Diritto e Fisco | Articoli

Navigare sicuri in Rete: le regole su oblio, cookies, socials, spam

8 Agosto 2014
Navigare sicuri in Rete: le regole su oblio, cookies, socials, spam

Diritto all’oblio per la cancellazione delle notizie sul web, informazione e consenso per l’installazione dei cookies, social network, spam.

I dati personali degli utenti del web sono stati definiti il nuovo petrolio mondiale. La posta in gioco è talmente alta da aver scomodato anche la Federal Trade Commission, la commissione Antitrust Usa, che ha avviato indagini per verificare il trattamento dei dati da parte di Google. Eppure tali preoccupazioni non modificano le attività degli utenti della Rete, i quali, a fronte di applicazioni e servizi gratuiti, continuano a cedere i propri dati personali, senza curarsi delle possibili conseguenze.

Il Garante della privacy italiano ha delineato una vera e propria bussola per gli internauti: tra gli aspetti positivi c’è la possibilità di avere servizi mirati e applicazioni gratuite; tutte le informazioni immesse nella Rete possono, però, anche essere usate “contro di noi“. È del 2010 una nota dell’Authority con la quale si chiariva che i profili social dei lavoratori non sono spazi privati e che, in caso di contenzioso con l’azienda, le informazioni in essi contenute possono essere usate in giudizio, anche se datore e lavoratore non sono amici o followers. Le verifiche che le aziende possono fare sui profili social dei dipendenti non rappresentano, infatti, controlli a distanza.

Da allora il Garante ha, a più riprese, invitato aziende e sindacati a redigere disciplinari interni nei quali indicare le regole d’uso di internet. Ma, ad anni di distanza, l’invito è stato sottovalutato, con conseguente incremento del contenzioso.

Per quanto riguarda le foto estrapolate dai profili Facebook e pubblicate sui giornali, va precisato che, se per qualsiasi motivo la nostra immagine diventa di interesse pubblico, tutto quello che abbiamo postato – nei limiti dell’essenzialità della notizia – può diventare di dominio pubblico. Il Codice della privacy prevede, infatti, un’ipotesi derogatoria alla regola del consenso per l’utilizzo dei dati personali per finalità giornalistiche, che si applica anche ai social network.

Questi ultimi, tuttavia, al pari dei motori di ricerca, sono veri e propri servizi di comunicazione elettronica e in quanto tali sono responsabili del trattamento dei nostri dati personali. Al momento dell’iscrizione al servizio, l’utente sottoscrive un vero e proprio contratto di licenza d’uso non esclusiva dei propri dati personali. Restano, però, ancora molti dubbi sulla chiarezza dell’informativa e sulla durata della conservazione dei dati.

Il diritto all’oblio: le vecchie informazioni vanno rimosse

Il diritto all’oblio è un argomento a noi molto “caro”, perché puntualmente calpestato dagli editori di internet. Ne abbiamo parlato a più riprese su queste stesse pagine. Da ultimo leggi gli articoli:

Rimuovere un nome da internet dopo la sentenza della Corte di Giustizia  

Cancellazione link da Google e oblio su Internet: 7 motivi per non fidarsi di BigG  

A pochi mesi di distanza, la Corte di giustizia europea (leggi “Rivoluzione nel diritto all’oblio”) e il Garante della privacy italiano hanno messo a segno due punti importanti a favore della tutela della riservatezza di chi naviga in internet. Interventi destinati a rivoluzionare il mondo del web e ad aumentare gli strumenti di tutela a favore degli internauti.

I motori di ricerca, infatti, non potranno più indicizzare le informazioni che abbiano perso di attualità e non siano di interesse pubblico. L’utente potrà invocare il cosiddetto diritto all’oblio, chiedendo direttamente al provider, con una comunicazione da inviare anche online, di rimuovere i risultati “sgraditi” [1].

Solo nel caso in cui il provider non dovesse rispondere o non rimuovesse il link, l’utente dovrà attivarsi e rivolgersi al Garante della privacy o al giudice ordinario. In entrambi i casi, dopo la sentenza della Corte di giustizia, avrà buone possibilità di ottenere la rimozione coattiva del contenuto. Davanti al giudice ordinario potrà ottenere anche il risarcimento dei danni morali subiti, chiedendoli direttamente a Google Inc. (e non alla controllata Google Italy Srl, che in Italia svolge prevalentemente attività commerciali).

Prima dell’intervento della Corte di Giustizia, il provider poteva evitare il risarcimento del danno dimostrando di non aver potuto evitare l’indicizzazione del contenuto. Da adesso in poi gli utenti avranno, invece, gioco più facile. I giudici Ue hanno, infatti, stabilito a chiare lettere che i motori di ricerca sono titolari del trattamento dei dati personali degli utenti e, almeno dietro esplicita richiesta, sono obbligati a verificare la fondatezza delle domande degli utenti. La legge non determina il periodo dopo il quale è possibile invocare il diritto all’oblio, ma dovrà tenersi conto di due elementi: il tempo trascorso dal fatto e il rilievo pubblico della notizia. Solo se il fatto non ha più valore storico dovrà essere rimosso dai risultati di indicizzazione.

In verità, non è tutto oro quel che luccica e la nostra posizione resta sempre ancorata al “sistema tradizionale” di diffida nei confronti del portale autore della notizia, e ciò per le ragioni indicate in questi due articoli:

La richiesta a Google non garantisce la cancellazione

Cancellazione link da Google e oblio su Internet: 7 motivi per non fidarsi di BigG

Un altro passo importante, in attesa dell’approvazione del regolamento europeo sulla privacy, è arrivato dal Garante che, col provvedimento del 10 luglio scorso [2], ha bloccato l’utilizzo massivo dei dati degli utenti a fini commerciali da parte dei provider. In sintesi, oggi è necessario il consenso informato di chi naviga nel web prima di poter utilizzare i dati personali e le varie informazioni raccolte automaticamente attraverso la navigazione. Non solo. Google dovrà spiegare anche in che modo e per quanto tempo i dati degli utenti vengono memorizzati nei server aziendali, consentendo eventuali accertamenti da parte dell’Autorità.

Anche in questo caso eventuali violazioni potranno essere sanzionate sia dall’Autorità, con multe rivolte al provider, sia dal giudice ordinario, a cui i cittadini potranno chiedere il risarcimento dei danni.

Cookies: necessaria informazione e consenso

Già nel 2012, la riforma del Codice della privacy aveva introdotto l’obbligo di rilasciare l’informativa e acquisire il consenso per i gestori dei siti che utilizzano i cookies (cioè i tracciatori che consentono di memorizzare informazioni specifiche sulla navigazione), come le preferenze di acquisto.

Il Codice della privacy [3] vieta, infatti, l’installazione dei cookies all’insaputa dell’utente. I gestori dei siti web stanno, con un certo ritardo, correndo ai ripari, inserendo i pop up (gli avvisi) previsti dalla legge. In caso di inadempimento potrebbero arrivare, oltre alle azioni degli utenti, le sanzioni (pesanti) dell’Autorità.

Sempre il Garante, nel giugno scorso, ha precisato che i venditori online e i provider sono obbligati a rilasciare l’informativa sul trattamento dei dati personali per ogni acquisto effettuato con tablet o smartphone.

Le prime azioni legali a carico di Google erano nate (anche in Italia) a seguito delle polemiche relative al servizio di algoritmo “autocomplete”, che si fonda sul trattamento automatizzato dei dati di navigazione degli utenti. Il servizio analizza e rilascia le parole chiave digitate più spesso, associandole a una parola o a un nome inseriti nella stringa di ricerca. I problemi erano sorti dalle associazioni considerate diffamatorie. Già nel 2013 il Tribunale di Milano aveva ordinato in più occasioni la rimozione degli abbinamenti lesivi o denigratori, aprendo la strada alla decisione del Garante del luglio scorso con la quale è stato ingiunto a Google di redigere entro il 30 settembre un protocollo dettagliato, soggetto a verifica periodica, con le misure da adottare per tutelare la privacy degli utenti.

A riguardo leggi:

– Se Google abbina il tuo nome a una parola diffamatoria.

Le novità sono soltanto all’inizio e vedono il bilanciamento di due ordinamenti – quello statunitense e quello europeo – improntati a concezioni diverse della privacy: più orientato al business quello americano, più attento ai diritti della persona quello europeo.

La direzione però sembra ormai tracciata ed è quella di rafforzare i diritti degli utenti, al centro anche del nuovo regolamento europeo sulla protezione dei dati personali. Se verrà approvato, sarà immediatamente vincolante per tutti gli Stati membri e segnerà il primo vero e proprio statuto giuridico dei “consumatori” della Rete.

I social network: servizi non sempre in linea con le regole

Sulla privacy arrivano cambiamenti. Ad alzare l’asticella dell’attenzione dovranno essere in futuro anche gli utenti della Rete, chiamati sempre più a prestare attenzione alle condizioni di utilizzo dei servizi. Per ora le impostazioni di default dei social network che hanno server in Paesi extra Ue non sempre sono in linea con la normativa europea: è, dunque, ancora onere dell’utente controllare la visibilità dei contenuti pubblicati. Le ultime pronunce dei giudici europei e del Garante della privacy aprono, però, la strada ad altri cambiamenti. Tra questi l’incremento degli investimenti per la sicurezza dei dati, la cancellazione delle informazioni memorizzate nei server quando l’utente rimuove il proprio account oppure non lo utilizza per un certo periodo di tempo.

È destinata a essere rafforzata anche la collaborazione tra i social network e le autorità di polizia dei singoli Stati, al fine di impedire, ad esempio, che fotografie di minorenni o di terze persone non direttamente coinvolte in inchieste giudiziarie siano pubblicate dai media.

A riguardo leggi:

Attenti ai profili Facebook dei minori: non possono dare il consenso

I minori potranno cancellare i loro dati compromettenti

Venendo poi ai wearable devices (i dispositivi indossabili come i Google Glass o gli smartwatches), ci sono diversi aspetti relativi alla privacy da tenere in considerazione. Dovranno, per esempio, rispettare i princìpi di necessità e proporzionalità, in modo da ridurre al minimo l’utilizzo dei dati personali (anche dei terzi) e il loro trattamento non dovrà essere eccedente rispetto alle finalità perseguite.

Spam: messaggi pubblicitari solo se c’è l’assenso

Un argine allo spam via Facebook, WhatsApp, Skype, Viber e altri servizi di comunicazione Voip è rappresentato dalle linee guida del Garante. Il social spam, la nuova frontiera del marketing virale, consiste nel subissare di messaggi indesiderati (soprattutto su Twitter e Facebook) gli utenti iscritti. E questo nonostante il consenso prestato all’atto di iscrizione non consenta l’invio generico e illimitato di messaggi a scopo commerciale. Il Codice della privacy prevede, infatti, che per poter inviare comunicazioni pubblicitarie tramite sistemi automatizzati sia necessario aver acquisito il consenso dei destinatari (il cosiddetto opt-in). Il consenso deve essere specifico, libero, informato e documentato per iscritto.

Leggi a riguardo:

Quel grave e irrisolto buco su Facebook che si chiama spam

Il Garante della privacy ha distinto due ipotesi:

1. è lecito l’invio di materiale pubblicitario sulla bacheca degli iscritti in privato o nella mail associata ai profili social solo nel caso in cui l’utente sia diventato fan o follower di quell’azienda;

2. in caso contrario, le aziende non possono trarre i dati personali degli utenti dai loro profili social per poi inviare mail commerciali. Il consenso, poi, deve essere sempre revocabile: pertanto, all’utente basterà cliccare su «Non mi piace più» o smettere di essere follower di un’azienda per cessare di ricevere le mail indesiderate.

Essere fan o follower di un’azienda, inoltre, non autorizza quest’ultima a inviare mail commerciali agli “amici” dell’utente. Il consenso o le sue forme equivalenti devono, infatti, essere rilasciate personalmente. In caso di dubbio, si ha il diritto di chiedere la documentazione scritta che dimostri la legittimità dell’operato dell’azienda, la quale può incorrere nelle sanzioni del Garante e nelle richieste risarcitorie degli utenti più avveduti.

Attenzione anche ai messaggi mirati che arrivano agli indirizzi mail comunicati agli Ordini professionali. Il fatto di aver reso quegli indirizzi pubblici non legittima le imprese a inviare posta indesiderata.

I provider devono installare appositi filtri anti spam per evitare l’invio automatizzato di mail indesiderate, mentre i gestori dei siti internet devono predisporre un doppio passaggio per l’acquisizione del consenso, che prevede la verifica dell’identità dell’utente. Unica eccezione, la cosiddetta soft spam, che ricorre per la sola posta elettronica: se il gestore del sito ha già utilizzato la mail dell’utente per la vendita diretta di prodotti o servizi, può non richiedere il consenso per l’invio di mail promozionali.

 

Se l’informativa e la richiesta del consenso sono generiche e quest’ultima non differenzia le possibili autorizzazioni (per esempio, «sì» all’uso dei dati per usufruire di un servizio e «no» a ricevere promozioni), come ci si deve comportare?

Si dovrebbero chiedere chiarimenti al titolare del trattamento. Non c’è bisogno di un avvocato: lo si può fare con una mail, un fax o per posta ordinaria. In caso di mancato o insufficiente riscontro, si può esperire un’azione giudiziaria oppure rivolgersi al Garante della privacy.

L’informativa, infatti, deve essere sempre chiara e completa . Nel caso in cui sia generica e non contenga ad esempio il consenso specifico e distinto alla profilazione dei dati, l’interessato – in caso di violazioni – può chiedere il risarcimento del danno al giudice ordinario, ai sensi dell’articolo 2050 del Codice civile. In questo caso, è necessario farsi assistere da un legale.

 

 

Nel caso di irregolarità nel trattamento dei dati personali, come si può ricorrere al Garante della privacy? Lo si può fare senza l’intermediazione di un professionista?

Nel caso in cui il titolare del trattamento non risponda entro 15 giorni dalla richiesta di chiarimenti o la risposta sia insoddisfacente, si può presentare ricorso al Garante. Non è necessaria l’assistenza di un avvocato. Il ricorso, però, deve essere inviato con raccomandata A/R o depositato presso gli uffici del Garante e deve contenere, tra l’altro, anche la sottoscrizione del ricorrente autenticata da un professionista (avvocato o notaio), a meno che la firma sia digitale oppure apposta di fronte a un funzionario del Garante (articolo 147 del codice privacy). Senza firma autenticata, il ricorso è inammissibile. È necessario, inoltre, anticipare le spese di segreteria (150 euro), che verranno rimborsate (anche in parte) in caso di esito favorevole.


note

[1] C. Giust UE sent. del 13.05.2014 causa C-131/12.

[2] Garante Privacy provv. N. 354 del 10.07.2014.

[3] Art. 122 cod. privacy.


Sostieni LaLeggepertutti.it

La pandemia ha colpito duramente anche il settore giornalistico. La pubblicità, di cui si nutre l’informazione online, è in forte calo, con perdite di oltre il 70%. Ma, a differenza degli altri comparti, i giornali online non hanno ricevuto alcun sostegno da parte dello Stato. Per salvare l'informazione libera e gratuita, ti chiediamo un sostegno, una piccola donazione che ci consenta di mantenere in vita il nostro giornale. Questo ci permetterà di esistere anche dopo la pandemia, per offrirti un servizio sempre aggiornato e professionale. Diventa sostenitore clicca qui

Lascia un commento

Usa il form per discutere sul tema (max 1000 caratteri). Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA

Canale video Questa è La Legge

Segui il nostro direttore su Youtube