AmbienteDiritto.it 

Legislazione  Giurisprudenza

 


 Copyright ©  Ambiente Diritto.it


 

Le comunicazioni elettroniche e il diritto alla riservatezza. Direttive comunitarie e ordinamento nazionale. 

 

 

Riccardo Ionta



SOMMARIO: 1. Il quadro normativo di riferimento. - 2. I contributi del diritto comunitario: le direttive 95/46/CE e 97/66/CE. - 3. La direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. - 4. La disciplina legislativa italiana: la legge 675/96 e successive modificazioni. - 5. L'attività del garante. - 5.1. La protezione giuridica delle banche dati. - 6. Profilazione e web marketing. - 7. Lo spamming.


1. Il quadro normativo di riferimento. 
^

Il diritto alla riservatezza, con il diffondersi delle tecniche di comunicazione a distanza attraverso l'Internet ha mutato la propria fisionomia e ha reso sempre più necessario un adeguamento delle sue tutele. 
L'informazione costituisce ormai un fattore centrale nello sviluppo economico in quanto proteso a individuare in maniera sempre più precisa le caratteristiche della domanda al fine di un'offerta che sia massimamente accurata. In tale contesto è evidente che la miriade di informazioni che viene veicolata dall'Internet venga considerata dagli operatori economici quale merce preziosa da acquisire a tutti i costi, per l'enorme potenziale in termini di incrementi produttivi.
Ciò ha generato il rischio di vedere violato il diritto alla privacy dei soggetti che a vario titolo introducono informazioni nella Rete.
Sono state in proposito emanate una serie di direttive proprio su tale argomento quali la direttiva 95/46/CE (relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati) la direttiva 97/66/CE (sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni) e la più recente direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche).



2. I contributi del Diritto Comunitario: le direttive 95/46CE e 97/66/CE 
 ^

Entrambe le direttive degli anni novanta sono da considerarsi applicabili ai dati personali trattati su Internet, e nascono dall'esigenza di tutelare i soggetti che tramite l'Internet, immettono propri dati personali nella Rete. 
Infatti quando si accede ad Internet, vengono registrati dai providers in un file, la data l'ora, l'inizio e la fine del collegamento, oltre che l'indirizzo IP dell'utente .
Tali dati personali sono da ritenersi rientranti tra quelli previsti dall'art. 12, lett a, della direttiva 95/46/CE 
La possibilità di una violazione della privacy emerge poi dal collegamento tra l'indirizzo IP del soggetto e altri personali appartenenti al medesimo. Ciò può avvenire tramite strumenti invisibili per la raccolta supplementare di dati, quali ad esempio i cookiees o sistemi di estrazione di dati , i c.d. datamining.
E' opportuno fare alcune distinzioni di ambito applicativo. la direttiva 95/46/CE si applica a qualsiasi trattamento di dati personali indipendentemente dal mezzo tecnico adoperato, mentre la direttiva 97/66/CE, trova applicazione al trattamento dei dati personali in relazione alla fornitura di servizi di telecomunicazione accessibili al pubblico, tra cui rientrano anche i servizi Internet. 
Per quanto concerne i principi cardine posti a fondamento del trattamento dei dati personali on line tali principi possono sintetizzarsi come segue .
Il principio della più completa informazione prevede che alla persona interessata vadano fornite le informazioni più chiare e precise, quali le informazioni sulla protezione dei dati strettamente correlati allo svolgimento della transazione elettronica.
Il principio della proporzionalità indica che i dati raccolti devono essere solo quelli necessari alla transazione elettronica, e se la persona decide di non fornire dati ulteriori, non deve per ciò essere discriminata nelle condizioni della transazione.
Il trattamento può dunque, ai sensi della direttiva 95/46/CE essere legittimo solo ove sussista il consenso inequivocabile e d in ogni caso non è consentito alcun trattamento di dati secondari senza che l'interessato ne sia a conoscenza.
Sempre al fine della tutela della riservatezza dell'utente sussiste obbligo per il responsabile del trattamento dei dati di attuare nelle transazioni elettroniche tutte le misure di ciftratura dei dati secondo le più moderne tecniche .
La raccolta e il trattamento di dati personali mediante sistemi automatizzati nel territorio dell'UE, sono soggetti alle disposizioni comunitarie sulla protezione dei dati, tenendo presente che per quanto riguarda i dati sul traffico, valgono le restrizioni imposte dalla direttiva 97/66/CE e la raccomandazione 3/99 sulla conservazione dei dati sulle comunicazioni da parte dei fornitori di servizi Internet a fini giudiziari. 
Aspetto di rilievo da considerare è il rispetto del principio della finalità di cui agli artt. 5 e 7 della direttiva 95/46/CE, invero il considerando 28 della direttiva afferma

" che qualsivoglia trattamento di dati personali deve essere eseguito lealmente e lecitamente nei confronti delle persone interessate; che esso deve in particolare avere per oggetto dati adeguati, pertinenti e non eccedenti rispetto alle finalità perseguite; che tali finalità devono essere esplicite e legittime e specificate al momento della raccolta dei dati; che le finalità dei trattamenti successivi alla raccolta non possono essere incompatibili con quelle originariamente specificate." (direttiva 95/46/CE, considerando 28).

È da porre in evidenza la possibilità di violazione del diritto alla privacy, intesa, nella definizione del Garante per la protezione dei dati personali quale diritto alla "autodeterminazione informativa", quale possibilità di controllare i processi di comunicazione: in caso di raccolta di dati la persona va informata in modo chiaro sulla finalità del trattamento, sui destinatari di tali informazioni cosicché possa scegliere se effettuare o meno la transazione .
Dovrebbero inoltre essere resi espliciti eventuali usi secondari incompatibili con l'uso principale dei dati stessi : a titolo di esempio possono menzionarsi le comunicazioni dei dati transazionali a società terze per scopi di profilazione della clientela per campagne pubblicitarie o l'utilizzo di dataminining, estrazione di dati, per estrapolare modelli di comportamento sulla base dei siti visitati dall'utente della Rete. 
Per quanto concerne l'informativa da fornire alla persona interessata, ai sensi dell'art.10 la direttiva dispone che 

"il responsabile del trattamento, o il suo rappresentante, debba fornire alla persona presso la quale effettua la raccolta dei dati che la riguardano almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia già informata:
a) l'identità del responsabile del trattamento ed eventualmente del suo rappresentante; b) le finalità del trattamento cui sono destinati i dati; c) ulteriori informazioni riguardanti quanto segue: - i destinatari o le categorie di destinatari dei dati, - se rispondere alle domande è obbligatorio o volontario, nonché le possibili conseguenze di una mancata risposta, - se esistono diritti di accesso ai dati e di rettifica in merito ai dati che la riguardano nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informazioni siano necessarie per effettuare un trattamento leale nei confronti della persona interessata".

È evidente che oltre al trattamento dei dati assuma pari rilevanza la conservazione degli stessi. 
Infatti, in ossequio alla tutela della utilizzazione dei dati personali, l'art. 6 § 1, lett. e) della direttiva 95/46/CE dispone l'obbligo di non conservare dati identificabili per un arco di tempo maggiore di quello necessario a conseguire le finalità per le quali sono rilevati.
L'articolo 6 della direttiva 97/66/CE: impone che i dati sul traffico debbano essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione di una comunicazione, che nel caso di Internet consiste nella trasmissione elettronica dei dati .
Per quanto concerne ulteriori aspetti di tutela va ricordato che l'individuo debba godere di proce3dure semplici che gli consentano di esercitare il diritto di accesso , rettifica, cancellazione dei dati.
È diritto della persona avere informazioni non solo sulla presenza negli archivi informatici di dati personali fondamentali, ma anche su informazioni cosiddette derivate, quali la profilazione, la classificazione la elaborazione in genere.
L'art. 12 della direttiva impone che anche tali dati vadano comunicati all'interessato .
Per quanto concerne gli obblighi del responsabile del trattamento: riservatezza e sicurezza dei trattamenti gli artt. 16 e 17 della direttiva 95/46/CE; /66/CE). stabiliscono che .

"L'incaricato del trattamento o chiunque agisca sotto la sua autorità o sotto quella del responsabile del trattamento non deve elaborare i dati personali ai quali ha accesso, se non dietro istruzione del responsabile del trattamento oppure in virtù di obblighi legali"
( art. 16).
"Gli Stati membri dispongono che il responsabile del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall'alterazione, dalla diffusione o dall'accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all'interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali .
Tali misure devono garantire, tenuto conto delle attuali conoscenze in materia e dei costi dell'applicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere."
(art. 17, 1° co.).

Mentre gli artt. 4 e 5 della direttiva 97/66/CE dispongono sempre in tema di sicurezza e riservatezza delle comunicazioni

"Il fornitore di un servizio di telecomunicazione offerto al pubblico deve prendere le appropriate misure tecniche e organizzative per salvaguardare la sicurezza dei suoi servizi, se necessario congiuntamente con il fornitore della rete pubblica di telecomunicazione per quanto riguarda la sicurezza della rete. Tenuto conto delle attuali conoscenze in materia e dei costi di attuazione, dette misure devono garantire un livello di sicurezza adeguato al rischio incorso.
In caso di un particolare rischio di violazione della sicurezza della rete il fornitore di un servizio di telecomunicazione offerto al pubblico ha l'obbligo di informarne gli abbonati indicando tutti i possibili rimedi, compresi i relativi costi" (art. 4 1° e 2° co.).
"Gli Stati membri garantiscono mediante normative nazionali la riservatezza delle comunicazioni effettuate mediante la rete pubblica di telecomunicazione e i servizi di telecomunicazione offerti al pubblico. In particolare essi vietano l'ascolto, l'intercettazione, la memorizzazione o altri generi di intercettazione o di sorveglianza delle comunicazioni ad opera di persone diverse dagli utenti, senza il consenso di questi ultimi, eccetto quando sia autorizzato legalmente, a norma dell'articolo 14, paragrafo 1"
(art. 5, 1° co.).

Sempre in ambito comunitario è del 2001 la Raccomandazione n. 2 sui requisiti minimi per la raccolta di dati personali on line che forniscono indicazioni concrete per gli operatori della rete, sia responsabili del trattamento di dati personali, sia singoli utenti . 
Sulla base di tali indicazioni gli enti possono certificare la conformità delle procedure di trattamento dei dati personali alle direttive dell'UE di settore.
Di fondamentale v'è una distinzione tra una serie di notizie che ciascun sito deve fornire a tutti gli utenti e una serie più articolata di informazioni che il sito può fornire in altre pagine.
Le indicazioni ritenute obbligatorie riguardano le modalità, i tempi e la natura delle informazioni che i titolari devono fornire agli utenti quando questi si collegano a siti web, indipendentemente dal motivo del collegamento. 
La Raccomandazione trova applicazione in tutti i casi di trattamenti effettuati da titolari che siano stabiliti in uno degli Stati dell'UE, oppure che non siano stabiliti nell'UE ma utilizzino, ai fini del trattamento, apparecchiature o dispositivi situati sul territorio di uno Stato membro dell'UE -secondo quanto prevede la direttiva 95/46/CE in materia di protezione dei dati personali. 
Queste dunque le disposizioni più significative, almeno fino all'emanazione di una direttiva specifica in materia di comunicazioni elettroniche, la direttiva 2002/58/CE .


3. La direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. 
 ^

Il tema della riservatezza nelle comunicazioni elettroniche è oggetto specifico della direttiva 2002/58/CE, destinata a sostituire la direttiva 97/66/CE, la quale aveva evidenziato i suoi limiti per quanto concerne l'applicazione a Internet .
Particolare attenzione è stata dedicata all'aspetto della tutela della riservatezza nell'utilizzo privato di Internet, come si legge nel considerando 24 della direttiva: 

"Le apparecchiature terminali degli utenti di reti di comunicazione elettronica e qualsiasi informazione archiviata in tali apparecchiature fanno parte della sfera privata dell'utente, che deve essere tutelata ai sensi della convenzione europea per la protezione dei diritti dell'uomo e delle libertà fondamentali. I cosiddetti software spia, bachi invisibili ("web bugs "), identificatori occulti ed altri dispositivi analoghi possono introdursi nel terminale dell'utente a sua insaputa al fine di avere accesso ad informazioni, archiviare informazioni occulte o seguire le attività dell'utente e possono costituire una grave intrusione nella vita privata di tale utente. L'uso di tali dispositivi dovrebbe essere consentito unicamente per scopi legittimi e l'utente interessato dovrebbe esserne a conoscenza".

Prosegue il considerando 25 manifestando l'esigenza di contemperare, ove del caso esigenze contrapposte:

"Tuttavia, tali dispositivi, per esempio i cosiddetti marcatori ('cookies'),possono rappresentare uno strumento legittimo e utile, per esempio per l'analisi dell'efficacia della progettazione di siti web e della pubblicità, nonché per verificare l 'identità di utenti che effettuano transazioni "on-line ".Allorché tali dispositivi, ad esempio i marcatori ('cookies'), sono destinati a scopi legittimi, come facilitare la fornitura di servizi della società dell'informazione, il loro uso dovrebbe essere consentito purché siano fornite agli utenti informazioni chiare e precise, a norma della direttiva 95/46/CE, sugli scopi dei marcatori o di dispositivi analoghi per assicurare che gli utenti siano a conoscenza delle informazioni registrate sull'apparecchiatura terminale che stanno utilizzando. Gli utenti dovrebbero avere la possibilità di rifiutare che un marcatore o un dispositivo analogo sia installato nella loro apparecchiatura terminale. Ciò riveste particolare importanza qualora utenti diversi dall'utente originario abbiano accesso alle apparecchiature terminali e quindi a dati contenenti informazioni sensibili in relazione alla vita privata che è contenuta in tali apparecchiature.
L'offerta di informazioni e del diritto di opporsi può essere fornita una sola volta per l'uso dei vari dispositivi a installare sull'attrezzatura terminale dell'utente durante la stessa connessione e applicarsi anche a tutti gli usi successivi, che possono essere fatti, di tali dispositivi durante successive connessioni. Le modalità di comunicazione delle informazioni dell'offerta del diritto al rifiuto o della richiesta del consenso dovrebbero essere il più possibile chiare e comprensibili. L'accesso al contenuto di un sito Internet specifico può tuttavia continuare ad essere subordinato all'accettazione in conoscenza di causa di un marcatore o di un dispositivo analogo, se utilizzato per scopi legittimi ". 

Le novità della direttiva concernono sostanzialmente la revisione dei termini utilizzati nella precedente direttiva: dati sul traffico non è più riferito alle informazioni necessarie per l'inoltro delle chiamate, ma alla trasmissione di comunicazioni su reti elettroniche tra cui rientrano dunque i dati di traffico raccolti e memorizzati dai fornitori di accesso alla rete e di servizi nella gestione dei registi delle connessioni (log-file). 
Per dati relativi all'ubicazione, si intendono poi informazioni che consentono la localizzazione degli utenti, dati utilizzati per fornire agli utenti servizi definiti a valore aggiunto' quali ad esempio radioguida, informazioni sul traffico, meteorologiche etc. .
Ulteriori novità sono state introdotte dalla direttiva in tema di elenchi abbonati e comunicazioni indesiderate garantendo, l'esercizio dei diritti di non essere inclusi negli elenchi, e prevedendo anche la necessità di acquisire uno specifico consenso al fine di utilizzare gli elenchi per finalità differenti. 
Con riguardo alle comunicazioni indesiderate, tematica che verrà analizzata al termine di tale sezione da sottolineare sin da ora l'inclusione nell'ambito delle previsioni, oltre ai dispositivi automatici di chiamata (senza intervento di operatore) o di tele-fax, dei sistemi di posta elettronica, compresi i messaggi Sms - che nella precedente direttiva, non figuravano - il cui utilizzo a scopo di commercializzazione diretta è permesso soltanto previo consenso dei soggetti interessati.
Rispetto al problema dei messaggi pubblicitari non sollecitati (spamming), è stata preferita dunque la soluzione di tipo opt-in ovvero basata sul consenso preventivo.
L'eccezione ci configura però nel caso di utilizzazione di indirizzi email acquisiti mediante rapporti regolarmente instaurati con l'utente. In relazione a tale ipotesi, glimutenti devono ricevere informazioni sui possibili usi futuri di tali dati e devono essere in grado di negare agevolmente il consenso sin dall'inizio o in ogni caso di messaggi successivi
In tutti gli altri casi di comunicazioni indesiderate effettuate per fini di commercializzazione diretta saranno gli Stati membri a scegliere tra i due sistemi di opt-in (consenso preventivo, sempre revocabile) o di opt-out (rifiuto iniziale o successivo) del consumatore.
Ulteriore novità è poi il divieto per gli operatori on line, di celare l'identità del mittente del messaggio pubblicitario non richiesto, oppure la tendenza a non fornire un indirizzo al quale rivolgersi per chiedere la cessazione della pratica di spamming o addirittura esigere la cancellazione del proprio indirizzo email .
Tale é dunque il quadro legislativo europeo delle norme principali che hanno interessato il settore della tutela della vita privata e delle comunicazioni elettroniche.


4. La disciplina legislativa italiana: la legge 675/96 e successive modificazioni. 
 ^

La normativa nazionale in tema di privacy è la nota legge 675\96 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati, che ha dato attuazione alla direttiva 95/46/CE.
Detta legge è stata integrata e modificata da molte altre disposizioni le più importanti, si ricordano il d. lgs. 9 maggio 1997, n. 123, che ha introdotto la possibilità del consenso in forma orale; il d. lgs. 28 luglio 1997, n. 255, concernente l'esonero e le semplificazioni delle notificazioni; il d. lgs. 11 maggio 1999 disposizioni in materia di trattamento di dati particolari da parte di soggetti pubblici; il d.Igs. 30 luglio 1999, n. 281, sul trattamento dei dati per finalità storiche e di ricerca scientifica; il d. lgs. 30 luglio 1999, n. 282, sul trattamento dei dati per garantire la riservatezza in ambito sanitario; il d.p.r. 31 marzo 1998, n. 501 sul funzionamento dell'ufficio del Garante che reca anche norme che disciplina dei dati personali; il d. lgs. 13 maggio 1998, n. 171, recante disposizioni in n la della vita privata nel settore delle telecomunicazioni; il d.p.r. 28 luglio (sull'individuazione delle misure minime di sicurezza. 
La legge da alcune definizioni che sono indispensabili per la comprensione de testo normativo: secondo la l.675/96 si intende

" a) per 'banca di dati', qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento;
b) per 'trattamento', qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati; 
c) per 'dato personale', qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; 
g) per 'comunicazione', il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; 

La legge si applica dunque al trattamento dei dati effettuato con o senza l'ausilio di mezzi elettronici, al trattamento effettuato in Italia di dati detenuti in Italia o all'estero, alle banche dati pubbliche e private.
In dottrina è stato giustamente sottolineato come il consenso dell'interessato costituisca il cardine della disciplina:

"La tutela dei diritti del cittadino alla riservatezza della vita privata e all'identità personale, oltre che la tutela dei diritti delle persone giuridiche , degli enti e delle associazioni, rispetto al trattamento dei dati personali, si fondano essenzialmente sul consenso dell'interessato (fatto salvo quanto in seguito si preciserà sulle banche di dati pubbliche) e sul controllo, da parte dell'interessato e da parte del Garante."
(FINOCCHIARO, Diritto di Internet. Scritti e materiali per il corso, Bologna 2002, 117-118). 

La legge dispone che il consenso sia validamente espresso solo se ciò avvenga liberamente e in forma specifica e se documentato per iscritto .
L'interessato inoltre deve aver ricevuto preliminarmente alcune informazioni con carattere di completezza e adeguatezza, specificate nella legge, circa il trattamento dei dati, al fine di poter validamente optare o no per il proprio consenso.
La legge, in linea con la direttiva, ha previsto regole particolari in relazione ai cosiddetti dati sensibili, cioè i dati attinenti la sfera etico sociale dell'individuo e le sue condizioni psico-sanitarie.
Per quanto attiene la comunicazione e la diffusione da parte di soggetti privati o pubblici è necessario che vi sia il consenso espresso dell'interessato, da provarsi per iscritto, oppure con il ricorso a circostanze equipollenti.
Non costituisce caso di esclusione dal consenso né l'esecuzione di obblighi derivanti da un contratto del quale sia parte l'interessato, né vi è menzione espressa dei fini di informazione commerciale , pubblicitaria, di marketing. 
Per quanto concerne le operazioni da rendere al momento della raccolta, l'articolo 10 dispone l'obbligo di informativa in merito ai seguenti aspetti:
- le finalità e le modalità del trattamento cui sono destinati i dati;
- la natura obbligatoria o facoltativa del conferimento dei dati;
- le conseguenze di un eventuale rifiuto di rispondere;
- i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l'ambito di diffusione dei dati medesimi;
- i diritti di cui all'art. 13;
- il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare, del suo rappresentante nel territorio dello Stato e di almeno un responsabile, da indicare nel soggetto eventualmente designato ai fini di cui all'articolo 13, indicando il sito della rete di comunicazione e le modalità attraverso le quali è altrimenti conoscibile in modo agevole l'elenco aggiornato dei responsabili.
Tale obbligo è da ritenersi applicabile anche alla raccolta di dati su Internet.
I diritti dell'interessato vengono individuati dall'art. 13 che riguarda espressamente i diritti della persona soggetta al trattamento 
Tali diritti si estrinsecano nel diritto di accesso e di rettifica da parte del soggetto interessato, di dati di cui lo stesso può liberamente e gratuitamente accedere consultando i registri gestiti dal Garante .
L'interessato può inoltre liberamente opporsi, senza particolari motivi, al trattamento di dati che lo riguardano per fini commerciali, pubblicitari, di marketing e deve esse informato dal titolare del trattamento dei dati, della possibilità di esercitare gratuitamente tale diritto, non oltre il momento della comunicazione e diffusione dei dati medesimi .
Per quanto riguarda gli obblighi del titolare del trattamento , essi trovano specificazione nell'art. 9, dove è statuito che i dati personali oggetto di trattamento devono essere 
- trattati in modo lecito e secondo correttezza; 
- raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi; 
- esatti e se necessario aggiornati; 
- pertinenti, completi e non eccedenti rispetto alle finalità per cui sono raccolti o successivamente trattati; 
- conservati come dati personali per un periodo non superiore a quello necessario per le finalità per cui sono stati raccolti o successivamente trattati.
Il tema della tutela dei diritti del soggetto interessato dal trattamento di dati persona a livello di Internet si estrinseca anche nel problema dell'informativa e del consenso on line alla luce della normativa nazionale 
I dati anagrafici e fiscali raccolti in quanto necessari per la stipula e l'esecuzione del contratto e come tali rientranti nell'esclusione del consenso dell'interessato ai sensi dell'art. 12, c. 1, lett. b) e dell'art. 20, c. 1, lett. a-bis).
Per agire in ossequio alle disposizioni della legge 675/96 è sufficiente l'informativa resa dal responsabile del trattamento dati all'interessato circa gli scopi della raccolta, non essendo necessario un consenso esplicito. 
Il problema si pone nel caso in cui il fornitore di beni o servizi utilizzi di dati personali raccolti per la conclusione del contratto, per fini diversi :
In tema di consenso l'art. 11 della legge 675/96 dispone, per i dati diversi da quelli sensibili, che: 

" 1.Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato.
2.Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso. 
3.Il consenso è validamente prestato solo se è espresso liberamente, in forma specifica e documentata per iscritto, e se sono state rese all'interessato le informazioni di cui all'art. 10".

Per i dati sensibili, intendendosi per tali quelli idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale nonché i dati idonei a rivelare lo stato di salute e la vita sessuale l'art. 22 della legge 675/96 richiede il consenso scritto dell'interessato e la previa autorizzazione del Garante.
In dottrina è stata analizzata la validità del consenso dell'interessato prestato on line.

"Esaminiamo innanzi tutto il caso del consenso per il trattamento dei dati sensibili eventualmente raccolti via Internet. E certamente inidoneo il semplice consenso manifestato per via telematica in quanto non produce gli effetti del consenso espressamente richiesto in forma scritta per tale categoria di dati personali. 
L'unica modalità ammissibile al fine di ottenere un consenso scritto, validamente prestato per via telematica è quello di ricorrere alle modalità e garanzie tecniche tipizzate dal d.P.R. 513/97 recante norme in materia di firma digitale e del relativo regolamento tecnico esecutivo. L'interessato dovrà quindi utilizzare la firma digitale per prestare validamente via Internet il consenso al trattamento dei dati personali sensibili.
Il quadro giuridico relativo al consenso ad probationem prestato per il trattamento dei dati comuni non necessari alla stipula ed esecuzione del contratto o utilizzati per finalità diverse non pone invece alcun problema in caso di utilizzo della forma telematica tipica introdotta dalla firma digitale di cui al D.P.R. 313/97.
In proposito, sembrerebbe ragionevole ritenere ammissibile e valido il consenso prestato attraverso e-mail o via web al fine di soddisfare il requisito della documentazione scritta richiesta dall'art. 11, co. 3, legge 675/96 per il trattamento dei dati comuni. Non si dimentichi, infatti, che la legge 675/96 dispone che - al fine di soddisfare il requisito della documentazione per iscritto del consenso ai sensi del citato art. 11, co. 3 - è sufficiente anche la manifestazione del consenso in forma orale ed è quindi maggiormente permissiva della normativa di diritto comune che richiede pur sempre -anche per la forma scritta ad probationem - la manifestazione del consenso mediante documento dotato di sottoscrizione al quale - evidentemente - il documento elettronico - privo della firma digitale -non può essere equiparato"
(FILIPPI, Il trattamento dei dati personali in Il diritto della Nuova Economia, a cura di Francesca Maschio, Padova 2002, 345-346).

Altro argomento importante connesso con il transito di dati su Internet concerne il trasferimento di dati all'estero.
L'art. 28 della legge 675/96 dispone che il trasferimento, anche temporaneo, di dati in Stati non appartenenti all'Unione Europea deve essere notificato al garante e può avvenire solo dopo 20 giorni dalla data della notificazione o dopo venti giorni se si tratta dl dati sensibili o di dati relativi ai provvedimenti di cui all'art. 686 c.p.p. 


5. L'attività del Garante. 
 ^

In questo percorso nel web alla ricerca di criteri attraverso i quali tentare di passare da Internet come spazio anormativo ad Internet come rete di regole universalmente riconosciute ed accettate, l'attività dell'Autorità Garante per la protezione dei dati personali, riveste un ruolo peculiare.
L'attività del Garante, iniziata nel 1997, ha riguardato ogni settore della vita sociale economica e culturale del Paese in cui si sia manifestata l'esigenza della protezione dei dati personali.
Sotto tale aspetto, speciale interesse hanno rivestito i provvedimenti adottati in materia di attività delle pubbliche amministrazioni, sanità, lavoro, credito ed assicurazioni, giornalismo, telecomunicazioni, videosorveglianza, marketing.
I compiti del Garante sono attualmente specificati nell'art. 31 della legge 675/1996, dove vengono indicati, tra l'altro:
- il controllo della conformità dei trattamenti di dati personali a leggi e regolamenti e la segnalazione ai titolari o ai responsabili dei trattamenti delle modifiche da adottare per conseguire tale conformità;
- l'esame delle segnalazioni e dei reclami degli interessati, nonché dei ricorsi presentati ai sensi dell'art. 29 della legge;
- l'adozione dei provvedimenti previsti dalla normativa in materia tra cui, in particolare, le autorizzazioni generali per il trattamento dei dati sensibili;
- la promozione, nell'ambito delle categorie interessate, della sottoscrizione dei codici di deontologia e di buona condotta;
- il divieto, in tutto od in parte, ovvero il blocco del trattamento di dati personali quando per la loro natura, oppure per le modalità o gli effetti di tale trattamento, vi sia il rischio concreto di un rilevante pregiudizio per l'interessato;
- la segnalazione al Governo dei provvedimenti normativi di settore, la cui adozione si manifesti opportuna, e la formulazione dei pareri richiesti dal Presidente del Consiglio o da ciascun ministro in ordine ai regolamenti ed agli atti amministrativi inerenti alla materia della protezione dei dati personali;
- la predisposizione di una relazione annuale sull'attività svolta e sullo stato di attuazione della legge e la sua trasmissione al Parlamento e al Governo;
- la partecipazione alle attività comunitarie ed internazionali di settore, quale componente delle autorità comuni di controllo previste da convenzioni internazionali (Europol, Schengen, Sistema informativo doganale);
- il controllo, anche a richiesta degli interessati, sui trattamenti dei dati personali effettuati da forze di polizia e dai servizi di informazione e di sicurezza;
- l'indicazione degli accorgimenti da adottare nell'uso dei dati 'semi-sensibili' (cd. prior checking, introdotto dal d.lg. n. 467/2001). 
Da quanto sopra si evince che il Garante dispone di ampi poteri da porre anche al servizio dei navigatori della Rete al fine di regolare attività, intervenire su comportamenti e reprimere pratiche scorrette, illecite o lesive degli utenti dell'Internet.
Numerose sono infatti le pronunce che sono state emanate sulla non liceità dell'utilizzo di indirizzi email reperiti su Internet per invio di comunicazioni, atteso che, per il solo fatto di essere su Internet essi non acquistano un carattere di pubblicità' , anzi rimangono a tutti gli effetti indirizzi privati la cui utilizzazione, come tali, è subordinata al consenso dell'interessato.
Ulteriori pronunce si sono avute in tema di violazione del diritto alla riservatezza di soggetti portatori di handicap, i cui dati personali, trattati a fini pubblici, erano risultati accessibili a chiunque su Internet anziché essere protetti da accessi non autorizzati.
Ancora v'è chi ha posto in risalto l'attività del Garante in altri settori, come quello del commercio elettronico 

"Il Garante per la protezione dei dati personali è intervenuto negando l'autorizzazione ad una società che opera nel settore dell'e-commerce a raccogliere ed utilizzare per alcune finalità di marketing i dati sensibili, in particolare sullo stato di salute e la vita sessuale dei suoi clienti. In tal caso l'Autorità ha ritenuto che la schedatura di informazioni così delicate per usi di profilazione e proposte commerciali in base ai prodotti acquistati violerebbe la privacy delle persone, nonostante il consenso acquisito.
Nel caso specifico, la società, che esercita attività di vendita promozionale di libri, prodotti di cosmesi, prodotti para-farmaceutici, telefonia, software e accessori hardware, aveva chiesto all'Autorità, in base alla legge sulla protezione dei dati, l'autorizzazione a trattare i dati sensibili dei clienti idonei a rivelare lo stato di salute, la vita sessuale, le convinzioni religiose, politiche o di altro genere, per tutta una serie di utilizzazioni quali, ad esempio, analisi di marketing statistica sui dati di vendita per ciascun prodotto e cliente; creazione di profili dei clienti soprattutto in base ai prodotti acquistati; proposte commerciali e di vendita sulla base delle tipologie di acquisto effettuate da ciascun cliente; comunicazione dei dati ad altre società del gruppo.
Nel motivare la sua decisione, l'Autorità ha ricordato che, secondo la direttiva europea, il trattamento dei dati sanitari è consentito entro determinati limiti e che già oggi, in base ad un'autorizzazione generale emanata dall'Autorità, il trattamento effettuato per ricerche di mercato o per altre ricerche campionarie non può riguardare dati personali sensibili nelle operazioni successive alla raccolta dei dati.
La decisione appare poi in linea con quanto stabilito in tre diverse autorizzazioni generali emanate dal Garante, la n. 2/2000 relativa al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, la n. 3/2000 relativa al trattamento dei dati sensibili da parte di associazioni e fondazioni, la n. 5/2000 relativa la trattamento dei dati sensibili da parte di diverse categorie di titolari, le quali consentono il trattamento dei dati sensibili solo nel rispetto di precise garanzie per i cittadini.
In base a questo quadro di disposizioni, il Garante ha perciò autorizzato la società a trattare solo i dati sensibili diversi da quelli relativi allo stato di salute e la vita sessuale ed esclusivamente per la gestione degli ordini e non per le ulteriori finalità di marketing richieste"
(FILIPPI, op. cit. 373-374).

Recentemente, il 12 marzo 2003, il Garante ha emanato un parere relativo alla nuova tecnologia applicata ai cellulari di ultima generazione, gli MMS (multimedia messaging service) ovvero la possibilità di trasmettere immagini fotografiche. Il Garante ha ritenuto necessario distinguere i casi in cui non si applica la legge 675/96 da quelli in cui è legittimo farne applicazione:

"La legge n. 675/1996 non è applicabile quando gli Mms non comprendono dati personali.
La medesima legge non è parimenti applicabile quando singole persone fisiche trattano dati personali per "fini esclusivamente personali". In tal caso il trattamento non è soggetto agli obblighi in materia di trattamento dei dati personali e, in particolare, a quelli previsti dalla legge n. 675/1996. Ciò, tuttavia, a condizione che le informazioni trattate "non siano destinate ad una comunicazione sistematica o alla diffusione".
La legge n. 675 non opera ad esempio nel caso dello scatto di una fotografia e del suo invio occasionale ad amici o familiari: il soggetto che la scatta o che effettua la ripresa con il proprio telefono mobile soddisfa esclusivamente esigenze di carattere strettamente personale (culturali, di svago o di altro genere) e le immagini comunicate restano in un ambito circoscritto di conoscibilità.
La medesima legge è al contrario applicabile nel diverso caso in cui, benché per scopi anche semplicemente culturali o informativi, l'immagine sia raccolta per essere diffusa in Internet o comunicata sistematicamente a terzi.
Tra questi due esempi vi possono essere peraltro situazioni-limite alle quali va posta particolare attenzione e che vanno esaminate caso per caso.
Ad esempio l'Mms può essere inviato con una sola comunicazione a terzi diretta, però, ad un numero assai ampio di destinatari. Qui si possono determinare condizioni pratiche nelle quali l'invio pur occasionale dell'immagine avviene con caratteristiche tali da dar vita ad una comunicazione a catena di dati, in termini analoghi a quelli che rendono applicabile la legge n. 675/1996 alle comunicazioni episodiche di dati personali via Internet effettuate da singoli utenti attraverso il c.d. sistema Mlm (come rilevato dal Garante nell'esame di diversi ricorsi).
Quale che sia il risultato -applicazione o meno dell'intera legge n. 675/1996- la persona fisica che utilizza Mms per fini esclusivamente personali deve rispettare comunque l'obbligo di mantenere sicure le informazioni raccolte (cfr. artt. 3, comma 2, e 15 legge n. 675/1996), tenendo conto che il rispetto dei diritti, delle libertà fondamentali e della dignità dei terzi interessati è sotteso anche a questi trattamenti (art. 1, comma 1, legge cit.) e che se si cagiona a terzi un eventuale danno anche non patrimoniale l'autore del messaggio deve risarcirlo se non prova di aver adottato tutte le misure idonee ad evitarlo."
(cfr. Parere 12 marzo 2003 Autorità garante della protezione dei dati Personali).

Nel parere è stato dunque indicato quando la legge 675/96 deve essere applicata:

"La legge n. 675/1996 opera, come si è detto, quando le immagini, i suoni e gli eventuali altri dati personali raccolti siano destinati ad una comunicazione sistematica ad uno o più destinatari diversi dall'interessato (art. 1, comma 2, lett. g) legge n. 675/1996), oppure alla diffusione a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione (art. 1, comma 2, lett. h, legge cit.: si pensi alla pubblicazione di un'immagine su un sito Internet ad opera del soggetto che l'ha inizialmente raccolta o ricevuta tramite Mms).
In questi casi non possono essere invocate le finalità "esclusivamente personali" (cui si riferisce il richiamato articolo 3 della legge n. 675) e tale legge è integralmente applicabile sin dal momento iniziale della raccolta delle informazioni personali.
Ciò comporta che il soggetto titolare del trattamento dei dati contenuti negli Mms debba informare le persone interessate nei casi e nei modi previsti dall'art. 10, in tempi diversi -all'atto della raccolta, oppure in un momento successivo a seconda che i dati siano raccolti o meno presso l'interessato (cfr. art. 10 cit.).
Dovrà essere inoltre raccolto il previo consenso della persona -scritto nel caso di dati sensibili: art. 22 legge cit.- a meno che, per i dati "comuni", sia configurabile uno dei casi previsti dagli artt. 12 e 20 della medesima legge.
Possono trovare parimenti applicazione le particolari norme che riguardano l'esercizio della professione di giornalista e la pubblicazione occasionale di articoli, saggi e altre manifestazioni del pensiero, con conseguente operatività di tutte le note cautele e le garanzie previste in tal caso dalla legge n. 675/1996 e dal codice di deontologia per l'attività giornalistica (pubblicato in G.U. 3 agosto 1998, n. 179, con provvedimento del Garante del 29 luglio 1998: rispetto dei limiti del diritto di cronaca e in particolare "dell'essenzialità dell'informazione riguardo a fatti di interesse pubblico", informativa semplificata, ecc.).
In ogni caso, laddove sia interamente applicabile la normativa in materia di protezione dei dati personali, vanno rispettate tra le altre le norme relative, in particolare, alla liceità, correttezza, pertinenza e non eccedenza del trattamento, al trattamento dei dati per finalità lecite, al trasferimento all'estero delle informazioni, all'esercizio dei diritti di accesso dell'interessato e al risarcimento del danno"
(cfr. Parere Garante 12 marzo 2003).

Il cammino da percorrere nella costruzione di un sistema di norme per Internet è evidentemente ancora lungo e pertanto valgano le parole del Vice Presidente Santaniello:

"L'evoluzione normativa dell'intera materia non può affidarsi più a una fonte legislativa monocentrica, bensì a un policentrismo di fonti, collocate in una coordinata sequenza a vari livelli.... Si realizza in tal modo quel moderno processo regolatore, frutto della convergenza di molteplici fonti normative, che si definisce come coregulation… Particolarmente delicato è il compito di inquadrare in una cornice legislativa valida sotto ogni latitudine la complessa struttura di Internet, la cui tipologia di attività coinvolge la disciplina del mercato cibernetico, dei contratti a distanza, delle transazioni con una moneta dematerializzata, e inoltre pone il problema della individuazione del tipo legislazione da applicare." ….Il problema è di fondare una normativa che valga a valorizzare le positività e a rimuovere le negatività del pianeta Internet, per evitare che esso diventi un Giano bifronte, dotato di profili benefici da un lato e di aspetti illeciti dall'altro." (SANTANIELLO, I fattori evolutivi della privacy intervento al Forum P.A. 2001, Roma. www.garanteprivacy.it).


5.1 La protezione giuridica di banche dati.
 ^

A livello comunitario è stata emanata la direttiva 96/9/CE , relativa alla tutela giuridica delle banche di dati 
La direttiva fornisce nel considerando 17 la seguente definizione di banca di dati 

"una raccolta di opere, siano esse letterarie, artistiche, musicali o di altro genere, oppure di materiale quali testi, suoni, immagini, numeri, fatti e dati; che deve trattarsi di raccolte di opere, di dati o di altri elementi indipendenti, disposti in maniera sistematica o metodica e individualmente accessibili".

Il campo di applicazione che risulta dall'art. 1 è infatti il seguente:

"1. La presente direttiva riguarda la tutela giuridica delle banche di dati, qualunque ne sia la forma.
2. Ai fini della presente direttiva per 'banca di dati' si intende una raccolta di opere, dati o altri elementi indipendenti sistematicamente o metodicamente disposti ed individualmente accessibili grazie a mezzi elettronici o in altro modo.".

La direttiva vuole inserire nel contesto del diritto d'autore il tema delle banche dati e dei diritti connessi, ma crea un diritto 'sui generis' che viene a tutelare la posizione del cosiddetto costitutore di banche dati, ovvero colui che costituisce banche dati non aventi il requisito dell'originalità ma pur meritevoli di tutela, come è dato cogliere nel considerando 39

"oltre alla tutela del diritto d'autore per la scelta o la disposizione originali del contenuto di una banca di dati, la presente direttiva intende salvaguardare i costitutori di banche di dati dall'indebita appropriazione dei risultati dell'investimento finanziario e professionale effettuato per ottenere e raccogliere il contenuto proteggendo la totalità o parti sostanziali della banca di dati da taluni atti commessi dall'utente o da un concorrente". 


Il diritto "sui generis" in sostanza assicura la tutela di un investimento effettuato per costituire, verificare o presentare il contenuto di una banca di dati 
Obiettivo del diritto "sui generis" è di accordare al costitutore di una banca di dati la possibilità di impedire l'estrazione e/o il reimpiego non autorizzati della totalità o di una parte sostanziale del contenuto di tale banca.

"1. Gli Stati membri attribuiscono al costitutore di una banca di dati il diritto di vietare operazioni di estrazione e/o reimpiego della totalità o di una parte sostanziale del contenuto della stessa, valutata in termini qualitativi o quantitativi, qualora il conseguimento, la verifica e la presentazione di tale contenuto attestino un investimento rilevante sotto il profilo qualitativo o quantitativo.
2. Ai fini del presente capitolo:
a) per 'estrazione' si intende il trasferimento permanente o temporaneo della totalità o di una parte sostanziale del contenuto di una banca di dati su un altro supporto con qualsiasi mezzo o in qualsivoglia forma; 
b) per 'reimpiego' si intende qualsiasi forma di messa a disposizione del pubblico della totalità o di una parte sostanziale del contenuto della banca di dati mediante distribuzione di copie, noleggio, trasmissione in linea o in altre forme.
La prima vendita di una copia di una banca dati nella Comunità da parte del titolare del diritto, o con il suo consenso, esaurisce il diritto di controllare la rivendita della copia nella Comunità.
Il prestito pubblico non costituisce atto di estrazione o di reimpiego.
3. Il diritto di cui al paragrafo 1 può essere trasferito, ceduto o essere oggetto di licenza contrattuale.
4. Il diritto di cui al paragrafo 1 si applica a prescindere dalla tutelabilità della banca di dati a norma del diritto d'autore o di altri diritti. Esso si applica inoltre a prescindere dalla tutelabilità del contenuto della banca di dati in questione a norma del diritto d'autore o di altri diritti. La tutela delle banche di dati in base al diritto di cui al paragrafo 1 lascia impregiudicati i diritti esistenti sul loro contenuto.
5. Non sono consentiti l'estrazione e/o il reimpiego ripetuti e sistematici di parti non sostanziali del contenuto della banca di dati che presuppongano operazioni contrarie alla normale gestione della banca dati o che arrechino un pregiudizio ingiustificato ai legittimi interessi del costitutore della banca di dati." ( articolo 7)

La direttiva peraltro, al considerando 45 specifica che "il diritto di impedire l'estrazione e/o il reimpiego non autorizzati non costituisce in alcun modo un'estensione della tutela del diritto d'autore a semplici fatti o dati".
Il diritto sui generis non costituisce un quid minus rispetto ai diritti di privativa garantiti dalla proprietà intellettuale, entrambi i diritti godono di eguale dignità riferendosi peraltro, a profili di tutela diversi: il diritto d'autore tutela la struttura della banca dati (art. 3 seg.); il diritto sui generis invece il contenuto impedendone l'estrazione o il reimpiego non autorizzato total o parziale (art. 7 seg.).
L'obiettivo della direttiva quindi, per quanto interessa ai fini di tale trattazione, consiste nell'assicurare un livello adeguato e uniforme di tutela alle banche di dati, in modo che il costitutore della banca possa ottenerne un beneficio economico.
Tale obiettivo risulta diverso da quello perseguito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che è quello di garantire la libera circolazione dei dati personali sulla base di norme armonizzate volte alla tutela dei diritti fondamentali, in particolare il diritto alla vita privata.
Comunque nella direttiva è precisato che, nonostante il diritto di impedire l'estrazione e/o il reimpiego della totalità o di una parte sostanziale di una banca di dati, è necessario prevedere che il costitutore di una banca dati o il titolare dei suoi diritti non possa impedire all'utente legittimo della banca di dati di estrarre e riutilizzare parti non sostanziali . 

"1. Il costitutore di una banca di dati messa in qualsiasi modo a disposizione del pubblico non può impedire all'utente legittimo della stessa di estrarre e reimpiegare parti non sostanziali, valutate in termini qualitativi o quantitativi, del contenuto di tale banca di dati per qualsivoglia fine. Se l'utente legittimo è autorizzato a estrarre e/o reimpiegare soltanto una parte della banca di dati, il presente paragrafo si applica solo a detta parte.
2. L'utente legittimo di una banca dati messa in qualsiasi modo a disposizione del pubblico non può eseguire operazioni che siano in contrasto con la normale gestione della banca di dati o che arrechino un eccessivo pregiudizio ai legittimi interessi del costitutore della stessa.
3. L'utente legittimo di una banca di dati messa in qualsiasi modo a disposizione del pubblico non può arrecare pregiudizio al titolare del diritto d'autore o di un diritto connesso relativo ad opere o prestazioni contenute in tale banca"
(art.8).

Infine va segnalato il disposto dell'art. 9 relativo a deroghe al diritto sui generis che possano essere previste a livello nazionale 

"Gli Stati membri possono stabilire che l'utente legittimo di una banca di dati messa in qualsiasi modo a disposizione del pubblico possa, senza autorizzazione del costitutore della stessa, estrarre e/o reimpiegare una parte sostanziale del contenuto di tale banca:
a) qualora si tratti di un'estrazione per fini privati del contenuto di una banca di dati non elettronica; 
b) qualora si tratti di un'estrazione per finalità didattiche o di ricerca scientifica, purché l'utente legittimo ne citi la fonte e in quanto ciò sia giustificato dagli scopi non commerciali perseguiti; 
c) qualora si tratti di estrazione e/o reimpiego per fini di sicurezza pubblica o per una procedura amministrativa o giurisdizionale". 
(art. 9 ). 

La direttiva è stata recepita nel nostro ordinamento dal D.L. 6 maggio 1999, n. 169 che ha sostanzialmente modificato alcuni articoli della legge 633/1941, la cosiddetta legge sul diritto d'autore ( d'ora in poi LDA) .
Il concetto di banca dati è stato pertanto ricondotto all'interno di un diritto già ampiamente 'navigato' in termini di tutela , anche desta ciò, ha destato perplessità, attese le differenziazioni dianzi segnalate tra diritto d'autore e diritto sui generis.


6. Profilazione e web marketing. 
^

In ragione dell'enorme possibilità che è data di raccogliere tramite Internet dati personali a scopo statistico e commerciale, i rischi maggiori sono costituiti dalla connessione di dati, il c.d. data matching ovvero la possibilità di collegare le informazioni tra di loro, raccolte per motivi più disparati, per la creazione di profili individuali che schedano gli individui in base alle loro caratteristiche.
Negli Stati Uniti, vi è stato chi ha sostenuto come sia interesse del consumatore essere schedato, perché ciò può garantirgli servizi personalizzati.
Peraltro una produzione personalizzata e dedicata, potrebbe portare un impoverimento dal punto di vista sociologico ed economico della realtà in ragione di un eccessivo annullamento del carattere individuale delle scelte sulla base di presunzioni che, data la vastità di Internet sono comunque dotati di un elevato grado di relatività statistica.
In dottrina è stato esaminato anche il problema della raccolta invisibile dei dati personali su Internet sotto il profilo dei cookies da una parte e della profilazione del consumatore virtuale dall'altra

"Il 'cookie' è uno strumento che, specie nel commercio elettronico, è utilizzato per memorizzare determinati comportamenti del navigatore-consumatore.
Si tratta, in sostanza, di un contenitore di informazioni - normalmente di carattere commerciale - che viene inviato - attraverso il browser - dal sito "Web che si sta visitando alla memoria interna del computer utilizzato per la navigazione.
L'utilità di tale strumento va rinvenuta nella possibilità di personalizzare determinati aspetti della navigazione in funzione dei consumi e degli interessi manifestati dall'utente nel corso della stessa.
Si pensi, fra l'altro, alla possibilità del sito di riconoscere l'utente e di calibrare il contenuto dei banner pubblicitari in funzione del profilo ricostruito dal cookie in relazione ai dati raccolti nel corso di navigazioni precedenti.
Ma tale raccolta spesso " invisibile" di dati è compatibile o meno con la tutela della privacy?
Secondo l'opinione espressa dall'ing. Claudio Manganelli, già membro del collegio del Garante per la protezione dei dati personali, il cookie non sarebbe strumento illecito di raccolta dei dati solo nei limiti in cui non sia possibile attraverso i dati da esso registrati identificare il navigatore, e quindi associare il profilo tracciato ad un soggetto individuato.
A diverse conclusioni - nel senso quindi della illiceità ai sensi della legge 675/96 si deve evidentemente pervenire qualora il cookie registri senza il consenso dell'interessato un profilo del consumatore non in forma anonima ma riferibile immediatamente all'utente individuato, oppure non si limiti alla registrazione di dati di natura commerciale, ma trasferisca informazioni relative al contenuto della memoria di massa del computer di navigazione.
In entrambi i casi sembra, però, ragionevole ritenere - tenuto conto delle problematiche relative alla legge applicabile e alla eterogeneità dei livelli di protezione - che lo strumento migliore di tutela del navigatore dalla raccolta occulta d'informazioni che lo riguardano, sia l'autotutela e quindi l'utilizzo avanzato dei browser di navigazione che allo stato della tecnologia sono in grado di segnalare all'utente quando un cookie sta per essere registrato sul proprio computer, cosi consentendogli di impedirne - se del caso - la registrazione.
Sul punto si è espresso anche il sopra citato Gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali il quale si è espresso a favore dell'applicabilità al trattamento dei dati invisibili via Internet delle Direttive comunitarie 95/46 e 97/66 ed invitando i progettisti di software e hardware a tenere conto e rispettare i principi posti da queste al fine di rafforzare la 'privacy' degli utenti internet.
Un utilizzo sapiente dei 'cookie' -da parte dell'operatore commerciale - può rendere possibile il monitoraggio (detto 'clicktrail') della navigazione dell'utente in modo tale da consentire come si e detto, la ricostruzione di un accurato profilo personale, in altre parole, della 'profilazione' del consumatore virtuale …
Appare utile ricordare l'intervento del Garante (provvedimento del 13 gennaio 2000 pubblicato nel Bollettino n. 11/12 pag. 52) con il quale è stata ribadita l'illiceità dei comportamenti di raccolta invisibile dei dati posti in essere dall'operatore nel caso in cui manchi la preventiva informativa ai sensi dell'art. 10 legge 675/96 e il consenso al trattamento da parte dell'interessato.
In particolare il Garante italiano ha stabilito che l'informativa ai clienti deve essere:
- collocata prima della richiesta di registrazione 'on line' dei dati personali dell'utente della rete;
- riferita a tutti gli aspetti del complessivo trattamento svolto dall'operatore nell'ambito del servizio offerto (anziché ai soli profili relativi a finalità commerciali o di marketing), e eventualmente riepilogativa, in modo chiaro ma sintetico, di tutte le informazioni rilevanti contenute nel testo del contratto;
- contenere un sintetico richiamo ai diritti riconosciuti dall'art. 13 della legge 675/96, con l'indicazione dell'ufficio o servizio presso cui esercitare tali diritti.
L'Autorità ha, inoltre, precisato che occorre ottenere lo specifico consenso dell'interessato non solo per poter trattare i dati per finalità commerciali e di marketing (es. per inviare messaggi pubblicitari o effettuare chiamate dirette al consumatore), ma anche per poter comunicare i dati a soggetti terzi, da indicare nella stessa informativa. "
(FILIPPI, op. cit., pag 361-363).

Come si nota le opinioni sulla liceità o meno dei cookies sono strettamente legate al tipo di utilizzo che di questo strumento viene fatto.


7 Lo spamming. 
^

L'argomento delle comunicazioni indesiderate o non sollecitate - cosiddetto spamming - ha acquistato sempre più importanza nel momento in cui Internet è divenuto da mezzo per pochi appassionati di settore a mezzo imprescindibile a fini di pubblicizzazione, commercializzazione o altro.
Nella direttiva 97/66 all'art.12 vengono dettate disposizioni per le chiamate indesiderate, fissando il cosiddetto principio dell'opt-in ovvero del consenso preventivo all'invio di materiale pubblicitario, ma non v'è menzione della posta elettronica, così come nel d.lgs 171\98 che ha recepito nel nostro ordinamento detta direttiva.
Nella direttiva 2000/31, l'art. 7 è appositamente dedicato alle comunicazioni commerciali non sollecitate indicando agli stati membri di obbligare i coloro i quali inviano tale tipo di comunicazioni a consentire per coloro che li ricevono, di identificare, in modo chiaro ed inequivocabile, sin dall'inizio, che di tale tipo di comunicazioni si tratta.
L'articolo fa anche riferimento ai cosiddetti registri negativi, ovvero dei registri che coloro che inviano tali comunicazioni devono consultare per verificare se i destinatari sono presenti in tali registri, quali soggetti che hanno negato il loro consenso a ricevere un tale tipo di comunicazioni.
La presente direttiva è stata recepita nel nostro ordinamento dal D. lgs. 70/2003.
Il fenomeno va considerato in un contesto più ampio e non nella sua dimensione del singolo utente che riceve pubblicità spazzatura, per poter comprendere appieno un fenomeno che, oltre a risvolti in tema di right to be alone, assume anche risvolti economici.
Si pensi, infatti, al primo periodo di diffusione di Internet, realizzato attraverso la connessione con le normali reti telefoniche, i cui costi erano in relazione al tempo di connessione.
Emerge in maniera evidente che, ove un'azienda, che utilizza sistematicamente la posta elettronica come mezzo di comunicazione e sia costretta a scaricare annualmente ore ed ore di e.mail spazzatura, al momento dell'anno sarà costretta ad aggiungere anche quest'ulteriore costo.
Pertanto l'esigenza di limitare lo spamming è legata a ragioni sia di carattere economico sia di riservatezza. 
Con la direttiva 2002/58/CE, destinata a sostituire la disciplina prevista dalla direttiva 97/66/CE, il problema è affrontato in maniera diretta.

"L'uso di sistemi automatizzati di chiamata senza intervento di un operatore (dispositivi automatici di chiamata), telefax o della posta elettronica a fini di commercializzazione diretta sia consentito soltanto nei confronti degli abbonati che abbiano espresso preliminarmente il loro consenso" 
(art. 13, par.1).

Da notare l'espressa menzione della posta elettronica tra i mezzi per il cui utilizzo il preliminare consenso dell'abbonato. 
L'articolo impone altresì agli Stati membri di adottare le misure adeguate in casi diversi, affinché dette comunicazioni non siano permesse se manca il consenso degli abbonati interessati oppure se gli abbonati esprimano il desiderio di non ricevere questo tipo di comunicazioni (art. 13, par. 3).

L'utilizzo di una di queste due possibilità (opt-in / opt-out) è rimesso ai singoli stati.
Tutta la disciplina contenuta nella direttiva 2002/58/CE fa esclusivo riferimento all'invio di comunicazioni indesiderate a scopo di commercializzazione diretta.
In caso diverso l'art. 13 non potrà trovare applicazione. Sul fenomeno si sono espressi anche altri esponenti della dottrina.

"Il fenomeno dello spamming negli USA è in declino perché gli operatori preferiscono ricorrere ad attività di marketing più corrette anche in termini di protezione dei dati. Si tratta dell'introduzione del concetto di marketing su autorizzazione, ossia l'istituzione di canali di comunicazione con i consumatori su base volontaria passando per gradi da un rapporto fondato sull'interesse, ad un rapporto basato sulla fiducia. 
Questo tipo di marketing basato su un approccio di 'opt-in' (ossia, sulla possibilità per il cliente di scegliere se aderire o meno) è ormai la parola d'ordine fra gli operatori del settore negli USA. 
Il marketing basato su un approccio di 'opt-in' dopo essere stato la parola d'ordine degli operatori americani può diventare anche l'approccio più adatto ad una prassi europea.
Quattro sono gli strumenti comunitari applicabili: la direttiva generale sulla protezione dei dati (95/46/CE); la direttiva sulle telecomunicazioni (97/66/CE); 
la direttiva sulle vendite a distanza (97/7/CE); la direttiva sul commercio elettronico (2000/31/CE). 
Il punto è che mentre le prime due (ed in parte anche la terza) adottano un approccio sostanzialmente basato sull'opt-in, la direttiva sul commercio elettronico sembra invece favorire [all'art. 7.2: n.d.r.] un approccio di tipo opt-out - pur facendo salvi i diritti riconosciuti nella direttiva 97/7 e nella 97/66. 
In sostanza, secondo gli estensori dello studio, si è creata un'ambiguità di fondo che non facilita l'individuazione di condotte chiare ed univoche da parte delle imprese che operano in questo settore. 
Per eliminare queste ambiguità occorre che il dibattito si sposti dalla correttezza dell'invio di messaggi pubblicitari alla correttezza della raccolta di dati. Esplicitando le circostanze in cui è possibile raccogliere legittimamente dati personali (come l'indirizzo di e-mail) l'operatore commerciale ed il destinatario dell'e-mail possono scegliere in modo trasparente la natura e gli sviluppi futuri del rapporto instauratosi ." 
(RASI, Privacy nell'e-commerce e nell'e-marketing, intervento al Forum P.A. 2001, Roma. www.garanteprivacy.it).
Per concludere appare utile citare i risultati di uno studio condotto dal Center for Democracy and Technology (CDT), una delle maggiori organizzazioni negli USA per la difesa dei diritti civili, che ha condotto uno studio sperimentale che nell'arco di sei mesi (giugno-dicembre 2002) ha analizzato le fonti dei messaggi di posta elettronica indesiderata ed i rischi legati a diversi tipi di "'comportamento"' (www.cdt.org/speech/spam). 

"Lo studio mette in luce come la frequenza ed il numero dei messaggi di spam dipendono dalle modalità di utilizzo del proprio indirizzo di posta elettronica, in particolare se l'indirizzo è riportato su una pagina Web o nell'ambito di newsgroups, e fornisce inoltre alcune indicazioni per difendersi dallo spamming attraverso strumenti non particolarmente sofisticati.
Quali raccomandazioni pratiche possono essere formulate sulla base dello studio? La CDT ne indica alcuni:
Non pubblicare il proprio indirizzo di posta elettronica in formato standard su siti pubblici - è preferibile mascherarlo utilizzando il linguaggio naturale, oppure codici numerici equivalenti (Html). Sono proprio i siti pubblicamente accessibili la maggiore fonte di spamming, come mostrano i risultati dello studio;
non fornire il proprio indirizzo (ad esempio, su un modulo) se non sono indicate chiaramente le finalità di utilizzo e non è prevista la possibilità di rifiutare l'invio di messaggi. E' buona norma leggere l'informativa sulla privacy che tutti i siti web dovrebbero prevedere, come richiesto, del resto, anche dai Garanti europei, utilizzare più indirizzi di posta elettronica in rapporto alla specifica finalità (newsgroup, ufficio, contatti personali). Un'altra possibilità, secondo il CDT, consiste nel ricorso ai cosiddetti "indirizzi usa-e-getta", ossia indirizzi che sono resi inattivi dopo essere stati utilizzati per il numero di volte specificato dall'utente; i rispettivi messaggi sono convogliati ad un indirizzo "permanente" (comunicato al provider del servizio "usa-e-getta");
utilizzare i filtri anti-spam messi a disposizione da numerosi provider e servizi gratuiti di posta elettronica. ".