Guida in rete per conoscere la legislazione vigente sul World Wide Web.

»
 News
»
 E-commerce
»
 Firma digitale
»
 Contratti a distanza
»
 Privacy
»
 Editoria
»
 Diritto di recesso
»
 Internet e Fisco
»
 Domini
»
 Marchi d'impresa
»
 Sentenze
»
 Banche di dati
»
 Regole per i provider
»
 Archivio
»
 Home page
»
 Disclaimer

Commento dell'avvocato...

LEGGE 3 novembre 2000, n.325
Disposizioni inerenti all'adozione delle misure minime di sicurezza nel trattamento dei dati personali previste dall'articolo 15 della legge 31 dicembre 1996, n. 675.

Interpretazione della legge

SULLE DISPOSIZIONI INERENTI L'ADOZIONE DELLE MISURE MINIME DI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI

Prima di affrontare il discorso inerente l'adozione delle misure di sicurezza nel trattamento dei dati personali in relazione alla normativa emanata in materia e delle implicazioni inerenti la gestione dei data base dei clienti per i siti di e-commerce, giova premettere, in primo luogo, come il trattamento dei dati personali su Internet debba necessariamente rispettare i principi generali sulla tutela dei dati personali indicati dalla legge 675/96, così come avviene al di fuori della rete. Come infatti precisato dal "Gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali" istituito dalla Direttiva comunitaria 95/46, "La tutela dei dati su Internet è una condizione indispensabile per l'accettazione del commercio elettronico".

Ora, è del tutto pacifico come la prassi del commercio elettronico sia caratterizzata da numerose occasioni di raccolta dei dati personali del navigatore, sia in modo palese - mediante la richiesta di compilazione di formulari elettronici - sia in modo occulto - si pensi al caso emblematico dei cookies.

Molto brevemente e sinteticamente, la legge 675/96 detta alcuni principi generali cui deve attenersi chi tratti dati personali:

  • il principio di liceità e trasparenza del trattamento dei dati personali (art.9);
  • il principio dell'informativa all'interessato (art.10);
  • il principio del consenso dell'interessato (art.11);
  • il principio della notificazione al Garante del trattamento dei dati personali da parte del titolare (art.7);
  • il principio di sicurezza del trattamento (art.15).

Le norme sopra richiamate costituiscono un importante parametro di valutazione della liceità del trattamento dei dati personali su Internet e nel commercio elettronico.

In sostanza, per trattare i dati in senso conforme a quanto disposto dalla legge 675/96, sarà sufficiente che il soggetto che effettua la raccolta dei dati online, in occasione e per la stipula di un contratto via Internet, informi con la massima trasparenza l'interessato degli scopi della raccolta dei dati stessi e degli altri elementi previsti dall'art.10 (essenzialmente sulle finalità e modalità di trattamento dei dati). Non è, in tal caso, necessario anche il consenso dell'interessato.

Il problema del consenso si porrà invece nel caso in cui il provider - o il fornitore di beni o servizi online - utilizzi i dati personali raccolti per la conclusione del contratto per finalità diverse dalla stipula ed esecuzione dello stesso, oppure raccolga dati dell'interessato non strettamente necessari alla stipula e all'esecuzione del contratto. Ove, poi, i dati raccolti rientrino nella categoria dei c.d. "dati sensibili" (ossia identificativi dell'origine razziale o etnica, delle convinzioni religiose, delle opinioni politiche, dello stato di salute, della vita sessuale), l'art.22 della legge 675/96 prevede che il trattamento possa essere effettuato solo con il consenso scritto dell'interessato e previa autorizzazione del Garante. Si aggiunga che la dottrina prevalente ritiene che l'interessato dovrà necessariamente utilizzare la firma digitale per prestare validamente via Internet il consenso al trattamento dei dati personali sensibili.

Ciò premesso, in via generale, veniamo ad esaminare il disposto dell'art.15 L.675/96 dettato in materia di sicurezza dei dati. La più recente normativa (L.3.11.2000 nr.325) ha consentito l'adozione entro il termine del 31 dicembre u.s. delle misure di sicurezza di cui al d.p.r. 318/99 (attuativo dell'art.15 citato) da parte dei "soggetti che documentino per iscritto le particolari esigenze tecniche ed organizzative che rendono necessario avvalersi di un termine più ampio di quello previsto dalla L.675/96".

Ad oggi pertanto, decorsa anche l'ulteriore proroga concessa dal Governo, il titolare del trattamento dei dati personali deve dimostrare di aver posto in essere tutte le cautele e le misure idonee per conformarsi al disposto dell'art.15 L.675/96, come integrato dalle disposizioni attuative previste dal d.p.r.318/99.

In particolare, l'art.15 L.675/96 prevede che "I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta".

Finalità di tale normativa è, pertanto, quella di evitare la dispersione, la perdita o l'uso illecito dei dati personali raccolti.

Per quanto riguarda, in particolare, i fornitori di beni o di servizi online, si precisa che le misure minime di sicurezza che vanno adottate ai sensi del d.p.r. 318/99 consistono nella:

  • introduzione di parole chiave per l'accesso ai dati;
  • individuazione per iscritto degli incaricati che trattano i dati o di chi, comunque, vi abbia accesso ed attribuzione a ciascuno di essi di un codice identificativo personale che deve essere gestito in modo da prevederne la disattivazione in caso di perdita della qualità che consente l'accesso all'elaboratore;
  • introduzione di idonei programmi di protezione, la cui efficacia va verificata con scadenza, almeno, semestrale contro il rischio di intrusione ad opera di programmi di cui all'art.615-quinquies c.p. (ossia programmi diretti a danneggiare o interrompere un sistema informatico).

Misure di sicurezza ancor più rigorose sono previste nel caso di trattamento dei c.d. "dati sensibili" di cui sopra si è detto.

Per quanto riguarda le sanzioni previste dalla legge nei confronti di chi non ottemperi alle disposizione dettate in materia di adozione di misure di sicurezza per la tutela dei dati personali, si rende necessaria una distinzione:

a) La mancata adozione delle misure minime di sicurezza previste dalla normativa in materia comporta sanzioni anche di carattere penale (reclusione fino ad un anno); se poi qualcuno dovesse subire un danno a causa della mancata adozione delle indicate misure di sicurezza, la pena della reclusione è da due mesi a due anni.

b) E' tuttavia opportuno sottolineare come l'applicazione delle misure minime di cui sopra si è detto non mette al riparo dalla responsabilità civile, poiché l'art.18 L.675/96 stabilisce che "chiunque cagiona danni ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell'art.2050 c.c." . Ciò significa che il titolare del trattamento dei dati è tenuto a risarcire il danno se non fornisce prova di aver adottato tutte le misure idonee ad evitare il prodursi del danno stesso. Ne consegue che, a tale fine, non basta l'adozione delle misure "minime".

Avv. Claudia De Marchi - Milano

 

Archivio

Franco Russetti f.russetti@infoleggi.com
 Foto e contenuti sono liberamente riproducibili da agenzie, giornali e siti internet, ma con l'obbligo di indicare la fonte: infoleggi.com