Sono titolare di un sito Internet (www.superkart.it) con il quale commercializziamo ricambi per go-kart, abbiamo cercato di dare il maggior numero di servizi, forum, messenger, schede tecniche on-line e mailing list. E’ proprio di quest’ultimo argomento che vorrei avere chiarimenti. Essendo anch’io un utente Internet sono interessato da invio di mailing indesiderate e non vorrei che ciò accadesse anche ai nostri iscritti. Vi chiedo se esiste un testo da pubblicare relativo alla normativa sulla Privacy, in quanto on-line ho visto testi che vanno da una riga ad intere schermate. E’ sufficiente dare la possibilità di cancellarsi, cosa che è già attiva, o va inserito un qualche testo nelle e-mail? Per i servizi che forniamo, gratuitamente, richiediamo l’iscrizione, non obbligatoria, alla mailing list, se un cliente non si iscrive lo possiamo fare noi per tenerlo aggiornato? Tra l’altro abbiamo realizzato una sorta di scheda a punti per gli acquisti alla quale corrisponde, raggiunto un certo punteggio, uno sconto sugli ordini. (Stefano, via mail)
La raccolta e il trattamento dei dati personali sono regolati, in Italia, dalla legge 31 dicembre 1996, n. 675. Si tratta di un provvedimento tra i meno riusciti della nostra storia: è stato, infatti, modificato molte volte, con i decreti 9/5/1997 n.123, 28/7/1997 n.255, 8/5/1998 n.135, 13/5/1998 n.171, 6/11/1998 n.389, 26/2/1999 n.51, 11/5/1999 n.135, 30/7/1999 n.281, 30/7/1999 n.282 e 28/12/2001 n.467. Sulla rete, è comunque possibile reperire un testo aggiornato, come ad esempio presso il sito www.privacy.it. Secondo l’art. 9 della legge, il titolare dei dati deve essere previamente informati oralmente o per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l’ambito di diffusione dei dati medesimi;
e) i diritti che gli spettano in base alla legge;
f) le generalità e gli estremi del responsabile del trattamento dei dati.
I testi di cui parla il lettore, sono, evidentemente appunto le informative che il titolare di un trattamento dati, ad esempio anche semplicemente il gestore di una mailing list o di un forum, fornisce agli iscritti e ai potenziali tali, circa le finalità della sua iniziative e le modalità con le quali verranno trattati i dati. Da questo punto di vista, è pertanto possibile utilizzare, opportunamente adattandolo, anche uno di questi testi diffusi su internet, che sono oramai diventati delle formule standard, facendone anche un copia ed incolla e modificandolo nelle parti opportune, a patto che si controlli che nello stesso siano contenute le informazioni previste dalla legge.
Non è possibile, invece, iscrivere un cliente ad una mailing list senza aver raccolto previamente il suo consenso, che è sempre necessario per poter procedere ad una raccolta di dati personali. Anche i meccanismi tipo gioco a premi o sconti o simili devono essere solo proposti ai clienti, i quali devono rimanere liberi di partecipare o di decidere, magari contro il loro stesso interesse, se non partecipare.
Piuttosto, per quanto riguarda lo spam, il problema non è solo quello delle procedure che il titolare del trattanto dati, il lettore nel nostro caso, deve usare quando raccoglie il consenso, ma anche quello delle misure di sicurezza. In altri termini, nel momento in cui si organizzano forum, maling list e cose simili si diviene anche custodi degli indirizzi personali dei partecipanti che, nel caso ad esempio delle mailing list, possono essere destinati a rimanere segreti o comunque a non essere diffusi all’esterno della comunità dei partecipanti. Per questo motivo, è necessario adottare quelle misure di sicurezza atte ad impedire che i propri computer vengano craccati da terzi intenzionati a vendere gli indirizzi e-mail a società di raccolta dati per scopi illeciti. La protezione dei propri clienti dallo spam, insomma, va compiuta anche da questo punto di vista, con l’adozione di protezioni hardware e/o software, quali firewall e simili, idonee ad evitare la diffusione a malintenzionati dei dati. Tutto ciò è previsto dall’art. 15 della legge, che al comma primo stabilisce che “I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.”