La Raccomandazione si applica a tutti i trattamenti effettuati da titolari che siano stabiliti in uno degli Stati dell’UE, oppure che non siano stabiliti nell’UE ma utilizzino, ai fini del trattamento, apparecchiature o dispositivi situati sul territorio di uno Stato membro dell’UE ­ secondo quanto prevede la direttiva 95/46/CE in materia di protezione dei dati personali.
I Garanti raccomandano pertanto:
1) di fornire preventivamente a chiunque si colleghi ad un sito web che preveda la raccolta di dati personali le informazioni indicate nella direttiva: identità e indirizzo (elettronico o meno) del titolare, finalità del trattamento, obbligatorietà delle informazioni richieste all’utente (vi possono essere dati necessari per fornire un servizio richiesto da un utente, mentre altri sono opzionali), modalità per esercitare i diritti di accesso, rettifica, cancellazione, opposizione al trattamento, destinatari eventuali delle informazioni raccolte (e in tal caso l’utente deve avere la possibilità di opporsi alla trasmissione dei suoi dati ad altri soggetti, per scopi diversi da quelli per cui gli vengono richiesti dal sito - ad esempio cliccando su una casella specifica), eventuale utilizzo di procedure automatiche per la raccolta dei dati (è il caso, ad esempio, dei cookies), misure di sicurezza adottate per garantire l’integrità e la riservatezza dei dati richiesti;
2) di fornire le informazioni sopra elencate direttamente sul monitor del singolo utente, prima che avvenga la raccolta dei suoi dati, così da garantire che il trattamento avvenga in modo leale come prescrive la direttiva; per farlo si può ricorrere alle varie possibilità messe a disposizione dalla tecnologia attuale: finestre "a scomparsa", caselle da cliccare, messaggi "pop-up". E’ opportuno inoltre che sulla pagina di accoglienza del sito vi sia un’indicazione chiara e comprensibile dell’esistenza di un’informativa sulla privacy (ad esempio "Questo sito raccoglie e tratta dati personali che la riguardano. Per ulteriori informazioni, clicchi qui");
3) di tenere presente che i titolari hanno anche altri obblighi sanciti sempre dalla direttiva, oltre al dovere di informare adeguatamente gli interessati. In particolare, è necessario che la raccolta di dati personali sia necessaria per le finalità specificate: pertanto, se l’obiettivo che il titolare si prefigge (fornire un servizio, un’informazione, ecc.) può essere raggiunto senza elaborare dati personali, questi non devono essere raccolti. Nella stessa ottica, si sottolinea l’opportunità di favorire ed accettare l’impiego di pseudonimi quando questi ultimi permettano comunque di svolgere determinate transazioni. Inoltre, non devono essere raccolti più dati di quelli necessari per lo scopo dichiarato (è il principio cosiddetto di "pertinenza"), e i dati raccolti devono essere conservati solo per un periodo giustificato dalle finalità del trattamento;
4) di non utilizzare indirizzi di posta elettronica ricavati da "aree pubbliche" di Internet (ad esempio, gruppi di discussione) per attività di marketing, nel caso in cui i diretti interessati non ne sono stati informati; se invece gli interessati sono stati informati della possibilità che i dati forniti in una sede determinata vengano utilizzati per scopi di marketing diretto, e hanno avuto la possibilità di dare il proprio consenso a questa forma di utilizzazione (magari cliccando online su una casella apposita), in tal caso l’uso di indirizzi di e-mail per fini di marketing è da ritenersi lecito. I titolari devono inoltre garantire che l’utente abbia la possibilità di ritirare il consenso all’uso dei suoi dati per fini commerciali.