e consapevolmente i propri desideri”Art.23 CP Consenso a trattamento dp • consenso su intero trattamento o singole operazioni• espresso liberamente e specificatamente• documentato per iscritto• informative su finalità,conseguenze,respons.,dirittiArt.26 CP Consenso a trattam.dati sensibili dps• Consenso scritto previa autorizzaz.del GdP• Senza consenso se effettuato da enti non lucrativiArt.81 CP Cons.a trat.dp idonei a rivelare stato saluteDichiaraz.anche orale,document.con annotaz.sanitario
DATA BANKS
Sistemi automatici di raccolta conservazione, elabora-zione e ricerca dati distinte da archivi cartacei in baseal principio di maggior libertà rispetto a sistemi tradiz.Lib. scelta del dato (qualsiasi dato può costituire chiave di accesso)Libera combinazione dei dati di ricerca – and/or/notPrincipio del mascheramento dei dati utilizzazione dati in parte sostiuiti da *Estraibilità informazioni mediante analisi spettrale: individuaz. numero documenti contenenti il datoCarattere colloquiale della ricerca: approssimazioni successive
Potere di controllo su vita privata
Potere informatico che utilizza banche dati per:• accumulare informazioni storicamente, geograficamente, temporalmente semplificate• accedere ai dati personali di ciascun individuo• realizzare links tra banche dati diverseTutela del cittadino Mito del consenso individuale facilmente ottenibile,per scopi generici,non negoziato Potere di controllo:• essere informato delle raccolte di dati personali (dp)• accesso a dati,per verifica se erronei o illeciti• chiedere rettifica o cancellazione se dati ultronei• escludere propri dati personali opting out/in
Banche dati personali e privacy informatica
Dato personale: qualsiasi informazione relativa a pers.fisica,giuridica,ente o associazione identificata o identificabile anche indirettamente tramite i.n. • segno distintivo di persona (nome,identification n.)• oggetto del diritto di informazione (media e privacy)• bene. Cessione-vendita di dati personali (marketing)Da privacy“ the right to be alone” Brandeis -USSC Corte Cost.it.Diritto cost.identità,domicilio,personalitàa diritto a disponibilità.e controllo su propri dati pers.Sindrome del pesce rosso.Controllo,intrusione,uso
indebito dp . Privacy informatica-telematica
Modelli comparati di tutela della privacy informatica
Leggi I generazione Timore verso invasività informat.Divieto di raccolta automatica di d.p.S Datalag ‘73-’82, D BDSG ‘77, L.lux.US FIA Freedom of Information Act’66 PPA Privacy Protection Act ‘80F‘67.Commision de l’informatique et des libertés
Leggi II generaz. Sviluppo irrefrenabile e-marketingAmmessa raccolta dp regolamentata e sotto controlloDK’78 libertà per normale attività profess.e imprendit.N ‘78, AU ‘78, Lux ‘79 UK, US Privacy Act‘84 Convenz. Consiglio d’Europa per la protezione delle persone ‘81, ratificata in I nel ‘89
Normativa comunitaria armonizzata
Dir.95/46/CE Tutela delle persone fisiche rispetto altrattamento dei dp e alla loro libera circolazione PRINCIPI: art.6 i d.p.devono essere:- trattati lealmente e lecitamente- adeguati,pertinenti e non eccedenti- esatti e se necessario aggiornati - conservati solo per il tempo necessario allo scopo
Legittimazione del trattamento dei d.p.:• Consenso interessato ,escluso per esecuzione di un contratto,obbligo legale di raccolta d.p.• Divieto di trattamento di dp discriminatori• Informazione all’interessato del trattamento e notificazione all’autorità di controllo• Diritti dell’interessato:Accesso-Opposizione-Ricorso
Trasferimento d.p. verso Paesi terziGaranzia di livello di protezione adeguato
Regole di condotta dell’ IP
IP deve:• Informare su natura dati (tempi,siti)finalità,modalità• Ottenere il consenso dell’interessato su dp documentato per iscritto,su
dps(dati sensibili) per scritto pena invalidità Senza consenso ammesso solo Registro su tempi di accesso a fini di esecuzione del contratto-pagamenti• Notificare al GdP trattamento e ottenere autorizzaz.su dps• Adottare misure di sicurezza inform.per garantire privacy(allarmi,chiavi hardware e software,sist.crittografici,firewall)
Art.4 d.lg.171/98 Privacy nel settore telecomunicazioni“I dp relativi al traffico memorizzati dal fornitore di servizio sono cancellati o resi anonimi al termine della chiamata”Violazione art.4 sanzioni penali art.35 L675 reclusione sino a 2anni,se danno sino a 3 anni
Responsabilità in caso di spyware
Resposabilità dei gestori dei siti Penale- No se art.615 quater c.p. Detenz.e diffus.abusiva codici di accesso• Finalità di profitto anche se freeware,• Procurarsi,comunicare codici,parole chiave e mezzi idonei all’accessoFornire indicaz. o istruz. idonee a scopo di profitto.No se solo registraz.Art.416 c.p. Istigazione a delinquere se invitare a utilizzo spywareCivile-Inadempimento contrattuale se divieto in contratto di accessoResponsabilità utilizzatori• Violaz.privacy Oblighi inform.,consenso,dati sensibili,misure minimeArtt.35/675 Trat.illecito dp, 36 Omessa sicurezzaArt.616c.p. violaz.corrispondenza-615 interferenze illecite in vita privataArt.615 ter c.p. accesso abusivo Dubbio 617 quiq. Istallaz.apparecchat.intercettanti- Software è device ?Art.4 L300/70 Statuto lav. Divieto di controllo a distanza lavoratoriRespons.civile.Violaz.contratto di accesso o fatto illecito art.2050
Innovazioni in dl.467/2001
Impossibilità di tutto regolamentare - Soft Law Cod.condotta per settori:Internet,direct mark.,informaz.com.le Art.20 c.2c) Emanandi codici di condotta dovranno prevedere• Casi di trat. che non presuppone il consenso• Bilanciamento interessi tra leg.interesse titolare o terzi a comunicaz.
e contrapposto interesse a tutela privacy• Forme semplificate per dichiarazione di non voler ricevere
determinate comunicazioni• Modalità semplificate di informativa all’interessato• Idonei meccanismi per qualità e esattezza dp raccolti e com.• Depenalizzazione per trat.per uso personale o omessa notificaz.
Sanzione della pubblicaz.del provved.del GdP• Aumento delle multe commisurate a capac.economiche• Dati semi-sensibili-dp a fini investigativi. Prior checking
