Consulenze  on line sì, ma solo con regole precise
Il Garante autorizza una società all’uso dei dati personali per rispondere alle richieste degli utenti

L’ “esperto risponde” on line potrà fornire le sue consulenze, ma solo assicurando precise tutele alla privacy dei richiedenti.

L’Autorità Garante (Stefano Rodotà, Giuseppe Santaniello, Gaetano Rasi, Mauro Paissan) ha autorizzato, definendo limiti e garanzie, una importante casa editrice a trattare dati sensibili relativi anche a opinioni politiche, sindacali, religiose, appartenenza etnica delle persone che richiedono servizi di consulenza on line, offerti a pagamento dalla stessa società attraverso siti e pagine web di testate giornalistiche. Medici, avvocati, psicologi, cuochi, architetti, pediatri, dietologi, consulenti del lavoro, consulenti matrimoniali, esperti di moda, personal trainer etc. potranno rispondere a richieste formulate anche per e-mail, ma nel rispetto delle regole indicate dal Garante.

I soggetti privati possono trattare i dati sensibili solo previa autorizzazione del Garante e con il consenso degli interessati

La specifica richiesta di autorizzazione avanzata dalla società, riguarda l’eventualità che un utente, nel formulare un quesito, rilasci spontaneamente dati a carattere sensibile e che l’esperto ne venga quindi a conoscenza ai fini della risposta. I quesiti  verrebbero inviati agli esperti comunque privi dei dati anagrafici e indirizzi e-mail e le risposte arriverebbero automaticamente ai richiedenti attraverso dei codici identificativi, tramite il sistema informativo.

L’Autorità, nel richiamare la casa editrice al rispetto delle disposizioni già contenute nell’autorizzazione generale 2/2002 riguardante i dati sulla salute,  ha autorizzato il trattamento di ulteriori dati sensibili soltanto se pertinenti in rapporto all’argomento trattato o al quesito posto, oltre che indispensabili per fornire il servizio di consulenza on line. Alla società è stato, quindi, prescritto di inserire in modo visibile nell’informativa fornita agli utenti, l’invito a non indicare nei quesiti dati di carattere sensibile non strettamente necessari per la risposta.

Nel caso poi che la domanda e la risposta dovessero essere inserite, previo consenso dell’utente, negli spazi consultabili liberamente dal pubblico (ad esempio in una rubrica delle domande più frequenti, faq), la società dovrà altresì verificare prima della loro pubblicazione che, oltre al nome e all’indirizzo e-mail dell’interessato, non vi siano altri dati, anche diversi da quelli sensibili, che possano rendere identificabile l’interessato. La società dovrà, inoltre, impartire agli esperti (che vengono designati responsabili del trattamento) precise istruzioni per la verifica della pertinenza ed effettiva necessità dei dati sensibili riportati nei quesiti, ma anche per la loro eliminazione nel caso non fossero necessari. Gli esperti on line dovranno anche controllare che nelle risposte pubblicate non vi sia nessun elemento che  permetta di  risalire all’identità della persona che ha richiesto la consulenza.

Le condizioni dettate dal Garante, sia nelle autorizzazioni generali sia in quelle specifiche, devono essere rispettate a pena di sanzione penale.

Export di dati personali sicuro verso le Isole della Manica
La Commissione riconosce l’adeguatezza delle norme sulla privacy dello Stato di Guernsey

Con una decisione pubblicata sulla GUCE del 25 novembre 2003, la Commissione europea ha stabilito che il livello di protezione dati nello Stato di Guernsey è “adeguato” ai fini del trasferimento di dati personali dal territorio dell’UE verso soggetti residenti in tale Stato (Articolo 25(2) della Direttiva 95/46/CE). Il Guernsey si aggiunge dunque agli altri quattro Stati (Svizzera, Ungheria, Canada, Argentina) per i quali la Commissione ha già pubblicato analoghe decisioni; ricordiamo inoltre che l’accordo detto di “approdo sicuro” (Safe Harbor) permette il trasferimento di dati personali verso le imprese con sede negli USA che abbiano aderito all’accordo stesso.

La Commissione, come previsto dalla Direttiva, ha consultato il Gruppo che riunisce le Autorità europee di protezione dati, il quale ha espresso parere favorevole (5/2003, http://www.europa.eu.int/...) riconoscendo la sostanziale conformità della legge di protezione dati approvata dallo Stato di Guernsey con i principi della Direttiva 95/46. Ricordiamo che il Gruppo ha recentemente pubblicato un parere (6/2003, http://www.europa.eu.int/...) relativo all’adeguatezza della protezione dei dati nell’Isola di Man, formulando anche in questo caso una valutazione positiva. La decisione della Commissione è attesa per le prossime settimane.

L’Australia mette al bando lo spamming

Il 2 dicembre scorso il Parlamento australiano ha approvato lo Spam Act 2003, ossia la legge che rende illegale lo spamming. La legge prevede un periodo di grazia di 120 giorni dalla firma del Governatore per consentire alle imprese di mettersi in regola con le nuove disposizioni. In particolare, sono previste multe fino a 1,1 milioni di dollari australiani per l’invio di messaggi indesiderati in violazione delle norme di legge.

Sull’attuazione della nuova normativa vigilerà l’Australian Communications Authority (ACA). Le principali disposizioni dello Spam Act prevedono il previo consenso del destinatario all’invio di messaggi di natura commerciale (opt-in), la necessità di indicare chiaramente il mittente di tali messaggi, e il divieto di distribuire e utilizzare software in grado di generare automaticamente indirizzari di posta elettronica. Naturalmente la legge si applica soltanto allo spam che ha origine dal territorio australiano, oppure da mittenti che non siano stabiliti in Australia ma abbiano nominato un rappresentante sul territorio australiano ovvero utilizzino strumenti (server) situati in Australia. Sono previste alcune esenzioni per particolari categorie di mittenti (associazioni culturali o religiose riconosciute, enti governativi, enti no-profit).