17 giugno 2001
Transcript
17 giugno 2001
Normativa Newsletter Notiziario settimanale 11 - 17 giugno 2001 Informazione Pubblicazioni Modulistica ¥ Cybercrime. I Garanti europei chiedono modifiche alla convenzione Ricerca ¥ Trasferimento dati allÕestero. Commissione UE vara nuove regole ¥ LÕarchivio clienti: un vero capitale Mappa ¥ Tenuti dÕocchio dalla TV 1 Informazione ¥ Newsletter ¥ 2001 11 - 17 giugno 2001 Normativa Informazione Pubblicazioni Modulistica Ricerca Mappa CYBERCRIME. I GARANTI EUROPEI CHIEDONO MODIFICHE AL PROGETTO DI CONVENZIONE EUROPEA dazione adottata dalle Autoritˆ europee, ha richiamato lÕattenzione sulla necessitˆ di modificare il testo del progetto prima della sua definitiva approvazione, in modo tale da conciliare i differenti interessi coinvolti dal progetto. Nella loro raccomandazione i Garanti europei hanno posto lÕattenzione sulla necessitˆ di assicurare forti tutele per i cittadini europei, in particolare per quanto riguarda le intercettazioni telefoniche, lo scambio di informazioni sul contenuto delle telefonate e delle e-mail, il periodo di conser vazione dei dati personali (vedi Newsletter, 16-29 aprile 2001). Rodotˆ ha anche ricordato, a questo proposito, il ruolo svolto dal Consiglio nella protezione dei dati personali e lÕimportanza che rivestono la Carta dei diritti fondamentali UE e della Convenzione europea dei diritti dellÕuomo, veri e propri baluardi per i cittadini europei di fronte alle intrusioni delle autoritˆ pubbliche nella loro sfera privata e nella salvaguardia delle loro libertˆ fondamentali. I Garanti europei chiedono la modifica del progetto di Convenzione sul cybercrime e ribadiscono con forza le richieste di maggiori garanzie avanzate nella raccomandazione adottata il 22 marzo scorso. In vista della decisione con la quale i governi europei si pronunceranno il 27 giugno sul progetto di Convenzione, Stefano Rodotˆ, in qualitˆ di presidente del Gruppo dei Garanti europei, ha scritto al Consiglio dÕEuropa per ribadire le riserve espresse dai Garanti sulle lacune che il progetto presenta riguardo alla protezione dei diritti e delle libertˆ dei cittadini. Il progetto investe tutto lÕampio settore delle telecomunicazioni, con particolare riguardo agli aspetti collegati con le intercettazioni telefoniche, il controllo delle e-mail, la durata di conservazione dei dati del traffico telefonico. Nella sua lettera Rodotˆ, oltre a sottolineare il rincrescimento per la scarsa considerazione nella quale • stata tenuta, nella sostanza, la raccoman2 Informazione ¥ Newsletter ¥ 2001 11 - 17 giugno 2001 Normativa Informazione Pubblicazioni Modulistica Ricerca Mappa NUOVE SOLUZIONI PER IL TRASFERIMENTO DEI DATI ALLÕESTERO non pochi Paesi al di fuori dellÕUE sprovvisti di tutela. Paesi ai quali, ad eccezione della Svizzera, dellÕUngheria, di Hong Kong e del Canada, lÕUnione Europea non ha riconosciuto una adeguata disciplina nazionale in termini di protezione dei dati. Per quanto lÕutilizzazione di tali clausole avviene su base volontaria, esse costituiscono comunque una garanzia importante per tutte le parti in causa - titolare, responsabile, interessato dal trattamento. Le clausole contrattuali tipo sono utilizzabili nel quadro di un accordo fra lÕesportatore dei dati (il titolare che trasferisce i dati personali) e lÕimportatore dei dati (il titolare che riceve i dati personali dallÕesportatore ai fini di un ulteriore trattamento conforme alle clausole stesse) situato in un Paese terzo. Le clausole dovranno essere sottoscritte dalle parti (esportatore e importatore), che dovranno anche compilare e sottoscrivere unÕAppendice in cui sono specificate le attivitˆ pertinenti al trasferimento, le categorie di interessati, le finalitˆ del trattamento, le categorie di dati oggetto del trasferimento (in particolare per quanto riguar- I cittadini europei sono ancora pi• protetti. Siglando lÕesito di un lungo lavoro delle Autoritˆ garanti e degli Stati membri, la Commissione ha fissato nuove regole per trasferire dati personali verso Paesi terzi che non garantiscono una sufficiente tutela della privacy. Si tratta di clausole contrattuali - tipo che consentiranno di esportare dati personali verso Paesi terzi non appartenenti allÕUnione europea e per i quali non esiste un adeguato livello di protezione in base alla Direttiva 95/46 sulla riservatezza dei dati. Uno strumento, dunque, utile a cui potranno ricorrere agevolmente soprattutto le imprese. Dopo un primo accordo con gli Stati Uniti, il cosiddetto "Safe harbor", che stabilisce un diverso meccanismo di regole minime per il trasferimento dei dati oltreoceano, il nuovo provvedimento europeo rappresenta un ulteriore e pi• importante risultato che va nella direzione di garantire maggiormente i cittadini europei e di facilitare, nel contempo, i flussi di dati verso i 3 Informazione ¥ Newsletter ¥ 2001 11 - 17 giugno 2001 Normativa Informazione Pubblicazioni Modulistica Ricerca Mappa da i dati cosiddetti ÒsensibiliÓ) e gli eventuali destinatari ai quali i dati trasferiti possono essere comunicati. In altre due appendici sono riportati i principi fondamentali relativi alla qualitˆ dei dati e ai diritti degli interessati (in base alla direttiva comunitaria) che costituiscono parte integrante delle clausole; in particolare, si ribadisce il principio per cui i cosiddetti trasferimenti successivi (ossia, il trasferimento dei dati da parte dellÕimportatore ad un altro titolare con sede in un Paese terzo dove non esiste una protezione adeguata) sono, di regola, possibili solo se gli interessati vi hanno acconsentito esplicitamente (per i dati sensibili) ovvero hanno avuto la possibilitˆ di negare il loro consenso (per i dati ÒordinariÓ), sulla base di unÕadeguata informativa; altrimenti occorre che esportatore e importatore si accordino con il titolare al quale i dati devono essere ulteriormente trasferiti in merito al rispetto delle stesse clausole contrattuali da essi sottoscritte. Il principio fondamentale • che la legge applicabile • quella dello Stato membro in cui ha sede lÕesportatore dei dati (quindi, la legge di uno dei Paesi dellÕUE). Esportatore e importatore sono responsabili separatamente e in solido per i danni derivanti da violazioni delle disposizioni che riguardano gli interessati (i quali nelle clausole vengono indicati come Òterzi beneficiariÓ del contratto). Gli interessati hanno diritto al risarcimento del danno nei confronti di esportatore o importatore, o di entrambi, e se la controversia non pu˜ essere risolta in via amichevole possono ricorrere alla mediazione di un terzo indipendente (compresa eventualmente lÕautoritˆ di controllo nazionale), oppure allÕautoritˆ giudiziaria dello Stato UE in cui ha sede lÕesportatore, oppure ancora ad un organismo arbitrale. Le autoritˆ nazionali di controllo (come il Garante italiano) hanno il compito di vigilare sullÕapplicazione corretta delle clausole contrattuali, e possono vietare determinati trasferimenti se ritengono che essi possano Òrecare sostanziale pregiudizio alle garanzie di adeguata tutelaÓ degli interessati. La decisione europea si applicherˆ dal 3 settembre 2001. Entro tale data gli Stati membri e le relative Autoritˆ di garanzia dovranno adoperarsi affinchŽ le clausole (il funzionamento delle 4 Informazione ¥ Newsletter ¥ 2001 11 - 17 giugno 2001 Normativa Informazione Pubblicazioni Modulistica Ricerca Mappa quali verrˆ verificato dalla Commissione tra tre anni) siano utilizzabili. del patrimonio aziendaleÓ. In effetti, Amazon (come del resto la casa dÕaste Ebay, che ha seguito una strada analoga) non conosce soltanto lÕindirizzo e-mail, ma anche quello postale e le abitudini di acquisto dei clienti. Secondo Marc Rotenberg, il direttore di EPIC, il caso Amazon • solo il sintomo di un processo strisciante: ÒStiamo assistendo alla lenta erosione della privacy online attraverso il regime di autodisciplina delle impreseÓ. Va anche detto che se Amazon non avesse informato i clienti via e-mail, la maggioranza non si sarebbe neppure accorta di quanto stava avvenendo: secondo i risultati di unÕindagine di mercato, pi• della metˆ dei clienti non legge le condizioni generali di contratto prima di procedere ad un acquisto, mentre il 75% degli utenti fornisce regolarmente dati personali durante la navigazione in Rete. Le violazioni commesse da Amazon ed Ebay non sono le prime del genere, ma le due societˆ hanno imparato dagli errori di chi le ha precedute. Si guardi al caso Toysmart: la societˆ controllata dalla Disney • stata costretta a dichiarare fallimento nel maggio 2000, ed avrebbe voluto LÕARCHIVIO CLIENTI : UN VERO CAPITALE (da un articolo di Christiane Schulzki-Haddouti pubblicato su Handelsblatt, 12 giugno) Le informazioni sono il vero motore del profitto su Internet, e numerose sono le possibilitˆ di guadagno utilizzando accortamente i dati raccolti. Tuttavia, pu˜ avvenire che qualche impresa di e-commerce si accorga che il modello commerciale messo in piedi non basta a tenerla a galla. E allora, perchŽ non mettere sul mercato anche i dati raccolti sulla clientela? Lo scorso autunno, Amazon ha modificato la propria politica in materia di privacy comunicando ai 23 milioni di clienti con un messaggio e-mail che ÒNel proseguire lo sviluppo della nostra attivitˆ, possiamo acquistare o vendere parti del patrimonio aziendale. Nel contesto di tali transazioni, i dati relativi alla clientela costituiscono, in linea di massima, una componente 5 Informazione ¥ Newsletter ¥ 2001 11 - 17 giugno 2001 Normativa Informazione Pubblicazioni Modulistica Ricerca Mappa vendere i dati relativi agli oltre 260.000 clienti nonostante questa possibilitˆ fosse esclusa dalle condizioni generali di contratto. La Commissione federale per il commercio (FTC) degli USA non si • lasciata influenzare dalle vibrate proteste dei tutori della privacy, e dopo unÕispezione ha disposto che lÕacquirente degli indirizzari avrebbe dovuto attenersi alla stessa politica in materia di privacy seguita da Toysmart. In alcuni casi lÕaviditˆ delle imprese ha subito una battuta dÕarresto solo per lÕintervento dellÕautoritˆ giudiziaria. Ad esempio, la societˆ texana Living.com, dopo aver dichiarato fallimento, aveva pensato di vendere i dati relativi a conti bancari e numeri di previdenza sociale dei propri clienti. Il procuratore generale • intervenuto e la societˆ si • impegnata in tribunale a distruggere i dati ed a rivendere soltanto i nominativi e gli indirizzi di e-mail dei clienti previo consenso dei clienti stessi. Per i tutori della privacy non ci sono dubbi: ancora una volta, lÕautodisciplina invocata dalle imprese si • rivelata fallimentare. Negli USA il sistema funziona attraverso lÕassegnazione di Òbollini di qualitˆÓ. Living.com, come del resto Toysmart, faceva parte delle imprese controllate da Trust-E; questÕultima assegna un bollino di qualitˆ per la protezione dei dati se la societˆ o lÕimpresa si impegna a rispettare specifici meccanismi di protezione dati. Qualora si accerti lÕinosservanza del codice di autodisciplina le imprese possono essere citate in giudizio per truffa. é chiaro che, in caso di fallimento, questÕultima eventualitˆ non costituisce un serio deterrente. In effetti, secondo il portavoce di Trust-E, Dave Steer, ÒNellÕeconomia dellÕinformazione sono le informazioni ad avere il valore pi• elevato - esattamente come lÕoroÓ. Alcune societˆ statunitensi operanti su Internet sono disposte a pagare fino a 500 dollari per ogni nuovo cliente: la banca dati della clientela rappresenta veramente uno dei beni pi• preziosi per le dotcom. Si pensi che alcune imprese operanti nel settore del commercio elettronico (IBM, Procter&Gamble, Ford, E-Trade e DoubleClick) hanno segnalato di recente che le societˆ di vendite a distanza o operanti su Internet dovrebbero aumentare del 7% i prezzi in catalogo (pari ad un importo di 1 miliardo di 6 Informazione ¥ Newsletter ¥ 2001 8 - 14 gennaio 2001 Normativa Informazione Pubblicazioni Modulistica Ricerca Mappa dollari) se non avessero pi• la possibilitˆ di utilizzare i dati della clientela per scopi di marketing. Il mondo politico USA sembra per˜ avere imparato rapidamente la lezione di Toysmart & Co.: nel mese di marzo, il Senato ha licenziato un emendamento di legge che rende pi• difficile per le imprese vendere a terzi i dati della clientela in caso di insolvenza. Questo tipo di vendita • permesso soltanto se lÕimpresa ne ha fatto espressa menzione nelle condizioni generali di contratto - come • il caso attualmente per Ebay e Amazon. Adesso lÕemendamento deve essere approvato dal Congresso. Ad ogni modo, la normativa statale si • dimostrata ancora una volta priva di qualsiasi mordente: verso la fine di maggio, nel caso AmazonAlexa, la FTC ha rinunciato ad applicare una sanzione e non ha ritenuto di dover investigare pi• a fondo. Alcuni utenti avevano espresso il sospetto che Alexa (un software di espansione del browser, utilizzato da Amazon fin dal 1999) comunicasse in modo occulto alla banca dati centrale di Amazon tutti i dati inseriti dai clienti, allÕinsaputa di questi ultimi. Alexa e Amazon hanno respinto le accuse affermando invece che alcuni dati erano stati memorizzati per un disguido, e pagando 2 milioni di dollari a titolo preventivo per evitare una causa civile di gruppo (Class Action). In tal modo ciascun attore ha ottenuto un risarcimento pari a 40 dollari - per la perdita della propria privacy. Un caveat finale giunge comunque dal caso Cybercash, che secondo lÕautrice deve far riflettere sullÕopportunitˆ di non sopravvalutare lÕimportanza degli archivi clienti. Quando di recente Cybercash (una societˆ che offriva servizi di pagamento elettronico) • stata venduta per ripianare gli enormi debiti accumulati, la banca dati in suo possesso non ha svolto che un ruolo marginale nella transazione: molto pi• consistenti sono state le offerte per il capitale tecnologico ed il portafoglio clienti. TENUTI DÕOCCHIO DALLA TV (da un articolo di Edmund Sanders sul Los Angeles Times.com dellÕ11 giugno) Gli Americani sono abituati da oltre 50 anni a 7 Informazione ¥ Newsletter ¥ 2001 11 - 17 giugno 2001 Normativa Informazione Pubblicazioni Modulistica Ricerca Mappa guardare gli sketch pubblicitari in TV, ma forse presto saranno loro ad essere guardati dagli sketch. Questa la sintesi di un articolo pubblicato di recente sul Los Angeles Times, in cui si parla dellÕintenzione di numerose societˆ che gestiscono TV via cavo e via satellite di installare nuovi dispositivi in grado di inviare alle singole famiglie pubblicitˆ televisiva mirata sulla base dellÕetˆ, del sesso, del gruppo etnico di appartenenza, del reddito e di altre informazioni personali fra cui i gusti televisivi. In sostanza, se due gruppi familiari guardano lo stesso programma, ad uno verranno inviati sketch pubblicitari di pannolini dato che la famiglia comprende genitori in giovane etˆ, mentre lÕaltro vedrˆ la pubblicitˆ di un adesivo per dentiere essendo composto da marito e moglie ormai pensionati. LÕobiettivo ultimo • quello di realizzare sketch mirati ai singoli componenti di una stessa famiglia - genitori, figli adolescenti, nonni. La AT&T testerˆ il funzionamento di un sistema pilota di questo genere il prossimo autunno su 30.000 abbonati di Aurora, in Colorado, che sono passati alla tecnologia digitale via cavo - la sola che attualmente consente questo tipo di approccio. La domanda che si pone • se gli abbonati considereranno tutto ci˜ una ulteriore comoditˆ oppure un attentato alla privacy. Naturalmente le imprese sono pronte a scommettere sulla prima ipotesi, come del resto • giˆ avvenuto per le tessere-fedeltˆ dei supermercati (che, in cambio di sconti, permettono la raccolta di informazioni sulle abitudini di consumo). Viceversa, i difensori della privacy (come il Center for Digital Democracy di Washington) sottolineano i rischi inerenti alla possibilitˆ che, attraverso la pubblicitˆ mirata ed altri strumenti interattivi, le societˆ che gestiscono TV via cavo raccolgano profili assai dettagliati sulle preferenze televisive e di consumo dei singoli abbonati magari senza che questi ultimi ne siano veramente consapevoli. Si sottolinea, in particolare, che questi sistemi di sorveglianza vengono installati senza alcun vero dibattito pubblico e senza che gli spettatori siano veramente informati della tipologia delle informazioni raccolte o delle relative finalitˆ. Secondo Jeff Chester, del Center for Digital Democracy, il Congresso americano deve approvare norme pi• rigide per la 8 Informazione ¥ Newsletter ¥ 2001 11 - 17 giugno 2001 Normativa Informazione Pubblicazioni Modulistica Ricerca Mappa TV via cavo in modo da impedire che le imprese raccolgano dati senza unÕadeguata informativa e senza il consenso degli abbonati. Da altre parti si fa osservare che la segmentazione della pubblicitˆ sulla base di caratteristiche quali il gruppo etnico di appartenenza o il reddito rischia di aumentare la compartimentazione giˆ esistente nella societˆ americana. La TV, da fattore di unificazione linguistica e culturale, diventerebbe un elemento di separazione e discriminazione. Le societˆ di TV via cavo e le imprese pubblicitarie ribattono a queste accuse sottolineando lÕintenzione di procedere con estrema cautela sulla strada descritta, e lÕimpegno a chiedere il consenso degli abbonati prima di comunicarne i dati personali ad altri soggetti. La AT&T, in particolare, ha affermato che la privacy costituisce uno degli interessi primari per la societˆ: Òle informazioni in nostro possesso sulla clientela non vengono messe a disposizione di terziÓ. Le imprese di pubblicitˆ che parteciperanno alla sperimentazione del servizio non avranno accesso ai dati personali degli abbonati; inoltre, gli abbonati saranno informati del servizio di pub- blicitˆ mirata e potranno decidere di chiamarsi fuori (secondo il classico principio dellÕÒoptoutÓ). Attivitˆ di ÒprofilazioneÓ di questo tipo non sono una novitˆ per le imprese che gestiscono TV via cavo: la TimeWarner, ad esempio, • stata citata in giudizio per avere profilato i propri abbonati, e successivamente venduto a terzi i profili realizzati. Ma una delle maggiori fonti di preoccupazione per i difensori della privacy negli USA • rappresentata dalla possibilitˆ di giungere in futuro a forme di pubblicitˆ mirate specificamente sui gusti dei minori. é chiaro che in tal modo i genitori non avrebbero pi• la possibilitˆ di controllare in modo adeguato i messaggi che raggiungono i figli, i quali sarebbero assolutamente indifesi dinanzi a messaggi pubblicitari pensati e realizzati espressamente per loro. Altri commentatori sottolineano comunque che la diffusione della TV digitale via cavo • molto lenta e incontra numerosi ostacoli, non in ultimo per i costi elevati connessi alla modernizzazione degli impianti e per i ritorni sinora non esaltanti della spesa pubblicitaria. 9