Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Tutela dei dati personali - Legge 675/96

La notificazione dei trattamenti di dati personali
da parte degli Internet provider
Prima parte - 26.02.98

(Seconda parte - Terza parte - Quarta parte: istruzioni per l'installazione e la compilazione del modulo in formato digitale - Quinta parte: FAQ))

Manca poco più di un mese alla data del 31 marzo, la prima scadenza per la notificazione al Garante dei trattamenti di dati personali. Per gli operatori di Internet la compilazione dell "740 della privacy" presenta alcuni problemi di non semplice soluzione, come dimostrano le numerose e-mail che giungono in questo periodo.
La situazione è aggravata dal fatto che la legge
675/96 detta regole generali, che non solo non tengono conto degli aspetti specifici delle attività telematiche, ma in alcuni punti sembrano scritte apposta per rendere ancora più difficile il rispetto delle norme da parte degli Internet provider. Tanto che la legge-scialuppa 676/96 prevede che il Governo emani un apposito decreto legislativo, che però non compare ancora all'orizzonte. E' necessaria quindi una attenta interpretazione della legge generale per trovare gli elementi utili per essere in regola, con il rischio di individuare soluzioni che il Garante potrebbe non accettare o che si potrebbero rivelare incompatibili con la futura disciplina del settore.
Un altro problema, che però potrebbe essere superato prima del 31 marzo, deriva dal ritardo nell'emanazione del regolamento sulla sicurezza previsto dall'articolo 15 della legge: nella notifica devono essere indicate, sulla base di un elenco molto dettagliato, le misure adottate per la sicurezza dei dati, ma al momento non è possibile sapere quali siano obbligatorie e quali no. Con la poco piacevole prospettiva di dover rifare la notificazione - e, soprattutto, di dover cambiare le misure già adottate - dopo l'emanazione del regolamento.

L'Associazione Italiana Internet Providers (AIIP) ha chiesto al Garante un incontro per mettere a fuoco i punti che suscitano le maggiori incertezze, incontro che dovrebbe realizzarsi prima della metà di marzo. Dei risultati daremo tempestivamente conto su queste pagine, mentre in questo primo articolo cerchiamo di mettere a punto i principali aspetti del trattamento dei dati personali da parte degli operatori di Internet.

"Titolari" e "incaricati" del trattamento

Partiamo dall'identificazione dei soggetti che, a seconda dei casi, possono essere titolari o incaricati del trattamento. In alcuni casi possono essere designati anche come responsabili.
I titolari sono obbligati a presentare la notificazione, che deve essere sottoscritta anche dai responsabili, se ci sono. Gli incaricati non devono presentare la notificazione, ma devono ricevere dai titolari o dai responsabili dettagliate istruzioni sulle modalità del trattamento. Esamineremo più specificamente questi aspetti in un prossimo articolo.
Ora è necessario rispondere a una prima domanda: "chi fa cosa", cioè dobbiamo capire chi sono i soggetti che trattano dati personali e quali disposizioni della legge 657/96 si possano applicare ai diversi tipi di trattamento (informazioni più dettagliate sono comprese nella
seconda parte di questa trattazione).

1. Fornitori di accessi a Internet: sono gli operatori che offrono agli utilizzatori finali l'accesso alla Rete. Questi soggetti sono titolari del trattamento dei dati relativi ai propri abbonati, trattamento che rientra nelle previsioni generali della legge 675 e non sembra sollevare problemi particolari. Ma, nello stesso tempo, sono incaricati del trattamento dei dati che vengono immessi nella Rete dagli abbonati, in quanto provvedono materialmente alla diffusione dei dati (articolo 1, comma 2, lettera h). Questa diffusione rientra nella previsione dell'articolo 28, comma 1 (trasferimento di dati personali all'estero diretto verso un paese non appartenente all'Unione europea) e, secondo la normativa generale, deve essere notificato al Garante e non può avvenire prima che siano trascorsi quindici giorni dalla notificazione (tralasciamo, per ora, i dati "sensibili").

2. Fornitori di hosting e di housing. I primi sono gli operatori che ospitano sulle loro macchine "siti" di altri soggetti, i secondi forniscono invece solo lo spazio fisico per l'installazione delle macchine dei clienti. E' chiaro che i soggetti ospitati sono titolari dei rispettivi trattamenti, mentre la situazione degli ospitanti deve essere valutata con attenzione.
Nel primo caso (hosting) è presente una forma di elaborazione delle informazioni indispensabile per la diffusione dei dati che, a prima vista, potrebbe essere qualificata come "trattamento" (
articolo 1, comma 2, lettera b). Questo porterebbe a classificare l'ospitante come incaricato del trattamento, ma questa elaborazione non riguarda i dati in quanto tali, perché consiste in una serie di operazioni tecniche "a basso livello" che assolutamente non intervengono sui contenuti, cioè, non consistono in un trattamento "sostanziale" delle informazioni. Dunque il fornitore di hosting non sarebbe tenuto ad alcun adempimento, mentre il titolare del trattamento dovrebbe indicare nella notificazione la sede del fornitore come "luogo ove sono custoditi" i dati (articolo 7, comma 4, lettera c).
Più semplice è la situazione del fornitore di housing: qui viene concesso solo lo spazio fisico per l'installazione delle macchine e quindi non ci sono dubbi sul fatto che si tratta semplicemente del luogo ove sono custoditi i dati, da indicare nella notificazione a cui è tenuto il titolare "ospitato".

3. Fornitori di contenuti: sono i soggetti che producono i contenuti che vengono immessi nella Rete e quindi rientrano nella categoria dei titolari dei trattamenti. Ma è necessario distinguere tra diverse categorie di fornitori di contenuti:

a) fornitori di servizi - per esempio operatori del commercio elettronico;

b) fornitori di informazioni, cioè di contenuti in cui l'informazione costituisce il bene oggetto di diffusione, ma tra questi ultimi si deve operare un'ulteriore distinzione:

b1) fornitori di informazioni "generici"

b2) organi di stampa, cioè fornitori di informazioni provvisti di particolari requisiti e iscritti nei registri dei tribunali secondo la normativa sulla stampa periodica;

b3) abbonati che per contratto dispongono di "spazi Web" e quindi possono diffondere dati personali in via occasionale.

Ogni categoria è soggetta alle norme generali della legge 675/96 per i trattamenti che svolge. Di fatto i fornitori di servizi trattano dati personali di clienti e fornitori nell'ambito di rapporti contrattuali e a questo devono fare riferimento nelle notificazioni al Garante. Nei casi in cui trattino anche i dati sensibili (articolo 22 e articolo 24) devono richiedere l'autorizzazione.
Si pone qui il problema, comune a tutte le attività su Internet, che i dati immessi nella rete sono automaticamente "trasferiti (anche) all'estero": se si tratta di dati "comuni", cioè diversi da quelli previsti dagli articoli 22 e 24, il trasferimento non può avvenire prima che siano trascorsi quindici giorni dalla notificazione, ma è in ogni caso permesso se l'interessato ha espresso il suo consenso o se "sia necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per l'acquisizione di informative precontrattuali attivate su richiesta di quest'ultimo, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato" (
articolo 28, comma 4, lettera b). Se invece si tratta dei dati elencati dagli articoli 22 e 24 è necessario il consenso scritto dell'interessato, come prescrive il comma 4, lettera a). L'articolo prevede anche, alla lettera g), che il trasferimento possa essere autorizzato dal Garante "sulla base di adeguate garanzie per i diritti dell'interessato, prestate anche con un contratto".

Passiamo ai fornitori di informazioni che, come abbiamo visto, possono essere suddivisi in tre categorie, distinguendo tra fornitori "semplici" (in pratica la stragrande maggioranza dei siti Web) e "periodici telematici", iscritti nei registri della stampa. Per questi ultimi non ci dovrebbero essere problemi, perché rientrano senza dubbio nella previsione dell'articolo 25 e dovranno agire anche nel rispetto del codice deontologico (la situazione, come abbiamo visto recentemente in "Stampa e riservatezza: è urgente modificare l'articolo 25", con ogni probabilità dovrà essere chiarita con un decreto legislativo).
Più complessa è la questione per gli altri fornitori di informazioni, che sono evidentemente soggetti alla normativa generale, sempre con i problemi derivanti dalle previsioni dell'articolo 28 e quindi con le limitazioni già viste per il trasferimento dei dati personali all'estero.
Ci sono poi gli abbonati che utilizzano gli spazi Web messi a disposizione dai fornitori di accesso. Questa attività può essere compresa nella previsione dell'articolo 2, comma 2 del
decreto legislativo n. 123 del 9 maggio 1997 in quanto "trattamenti temporanei finalizzati esclusivamente alla pubblicazione o diffusione occasionale di articoli, saggi e altre manifestazioni del pensiero", ai quali si estende la disciplina per le attività giornalistiche dettata dall'articolo 25.
Qui però sorge un dubbio: per la legge 675/96 questo è "trattamento" di dati a tutti gli effetti, come per la raccolta e la diffusione di informazioni sulle persone in ambito giornalistico, e quindi tutti dovrebbero presentare la notificazione al Garante, sia pure in forma semplificata (ma con l'indicazione del trasferimento all'estero anche verso paesi non appartenenti alla UE). Di fatto, seguendo la lettera della legge, tutti i soggetti che utilizzano spazi Web e vi inseriscono "qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione..."(
articolo 1, comma 2, lettera c) dovrebbero presentare la notificazione e seguire anche le prescrizioni per il trasferimento dei dati all'estero. Il che appare, a dir poco, eccessivo.
Per inciso, nelle polemiche sull'articolo 25 e sul codice deontologico dei giornalisti sembra che nessuno si sia accorto che anche la stampa cartacea (per non parlare della radio e della televisione) compie sistematicamente "trasferimento dei dati all'estero", con tutte le implicazioni del solito articolo 28.

Prime conclusioni

All'epoca dell'entrata in vigore della legge avevamo provocatoriamente osservato che le disposizioni dell'articolo 28 erano tali da determinare la fine dell'attività degli Internet provider (vedi "La legge 675/96 vieta Internet?" e Internet chiude?).
E' pacifico che un'ipotesi del genere non passa per la testa del Garante, ma è altrettanto pacifico che non può tollerare esplicite violazioni della normativa. Nell'attesa del previsto decreto legislativo sono quindi necessarie e urgenti precise indicazioni che consentano agli operatori di essere in regola, senza adempimenti eccessivamente gravosi. Potrebbe anche essere utile un'autorizzazione generale, con le necessarie limitazioni, per la previsione dell'articolo 28, comma 4, lettera g), a meno che non si dia un'interpretazione della norma nel senso che essa non è operante prima dell'entrata in vigore del decreto legislativo relativo al trattamento dei dati nei servizi telematici.

Aspettiamo dunque le indicazioni del Garante.

(M.C.)