28ma Conferenza Internazionale delle Autorit di Protezione Dati
Transcript
28ma Conferenza Internazionale delle Autorit di Protezione Dati
28ma Conferenza Internazionale delle Autorità di Protezione Dati Londra – Regno Unito 2-3 novembre 2006 Risoluzione sulla tutela della privacy ed i motori di ricerca 1 Proponente: Incaricato per la protezione dei dati e la libertà di informazione della città di Berlino – Germania Co-sponsor: Germania (Incaricato federale per la protezione dei dati e la libertà di informazione); Irlanda (Commissario per la protezione dei dati); Nuova Zelanda (Commissario per la privacy); Norvegia (Ispettorato dei dati); Polonia (Ispettore Generale per la protezione dei dati personali) Risoluzione 2 Attualmente i motori di ricerca sono divenuti la chiave del ciberspazio per reperire le informazioni desiderate su Internet, e costituiscono pertanto uno strumento indispensabile. L’importanza crescente dei motori di ricerca nel reperire informazioni su Internet comporta in misura crescente interferenze non trascurabili nella privacy degli utenti dei motori di ricerca stessi. I fornitori dei motori di ricerca hanno la possibilità di tracciare un profilo dettagliato degli interessi degli utenti. 3 Molti registri IP, soprattutto qualora associati ai dati rispettivamente registrati dai fornitori di accesso, consentono l’identificazione degli utenti. Poiché l’impiego dei motori di ricerca è ormai corrente fra i cittadini della Rete, i dati di traffico registrati presso i fornitori dei motori di ricerca più diffusi consentono una profilazione dettagliata degli interessi, delle opinioni e delle attività con riguardo ad una molteplicità di settori (ad esempio il lavoro, il tempo libero, ma anche, in particolare, informazioni sensibili concernenti, per esempio, le opinioni politiche o religiose, o persino le preferenze sessuali). In passato, le autorità per la privacy e la protezione dei dati hanno espresso particolari preoccupazioni in merito alla possibilità di profilare i cittadini. 4 Oggi, le tecnologie disponibili su Internet consentono di effettuare tale trattamento su base globale, almeno in certa misura. E’ indubbio che si tratti di informazioni potenzialmente personali, il che le rende utili non soltanto ai fornitori dei motori di ricerca, ma anche a soggetti terzi. Per esempio, un caso recente illustra l’interesse nutrito dalle autorità giudiziarie e di polizia rispetto a tali informazioni. Nella primavera del 2006, il Dipartimento di giustizia USA aveva chiesto a Google Inc. di fornire milioni delle stringhe di ricerca inserite dagli utenti in rapporto ad un procedimento giudiziario che riguardava, fra l’altro, la tutela dalla pornografia online. Google ha rifiutato di ottemperare a tale richiesta, ed 1 La presente Risoluzione non riguarda le funzioni di ricerca offerte da fornitori di servizi sui rispettivi siti web. Ai fini della presente Risoluzione, per “motori di ricerca” si intendono i servizi di ricerca di informazioni su Internet che operano sulla base di voci inserite dall’utente e coprono più siti web. 2 La presente Risoluzione non affronta le problematiche connesse alla prassi adottata da numerosi motori di ricerca che registrano e pubblicano copie del contenuto di siti web, compresi i dati personali pubblicati su tali siti in modo legale o meno (“caching”). 3 Si osservi che, in taluni casi, ciò avviene attraverso l’utilizzo di cookie persistenti. 4 Si veda la Posizione Comune sulla tutela della privacy ed i motori di ricerca (adottata inizialmente durante il 23mo incontro ad Hong Kong SAR, Cina, il 15 aprile 1998; poi rivista e aggiornata in occasione del 39mo incontro, 6-7 aprile 2006, Washington DC) dell’International Working Group on Data Protection in Telecommunications. Si veda anche il Capitolo 5 del documento di lavoro del Gruppo ex art. 29 “Privacy su Internet – Un approccio integrato a livello UE alla protezione dei dati personali”. ha vinto la causa. Successivamente, AOL (America-On-Line) ha pubblicato un elenco di quasi 20 milioni di stringhe di ricerca rese apparentemente anonime che circa 650.000 utenti avevano inserito nel motore di ricerca di AOL lungo un arco di tre mesi. In base a quanto riferito dalla stampa, era possibile identificare i singoli utenti associando i contenuti delle rispettive stringhe di ricerca. L’elenco, pur se rapidamente ritirato dalla circolazione dalla stessa AOL, che ha ammesso trattarsi di un errore, era già stato scaricato e ripubblicato numerose volte e reso disponibile su vari siti web in formato ricercabile. Occorre sottolineare che non sono soltanto i dati di traffico a costituire informazioni potenzialmente personali, ma anche il contenuto delle stringhe di ricerca. Gli sviluppi sopra delineati indicano che le ricerche pregresse memorizzate dai fornitori dei motori di ricerca possono costituire attualmente, in numerosi casi, dati di natura personale. Più specificamente, qualora i gestori dei motori di ricerca offrano anche altri servizi che consentano l’identificazione di un utente (ad esempio, servizi di posta elettronica), sarebbe possibile associare i dati di traffico e di contenuto provenienti dalle ricerche con altre informazioni di carattere personale ricavate dagli altri servizi in questione nel corso di una stessa sessione di lavoro (ad esempio, attraverso il raffronto degli indirizzi IP). La percentuale di informazioni relative a ricerche pregresse riconducibili ad una determinata persona è probabilmente destinata ad aumentare in futuro grazie all’impiego diffuso di indirizzi IP statici nelle connessioni DSL ad alta velocità o in altre connessioni a larga banda, nelle quali i computer degli utenti sono “sempre online”. Tale percentuale si accrescerà in misura ulteriore una volta completata l’introduzione del protocollo IP versione 6 (IPv6). Raccomandazioni La Conferenza internazionale invita i fornitori di motori di ricerca a rispettare le norme fondamentali in materia di privacy fissate nel diritto interno di molti Paesi nonché in strumenti e trattati internazionali (ad esempio, le Linee-guida OCSE in materia di privacy; la Convenzione 108 del Consiglio d’Europa; la griglia-privacy dell’APEC; le direttive UE in materia di protezione dei dati e privacy) ed a modificare in modo conforme le rispettive prassi. 1. I fornitori di motori di ricerca dovrebbero, fra l’altro, informare gli utenti in via preliminare ed in modo trasparente sui trattamenti di dati effettuati nel contesto dell’utilizzo dei servizi da essi offerti. 2. Considerando la sensibilità delle tracce lasciate dagli utenti che si servono di un motore di ricerca, i fornitori di motori di ricerca dovrebbero offrire i propri servizi secondo modalità tali da rispettarne la privacy. Più specificamente, i fornitori non devono registrare informazioni relative ad una ricerca tali da ricondurre quest’ultima a singoli utenti, né devono registrare informazioni sugli utenti del motore di ricerca. Al termine di una sessione di ricerca, non devono essere conservati dati riconducibili a singoli utenti a meno che questi ultimi abbiano dato il proprio consenso espresso ed informato alla memorizzazione dei dati necessari alla prestazione del servizio (ad esempio, al fine di utilizzarli in future ricerche). 3. In ogni caso, il principio di necessità (o di minimizzazione) riveste importanza fondamentale. Applicare tale principio sarebbe utile anche ai fornitori di motori di ricerca per semplificare la gestione delle richieste di informazioni su specifici utenti provenienti da soggetti terzi. 5 5 Ai fini della presente Risoluzione, per “soggetti terzi” si intendono persone fisiche o giuridiche, pubbliche autorità, organismi o altri enti diversi dall’interessato, dal titolare, dal responsabile e dagli incaricati del trattamento.