Studio Mazzolari a e-privacy 2009, Firenze

Lo scorso 23 maggio ho avuto il piacere e l’onore di intervenire con un mio keynote a e-privacy 2009 egregiamente organizzata anche quest’anno nello splendido scenario di Palazzo Vecchio in Piazza della Signoria dal Prof. Marco Calamari e il suo Progetto Winston Smith.

Ho parlato di anonimato quale principio cardine del nostro sistema di data protection, auspicandone il riconoscimento quale diritto autonomo alla stregua del diritto alla riservatezza e all’identità personale.

Ho parlato del caso Shi Tao, della leggerezza e scarsissimo senso di responsabilità con cui le multinazionali dell’informazione (Google, Facebook & Co.) trattano i nostri dati.

Ho concluso parlando di libertà:

  • da una parte: la libertà quale concetto espansivo, dinamico, evolutivo che, in quanto tale, non può essere ne’ definito ne’ garantito una volta per tutte;
  • dall’altra: non c’è democrazia che non conosca il potere e la suggestione del “nemico interno” per auto perpetuarsi col rischio concreto di emarginare, criminalizzare, annientare le nuove visioni di tolleranza e libera convivenza delle minoranza.

Riconoscere l’anonimato quale diritto che, come ogni altro diritto può sempre cedere il passo davanti ad un interesse della collettività, significa dare un contenuto e una garanzia al nostro quotidiano errare alla ricerca della verità.

Le slide (tra poco anche il video) del mio keynote.

Il Garante e le FAQ sulle nuove misure per System Administrator

Il Garante interviene con chiarimenti in merito al Provvedimento “Amministratori di sistema” del 27 novembre 2008
(G.U. n. 300 del 24 dicembre 2008) con cui sono state inserite nuove misure necessarie di sicurezza relative all’operato degli Amminsiratori di sistema.

A proposito: si spera che la Consultazione pubblica aperta fino al 31 maggio p.v. giunga a sciogliere il nodo a monte di tutte queste FAQ, ovvero: CHI deve applicare le nuove misure?

FAQ

  1. Cosa deve intendersi per “amministratore di sistema”?
  2. Cosa vuol dire la locuzione “Qualora l’attività degli ADS riguardi anche indirettamente servizi o sistemi che…
  3. Il caso di uso esclusivo di un personal computer da parte di un solo amministratore di sistema rientra nell’ambito applicativo del provvedimento?
  4. Relativamente all’obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli server?

  5. Cosa si intende per operato dell’amministratore di sistema soggetto a controllo almeno annuale?

  6. Chiarire i casi di esclusione dall’obbligo di adempiere al provvedimento.

  7. Cosa si intende per descrizione analitica degli ambiti di operatività consentiti all’ADS?

  8. Oltre alla job description si deve andare più in dettaglio? Si devono indicare i singoli sistemi e le singole operazioni affidate?

  9. Cosa si intende per access log (log-in, log-out, tentativi falliti di accesso, altro?…
  10. Laddove il file di log contenga informazioni più ampie, va preso tutto il log o solo la riga relativa all’access log?
  11. Come va interpretata la caratteristica di completezza del log? Si intende che ci devono essere tutte le righe? L’adeguatezza rispetto allo
scopo della verifica deve prevedere un’analisi dei rischi?
  12. Come va interpretata la caratteristica di inalterabilità dei log?

  13. Si individuano livelli di robustezza specifici per la garanzia della integrità dei log?

  14. Quali potrebbero essere gli scopi di verifica rispetto ai quali valutare l’adeguatezza?

  15. Cosa dobbiamo intendere per evento che deve essere registrato nel log? Solo l’accesso o anche le attività eseguite?

  16. Quali sono le finalità di audit che ci dobbiamo porre con la registrazione e raccolta di questi log?

  17. Cosa si intende per “consultazione in chiaro”?

  18. Il regime di conoscibilità degli amministratori di sistema è da intendersi per i soli trattamenti inerenti i dati del personale e dei lavoratori?

  19. La registrazione degli accessi è relativa al sistema operativo o anche ai DBMS?

  20. Nella designazione degli amministratori di sistema occorre valutare i requisiti morali?

  21. Cosa si intende per “estremi identificativi” degli amministratori di sistema?

  22. E’ corretto affermare che l’accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l’accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati?

  23. Si chiede se sia necessario conformarsi al provvedimento nel caso della fornitura di servizi di gestione sistemistica a clienti esteri (housing, hosting, gestione applicativa, archiviazione remota…) da parte di una società italiana non titolare dei dati gestiti.

  24. Si possono ritenere esclusi i trattamenti relativi all’ordinaria attività di supporto delle manutenzione degli immobili sociali ecc…). Ci si riferisce ai trattamenti con strumenti elettronici finalizzati, ad esempio, alla gestione dell’autoparco, alle procedure di acquisto dei materiali di consumo, alla aziende, che non riguardino dati sensibili, giudiziari o di traffico telefonico/telematico?

1) Cosa deve intendersi per “amministratore di sistema”?
In assenza di definizioni normative e tecniche condivise, nell’ambito del provvedimento del Garante l’amministratore di sistema è assunto quale figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati. i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati i personali.

Il Garante non ha inteso equiparare gli “operatori di sistema” di cui agli articoli del Codice penale relativi ai delitti informatici, con gli “amministratori di sistema”: questi ultimi sono dei particolari operatori di sistema, dotati di specifici privilegi.

Anche il riferimento al d.P.R. 318/1999 nella premessa del provvedimento è puramente descrittivo poiché la figura definita in quell’atto normativo (ormai abrogato) è di minore portata rispetto a quella cui si fa riferimento nel provvedimento.

Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software.

2) Cosa vuol dire la locuzione “Qualora l’attività degli ADS riguardi anche indirettamente servizi o sistemi che…”
I titolari sono tenuti a instaurare un regime di conoscibilità dell’identità degli amministratori di sistema, quale forma di trasparenza interna all’organizzazione a tutela dei lavoratori, nel caso in cui un amministratore di sistema, oltre a intervenire sotto il profilo tecnico in generici trattamenti di dati personali in un’organizzazione, tratti anche dati personali riferiti ai lavoratori operanti nell’ambito dell’organizzazione medesima o sia nelle condizioni di acquisire conoscenza di dati a essi riferiti (in questo senso il riferimento nel testo del provvedimento all'”anche indirettamente…”).

3) Il caso di uso esclusivo di un personal computer da parte di un solo amministratore di sistema rientra nell’ambito applicativo del provvedimento?
Non è possibile rispondere in generale. In diversi casi, anche con un personal computer possono essere effettuati delicati trattamenti rispetto ai quali il titolare ha il dovere di prevedere e mettere in atto anche le misure e gli accorgimenti previsti nel provvedimento. Nel caso-limite di un titolare che svolga funzioni di unico amministratore di sistema, come può accadere in piccolissime realtà d’impresa, non si applicheranno le previsione relative alla verifica delle attività dell’amministratore né la tenuta del log degli accessi informatici.

4) Relativamente all’obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli  server
Si, anche i client, intesi come “postazioni di lavoro informatizzate”, sono compresi tra i sistemi per cui devono essere registrati gli accessi degli AdS.

Nei casi più semplici tale requisito può essere soddisfatto tramite funzionalità già disponibili nei più diffusi sistemi operativi, senza richiedere necessariamente l’uso di strumenti software o hardware aggiuntivi. Per esempio, la registrazione locale dei dati di accesso su una postazione, in determinati contesti, può essere ritenuta idonea al corretto adempimento qualora goda di sufficienti garanzie di integrità.

Sarà comunque con valutazione del titolare che dovrà essere considerata l’idoneità degli strumenti disponibili oppure l’adozione di strumenti più sofisticati, quali la raccolta dei log centralizzata e l’utilizzo di dispositivi non riscrivibili o di tecniche crittografiche per la verifica dell’integrità delle registrazioni.

5) Cosa si intende per operato dell’amministratore di sistema soggetto a controllo almeno annuale?
E’ da sottoporre a verifica l’attività svolta dall’amministratore di sistema nell’esercizio delle sue funzioni. Va verificato che le attività svolte dall’amministratore di sistema siano conformi alle mansioni attribuite, ivi compreso il profilo relativo alla sicurezza.

6) Chiarire i casi di esclusione dall’obbligo di adempiere al provvedimento
Sono esclusi i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle misure di semplificazione introdotte nel corso del 2008 per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 27 novembre 2008).

7) Cosa si intende per descrizione analitica degli ambiti di operatività consentiti all’ADS? [Rif. comma 2, lettera d]
Il provvedimento prevede che all’atto della designazione di un amministratore di sistema, venga fatta “elencazione analitica” degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato, ovvero la descrizione puntuale degli stessi, evitando l’attribuzione di ambiti insufficientemente definiti, analogamente a quanto previsto al comma 4 dell’art. 29 del Codice riguardante i responsabili del trattamento.

8) Oltre alla job description si deve andare più in dettaglio? Si devono indicare i singoli sistemi e le singole operazioni affidate?
No, è sufficiente specificare l’ambito di operatività in termini più generali, per settori o per aree applicative, senza obbligo di specificarlo rispetto a singoli sistemi, a meno che non sia ritenuto necessario in casi specifici.

9) Cosa si intende per access log (log-in, log-out, tentativi falliti di accesso, altro?…) [Rif. comma 2, lettera f]
Per access log si intende la registrazione degli eventi generati dal sistema di autenticazione informatica all’atto dell’accesso o tentativo di accesso da parte di un amministratore di sistema o all’atto della sua disconnessione nell’ambito di collegamenti interattivi a sistemi di elaborazione o a sistemi software.

Gli event records generati dai sistemi di autenticazione contengono usualmente i riferimenti allo “username” utilizzato, alla data e all’ora dell’evento (timestamp), una descrizione dell’evento (sistema di elaborazione o software utilizzato, se si tratti di un evento di log-in, di log-out, o di una condizione di errore, quale linea di comunicazione o dispositivo terminale sia stato utilizzato…).

10) Laddove il file di log contenga informazioni più ampie, va preso tutto il log o solo la riga relativa all’access log? [Rif. comma 2, lettera f]
Qualora il sistema di log adottato generi una raccolta dati più ampia, comunque non in contrasto con le disposizioni del Codice e con i principi della protezione dei dati personali, il requisito del provvedimento è certamente soddisfatto. Comunque è sempre possibile effettuare un’estrazione o un filtraggio dei logfiles al fine di selezionare i soli dati pertinenti agli AdS.

11) Come va interpretata la caratteristica di completezza del log? Si intende che ci devono essere tutte le righe? L’adeguatezza rispetto allo scopo della verifica deve prevedere un’analisi dei rischi?
La caratteristica di completezza è riferita all’insieme degli eventi censiti nel sistema di log, che deve comprendere tutti gli eventi di accesso interattivo che interessino gli amministratori di sistema su tutti i sistemi di elaborazione con cui vengono trattati, anche indirettamente, dati personali. L’analisi dei rischi aiuta a valutare l’adeguatezza delle misure di sicurezza in genere, e anche delle misure tecniche per garantire attendibilità ai log qui richiesti.

12) Come va interpretata la caratteristica di inalterabilità dei log?
Caratteristiche di mantenimento dell’integrità dei dati raccolti dai sistemi di log sono in genere disponibili nei più diffusi sistemi operativi, o possono esservi agevolmente integrate con apposito software. Il requisito può essere ragionevolmente soddisfatto con la strumentazione software in dotazione, nei casi più semplici, e con l’eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili. In casi più complessi i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log server centralizzati e “certificati”.

E’ ben noto che il problema dell’attendibilità dei dati di audit, in genere, riguarda in primo luogo la effettiva generazione degli auditable events e, successivamente, la loro corretta registrazione e manutenzione. Tuttavia il provvedimento del Garante  non affronta questi aspetti, prevedendo soltanto, come forma minima di documentazione dell’uso di un sistema informativo, la generazione del log degli “accessi” (log-in) e la loro archiviazione per almeno sei mesi in condizioni di ragionevole sicurezza e con strumenti adatti, in base al contesto in cui avviene il trattamento, senza alcuna pretesa di instaurare in modo generalizzato, e solo con le prescrizioni del provvedimento, un regime rigoroso di registrazione degli usage data dei sistemi informativi.

13) Si individuano livelli di robustezza specifici per la garanzia della integrità?
No. La valutazione è lasciata al titolare, in base al contesto operativo (cfr. faq n. 14).

14) Quali potrebbero essere gli scopi di verifica rispetto ai quali valutare l’adeguatezza?
Quelli descritti al paragrafo 4.4 del provvedimento e ribaditi al punto 2, lettera e), del dispositivo. L’adeguatezza è da valutare in rapporto alle condizioni organizzative e operative dell’organizzazione.

15) Cosa dobbiamo intendere per evento che deve essere registrato nel log? Solo l’accesso o anche le attività eseguite?
Il provvedimento non chiede in alcun modo che vengano registrati dati sull’attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema. Si veda la risposta alla faq n. 11.

16) Quali sono le finalità di audit che ci dobbiamo porre con la registrazione e raccolta di questi log?
La raccolta dei log serve per verificare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi cui si è fatto accesso…). L’analisi dei log può essere compresa tra i criteri di valutazione dell’operato degli amministratori di sistema.

17) Cosa si intende per “consultazione in chiaro”?
Il riferimento in premessa (par. 1 “Considerazioni preliminari”) è alla criticità di mansioni che comportino la potenzialità di violazione del dato personale anche in condizioni in cui ne sia esclusa la conoscibilità, come può avvenire, per esempio, nel caso della cifratura dei dati.

18) Il regime di conoscibilità degli amministratori di sistema è da intendersi per i soli trattamenti inerenti i dati del personale e dei lavoratori?
Si.

19) La registrazione degli accessi è relativa al sistema operativo o anche ai DBMS?
Tra gli accessi logici a sistemi e archivi elettronici sono comprese le autenticazioni nei confronti dei data base management systems (DBMS), che vanno registrate.

20) Nella designazione degli amministratori di sistema occorre valutare i requisiti morali? [Rif. comma 2, lettera a]
No. Il riferimento alle caratteristiche da prendere in considerazione, al comma  2, lettera a), del dispositivo, è all’esperienza, alla capacità e all’affidabilità del soggetto designato. Si tratta quindi di qualità tecniche, professionali e di condotta, non di requisiti morali.

21) Cosa si intende per “estremi identificativi” degli amministratori di sistema?
Si tratta del minimo insieme di dati identificativi utili a individuare il soggetto nell’ambito dell’organizzazione di appartenenza. In molti casi possono coincidere con nome, cognome, funzione o area organizzativa di appartenenza.

22) E’ corretto affermare che l’accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l’accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati?
Si. L’accesso applicativo non è compreso tra le caratteristiche tipiche dell’amministratore di sistema e quindi non è necessario, in forza del provvedimento del Garante, sottoporlo a registrazione.

23) Si chiede se sia necessario conformarsi al  provvedimento nel caso della fornitura di servizi di gestione sistemistica a clienti esteri (housing, hosting, gestione applicativa, archiviazione remota…) da parte di una società italiana non titolare dei dati gestiti
Il provvedimento si rivolge solo ai titolari di trattamento. I casi esemplificati prefigurano al più una responsabilità di trattamento (secondo il Codice italiano), e sono quindi esclusi dall’ambito applicativo del provvedimento.

24) Si possono ritenere esclusi i trattamenti relativi all’ordinaria attività di supporto delle aziende, che non riguardino dati sensibili, giudiziari o di traffico telefonico/telematico? Ci si riferisce ai trattamenti con strumenti elettronici finalizzati, ad esempio, alla gestione dell’autoparco, alle procedure di acquisto dei materiali di consumo, alla manutenzione degli immobili sociali ecc…)
Tali trattamenti possono considerarsi compresi tra quelli svolti per ordinarie finalità amministrativo-contabili e, come tali, esclusi dall’ambito applicativo del provvedimento.

* Così richiamate dal provvedimento “Amministratori di sistema: avvio di una consultazione pubblica” – 21 aprile 2009 [doc. web n. 1611986]

“Facebook & Co.: attenzione agli effetti collaterali”

Come tutelare la propria privacy ai tempi di Facebook, MySpace & Co.?parrot_head

Il Garante interviene nuovamente sul fenomeno (oramai non più tanto) dei social network attraverso un agile vademecum (qua scaricabile in pdf) col quale segnala rischi e mette in allerta sull’uso un po’ troppo disinvolto che facciamo delle informazioni che ci riguardano e, spesso, finiscono per coinvolgere anche persone a noi vicine (parenti, familiari, amici, colleghi di lavoro, etc.).

La guida del Garante privacy
 è organizzata in quattro capitoli pensati in forma modulare, così da offrire a tutti i lettori elementi di riflessioni e consigli, adatti alla propria formazione e ai differenti interessi.

  1. Avviso ai naviganti
Spunti di riflessione sul funzionamento dei social network e su alcuni dei principali rischi che si possono incontrare nell’uso dei social network.
  2. Ti sei mai chiesto?
La semplice check list che ogni utente dovrebbe controllare prima di pubblicare su Internet i propri dati personali, le informazioni sulla propria vita e o su quella delle persone a lui vicine.
Per facilitare la lettura, le domande sono raggruppate in cinque sezioni, in base al tipo di lettori cui ci si rivolge: ragazzi, genitori, persone in cerca di lavoro, “esperti” e professionisti. In realtà, anche gli utenti esperti possono trovare domande interessanti nella sezione dedicata ai ragazzi, e viceversa.
  3. Consigli per un uso consapevole dei social network
Il “decalogo” stilato dal Garante, con consigli utili per tenere sotto controllo i pericoli che si possono incontrare nell’uso dei social network.
  4. Il gergo della rete
La spiegazione, rigorosamente non tecnica, dei termini informatici o delle espressioni gergali che si incontrano con maggiore frequenza nelle “reti sociali”.

Concludo con un’ossrvazione di Umberto Eco non condivisibile in toto ma perfettamente calzante per i social network:

“Ha senso parlare di riservatezza in un ambiente dove tutti sono esibizionisti?”

Privacy e diritto d’ispezione al libro-soci: tutelati gli interessi dei piccoli azionisti

Rammentando che:

  • l’art. 2422 del Codice civile (Diritto d’ispezione dei libri sociali) riconosce agli azionisti il diritto di consultare e di ottenere copia integrale a proprie spese dei libri sociali;
  • l’art. 24, comma 1 del Dlgs 196/2003
stabilisce i casi in cui, per il trattamento di dati comuni e sempre previa informativa all’Interessato, il consenso non è richiesto: il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento (…) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; (…)

Vediamo come il Garante ha risolto il diniego da parte di un Spa all’accesso integrale al Libro soci nei confronti di un suo piccolo azionista, consentendo l’accesso ai soli nominativi, ma senza i recapiti, sostenendo di non poter fornire tali informazioni perché esse erano tutelate, in quanto dati personali, dal Codice della privacy.

Gli azionisti di una società per azioni hanno diritto di conoscere l’indirizzo e i dati degli altri soci, al fine di contattarli e di poter tutelare i propri legittimi interessi. La legge sulla privacy non limita la conoscibilità da parte degli azionisti dei dati personali contenuti nel libro soci e non si pone in contrasto con la trasparenza dell’attività societaria”

così ha disposto il Garante in data 26 marzo 2009. La decisione dell’Autorità assume particolare rilevanza in particolare per i piccoli azionisti.

L’interessato – in base al diritto d’ispezione garantito dal codice civile (art.2422) – aveva chiesto di consultare e di ottenere copia integrale digitale del libro soci, senza che venissero oscurati gli indirizzi dei soci-azionisti. La richiesta era motivata anche dalla volontà di poter eventualmente convocare l’assemblea e di esercitare i diritti di denuncia previsti dalla legge.

La società aveva invece consentito l’accesso solo ai nominativi contenuti nel libro-soci, ma senza i recapiti, sostenendo di non poter fornire tali informazioni perché esse erano tutelate, in quanto dati personali, dal Codice della privacy. L’azienda aveva peraltro aggiunto a sostegno della sua posizione l’impossibilità di richiedere il necessario esplicito consenso a tutti i quasi 700.000 soci interessati.

L’Autorità, con un provvedimento di cui è stato relatore Giuseppe Chiaravalloti, ha precisato quanto stabilito in un provvedimento adottato nel 2000, affermando che

“la legge sulla privacy non impedisce affatto al socio, nell’esercizio del suo potere d’ispezione, di poter accedere ai dati personali e agli indirizzi degli altri azionisti e di ottenere estratti del libro soci “a proprie spese”. L’accesso a tali informazioni, peraltro, essendo previsto da un preciso obbligo di legge, non richiede il consenso dei soci.”

E-mail e fax indesiderati: nuovo stop del Garante

Continua l’azione del Garante contro lo spamming e il marketing disinvolto. L’Autorità ha vietato l’ulteriore trattamento illecito dei dati personali a cinque società che inviavano pubblicità tramite fax e posta elettronica senza il preventivo consenso degli interessati.

Nella Newsletter del 5 maggio 2009 il Garante è intervenuto a seguito delle segnalazioni di alcuni utenti che continuavano a ricevere e-mail e fax indesiderati nonostante non avessero mai manifestato alcun consenso all’uso dei loro dati per questo scopo.

Precisa, il Garante: anche se i dati sono estratti dalle Pagine Gialle o dai registri pubblici, quando si usano sistemi automatizzati è obbligatorio acquisire prima il consenso dei destinatari. Lo società coinvolte (due inviavano lo spam tramite posta elettronica [doc. web nn. 15971511597146], tre tramite fax [doc. web nn. 159716316015061601475]) in alcuni casi fornivano l’informativa e la richiesta di consenso contestualmente all’invio del primo fax o della prima e-mail che avevano già un contenuto di carattere commerciale.

L’Autorità ha ribadito, invece, che l‘uso di sistemi automatizzati per inviare messaggi promozionali, anche quando si tratti di dati estratti da elenchi categorici o da albi, impone la preventiva acquisizione del consenso da parte dei destinatari.

Alle cinque società è stato dunque vietato l’ulteriore trattamento illecito dei dati degli utenti interessati, i quali non potranno dunque più essere disturbati. La mancata osservanza del divieto del Garante espone anche a sanzioni penali.

Quando il consenso può non essere richiesto?

Il titolare del trattamento che abbia già venduto un prodotto o prestato un servizio a un interessato, nel quadro dello svolgimento di ordinarie finalità amministrative e contabili, può utilizzare i recapiti oltre che di posta elettronica, anche  di posta cartacea forniti dall’interessato medesimo, per inviare ulteriore suo materiale pubblicitario o promuovere una sua vendita diretta o per compiere sue ricerche di mercato o di comunicazione commerciale.

Le condizioni che le aziende devono soddisfare nel caso vogliano effettuare nuovi trattamenti con finalità di marketing nei confronti dei propri clienti sono:

  • l’attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita;
  • l’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le menzionate finalità, sia informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente, anche mediante l’utilizzo della posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi l’interruzione di tale trattamento;
  • l’interessato medesimo, così adeguatamente informato già prima dell’instaurazione del rapporto, non si opponga a tale uso, inizialmente o in occasione di successive comunicazioni.

Attenzione alle sanzioni in caso di violazione della normativa che possono essere anche di natura penale: secondo l’art. 167 Dlgs 196/2003, salvo che il fatto costituisca più grave reato, è prevista la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.