17 giugno 2001

Normativa
Newsletter
Notiziario settimanale
11 - 17 giugno 2001
Informazione
Pubblicazioni
Modulistica
¥ Cybercrime. I Garanti europei chiedono modifiche alla convenzione
Ricerca
¥ Trasferimento dati allÕestero. Commissione UE vara nuove regole
¥ LÕarchivio clienti: un vero capitale
Mappa
¥ Tenuti dÕocchio dalla TV
1
Informazione ¥ Newsletter ¥ 2001
11 - 17 giugno 2001
Normativa
Informazione
Pubblicazioni
Modulistica
Ricerca
Mappa
CYBERCRIME. I GARANTI EUROPEI
CHIEDONO MODIFICHE AL PROGETTO DI
CONVENZIONE EUROPEA
dazione adottata dalle Autoritˆ europee, ha
richiamato lÕattenzione sulla necessitˆ di modificare il testo del progetto prima della sua definitiva
approvazione, in modo tale da conciliare i differenti interessi coinvolti dal progetto.
Nella loro raccomandazione i Garanti europei
hanno posto lÕattenzione sulla necessitˆ di assicurare forti tutele per i cittadini europei, in particolare per quanto riguarda le intercettazioni
telefoniche, lo scambio di informazioni sul contenuto delle telefonate e delle e-mail, il periodo
di conser vazione dei dati personali (vedi
Newsletter, 16-29 aprile 2001).
Rodotˆ ha anche ricordato, a questo proposito,
il ruolo svolto dal Consiglio nella protezione dei
dati personali e lÕimportanza che rivestono la
Carta dei diritti fondamentali UE e della
Convenzione europea dei diritti dellÕuomo, veri
e propri baluardi per i cittadini europei di fronte
alle intrusioni delle autoritˆ pubbliche nella loro
sfera privata e nella salvaguardia delle loro
libertˆ fondamentali.
I Garanti europei chiedono la modifica del
progetto di Convenzione sul cybercrime e ribadiscono con forza le richieste di maggiori garanzie
avanzate nella raccomandazione adottata il 22
marzo scorso.
In vista della decisione con la quale i governi
europei si pronunceranno il 27 giugno sul progetto di Convenzione, Stefano Rodotˆ, in qualitˆ
di presidente del Gruppo dei Garanti europei, ha
scritto al Consiglio dÕEuropa per ribadire le
riserve espresse dai Garanti sulle lacune che il
progetto presenta riguardo alla protezione dei
diritti e delle libertˆ dei cittadini. Il progetto
investe tutto lÕampio settore delle telecomunicazioni, con particolare riguardo agli aspetti collegati con le intercettazioni telefoniche, il controllo
delle e-mail, la durata di conservazione dei dati
del traffico telefonico.
Nella sua lettera Rodotˆ, oltre a sottolineare il
rincrescimento per la scarsa considerazione nella
quale • stata tenuta, nella sostanza, la raccoman2
Informazione ¥ Newsletter ¥ 2001
11 - 17 giugno 2001
Normativa
Informazione
Pubblicazioni
Modulistica
Ricerca
Mappa
NUOVE SOLUZIONI PER IL TRASFERIMENTO
DEI DATI ALLÕESTERO
non pochi Paesi al di fuori dellÕUE sprovvisti di
tutela. Paesi ai quali, ad eccezione della Svizzera,
dellÕUngheria, di Hong Kong e del Canada,
lÕUnione Europea non ha riconosciuto una adeguata disciplina nazionale in termini di protezione dei dati.
Per quanto lÕutilizzazione di tali clausole
avviene su base volontaria, esse costituiscono
comunque una garanzia importante per tutte le
parti in causa - titolare, responsabile, interessato
dal trattamento.
Le clausole contrattuali tipo sono utilizzabili
nel quadro di un accordo fra lÕesportatore dei
dati (il titolare che trasferisce i dati personali) e
lÕimportatore dei dati (il titolare che riceve i dati
personali dallÕesportatore ai fini di un ulteriore
trattamento conforme alle clausole stesse) situato in un Paese terzo.
Le clausole dovranno essere sottoscritte dalle
parti (esportatore e importatore), che dovranno
anche compilare e sottoscrivere unÕAppendice in
cui sono specificate le attivitˆ pertinenti al trasferimento, le categorie di interessati, le finalitˆ
del trattamento, le categorie di dati oggetto del
trasferimento (in particolare per quanto riguar-
I cittadini europei sono ancora pi• protetti.
Siglando lÕesito di un lungo lavoro delle Autoritˆ
garanti e degli Stati membri, la Commissione ha
fissato nuove regole per trasferire dati personali
verso Paesi terzi che non garantiscono una sufficiente tutela della privacy.
Si tratta di clausole contrattuali - tipo che consentiranno di esportare dati personali verso
Paesi terzi non appartenenti allÕUnione europea
e per i quali non esiste un adeguato livello di
protezione in base alla Direttiva 95/46 sulla riservatezza dei dati. Uno strumento, dunque, utile a
cui potranno ricorrere agevolmente soprattutto
le imprese.
Dopo un primo accordo con gli Stati Uniti, il
cosiddetto "Safe harbor", che stabilisce un diverso meccanismo di regole minime per il trasferimento dei dati oltreoceano, il nuovo provvedimento europeo rappresenta un ulteriore e pi•
importante risultato che va nella direzione di
garantire maggiormente i cittadini europei e di
facilitare, nel contempo, i flussi di dati verso i
3
Informazione ¥ Newsletter ¥ 2001
11 - 17 giugno 2001
Normativa
Informazione
Pubblicazioni
Modulistica
Ricerca
Mappa
da i dati cosiddetti ÒsensibiliÓ) e gli eventuali
destinatari ai quali i dati trasferiti possono essere comunicati. In altre due appendici sono riportati i principi fondamentali relativi alla qualitˆ
dei dati e ai diritti degli interessati (in base alla
direttiva comunitaria) che costituiscono parte
integrante delle clausole; in particolare, si ribadisce il principio per cui i cosiddetti trasferimenti
successivi (ossia, il trasferimento dei dati da
parte dellÕimportatore ad un altro titolare con
sede in un Paese terzo dove non esiste una protezione adeguata) sono, di regola, possibili solo se
gli interessati vi hanno acconsentito esplicitamente (per i dati sensibili) ovvero hanno avuto la
possibilitˆ di negare il loro consenso (per i dati
ÒordinariÓ), sulla base di unÕadeguata informativa;
altrimenti occorre che esportatore e importatore
si accordino con il titolare al quale i dati devono
essere ulteriormente trasferiti in merito al
rispetto delle stesse clausole contrattuali da essi
sottoscritte.
Il principio fondamentale • che la legge applicabile • quella dello Stato membro in cui ha sede
lÕesportatore dei dati (quindi, la legge di uno dei
Paesi dellÕUE). Esportatore e importatore sono
responsabili separatamente e in solido per i
danni derivanti da violazioni delle disposizioni
che riguardano gli interessati (i quali nelle clausole vengono indicati come Òterzi beneficiariÓ del
contratto).
Gli interessati hanno diritto al risarcimento
del danno nei confronti di esportatore o importatore, o di entrambi, e se la controversia non
pu˜ essere risolta in via amichevole possono
ricorrere alla mediazione di un terzo indipendente (compresa eventualmente lÕautoritˆ di controllo nazionale), oppure allÕautoritˆ giudiziaria
dello Stato UE in cui ha sede lÕesportatore, oppure ancora ad un organismo arbitrale.
Le autoritˆ nazionali di controllo (come il
Garante italiano) hanno il compito di vigilare
sullÕapplicazione corretta delle clausole contrattuali, e possono vietare determinati trasferimenti
se ritengono che essi possano Òrecare sostanziale
pregiudizio alle garanzie di adeguata tutelaÓ degli
interessati.
La decisione europea si applicherˆ dal 3 settembre 2001. Entro tale data gli Stati membri e le
relative Autoritˆ di garanzia dovranno adoperarsi affinchŽ le clausole (il funzionamento delle
4
Informazione ¥ Newsletter ¥ 2001
11 - 17 giugno 2001
Normativa
Informazione
Pubblicazioni
Modulistica
Ricerca
Mappa
quali verrˆ verificato dalla Commissione tra tre
anni) siano utilizzabili.
del patrimonio aziendaleÓ. In effetti, Amazon
(come del resto la casa dÕaste Ebay, che ha seguito una strada analoga) non conosce soltanto lÕindirizzo e-mail, ma anche quello postale e le abitudini di acquisto dei clienti. Secondo Marc
Rotenberg, il direttore di EPIC, il caso Amazon •
solo il sintomo di un processo strisciante:
ÒStiamo assistendo alla lenta erosione della
privacy online attraverso il regime di autodisciplina delle impreseÓ.
Va anche detto che se Amazon non avesse
informato i clienti via e-mail, la maggioranza
non si sarebbe neppure accorta di quanto stava
avvenendo: secondo i risultati di unÕindagine di
mercato, pi• della metˆ dei clienti non legge le
condizioni generali di contratto prima di procedere ad un acquisto, mentre il 75% degli utenti
fornisce regolarmente dati personali durante la
navigazione in Rete.
Le violazioni commesse da Amazon ed Ebay
non sono le prime del genere, ma le due societˆ
hanno imparato dagli errori di chi le ha precedute.
Si guardi al caso Toysmart: la societˆ controllata dalla Disney • stata costretta a dichiarare
fallimento nel maggio 2000, ed avrebbe voluto
LÕARCHIVIO CLIENTI : UN VERO CAPITALE
(da un articolo di Christiane Schulzki-Haddouti
pubblicato su Handelsblatt, 12 giugno)
Le informazioni sono il vero motore del profitto su Internet, e numerose sono le possibilitˆ
di guadagno utilizzando accortamente i dati raccolti. Tuttavia, pu˜ avvenire che qualche impresa
di e-commerce si accorga che il modello commerciale messo in piedi non basta a tenerla a
galla. E allora, perchŽ non mettere sul mercato
anche i dati raccolti sulla clientela?
Lo scorso autunno, Amazon ha modificato la
propria politica in materia di privacy comunicando ai 23 milioni di clienti con un messaggio
e-mail che ÒNel proseguire lo sviluppo della
nostra attivitˆ, possiamo acquistare o vendere
parti del patrimonio aziendale. Nel contesto di
tali transazioni, i dati relativi alla clientela costituiscono, in linea di massima, una componente
5
Informazione ¥ Newsletter ¥ 2001
11 - 17 giugno 2001
Normativa
Informazione
Pubblicazioni
Modulistica
Ricerca
Mappa
vendere i dati relativi agli oltre 260.000 clienti nonostante questa possibilitˆ fosse esclusa dalle
condizioni generali di contratto. La Commissione
federale per il commercio (FTC) degli USA non si
• lasciata influenzare dalle vibrate proteste dei
tutori della privacy, e dopo unÕispezione ha
disposto che lÕacquirente degli indirizzari avrebbe dovuto attenersi alla stessa politica in materia
di privacy seguita da Toysmart.
In alcuni casi lÕaviditˆ delle imprese ha subito
una battuta dÕarresto solo per lÕintervento dellÕautoritˆ giudiziaria. Ad esempio, la societˆ texana Living.com, dopo aver dichiarato fallimento,
aveva pensato di vendere i dati relativi a conti
bancari e numeri di previdenza sociale dei propri clienti. Il procuratore generale • intervenuto
e la societˆ si • impegnata in tribunale a distruggere i dati ed a rivendere soltanto i nominativi e
gli indirizzi di e-mail dei clienti previo consenso
dei clienti stessi.
Per i tutori della privacy non ci sono dubbi:
ancora una volta, lÕautodisciplina invocata dalle
imprese si • rivelata fallimentare. Negli USA il
sistema funziona attraverso lÕassegnazione di
Òbollini di qualitˆÓ. Living.com, come del resto
Toysmart, faceva parte delle imprese controllate
da Trust-E; questÕultima assegna un bollino di
qualitˆ per la protezione dei dati se la societˆ o
lÕimpresa si impegna a rispettare specifici
meccanismi di protezione dati. Qualora si accerti
lÕinosservanza del codice di autodisciplina le
imprese possono essere citate in giudizio per
truffa.
é chiaro che, in caso di fallimento, questÕultima eventualitˆ non costituisce un serio deterrente. In effetti, secondo il portavoce di Trust-E,
Dave Steer, ÒNellÕeconomia dellÕinformazione
sono le informazioni ad avere il valore pi• elevato
- esattamente come lÕoroÓ.
Alcune societˆ statunitensi operanti su
Internet sono disposte a pagare fino a 500 dollari
per ogni nuovo cliente: la banca dati della clientela rappresenta veramente uno dei beni pi• preziosi per le dotcom. Si pensi che alcune imprese
operanti nel settore del commercio elettronico
(IBM, Procter&Gamble, Ford, E-Trade e
DoubleClick) hanno segnalato di recente che le
societˆ di vendite a distanza o operanti su
Internet dovrebbero aumentare del 7% i prezzi in
catalogo (pari ad un importo di 1 miliardo di
6
Informazione ¥ Newsletter ¥ 2001
8 - 14 gennaio 2001
Normativa
Informazione
Pubblicazioni
Modulistica
Ricerca
Mappa
dollari) se non avessero pi• la possibilitˆ di utilizzare i dati della clientela per scopi di marketing.
Il mondo politico USA sembra per˜ avere
imparato rapidamente la lezione di Toysmart &
Co.: nel mese di marzo, il Senato ha licenziato un
emendamento di legge che rende pi• difficile per
le imprese vendere a terzi i dati della clientela in
caso di insolvenza.
Questo tipo di vendita • permesso soltanto se
lÕimpresa ne ha fatto espressa menzione nelle
condizioni generali di contratto - come • il caso
attualmente per Ebay e Amazon. Adesso lÕemendamento deve essere approvato dal Congresso.
Ad ogni modo, la normativa statale si • dimostrata ancora una volta priva di qualsiasi mordente: verso la fine di maggio, nel caso AmazonAlexa, la FTC ha rinunciato ad applicare una sanzione e non ha ritenuto di dover investigare pi• a
fondo. Alcuni utenti avevano espresso il sospetto
che Alexa (un software di espansione del browser,
utilizzato da Amazon fin dal 1999) comunicasse
in modo occulto alla banca dati centrale di
Amazon tutti i dati inseriti dai clienti, allÕinsaputa di questi ultimi. Alexa e Amazon hanno
respinto le accuse affermando invece che alcuni
dati erano stati memorizzati per un disguido, e
pagando 2 milioni di dollari a titolo preventivo
per evitare una causa civile di gruppo (Class
Action). In tal modo ciascun attore ha ottenuto
un risarcimento pari a 40 dollari - per la perdita
della propria privacy.
Un caveat finale giunge comunque dal caso
Cybercash, che secondo lÕautrice deve far riflettere sullÕopportunitˆ di non sopravvalutare lÕimportanza degli archivi clienti. Quando di recente
Cybercash (una societˆ che offriva servizi di
pagamento elettronico) • stata venduta per ripianare gli enormi debiti accumulati, la banca dati
in suo possesso non ha svolto che un ruolo marginale nella transazione: molto pi• consistenti
sono state le offerte per il capitale tecnologico ed
il portafoglio clienti.
TENUTI DÕOCCHIO DALLA TV
(da un articolo di Edmund Sanders sul Los
Angeles Times.com dellÕ11 giugno)
Gli Americani sono abituati da oltre 50 anni a
7
Informazione ¥ Newsletter ¥ 2001
11 - 17 giugno 2001
Normativa
Informazione
Pubblicazioni
Modulistica
Ricerca
Mappa
guardare gli sketch pubblicitari in TV, ma forse presto saranno loro ad essere guardati dagli sketch.
Questa la sintesi di un articolo pubblicato di
recente sul Los Angeles Times, in cui si parla dellÕintenzione di numerose societˆ che gestiscono
TV via cavo e via satellite di installare nuovi
dispositivi in grado di inviare alle singole famiglie pubblicitˆ televisiva mirata sulla base dellÕetˆ, del sesso, del gruppo etnico di appartenenza, del reddito e di altre informazioni personali
fra cui i gusti televisivi.
In sostanza, se due gruppi familiari guardano
lo stesso programma, ad uno verranno inviati
sketch pubblicitari di pannolini dato che la famiglia comprende genitori in giovane etˆ, mentre
lÕaltro vedrˆ la pubblicitˆ di un adesivo per dentiere essendo composto da marito e moglie
ormai pensionati.
LÕobiettivo ultimo • quello di realizzare sketch
mirati ai singoli componenti di una stessa famiglia - genitori, figli adolescenti, nonni.
La AT&T testerˆ il funzionamento di un sistema pilota di questo genere il prossimo autunno
su 30.000 abbonati di Aurora, in Colorado, che
sono passati alla tecnologia digitale via cavo - la
sola che attualmente consente questo tipo di
approccio. La domanda che si pone • se gli abbonati considereranno tutto ci˜ una ulteriore comoditˆ oppure un attentato alla privacy.
Naturalmente le imprese sono pronte a scommettere sulla prima ipotesi, come del resto • giˆ
avvenuto per le tessere-fedeltˆ dei supermercati
(che, in cambio di sconti, permettono la raccolta
di informazioni sulle abitudini di consumo).
Viceversa, i difensori della privacy (come il
Center for Digital Democracy di Washington)
sottolineano i rischi inerenti alla possibilitˆ che,
attraverso la pubblicitˆ mirata ed altri strumenti
interattivi, le societˆ che gestiscono TV via cavo
raccolgano profili assai dettagliati sulle preferenze
televisive e di consumo dei singoli abbonati magari senza che questi ultimi ne siano veramente consapevoli. Si sottolinea, in particolare,
che questi sistemi di sorveglianza vengono
installati senza alcun vero dibattito pubblico e
senza che gli spettatori siano veramente informati della tipologia delle informazioni raccolte o
delle relative finalitˆ. Secondo Jeff Chester, del
Center for Digital Democracy, il Congresso americano deve approvare norme pi• rigide per la
8
Informazione ¥ Newsletter ¥ 2001
11 - 17 giugno 2001
Normativa
Informazione
Pubblicazioni
Modulistica
Ricerca
Mappa
TV via cavo in modo da impedire che le imprese
raccolgano dati senza unÕadeguata informativa e
senza il consenso degli abbonati.
Da altre parti si fa osservare che la segmentazione della pubblicitˆ sulla base di caratteristiche
quali il gruppo etnico di appartenenza o il reddito rischia di aumentare la compartimentazione
giˆ esistente nella societˆ americana. La TV, da
fattore di unificazione linguistica e culturale,
diventerebbe un elemento di separazione e
discriminazione.
Le societˆ di TV via cavo e le imprese pubblicitarie ribattono a queste accuse sottolineando
lÕintenzione di procedere con estrema cautela
sulla strada descritta, e lÕimpegno a chiedere il
consenso degli abbonati prima di comunicarne i
dati personali ad altri soggetti. La AT&T, in particolare, ha affermato che la privacy costituisce
uno degli interessi primari per la societˆ: Òle
informazioni in nostro possesso sulla clientela
non vengono messe a disposizione di terziÓ. Le
imprese di pubblicitˆ che parteciperanno alla
sperimentazione del servizio non avranno accesso ai dati personali degli abbonati; inoltre, gli
abbonati saranno informati del servizio di pub-
blicitˆ mirata e potranno decidere di chiamarsi
fuori (secondo il classico principio dellÕÒoptoutÓ).
Attivitˆ di ÒprofilazioneÓ di questo tipo non
sono una novitˆ per le imprese che gestiscono
TV via cavo: la TimeWarner, ad esempio, • stata
citata in giudizio per avere profilato i propri
abbonati, e successivamente venduto a terzi i
profili realizzati.
Ma una delle maggiori fonti di preoccupazione per i difensori della privacy negli USA • rappresentata dalla possibilitˆ di giungere in futuro
a forme di pubblicitˆ mirate specificamente sui
gusti dei minori. é chiaro che in tal modo i genitori non avrebbero pi• la possibilitˆ di controllare in modo adeguato i messaggi che raggiungono
i figli, i quali sarebbero assolutamente indifesi
dinanzi a messaggi pubblicitari pensati e realizzati espressamente per loro.
Altri commentatori sottolineano comunque
che la diffusione della TV digitale via cavo •
molto lenta e incontra numerosi ostacoli, non in
ultimo per i costi elevati connessi alla modernizzazione degli impianti e per i ritorni sinora non
esaltanti della spesa pubblicitaria.
9