7. L`applicazione della legge n. 675/1996 - Shopping24

01. I-IV PRIME PAGINE Page III Friday, October 1, 1999 3:33 PM
Allegra Stracuzzi
IL COMMERCIO
ELETTRONICO
E L’IMPRESA
Contratti di vendita conclusi tramite Internet
Sistemi di pagamento e misure di sicurezza
01. I-IV PRIME PAGINE Page IV Friday, October 1, 1999 3:33 PM
La presente edizione è stata chiusa in redazione il 15 settembre 1999.
ISBN 88-324-3694-9
© 1999 - Il Sole 24 Ore S.p.A.
Area Strategica d’Affari Pirola
Sede legale: via P. Lomazzo, 52 - 20154 Milano
Amministrazione e Redazione: via Castellanza, 11 - 20151 Milano
Per informazioni: Servizio Clienti Tel. 02.3022.3323 - 06.3022.3323
Prima edizione: ottobre 1999
Tutti i diritti sono riservati.
È vietata la riproduzione anche parziale e con qualsiasi strumento.
10. 095-104 CAP. 7 Page 95 Friday, October 1, 1999 4:47 PM
7. L’applicazione della legge n. 675/1996
(«privacy») ai contratti conclusi tramite
Internet
Un mezzo di comunicazione come Internet, dove le informazioni possono circolare
ad elevata velocità e su larga scala, pone naturalmente notevoli problematiche anche
dal punto di vista della tutela della privacy.
In mancanza di una regolamentazione adeguata Internet infatti può trasformarsi,
da strumento principe della libertà di comunicazione e di espressione, a veicolo per
la creazione di organizzazioni di controllo di massa delle attività dei cittadini, di
orwelliana memoria (1).
Ha suscitato grande preoccupazione, ad esempio, presso il Parlamento europeo,
l’esistenza di «Echelon», un sistema segreto angloamericano di spionaggio di tutte le
comunicazioni civili, sul quale i governi interessati hanno mantenuto il più stretto riserbo (2).
D’altra parte è indubbio che debba essere tutelato, insieme alla riservatezza, anche il diritto alla sicurezza dei cittadini, per evitare il rischio che la rete venga utilizzata per attività criminali, quali ad esempio il riciclaggio del denaro sporco (3).
Trovare la composizione di questo «conflitto di interessi» non è impresa facile e richiederà probabilmente del tempo, soprattutto considerando la globalità del fenomeno
e quindi la necessità di trovare una soluzione che riesca a conciliare posizioni diverse.
A tal proposito, il ministero del commercio USA ha adottato, in materia di commercio elettronico, un rapporto (4) che, in tema di privacy, riconosce come la prote-
(1) È noto che, sotto il profilo tecnico, è possibile ricostruire e controllare l’intero percorso che un visitatore
effettua sulla rete, i siti che sceglie, i prodotti che esamina, la pubblicità che legge e i link che preferisce ecc.
(2) Dall’intervista al Garante per la privacy, S. Rodotà, rilasciata prima della relazione annuale al Parlamento,
pubblicata l’1 febbraio 1999 sul sito «http://www.senato.it», visitato il 31 luglio 1999.
(3) L’argomento è stato oggetto di un’apposita relazione dei servizi segreti italiani ma, trattandosi di Internet,
riguarda naturalmente tutto il mondo.
(4) The Framework For Global Electronic Commerce, July 1, 1997, in «http:// www.whitehouse.gov/WH/New/
Commerce/index.html», visitato il 31 luglio 1999.
10. 095-104 CAP. 7 Page 96 Friday, October 1, 1999 4:47 PM
96
IL COMMERCIO ELETTRONICO E L’IMPRESA
zione dei dati personali rivesta un’importanza fondamentale e che la nuova dimensione dell’economia, il commercio on-line, potrà prosperare solo bilanciando il diritto
alla riservatezza con i benefici associati al libero flusso delle informazioni e dei dati.
Nonostante queste dichiarazioni di principio è nota tuttavia la differenza di vedute tra Stati Uniti e Unione Europea, in materia di tutela della privacy, alla quale
le due superpotenze stanno cercando di trovare una soluzione per consentire il libero
scambio di dati ed evitare un, non auspicabile, blocco delle comunicazioni e degli
scambi commerciali.
L’Unione Europea ha una sua posizione unitaria in proposito, espressa nella Direttiva 95/46/CE (5), che stabilisce un alto livello di protezione della privacy e vieta
lo scambio di dati con i paesi che non assicurano lo stesso standard di protezione,
previsto a livello europeo.
Gli Stati Uniti non hanno una legge federale che tuteli la privacy e, conformemente alla loro cultura liberista, ritengono sufficiente affidare tale compito all’autoregolamentazione dei singoli settori imprenditoriali (6). «Secondo questo approccio, saranno gli stessi operatori di Internet a dotarsi di un codice di autoregolamentazione e contrassegnare i siti relativi a chi abbia aderito a tale codice con un – sigillo di qualità – visibile ai navigatori. Sarà poi il libero gioco del mercato a incentivare il rispetto di tali codici, presumendosi che il consumatore intratterrà rapporti
commerciali preferibilmente con chi gli garantirà l’adeguata riservatezza dei dati
immessi in rete» (7).
Poiché la posizione europea è abbastanza ferma sull’argomento, tutto lascia supporre che si dovrà arrivare all’approvazione di un vero e proprio accordo, magari
nella forma del trattato internazionale, aperto alla firma di tutti gli stati, per risolvere
questo conflitto, che riflette evidentemente due diverse concezioni del rapporto cittadino-istituzioni.
In ogni caso, per quanto riguarda il nostro ordinamento giuridico, è in vigore la
legge n. 675/1996 «Tutela delle persone e di altri soggetti rispetto al trattamento di
dati personali», in attesa che venga emanata una normativa apposita, per la tutela
della privacy su Internet, in applicazione della delega conferita al Governo dalla legge n. 676/1996 (8).
(5) Recepita in Italia con la legge 31 dicembre 1996, n. 675, entrata in vigore l’8 maggio 1997.
(6) Nel tentativo di trovare una soluzione, la Casa Bianca ha predisposto una sorta di codice, a cui dovrebbero
attenersi gli operatori commerciali, nel quale sono stati fissati alcuni principi base come l’obbligo di informare i
consumatori sull’utilizzo dei loro dati, il diritto di questi ultimi di correggere i dati errati e di impedirne la diffusione.
La Commissione Europea ha però ritenuto insufficiente tale strumento, in quanto privo di sanzioni nei riguardi di
azioni non ritenute lesive di diritti fondamentali.
(7) Gambino, Quali regole per il commercio elettronico, in suppl. n. 1 al bollettino n. 5 del Garante per la privacy ,«Internet e privacy: quali regole?».
(8) L’art. 1, comma 1 lett. n) detta i seguenti criteri direttivi: «stabilire le modalità applicative della legislazione
in materia di protezione dei dati personali ai servizi di comunicazione e di informazione offerti per via telematica,
individuando i titolari del trattamento di dati inerenti i servizi accessibili al pubblico e la corrispondenza privata,
nonché i compiti del gestore anche in rapporto alle connessioni con reti sviluppate su base internazionale».
10. 095-104 CAP. 7 Page 97 Friday, October 1, 1999 4:47 PM
L’APPLICAZIONE DELLA LEGGE N. 675/1996 («PRIVACY») AI CONTRATTI CONCLUSI TRAMITE INTERNET
97
L’applicazione alla rete di reti, della legge attuale, presenta infatti non poche difficoltà anche se nelle «Linee di politica per il commercio elettronico» pubblicate dal
Ministero dell’industria del commercio e dell’agricoltura italiano nell’aprile
1997 (9), la riservatezza sia riconosciuta come un elemento chiave della promozione
e diffusione del commercio elettronico.
Peraltro la normativa in tema di documento informatico rinvia espressamente
all’applicazione della legge sulla privacy, in particolare in materia di misure di sicurezza per l’utilizzo dei documenti informatici (art. 3, comma 4, D.P.R. 513/
1997) (10) e degli obblighi dell’autorità di certificazione (art. 9, comma 2 lett. f,
D.P.R. 513/1997) (11).
In ogni caso si può dire che la legge sulla privacy riguarda tutti gli operatori
dell’e-commerce e, in particolare:
–
–
–
–
il provider,
il fornitore, titolare del sito,
l’ente certificatore,
il titolare della chiave privata.
Per poter cogliere il rapporto tra privacy e attività elettronica, può essere utile
riprendere alcune nozioni base della legge sulla privacy.
Questa garantisce che il trattamento dei dati personali si svolga nel rispetto delle
libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all’identità personale; garantisce altresì i diritti delle
persone giuridiche e di ogni altro ente o associazione.
Ai sensi della legge il trattamento dei dati personali comprende qualsiasi operazione applicata ai dati stessi, come la raccolta, registrazione, organizzazione, conservazione, elaborazione, modificazione, selezione, utilizzo, comunicazione, diffusione, cancellazione e distruzione (art. 1, comma 2 lett. b).
La tutela riguarda quei dati dotati del carattere della personalità e viene definita
personale qualunque informazione relativa alla persona fisica, persona giuridica, ente o associazione identificati o identificabili, anche indirettamente mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (lett. c).
Il trattamento dei dati personali da parte di privati o enti pubblici è ammesso solo
con il consenso espresso dell’interessato (art. 11), salvi i casi di esclusione indicati
(9) Disponibile in Internet al sito «http://www.minindustria.it/ Gabinetto/Seg_tecn/Pol_inf/ita/indic.htm», visitato il 31 luglio1999.
(10) Art. 3 - Requisiti del documento informatico - «... 4. Resta fermo quanto previsto dall’art. 15 della legge
31 dicembre 1996, n. 675...».
(11) Art. 9 - Obblighi dell’utente e del certificatore - «... 2. Il certificatore è tenuto a: ... f) attenersi alle misure
minime di sicurezza per il trattamento dei dati personali emanate ai sensi dell’at. 15, comma 2 della legge 31 dicembre 1996, n. 675».
10. 095-104 CAP. 7 Page 98 Friday, October 1, 1999 4:47 PM
98
IL COMMERCIO ELETTRONICO E L’IMPRESA
all’art. 12. Il trattamento dei dati sensibili è ammesso invece soltanto con il consenso
scritto dell’interessato e previa autorizzazione del Garante (art. 20).
In ogni caso è necessario che l’interessato sia previamente informato circa le modalità e finalità del trattamento cui sono destinati i dati, nonché di tutta una serie di
informazioni (12) che gli permettano di esercitare i propri diritti, indicati all’art. 13,
o prestare il proprio consenso, quando necessario, in modo libero e consapevole.
I dati personali devono comunque essere trattati in modo lecito e secondo correttezza; raccolti e registrati per scopi determinati, espliciti e legittimi. I dati devono
inoltre essere esatti, aggiornati, pertinenti e non eccedenti le finalità per le quali sono
stati raccolti o successivamente trattati (art. 9).
Ogni trattamento deve inoltre essere preventivamente notificato al Garante, con
l’indicazione delle modalità, finalità, natura dei dati, ambito di comunicazione ecc.,
per essere inserito nel registro generale dei trattamenti (art. 7).
L’adempimento degli obblighi stabiliti dalla legge grava sul titolare del trattamento, definito come la persona fisica, persona giuridica e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle
modalità del trattamento dei dati personali, ivi compreso il profilo della sicurezza
(art. 1, lett. d) (13).
Dunque il trattamento di dati personali, nel territorio dello stato (art. 2), è sottoposto all’osservanza di una serie di obblighi, non ultima l’adozione di idonee misure
di sicurezza, pena l’applicazione delle sanzioni stabilite dalla legge (14).
Ai nostri fini, si riscontri, che tali obblighi devono essere rispettati da tutti
soggetti che operano per via telematica ed, in tale ambito, effettuano trattamenti
di dati.
(12) Cfr. art. 10 L. 675/1996.
(13) Questi può incaricare un altro soggetto, persona fisica o giuridica, di svolgere il trattamento o parte di esso,
in qualità di responsabile, con l’obbligo di attenersi alle istruzioni che dovranno essere impartite per iscritto. Il responsabile deve essere nominato tra soggetti che per esperienza, capacità e affidabilità forniscano idonea garanzia
del pieno rispetto delle vigenti disposizione in materia di trattamento, compreso il profilo relativo alla sicurezza.
Cfr. art. 8 L. 675/1996.
(14) La legge introduce l’ipotesi di reato per l’omessa adozione delle misure necessarie a garantire la sicurezza
dei dati e stabilisce che: «Chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza
dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell’articolo 15, è punito
con la reclusione sino ad un anno. Se dal fatto deriva nocumento, la pena è della reclusione da due mesi a due anni.
Se il fatto di cui al comma 1 è commesso per colpa si applica la reclusione fino a un anno» (art. 36).
Inoltre, è previsto che «Chiunque, essendovi tenuto, non provvede alle notificazioni prescritte…, ovvero indica
in esse notizie incomplete o non rispondenti al vero, è punito con la reclusione da tre mesi a due anni…» (art. 34).
Circa il trattamento illecito di dati personali l’art. 35 dispone: «Salvo che il fatto costituisca più grave reato,
chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 11, 20 e 27, è punito con la reclusione sino a due anni o, se il
fatto consiste nella comunicazione o diffusione, con la reclusione da tre mesi a due anni. Salvo che il fatto costituisca
più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, comunica o diffonde
dati personali in violazione di quanto disposto dagli articoli 21, 22, 23 e 24, ovvero del divieto di cui all’articolo
28, comma 3, è punito con la reclusione da tre mesi a due anni. Se dai fatti di cui ai commi 1 e 2 deriva nocumento,
la reclusione è da uno a tre anni».
La violazione dell’obbligo di informativa, di cui all’art. 10, comporta invece la sanzione amministrativa del pagamento di una somma da lire cinquecentomila a lire tre milioni (art. 39).
10. 095-104 CAP. 7 Page 99 Friday, October 1, 1999 4:47 PM
L’APPLICAZIONE DELLA LEGGE N. 675/1996 («PRIVACY») AI CONTRATTI CONCLUSI TRAMITE INTERNET
99
Provider
I fornitori di servizi di accesso (15) ad Internet devono quindi provvedere agli adempimenti relativi alla legge sulla privacy, con riguardo al trattamento dei dati relativi
ai propri clienti, fornendo un’adeguata informativa e raccogliendo il consenso, al
trattamento e alla comunicazione, quando necessario (16).
Da questo punto di vista assume particolare rilievo la funzione dei famosi registri
elettronici, i c.d. Data Log, nei quali vengono memorizzati i movimenti degli utenti,
durante la navigazione su Internet. I providers infatti, oltre a procedere alla identificazione degli utenti all’atto della stipulazione del contratto, provvedono a registrare sui log tutti gli accessi al sistema, con la data e ora di inizio e di fine del collegamento, gli indirizzi di rete, i codici identificativi degli abbonati nel caso di anonimato o di uso di pseudonimi ecc. Tale prassi risponde naturalmente ad esigenze di controllo della qualità dei servizi, dei tempi di accesso dell’utente al fine dell’esatta fatturazione, nonché di eventuale verifica della commissione di reati, a richiesta
dell’autorità giudiziaria.
Dell’esistenza dei Log e dei tipi di registrazioni ivi contenute deve essere data
notizia nell’informativa (ex art. 10) all’interessato, insieme con le diverse finalità del
trattamento (contabili, di marketing, di controllo), ai fini di consentire all’utente di
esprimere un consenso libero e consapevole. Questo, ad eccezione delle finalità di
fatturazione necessarie all’esecuzione del contratto ai sensi dell’art. 12, comma 1
punto b), si deve ritenere sempre necessario.
In attesa dell’esercizio dei poteri delegati al governo, dalla legge n. 676/1996, si
sono attivate le associazioni di settore, con l’approvazione del Codice di deontologia
e di buona condotta per i servizi telematici da parte dell’Anfov (17) e l’approvazione
della bozza di Codice di autoregolamentazione dei fornitori di servizi Internet
dell’AIIP (18). È interessante notare, ai fini che ci riguardano, la differenza di posizione dei due articolati, per quanto concerne la tenuta dei Data Log, rispetto alla privacy.
Il Codice dell’Anfov, dopo aver disciplinato dettagliatamente il contenuto dei log
gestiti dal provider (art. 6), individua le informazioni da inserire necessariamente
nell’informativa all’interessato, ai sensi della legge n. 675/1996 e le modalità di po-
(15) Si ricordi che si possono distinguere i fornitori di infrastruttura, cioè chiunque offra infrastrutture per Internet; i fornitori di accesso alla rete; i fornitori di hosting, vale a dire chiunque ospiti sul proprio server siti di altri
soggetti; i fornitori di housing che forniscono spazio fisico per l’installazione delle macchine dei clienti; infine i
fornitori di contenuto, coloro che immettono contenuti in Internet.
(16) Il consenso non è richiesto, ad esempio, quando il trattamento è necessario per l’esecuzione di obblighi
derivanti da un contratto (art. 12, I comma lett. b). Non richiederà il consenso quindi il trattamento limitato alla
fatturazione del servizio, mentre lo richiederà qualsiasi altro utilizzo dei dati a fini di controllo, di statistica, di
marketing ecc..
(17) Associazione Nazionale Fornitori di Video Audio Informazione. Il Codice è entrato in vigore il 1° gennaio
1998.
(18) Associazione Italiana Internet Providers. La bozza è stata pubblicata su Internet al sito «http://www.aiip.it/
codice.htm», visitato il 31 luglio 1999.
10. 095-104 CAP. 7 Page 100 Friday, October 1, 1999 4:47 PM
100
IL COMMERCIO ELETTRONICO E L’IMPRESA
sizionamento della stessa nelle pagine Web o in altri luoghi, ai fini di una migliore
conoscenza da parte di quest’ultimo (19).
La bozza di codice dell’AIIP invece dichiara, tra i principi generali, che «L’utilizzo corretto di Internet richiede il rispetto dei diritti e delle libertà fondamentali e,
in particolare, della libertà individuale … e della tutela dei dati personali.» (20). Inoltre esso tratta l’argomento dei log all’art. 7, intitolato Obblighi relativi alla tutela
delle libertà fondamentali e della vita privata, premettendo l’obbligo di informare
gli utenti sui limiti tecnici nella protezione della segretezza della corrispondenza e
dei dati nominativi e personali esistenti in rete (21).
La necessità del consenso dell’utente/interessato per la conservazione (trattamento) dei dati relativi al traffico delle comunicazioni effettuate, è confermata comunque dall’art. 4 del D.Lgs. 13 maggio 1998, n. 171 (22), che ne impone la cancellazione o l’anonimato al termine della chiamata, a meno che il trattamento non sia finalizzato alla fatturazione (23).
È in ogni caso richiesto il consenso, al trattamento di tali dati, anche per l’attività
di commercializzazione di servizi di telecomunicazione, propri o altrui (art. 4, comma 3, D.Lgs. 171/1998).
Infine, il provider, come tutti i titolari di trattamento dati, deve predisporre le misure di sicurezza idonee a ridurre al minimo «...i rischi di distruzione o perdita, anche
(19) Art. 10 (trattamento dei dati personali).
L’informativa, a norma della legge n. 675/1996 e sue successive modificazioni, deve contenere:
a) le finalità e modalità delle operazioni di comunicazione e conservazione dei dati personali (anche di quelli raccolti automaticamente come i log o le intestazioni delle e-mail);
b) le comunicazioni ed operazioni registrate ed il tempo di conservazione di tali registrazioni.
Le informative chiariscono anche quali dati siano accessibili agli altri utenti ed abbonati. Prima dello svolgimento di un’operazione, l’utente e l’abbonato devono avere una chiara contezza della circostanza che l’operazione
può essere oggetto di monitoraggio.
Le formule adottate per l’informativa sono collocate in modo chiaramente visibile e sono di facile comprensione.
L’informativa deve essere posizionata in ogni luogo, sito o pagina da cui vengono raccolte informazioni personali.
(20) Art. 4 della bozza di codice di autoregolamentazione dei fornitori di servizi Internet (nota 18).
(21) Art 7b Dati nominativi e personali:
– le informazioni di carattere nominativo e personale trasmesse volontariamente dall’abbonato o involontariamente durante la connessione tra elaboratori in Rete devono essere raccolte ed utilizzate nel rispetto
dei diritti del soggetto a cui si riferiscono e, soprattutto, nel rispetto della normativa vigente in materia
di trattamento dei dati personali;
– i fornitori di accesso attraverso collegamenti temporanei della Rete telefonica pubblica sono tenuti a conservare la data, gli orari e il numero di IP assegnato delle connessioni effettuate da ciascuno dei propri
utilizzatori per un termine di 24 mesi dalla connessione. I fornitori di accesso attraverso collegamenti dedicati sono tenuti a mantenere un registro degli indirizzi di rete assegnati ai propri clienti.
(22) Disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni, in attuazione della
direttiva 97/66/CE del Parlamento europeo e del Consiglio ed in tema di attività giornalistica.
(23) In questo caso è consentito il trattamento dei dati concernenti:
a) il numero o l’identificazione della stazione dell’abbonato; b)l’indirizzo dell’abbonato e il tipo di stazione; c)
il numero dell’abbonato chiamato; d)il numero totale degli scatti da considerare nel periodo di fatturazione; e)
il tipo, l’ora di inizio e la durata delle chiamate effettuate e il volume dei dati trasmessi; f) la data della chiamata
o dell’utilizzazione del servizio; g) altre informazioni concernenti i pagamenti.
10. 095-104 CAP. 7 Page 101 Friday, October 1, 1999 4:47 PM
L’APPLICAZIONE DELLA LEGGE N. 675/1996 («PRIVACY») AI CONTRATTI CONCLUSI TRAMITE INTERNET
101
accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta» (art. 15, comma l, L. 675/1996).
L’identificazione di tali misure non risulta agevole nonostante che in data 28 luglio 1999 sia stato emanato il regolamento (previsto dal comma 2 dell’art. 15), con
il quale sono state individuate le misure minime di sicurezza, da aggiornare periodicamente con successivi regolamenti, secondo l’evoluzione tecnica del settore e
l’esperienza maturata (art. 15, comma 3) (24).
Tanto più che il regolamento, all’art. 1, comma 1, lett. a) definisce misure minime: «il complesso delle misure tecniche, informatiche, organizzative, logistiche e
procedurali di sicurezza, previste nel presente regolamento, che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dall’articolo 15, comma 1 della legge».
È necessario sottolineare a questo proposito che l’art. 18 della L. 675/1996 configura la responsabilità per danni, derivanti dal trattamento dati, secondo la disciplina richiamata dall’art. 2050 c.c., per l’esercizio delle attività pericolose (25).
Ciò implica che il titolare del trattamento dovrà dare la prova di aver adottato,
nell’organizzazione di tale attività, tutte le misure idonee ad evitare il danno, prova
certamente onerosa e da valutarsi nel caso specifico. «Essere costretti ad adottare
tutte le misure idonee ad evitare il danno significa rispondere anche del fortuito, e
comunque di ogni evento che si è prodotto, cagionando il danno» (26).
Se ne deve dedurre che l’adeguamento alle misure minime di sicurezza, di cui al
regolamento, se è sufficiente ad affrancarsi dalla fattispecie di reato prevista dall’art.
36 L. 675/1996, non lo sarà verosimilmente per quanto concerne l’obbligo di risarcimento danni, ai sensi dell’art. 18 della stessa legge. Al titolare, una volta predisposte le misure minime, rimarrebbe comunque l’incertezza di dover individuare quali
siano «tutte le misure idonee ad evitare il danno», in termini di progettazione, organizzazione e costi relativi. A tal fine deve essere tenuta presente anche la disposizione contenuta nell’art. 9 della L. 675/1996 che, trattando della modalità di raccolta
e requisiti dei dati personali, fissa i criteri sulla base dei quali valutare la qualità dei
dati, che costituisce un altro aspetto della sicurezza (esattezza, pertinenza, completezza, non eccedenza rispetto allo scopo della raccolta).
(24) Il regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei
dati personali a norma dell’art. 15, comma 2, della legge 31 dicembre 1996, n. 675, è stato adottato con il D.P.R.
28 luglio 1999, n. 318, pubblicato nella Gazzetta Ufficiale del 14 settembre 1999, n. 216.
(25) Ciò è in linea con una tendenza ormai consolidata (si richiamano a tal proposito le osservazioni svolte con
riguardo all’art. 9, comma 1, del Reg.), soprattutto del legislatore comunitario, che ha come obiettivo l’ampliamento
della tutela riservata ai terzi, rispetto all’esercizio di attività caratterizzate da un elevato potenziale di rischio. Si
applica qui il principio c.d. dell’inversione dell’onere della prova, secondo il quale il danneggiato è tenuto a dimostrare soltanto il fatto storico che ha causato il danno, poiché esiste una presunzione di responsabilità a carico
dell’esercente l’attività pericolosa.
(26) G. Alpa, Istituzioni di diritto privato, Utet, Torino, 1994, p. 1138.
10. 095-104 CAP. 7 Page 102 Friday, October 1, 1999 4:47 PM
102
IL COMMERCIO ELETTRONICO E L’IMPRESA
Sotto questo profilo va anche rilevato che il D.Lgs. 171/1998 impone, al fornitore
di servizi di telecomunicazioni accessibili al pubblico, «...L’obbligo di informare gli
abbonati quando sussista un particolare rischio di violazione della sicurezza della
rete, indicando i possibili rimedi e i relativi costi...» (art. 2, comma 3).
Titolare del sito
L’imprenditore che intende fornire prodotti o servizi tramite Internet, in quanto titolare del sito nonché del trattamento dei dati relativi ai visitatori del sito stesso, dovrà provvedere, da parte sua, agli adempimenti previsti dalla legge sulla privacy.
Pertanto l’offerta commerciale on-line dovrà contenere l’informativa ex art. 10
L. 675/1996 ed essere predisposta in modo da consentire all’utente, sia esso professionista o consumatore, di prestare o meno il proprio consenso, quando necessario.
Vale a dire che l’acquirente, chiamato a riempire il modulo elettronico con i propri dati, prima della trasmissione di essi mediante il sistema del point and click, dovrà essere messo in grado di conoscere le generalità del titolare e, se esiste, del responsabile, le finalità e modalità del trattamento (finalità di fatturazione, di marketing ecc.) e le eventuali comunicazioni a terzi, nonché la possibilità di esercitare i
diritti che gli competono in base alla legge sulla privacy (27).
Solo dopo aver letto la nota informativa, il visitatore del sito potrà prestare il proprio consenso, quale condizione per l’inoltro dell’ordine.
(27) Art.13 - Diritti dell’interessato.
In relazione al trattamento di dati personali l’interessato ha diritto:
a) di conoscere, mediante accesso gratuito al registro istituito dal Garante, l’esistenza di trattamenti di dati
che possono riguardarlo;
b) di essere informato su: 1) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la
sede del titolare; 2) le finalità e modalità del trattamento; 3) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del responsabile; in mancanza di tale indicazione si considera
responsabile il notificante;
c) di ottenere, a cura del titolare o del responsabile, senza ritardo: 1) la conferma dell’esistenza o meno di
dati personali che lo riguardano, anche se non ancora registrati, e la comunicazione in forma intelligibile
dei medesimi dati e della loro origine, nonché della logica e delle finalità su cui si basa il trattamento; la
richiesta può essere rinnovata, salva l’esistenza di giustificati motivi, con intervallo non minore di novanta giorni; 2) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i
quali i dati sono stati raccolti o successivamente trattati; 3) l’aggiornamento, la rettificazione ovvero,
qualora vi abbia interesse, l’integrazione dei dati; 4) l’attestazione che le operazioni di cui ai numeri 2)
e 3) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati
sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si riveli impossibile o comporti
un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato;
d) di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che lo riguardano,
ancorché pertinenti allo scopo della raccolta;
e) di opporsi, in tutto o in parte, al trattamento di dati personali che lo riguardano, previsto a fini di informazione commerciale o di invio di materiale pubblicitario o di vendita diretta ovvero per il compimento
di ricerche di mercato o di comunicazione commerciale interattiva e di essere informato dal titolare, non
oltre il momento in cui i dati sono comunicati o diffusi, della possibilità di esercitare gratuitamente tale
diritto.
10. 095-104 CAP. 7 Page 103 Friday, October 1, 1999 4:47 PM
L’APPLICAZIONE DELLA LEGGE N. 675/1996 («PRIVACY») AI CONTRATTI CONCLUSI TRAMITE INTERNET
103
Anche in questo caso, come per le informazioni previste dalla normativa a tutela
del consumatore (descritte al paragrafo 4.1.2), dovranno essere studiate, da parte di
grafici e tecnici, le modalità operative per rispettare tali prescrizioni.
Si sottolinea, infine, che anche il titolare del sito è tenuto naturalmente a predisporre le misure di sicurezza di cui si è detto a proposito del provider.
Il certificatore
L’osservanza delle misure di sicurezza, indicate dall’art. 15 della L. 675/1996, costituisce un obbligo fondamentale del certificatore (28).
Infatti, il regolamento sulla firma digitale espressamente dichiara che tale soggetto, nel predisporre l’infrastruttura per la certificazione, è tenuto ad adottare tutte
le misure organizzative e tecniche idonee ad evitare danno ad altri ed è tenuto, in
particolare, ad attenersi alle misure minime di sicurezza per il trattamento dei dati
personali da emanarsi ai sensi del citato art. 15, comma 2, della L. 675/1996 (art. 9,
commi 1 e 2, lett. f, del D.P.R. 513/1997) (v. nota 24).
Le regole tecniche, emanate con il decreto del Presidente del Consiglio dei Ministri dell’8 febbraio 1999, confermano tale previsione, stabilendo che il piano per
la sicurezza deve essere conforme all’art. 9, comma 2, lett. f, del D.P.R. 513/1997,
con riguardo alla sicurezza dei dati personali (art. 46).
In realtà il certificatore, in quanto titolare del trattamento dei dati relativi ai titolari delle chiavi, è tenuto in ogni caso ad adottare tutte le misure di sicurezza idonee,
ai sensi dell’art. 15 della legge n. 675/1996.
Titolare della chiave privata
Anche il titolare della chiave privata infine, in quanto titolare di trattamento dati, ha
l’obbligo di adempiere alle prescrizioni relative alla privacy e predisporre le misure
di sicurezza di cui all’art. 15, commi 1 e 2.
È indubbio infatti che, mentre il comma 1 dell’art. 9 del Reg., si riferisce in generale ad entrambi, sia ai certificatori che agli utilizzatori di chiavi, il comma 2 elenca gli obblighi cui è tenuto il solo certificatore, fra i quali l’adempimento alle misure
minime di sicurezza emanate ai sensi dell’art. 15, comma, 2 L. 675/1996 (v. nota
24). È altresì indubbio d’altra parte che anche i titolari di chiavi private, non importa
se aziende o privati, effettueranno un trattamento dati, in occasione dell’uso della
firma digitale e dovranno pertanto adempiere alle prescrizioni della legge n. 675/
1996.
(28) Si veda AA.VV., Nuovo regime giuridico del documento informatico, F. Angeli, Milano, 1998, p. 54.