Newsletter 10 - 16 febbraio 2003

• Privacy su Internet. Gli indirizzi e-mail non sono pubblici
• Pagamento stipendi. Niente dati inutili in banca
• Marittimo sieropositivo licenziato. Il Garante avvia accertamenti
• Spamming: le raccomandazioni del Garante francese

Privacy su Internet. Gli indirizzi e-mail non sono pubblici

Gli indirizzi di posta elettronica non sono liberamente utilizzabili da chiunque per il solo fatto di trovarsi in rete. La vasta conoscibilità degli indirizzi e-mail che Internet consente, non rende lecito l´uso di questi dati personali per scopi diversi da quelli per i quali sono presenti on line. Gli indirizzi e-mail non sono, insomma, "pubblici" come possono essere quelli presenti sugli elenchi telefonici.

Il principio è stato ribadito dall´Autorità Garante (composta da Stefano Rodotà. Giuseppe Santaniello, Gaetano Rasi e Mauro Paissan) che ha affrontato in questi ultimi mesi diversi casi di utenti che avevano segnalato la pratica ormai diffusa di inviare e-mail commerciali ad indirizzi di posta elettronica raccolti in rete. Alle proteste degli utenti, le società che avevano inviato le e-mail rispondevano che non vi era stata alcuna violazione della privacy perché gli indirizzi erano stati reperiti su Internet (spesso attraverso appositi software) e che pertanto erano "pubblici".

Niente di più sbagliato, afferma l´Autorità. Gli indirizzi di posta elettronica non provengono, infatti, da pubblici registri, elenchi, atti o documenti formati o tenuti da uno o più soggetti pubblici e non sono sottoposti ad un regime giuridico di piena conoscibilità da parte di chiunque. La circostanza che l´indirizzo e-mail sia conoscibile di fatto, anche momentaneamente, da una pluralità di soggetti non lo rende, infatti, liberamente utilizzabile e non autorizza comunque l´invio di informazioni, di qualunque genere, anche se non specificamente a carattere commerciale o promozionale, senza un preventivo consenso.

L´Autorità sottolinea che l´eventuale disponibilità in Internet di indirizzi di posta elettronica, anche se resi conoscibili dagli interessati per certi scopi (ad esempio su un sito istituzionale o anche aziendale) attraverso siti web o newsgroup, va "rapportata alle finalità per cui essi sono pubblicati sulla rete".

A maggior ragione questo principio vale in caso di uso indebito di software che rastrellano automaticamente migliaia di indirizzi in rete o li creano "a tavolino" a prescindere da un accertamento sulla loro effettiva esistenza.

Per poter inviare e-mail senza violare la privacy degli utenti web è obbligatorio, dunque, ottenere prima il loro consenso.

Uno degli ultimi casi di cui si è occupato il collegio del Garante ha riguardato un docente che si era visto recapitare una e-mail pubblicitaria al proprio indirizzo di posta elettronica, presente per finalità di istituto, sul sito dell´università presso la quale insegna.

Pagamento stipendi. Niente dati inutili in banca

Nuovo intervento del Garante per limitare la comunicazione ingiustificata di dati personali dei dipendenti pubblici e privati a terzi.

L´Autorità Garante ha chiesto, infatti, maggiori tutele nella corresponsione dello stipendio per i lavoratori che non dispongono di un conto corrente bancario o che non intendono comunicarlo al datore di lavoro. La conoscenza dei dati personali da parte della banca incaricata del pagamento dello stipendio deve essere limitata ai dati necessari ad identificare la persona che ha titolo a riscuotere il bonifico emesso a suo favore o a consentire l´eventuale adempimento da parte dell´istituto di credito di altri obblighi di legge (per esempio, alla normativa antiriciclaggio).

Le precisazioni del Garante giungono al termine della verifiche preliminari disposte a seguito della segnalazione di un dipendente che lamentava la violazione della legge sulla privacy da parte della società presso la quale lavora. La società aveva imposto, infatti, al dipendente di esibire un documento di riconoscimento, il tesserino aziendale e la "busta paga" per ritirare lo stipendio in banca. L´interessato chiedeva, inoltre, di accertare la legittimità di una eventuale comunicazione di dati personali, avendo riscontrato che in alcune comunicazioni inviategli da una associazione al suo nominativo, era associato un codice aziendale.

A seguito dell´intervento dell´Autorità la società ha convenuto con la banca nuove modalità di riscossione dello stipendio. D´ora in poi tale operazione potrà essere effettuata esibendo allo sportello un semplice documento di riconoscimento e il telegramma inviato dalla società con l´importo del bonifico e l´indicazione dell´istituto bancario. Solo in caso di stipendio superiore ad un determinato importo sarà necessario esibire il codice fiscale.

L´Autorità, pur non entrando nel merito di alcune scelte del datore di lavoro, ha ribadito che, per non incorrere in violazioni della privacy, è necessario limitare la conoscenza dei dati personali dei dipendenti da parte di terzi. L´esibizione allo sportello bancario di documenti ulteriori rispetto a quello di riconoscimento, come appunto la "busta paga", senza peraltro l´adozione di opportuni accorgimenti, non risulta giustificata - afferma il Garante - in base al principio di proporzionalità sancito dalla legge 675/96, considerando anche che in tale documentazione possono essere contenute indicazioni da cui è desumibile l´appartenenza sindacale del dipendente o informazioni sul suo stato di salute.

Per quanto riguarda invece la divulgazione degli altri dati personali, questa era probabilmente da attribuire ad un errore tecnico verificatosi nella gestione della banca dati aziendale.La società ha provveduto alla cancellazione dal sistema informatico.

In considerazione dell´immediato riscontro fornito dalla società il Garante non ha adottato provvedimenti o sanzioni. Ciò non preclude, comunque, una eventuale richiesta di risarcimento dell´interessato da presentare al giudice ordinario.

Marittimo sieropositivo licenziato. Il Garante avvia accertamenti
(comunicato del 7 febbraio)

L´Autorità Garante ha deciso di avviare una procedura di accertamento per valutare se siano state violate le disposizioni legislative che tutelano la riservatezza e la dignità umana riguardo al caso, riportato oggi dalla stampa, del marittimo affetto da sindrome da Hiv licenziato dall´azienda per la quale lavorava.

Spamming: le raccomandazioni del Garante francese

La Commission Nationale Informatique et Liberté, l´autorità garante per la protezione dei dati francese, riguardante la lotta alla posta elettronica indesiderata. La CNIL ha istituito lo scorso anno un indirizzo ("Boite à spam") al quale chiunque poteva inoltrare i messaggi di spamming ricevuti; l´obiettivo era di monitorare il fenomeno e ricavare indicazioni utili per definire un modus operandi ai fini di future iniziative, anche di tipo legislativo.

L´iniziativa ha coperto il periodo da luglio 2002 ad ottobre 2002, e la CNIL ha realizzato recentemente una pagina sul proprio sito Web ( www.cnil.fr) in cui dà conto dei risultati e fornisce alcune utili raccomandazioni sia agli utenti sia alle imprese desiderose di "mettersi in regola". Va detto che in soli tre mesi sono stati ricevuti oltre 300.000 messaggi di spam; l´analisi di tali messaggi mostra che in maggioranza si tratta di messaggi in lingua inglese (oltre 84%), mentre l´8% sono messaggi in lingue asiatiche ed il 7% in lingua francese. Rispettivamente il 42% ed il 40% di tutti i messaggi hanno contenuto pornografico oppure offrono prodotti/servizi finanziari, anche se rispetto a quest´ultimo settore la percentuale è molto più bassa se si considerano solo i messaggi in lingua francese (5%). Il 13% riguarda offerte di prodotti sanitari.

Questi dati sono spiegabili ricordando che l´80% di tutti i contenuti su Internet sono redatti in lingua inglese, e che l´utilizzazione di Internet è diffusa maggiormente proprio negli USA. Per la CNIL, la maggiore severità della normativa europea - e francese in particolare - rispetto alla commercializzazione di determinati servizi finanziari spiega anche la minore diffusione di offerte di tipo finanziario attraverso messaggi di spamming in lingua francese.

L´analisi ha mostrato, inoltre, che lo spamming viene praticato in massima parte da piccole imprese, che si servono di Internet come vettore privilegiato per le proprie comunicazioni, le quali possono raggiungere una porzione estesa di destinatari con un investimento ridottissimo, dato che i costi di connessione per scaricare i messaggi sono sostenuti, appunto, dai destinatari stessi.

Ad accompagnare la presentazione dei risultati di questa iniziativa, la CNIL ha preparato una serie di "raccomandazioni" per prevenire e/o reagire all´invio di posta elettronica indesiderata. Si tratta di veri e propri decaloghi rivolti sia agli operatori (Internet provider, imprese, professionisti etc.) sia agli utenti.

Fra le misure di tipo preventivo, la CNIL raccomanda agli utenti di usare particolare cautela nel comunicare il proprio indirizzo di posta elettronica (assicurandosi, ad esempio, che sia specificato l´utilizzo che ne verrà compiuto, creando indirizzi e-mail "dedicati" e riservando quello "vero" agli amici e/o conoscenti, mascherando o criptando il proprio indirizzo nell´ambito, ad esempio, di gruppi di discussione); di non consentire la visualizzazione dei destinatari dei propri messaggi e-mail (utilizzando il campo "Ccn" per mascherare gli indirizzi dei destinatari ai quali si invia simultaneamente lo stesso messaggio); di non rispondere mai ad un messaggio di spam per evitare che il mittente abbia conferma dell´effettiva validità dell´indirizzo utilizzato, e di attivare sistemi di filtraggio, generalmente disponibili sulla maggior parte dei software di posta elettronica.

Alle imprese, la CNIL ricorda l´obbligo di rispettare le disposizioni della direttiva sulla protezione dei dati (ma anche della direttiva 2002/58 in materia di privacy e comunicazioni elettroniche) per quanto riguarda l´informativa da fornire agli interessati (identità del titolare, finalità della raccolta dei dati, utilizzazione di cookies); il diritto di accesso e rettifica riconosciuto agli interessati; il periodo di conservazione dei dati raccolti (che, ad esempio, non deve superare il termine entro cui sia possibile contestare i dettagli di una specifica transazione).

In particolare, la CNIL ricorda agli operatori la necessità di offrire ai destinatari la possibilità di farsi cancellare da un indirizzario inviando al mittente un semplice messaggio, con successiva spedizione via e-mail di un avviso di ricevimento.

Fra gli altri consigli pratici che la CNIL indirizza alle imprese, va segnalato anche quello di evitare l´invio di allegati, per limitare la diffusione di possibili virus (che spesso si propagano proprio attraverso file allegati a messaggi di e-mail) e di limitare a 30K le dimensioni massime dei messaggi inviati (secondo un´indicazione contenuta anche nel codice deontologico dell´associazione francese delle imprese di marketing diretto).