Profilazione on line: regole chiare e più tutele per la privacy degli utenti

inconvénient-micro-stationConsenso obbligatorio, revocabile in ogni momento. Garanzie anche per gli utenti senza account di accesso ai servizi.

Maggiori tutele per gli utenti, ma anche regole più chiare per chi fa profilazione on line, a partire dai principali siti web. Chi opera su Internet dovrà:

  • fornire agli utenti informazioni chiare e complete,
  • richiedere ed ottenere il consenso degli interessati, revocabile in ogni momento, e
  • offrire concrete tutele anche a chi non dispone di uno specifico account per accedere ai servizi offerti.

Queste le principali misure indicate dal Garante per la privacy nelle Linee guida in materia di trattamento di dati personali per profilazione on line”, pubblicate oggi sulla Gazzetta Ufficiale.

Le regole varate armonizzano e rendono più chiara la gestione delle attività di profilazione, ovvero la definizione di “profili” di utenti (sulla base di caratteristiche, comportamenti, scelte, abitudini) allo scopo di fornire servizi o promozioni personalizzate.

Dovranno essere adottate da tutti i soggetti stabiliti su territorio nazionale che forniscono servizi on line, quali:

  • motori di ricerca,
  • posta elettronica,
  • mappe on line,
  • social network,
  • pagamenti elettronici,
  • cloud computing.

Ecco in sintesi le regole previste nelle Linee guida

Tutele per ogni utente

Le società dovranno tutelare la privacy sia degli utenti autenticati, cioè quelli che accedono ai servizi tramite un account (ad esempio per l’utilizzo della posta elettronica), sia di quelli che fanno uso dei servizi in assenza di previa autenticazione (utenti non autenticati), come in caso di semplice navigazione on line.

Informativa

L’informativa sul trattamento dei dati dovrà essere chiara, completa, esaustiva e resa ben visibile, già dalla prima pagina del sito. Essa costituisce il presupposto per consentire agli interessati medesimi di esprimere o meno il consenso all’uso dei propri dati per fini di profilazione ed è preferibile che sia strutturata su più livelli, per renderne più facile la lettura:

  • un primo livello immediatamente accessibile con un solo click dalla pagina visitata, con tutte le informazioni di maggiore importanza (ad esempio l’indicazione dei trattamenti e dei dati oggetto di trattamento);
  • un secondo livello, accessibile dal primo, con ulteriori dettagli sui servizi offerti.

Consenso

Qualunque attività di trattamento dei dati personali dell’utente per finalità di profilazione e diversa da quelle necessarie per la fornitura del servizio (ad esempio, i filtri antispam o antivirus, gli strumenti per consentire ricerche testuali, etc.) potrà essere effettuata esclusivamente con il consenso informato dell’utente.

Questo obbligo si applica dunque alla profilazione per finalità promozionali comunque effettuata:

  • sia quella sui dati relativi all’uso della posta elettronica
  • sia quella basata sull’incrocio dei dati personali raccolti in relazione all’utilizzo di più funzionalità da parte degli utenti (ad esempio: posta elettronica e navigazione sul web, partecipazione a social network e utilizzo di mappe o visualizzazione di contenuti audiovisivi etc.),
  • sia infine quella fondata sull’impiego di strumenti di identificazione diversi dai cookie (come il fingerprinting, che costruisce profili dell’utente sulla base di specifici parametri di impostazione del terminale o sulle modalità del suo utilizzo).

Attraverso modalità semplificate, gli utenti potranno scegliere in modo attivo e consapevole se acconsentire alla profilazioneAll’utente dovrà comunque essere sempre pienamente garantito il diritto di revoca delle scelte espresse in precedenza. A tale scopo dovrà essere predisposto un link, sempre ben visibile.

Conservazione

Dovranno essere definiti tempi certi di conservazione dei dati, sulla base delle norme del Codice privacy, proporzionati alle specifiche finalità perseguite.

Annunci

La mia Impresa è in Cloud: posso stare tranquillo?

24 maggio 2012 – Il Garante interviene con un Vademecum per fornire precisazioni, dare risposte e segnalare rischi.

Lo sapevate che:

  • il Titolare del trattamento che trasferisce del tutto o in parte il trattamento sulle “nuvole” deve procedere a designare  il fornitore dei servizi cloud Responsabile del trattamento?
  • in caso di violazioni commesse dal Fornitore, anche il Titolare sarà chiamato a rispondere dell’eventuale illecito?
  • il Codice privacy vieta, in linea di principio, il trasferimento “anche temporaneo” di dati personali verso uno Stato extraeuropeo (v. Paese di stabilimento del fornitore dei servizi di cloud computing), qualora l’ordinamento del Paese di destinazione o di transito dei dati non assicuri un adeguato livello di tutela? 

La “mini guida” del Garante privacy intitolata CLOUD COMPUTING – Proteggere i dati per non cadere dalle nuvole, è pensata non solo per gli esperti del settore, ma anche per coloro che sono interessati alla comprensione e alla potenziale adozione di queste nuove tecnologie.

La mini guida è suddivisa in cinque capitoli:

  1. Cos’è il cloud computing
  2. Nuvole diverse per esigenze diverse
  3. Il quadro giuridico
  4. Valutazione dei rischi, dei costi e dei benefici
  5. Il decalogo per una scelta consapevole

Nei primi due capitoli si approfondiscono i principali tipi di “nuvole” e le modalità di utilizzo. Il terzo offre una panoramica dei principali riferimenti normativi del settore, con particolare riguardo alla protezione dei dati. Gli ultimi due capitoli propongono i principali criteri per valutare costi e benefici dell’adozione del cloud e una serie di consigli concreti per effettuare le scelte più opportune.

 

Privacy e Cloud Computing: le Istruzioni per l’Uso del Garante

L’Autorità Garante per la protezione dei dati personali, composta da Francesco Pizzetti, Giuseppe Chiaravalloti, Mauro Paissan e Giuseppe Fortunato, ha presentato il 23 giugno 2011 la Relazione sul quattordicesimo anno di attività e sullo stato di attuazione della normativa sulla privacy.


Oggi ci occupiamo della parte, a nostro parere, più interessante: quella relativa al Cloud Computing.

Garante dixit:

Il cloud e i trattamenti massivi di dati: il rischio di smarrirsi nella nuvola

Le tecnologie cloud consentono di trattare e conservare i dati su sistemi di server dislocati nelle diverse parti del pianeta e sottoposti, nella loro inevitabile materialità, a molti rischi, da quelli sismici a quelli legati a fenomeni di pirateria, non solo “informatica”, o ad atti di terrorismo o a rivoluzioni imprevedibili.

Recenti episodi, come quelli verificatisi nei server di una grande società di servizi (Aruba), colpiti da incidenti fisici per fortuna di portata limitata, danno concretezza a questi pericoli.

Crescono i pericoli legati alla perdita e al furto di enormi quantità di dati, come già si è verificato in sistemi legati alla diffusione di giochi elettronici (Sony).

Si amplia il numero dei soggetti che intervengono nell’ambito di trattamenti così complessi e disarticolati.

Neutralità della rete, obbligo di denunciare le serious breaches, necessità di ridefinire le responsabilità nell’ambito di catene complesse di trattamento dei dati: ecco alcuni titoli di una tematica sempre più vitale per le nostre società, per il nostro sviluppo economico, per la nostra libertà e convivenza democratica.

Le imprese e gli operatori a cui il mercato offre questi nuovi servizi pensano soprattutto alla diminuzione di costi o alle opportunità di costante ammodernamento che queste tecnologie consentono, prestando scarsa attenzione al fatto che comportano la perdita del possesso fisico dei dati e dei programmi operativi che utilizzano.

Di qui l’urgenza e l’importanza di un salto di qualità nella consapevolezza dei fenomeni.

La Scheda di Documentazione del Garante

Cloud Computing: Indicazioni per l’utilizzo consapevole dei servizi.