Regolamentazione italiana in tema di privacy Dir.95/46/CE Tutela delle persone fisiche rispetto al trattam. dei dp e alla loro libera circolazione L. 675/96 Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali d.l. 467/01 Novellazione 675/96 d.lg.171/98 Privacy nel settore telecomunicazioni d.lg.185/99 Telecomunicazioni Dir.97/66 CE Telecomunicazioni Dir 2001/31CE Commercio elettronico Dir 2002/58 CE Trat.dati personali e tutela alla vita privata nel settore delle comunicazioni elettroniche d.l.196/2003 Codice in materia di protezione dp CP Codici di condotta - FEDMA Federaz. europea direct marketing AIDIM-Ass.it.direct marketing – ANFOV- AIIP

DP relativi ad attività economiche L.n.675/96 art.20e) 24 d)CP Consenso non necessario per comunicazione e diffusione di dp Se i dati sono relativi allo svolgimento di attività economiche nel rispetto del segreto az.le e industriale Attività economiche di quale soggetto? A)Soggetto che raccoglie,registra,conserva,comunica,diffonde dp nellambito di attività dimpresa. Crit.:sufficiente creare impresa per trattare dp senza consenso B)Soggetto sul cui conto dp sono raccolti.Pers.fisica non impr. Regola del mercato su circolaz.informazioni econ. Per evitare che il negato consenso crei disparità tra imprese su dati utili a altre imprese,ai consumatori e agli enti regolatori del mercato

Banche dati gestite a fini commerciali art.13e) linteressato ha il potere di opporsi (opting out) per: - Informazione com.le,comunicazione interattiva,invio pubbl. - Vendita diretta o compimento ricerche di mercato Tutela più ampia di dir.95/46 CE. Critiche: A) Ricerche di marketing non rivolte a invio materiale pubblicitario invadente B) Dir.97/7 CE vendite a distanza consenso a tecniche di comunicaz..invadenti (tel.,fax, ,sistemi automatici) - Consenso implicito interessato salvo diritto di opposizione - Necessità di regolam.tramite Codice deontologico

Regole e prassi US di garanzia della privacy US Gramm-Leach-Bliley Act 99 Limiti a diffusione informazioni finanziarie su clienti da banche e gestori carte. Notifica a clienti delle politiche e pratiche di privacy Divieto di fornire informaz.su pagamenti per telemarketing FTC pubblica regolamenti privacy per settore bancario e fin. NY District Court Southern,28/3/01 in tema di liceità uso cookies a fini registraz. dp internetnauti Programma che genera identità fittizia per lutente Soc.NY Nome,indirizzo, fittizi,post code codificato, credit card monouso; identità fittizia trasmessa a terzi (vend.on-line) a post office indirizzo postale codificato Unico sogg.che conosce dp è gestore cr. card che ha già i dati Id. fittizia usata una sola volta,non profilabile né catturabile

Proposte US di garanzia della privacy FTC – 2002 Proposta di Registro nazionale di opt-out Robinson list,oping-out generale Ora consumatore USA può opt-out solo verso ogni singola impresa Affidare a FTC Controllo su associazioni senza fini di lucro in applicazione del US PATRIOT Act su controlli a fini anti-terrorismo per impedire a corporations di usare assoc.non lucrative per eludere controlli su privacy Alleanza virtuosa tra associaz.consumatori e imprese leader Certificazione siti :VERISIGN, TRUST E, BBB on line Certificazione di qualità, Concertazione con assoc.consumatori Codici di condotta, Sanzioni (perdita del logo-immagine az.le) UE – Esperimenti pilota Altroconsumo - Milano

Raccolta invisibile di dp su Internet e mail grabbing Dati traffico dir.2002/21:Trasmis. di comunic. su reti elettron. Instradamento,durata,tempo,volume comunicaz.,protocollo, ubicazione terminale,rete,inizio,fine,durata collegamento IP deve adottare misure di sicurezza e informare su rischi e tecniche che utente può attivare per proteggere la propria sicurezza e privacy. Duty of disclosure. Devoir dinformation et de conseil du professionel Ammessa memorizzazione contenuto comunicazioni e dt se a fini di trasmissione e per periodo strettamente necessario se dp anonimi o consenso dellinteressato. IP provvede a identificare utente tramite doc.didentificazione Registro elettronico su tracciamento dei movimenti virtuali utente,contrattualmente autorizzato a fini probatori per esec. contratto di accesso: prova traffico (pagamenti) o per illeciti

Profilazione del consumatore virtuale Adsware,Spyware Cookie,contenitore di informazioni inviato tramite browster (web bugs) dal sito Web visitato a memoria interna computer Adsware,Spyware,Log,registraz.automat. collegam.dellutente Passwords,user-id, .siti visitati screenshot videate aperte Invio inconsapevole(stealth)di o sms con dp a indirizzo responsabile sito quando viene visulizzata pagina web. Clicktrail Personaliz.aspetti navigazione:ubicazione,siti visitati links durata colleg. datamining interessi e consumi dellutente Riconoscere utente,, personalizzare informaz.,banner calibrati Raccolta,spesso invisibile,è attività lecita o illecita? A) Lecita se impossibile identificare navigatore associando dati traffico a dp utente B) Illecita se non si limita a dati com.li,ma trasferisca dati presenti in memoria di massa del computer C) Autotutela,browster che segnalano cookie registrandi Potere di impedire la registrazione

Regole comparate di controllo uso cookies NY District Court Southern,28/3/01 Soc. Double Click advertising on line.Violaz. Ecpa Electr.Com.Privacy Act in tema di liceità uso cookies a fini registraz.dp degli utenti Rule:Uso cookies da az.adv.on line non è violazione privacy GdP 13/1/00 illiceità senza preventiva informativa art.10/675 Collocata prima richiesta di registr.on line dei dp utente Su tutti gli aspetti del trattam.e riepilogativa testo contratto Sintetico richiamo a diritti utente art ,accesso,rettifica reclamo – indicaz. Ufficio o servizio competenti Necessario consenso non solo per trattam.dp a fini com.li e di marketing,ma anche per comunicare dati a terzi,da indicare nellinformativa Dir.2001/31 Requisiti inform.minimi per comunic.com.li - comunic.com.le chiaramente identificabile - identific.soggetto per cui comunic. com.le è effettuata - offerte,premi,concorsi,giochi,chiaram.identificabili - Registri negativi cui possono iscriversi pers.fisiche

Invio di posta elettronica pubblicitaria e mail spamming Spamming(UCE unsollicited com. messaggi indesiderati -da spam carne in scatola in scketch)creano disagio ai consum. Rallentamento funzioni sistema informatico Indebito aggravio costi di accesso Costo tempi necessari a visionare,valutare e erase Potenzialità spamming.Direct marketing 50% investim.advert. Tassi rendim.5-15%v.0,5-2% Tassi risposta 18%v.0,65% 100 mil. /di Imprese transnaz. e mercato 300 mil.utenti Reazioni: messaggi di protesta,se elevati,intasanti,boycott perdita di immagine di IP,impresa e advertiser In US spamming considerato controproducente:Prassi az.li volte a concordare con utenti pubblicità (opt-in) e cessione a terzi data base o a personalizzare servizi da cui trarre consenso Netiquette- regole autodisciplinari di buon comportamento in contratto di accesso:divieto advert. con non richieste Divieto di spoofing-cammuffare identità. Ammessi i banner

Regole italiane sullo spamming Art.10 d.lg.171 consentito se consenso espresso Art.9 d.lg.185/99 Divieto fornitura non richiesta se soggetta a pagam. Esonero dal pagam.e irrilevanza del silenzio-consenso GdP 11/1/01 Comunicazione elettorale via Internet visualizzati su pag.web it.,org.,com.net Impossibilità o difficoltà a farsi cancellare dalle liste Distinzione tra comunicazione anonima e personalizzata Viola privacy chi utilizza,senza consenso,indirizzi reperiti in rete,in particolare se raccolti con software di ricerca relativo a utilizzatori di Pubblici registri,elenchi,atti o doc.conoscibili da chiunque solo per dp sottoposti a regime giur.di piena conoscibilità da chiunque (elenchi telefonici) Partecipazione a forum non rende pubblici indirizzi legati a finalità specifiche,non utilizzabili per altri fini. Idem per siti web per scopi associativi o az.li (elenchi soci,dip) 11 Provvedi di blocco del trattamento dp e sanzioni Regol.servizio Telecom- Divieto di turbativa ad altri abbonati

Dir. 2002/58 Privacy in comunicazioni elettroniche Art.13 Comunicazioni indesiderate. Uso sistemi automatici di chiamata a fini commerciali se consenso preliminare (opting in) Dp ottenuti da vendita,usabili per commercializzare propri analoghi prodotti o servizi se diritto di opporsi (opting out) gratutitamente e in maniera agevole Per telemarketing scelta naz.tra consenso preventivo opting in o opt- out list con garanzia di consultaz.periodica da parte dei prestatori Divieto di invio cammuffato o senza indirizzo mittente valido cui inviare richiesta di cessazione Ammissibilità cookies per scopi di miglioramento servizi

Riordino in Testo Unico - Codice Privacy 196/03 Codice in materia di protezione dei dati personali DL196/03 del 30/6/03 in vigore dal 1/1/04 in recep. dir CE 96/ /58 privacy in comunic.elettroniche Art.118 Rinvio a Codice di deontologia e buona condotta per trattamento dp a fini di informazione commerciale Modalità semplificate di informativa a interessato Meccanismi per garantire qualità e esattezza dp Art.119 Dati relativi al comportamento debitorio Divieto di fondare valutazioni giuridic.rilevanti su profilazione Art.14 CP Potere di opporsi,eccetto per conclusione contratto, previo consenso interessato o con garanzie dettate dal GdP

Consenso dellutente al trattamento dp Dir.2002/58CE, considerando 17 consenso fornito on line con modalità appropriate per esprimere liberamente e consapevolmente i propri desideri Art.23 CP Consenso a trattamento dp consenso su intero trattamento o singole operazioni espresso liberamente e specificatamente documentato per iscritto informative su finalità,conseguenze,respons.,diritti Art.26 CP Consenso a trattam.dati sensibili dps Consenso scritto previa autorizzaz.del GdP Senza consenso se effettuato da enti non lucrativi Art.81 CP Cons.a trat.dp idonei a rivelare stato salute Dichiaraz.anche orale,document.con annotaz.sanitario

DATA BANKS Sistemi automatici di raccolta conservazione, elabora- zione e ricerca dati distinte da archivi cartacei in base al principio di maggior libertà rispetto a sistemi tradiz. Lib. scelta del dato (qualsiasi dato può costituire chiave di accesso) Libera combinazione dei dati di ricerca – and/or/not Principio del mascheramento dei dati utilizzazione dati in parte sostiuiti da * Estraibilità informazioni mediante analisi spettrale: individuaz. numero documenti contenenti il dato Carattere colloquiale della ricerca: approssimazioni successive

Potere di controllo su vita privata Potere informatico che utilizza banche dati per: accumulare informazioni storicamente, geograficamente, temporalmente semplificate accedere ai dati personali di ciascun individuo realizzare links tra banche dati diverse Tutela del cittadino Mito del consenso individuale facilmente ottenibile,per scopi generici,non negoziato Potere di controllo: essere informato delle raccolte di dati personali (dp) accesso a dati,per verifica se erronei o illeciti chiedere rettifica o cancellazione se dati ultronei escludere propri dati personali opting out/in

Banche dati personali e privacy informatica Dato personale: qualsiasi informazione relativa a pers. fisica,giuridica,ente o associazione identificata o identificabile anche indirettamente tramite i.n. segno distintivo di persona (nome,identification n.) oggetto del diritto di informazione (media e privacy) bene. Cessione-vendita di dati personali (marketing) Da privacy the right to be alone Brandeis -USSC Corte Cost.it.Diritto cost.identità,domicilio,personalità a diritto a disponibilità.e controllo su propri dati pers. Sindrome del pesce rosso.Controllo,intrusione,uso indebito dp. Privacy informatica-telematica

Modelli comparati di tutela della privacy informatica Leggi I generazione Timore verso invasività informat. Divieto di raccolta automatica di d.p. S Datalag 73-82, D BDSG 77, L.lux. US FIA Freedom of Information Act66 PPA Privacy Protection Act 80 F67.Commision de linformatique et des libertés Leggi II generaz. Sviluppo irrefrenabile e-marketing Ammessa raccolta dp regolamentata e sotto controllo DK78 libertà per normale attività profess.e imprendit. N 78, AU 78, Lux 79 UK, US Privacy Act84 Convenz. Consiglio dEuropa per la protezione delle persone 81, ratificata in I nel 89

Normativa comunitaria armonizzata Dir.95/46/CE Tutela delle persone fisiche rispetto al trattamento dei dp e alla loro libera circolazione PRINCIPI: art.6 i d.p.devono essere: - trattati lealmente e lecitamente - adeguati,pertinenti e non eccedenti - esatti e se necessario aggiornati - conservati solo per il tempo necessario allo scopo Legittimazione del trattamento dei d.p.: Consenso interessato,escluso per esecuzione di un contratto,obbligo legale di raccolta d.p. Divieto di trattamento di dp discriminatori Informazione allinteressato del trattamento e notificazione allautorità di controllo Diritti dellinteressato:Accesso-Opposizione -Ricorso Trasferimento d.p. verso Paesi terzi Garanzia di livello di protezione adeguato

Regole di condotta dell IP IP deve: Informare su natura dati (tempi,siti)finalità,modalità Ottenere il consenso dellinteressato su dp documentato per iscritto,su dps(dati sensibili) per scritto pena invalidità Senza consenso ammesso solo Registro su tempi di accesso a fini di esecuzione del contratto-pagamenti Notificare al GdP trattamento e ottenere autorizzaz.su dps Adottare misure di sicurezza inform.per garantire privacy (allarmi,chiavi hardware e software,sist.crittografici,firewall) Art.4 d.lg.171/98 Privacy nel settore telecomunicazioni I dp relativi al traffico memorizzati dal fornitore di servizio sono cancellati o resi anonimi al termine della chiamata Violazione art.4 sanzioni penali art.35 L675 reclusione sino a 2anni,se danno sino a 3 anni

Responsabilità in caso di spyware Resposabilità dei gestori dei siti Penale- No se art.615 quater c.p. Detenz.e diffus.abusiva codici di accesso Finalità di profitto anche se freeware, Procurarsi,comunicare codici,parole chiave e mezzi idonei allaccesso Fornire indicaz. o istruz. idonee a scopo di profitto.No se solo registraz. Art.416 c.p. Istigazione a delinquere se invitare a utilizzo spyware Civile-Inadempimento contrattuale se divieto in contratto di accesso Responsabilità utilizzatori Violaz.privacy Oblighi inform.,consenso,dati sensibili,misure minime Artt.35/675 Trat.illecito dp, 36 Omessa sicurezza Art.616c.p. violaz.corrispondenza-615 interferenze illecite in vita privata Art.615 ter c.p. accesso abusivo Dubbio 617 quiq. Istallaz.apparecchat.intercettanti- Software è device ? Art.4 L300/70 Statuto lav. Divieto di controllo a distanza lavoratori Respons.civile.Violaz.contratto di accesso o fatto illecito art.2050

Innovazioni in dl.467/2001 Impossibilità di tutto regolamentare - Soft Law Cod.condotta per settori:Internet,direct mark.,informaz.com.le Art.20 c.2c) Emanandi codici di condotta dovranno prevedere Casi di trat. che non presuppone il consenso Bilanciamento interessi tra leg.interesse titolare o terzi a comunicaz. e contrapposto interesse a tutela privacy Forme semplificate per dichiarazione di non voler ricevere determinate comunicazioni Modalità semplificate di informativa allinteressato Idonei meccanismi per qualità e esattezza dp raccolti e com. Depenalizzazione per trat.per uso personale o omessa notificaz. Sanzione della pubblicaz.del provved.del GdP Aumento delle multe commisurate a capac.economiche Dati semi-sensibili-dp a fini investigativi. Prior checking