Antonino Polimeni

Consulenza per il trattamento dei dati su Internet – Esperto Privacy

Per “trattamento” l’art.4 lettera a) del Codice sulla Privacy individua qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;

La base per un corretto trattamento dei dati personali è la preventiva informazione (ed il consenso espresso liberamente ex art.23 d.lgs.196/03) che deve essere data all’interessato e che deve contenere (art.13 d.lgs.196/03):

a) le finalità e le modalità del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi;

e) i diritti di cui all’articolo 7 dello stesso decreto legislativo;

f) gli estremi identificativi del titolare o, se è stato designato un responsabile, è indicato tale responsabile.

Il solito articolo delle definizioni, l’art.4 del Codice sulla Privacy, ci da alla lettera f) la definizione di titolare, stabilendo che è “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”.

La normativa prevede anche la possibilità che il titolare nomini un responsabile del trattamento che è “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali”.

In un sito internet di medie o piccole dimensioni, generalmente, il titolare ed il responsabile del trattamento, coincidono.

Secondo l’art. 24 del Codice Privacy si può prescindere dalla richiesta del consenso ex art.23 (ma non dall’informativa) con riguardo ai trattamenti effettuati per eseguire obbligazioni derivanti dal contratto del quale è parte l’interessato (come ad es. in un sito di e-commerce) o per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria.

Ma lo stesso Garante ha recentemente ribadito che. se il fine del consenso non è esclusivamente quello contrattuale (ad es. è previsto anche l’ invio di e-mail di marketing), gli interessati debbono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso per ciascuna distinta finalità perseguita dal titolare.

Per quanto riguarda le misure di sicurezza che devono essere adottate per la conservazione dei dati, queste vanno valutate in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento in modo da ridurre al minimo i rischi di distruzione, perdita e, soprattutto accesso non autorizzato (Art.31 d.lgs.196/03).

Tale regola è molto importante nel nostro ambito di responsabilità.

Generalmente un webmaster utilizzerà per memorizzare i dati, dei database, le cui forme più diffuse sono MySql e Access.

Le misure di sicurezza vanno adottate sull’accessibilità a tali dati che devono essere ben protetti all’interno del sistema su cui “hostano”.

Anche se il sistema è gestito da terzi, è senza dubbio responsabilità del webmaster (se titolare e responsabile del trattamento) un’eventuale “fuga di dati” anche se imputabile al terzo, com’è certo suo onere richiedere specifiche misure di sicurezza per determinati trattamenti di dati ad eventuali aziende che forniscono il servizio di hosting del sito.

Il legislatore “fiutando” la pericolosità della tenuta dei dati tramite strumenti elettronici, e soprattutto di internet, dovuta da una parte alla disponibilità globale di un server in rete, e dall’altra alla sempre maggior semplicità di utilizzo dello strumento elettronico (come già detto, anche un utente non esperto può ormai essere un webmaster), ha previsto nell’art.34 del c.d. Codice Privacy le specifiche necessarie perché si possa parlare di espletata adozione di “misure minime di sicurezza” per i trattamenti dati tramite uno strumento elettronico, rimandando inoltre all’Allegato B dello stesso d.lgs. dove, in forma ancor più dettagliata vengono descritte le modalità tecniche da adottare. a cura del titolare, del responsabile ovvero dell’incaricato.

Di rilevante, ai fini dell’applicazione di questa norma al webmaster, vi è innanzitutto la disciplina del sistema di autenticazione per l’accesso ai dati secondo cui è necessario un codice di identificazione ed una password per accedere ai dati personali.

Solitamente i dati forniti dal gestore del servizio di hosting, per l’accesso via FTP, sono sufficienti a ritenere adeguato il sistema di autenticazione per accedere al file del database.

I problemi sorgono invece quando l’accesso via FTP all’intero sito è concesso a più soggetti.

In quel caso, è necessario predisporre un sistema di autorizzazioni che escludano l’accesso alla cartella del database ai soggetti non incaricati oppure conferire l’incarico a tali utenti, con le ovvie conseguenze in tema di responsabilità.

Ma in quest’ultimo caso la disciplina prevede un diverso codice di identificazione per ogni incaricato in modo da rendere certa ogni eventuale responsabilità.

Se viene previsto invece un accesso tramite interfaccia http, ad esempio in linguaggio php o asp, invece il webmaster deve predisporre un sistema con login e password in cui la password (c.d. parola chiave) dev’essere di almeno otto caratteri.

L’art. 34 prevede inoltre l’adozione di procedure per la custodia  di copie di sicurezza e l’adozione di un aggiornato documento programmatico sulla sicurezza.

Disposizione molto importante è quella contenuta nella lettera g) dello stesso art.34.

E’ previsto infatti che chiunque voglia trattare anche semplici dati personali debba tenere un aggiornato documento programmatico sulla sicurezza.

Tale documento contiene lo status attuale del trattamento, con indicazione di tipologie, distribuzione di compiti e responsabilità, le misure adottate e da adottare per garantire l’integrità e la protezione dei dati e dei sistemi, la previsione di interventi formativi e la descrizione dei criteri da adottare per garantire le misure minime di sicurezza.

Il Legislatore, nell’art.37 ha poi previsto, tra le altre ipotesi che, se il trattamento riguarda “dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica”  il titolare ha l’obbligo di notificare al garante il trattamento, prevedendo comunque la possibilità, nel tempo, di “aggiustare” la mira di questa norma tramite decisioni e provvedimenti del Garante che in ogni tempo può escludere o aggiungere nuove fattispecie di obbligo di notifica.

Se invece il trattamento riguarda dati sensibili, più rari nelle prassi dei webmaster, questi possono essere trattati solo con il consenso scritto dell’interessato e previa autorizzazione del Garante (art.26 Codice Privacy).