Raccolta dei dati personali online

Prima della raccolta dei dati, agli utenti che accedono al sito Internet devono essere fornite una serie di informazioni sulle modalità e sullo scopo del trattamento. Gli operatori del settore devono garantire la riservatezza.

Con una Raccomandazione adottata il 17 maggio scorso, le autorità per la protezione dei dati personali dell’Unione europea, presiedute da Stefano Rodotà, hanno definito i requisiti minimi da rispettare, per la raccolta dei dati personali online.

Le garanzie minime individuate nel documento si applicano a tutti i trattamenti effettuati da operatori che siano stabiliti in uno degli Stati dell’Unione europea, oppure che non siano stabiliti nell’UE ma utilizzino, ai fini del trattamento, apparecchiature o dispositivi situati sul territorio di uno Stato membro dell’Unione, ai sensi della direttiva 95/46/CE in materia di protezione dei dati personali.

Chiunque si colleghi a un sito Internet che preveda la raccolta di dati personali deve essere preventivamente informato sull’identità e indirizzo (elettronico o meno) del titolare, sulle finalità del trattamento dei dati e sulle modalità di opposizione a tale trattamento, sulla obbligatorietà delle informazioni richieste (necessarie per usufruire del servizio offerto, ovvero opzionali), sull’eventuale utilizzo di procedure telematiche per la raccolta delle informazioni (cookies) e sulle misure di sicurezza adottate per garantire la riservatezza.

Tutte le informazioni devono essere direttamente elencate sul monitor del singolo utente, prima della raccolta dei dati, anche ricorrendo alle diverse possibilità fornite dall’attuale tecnologia: finestre a scomparsa, caselle da cliccare, messaggi pop-up.

Gli operatori del settore responsabili del trattamento dei dati personali nell’ambito di siti Internet possono procedere alla raccolta dei dati solo quando sia necessaria per le finalità specificate e comunicate agli utenti, e non devono raccogliere più informazioni di quelle necessarie per lo scopo dichiarato (principio di “pertinenza”).

Gli indirizzi di posta elettronica ricavati da “aree pubbliche” di Internet (ad esempio, gruppi di discussione) non possono essere utilizzati per attività di marketing senza il consenso dei diretti interessati, fermo restando che gli utenti devono avere la possibilità di ritirare tale consenso in ogni momento.

I requisiti indicati dai Garanti europei costituiscono un “nucleo minimo”, che potrà essere integrato, in futuro, da ulteriori raccomandazioni di natura più specifica (ad esempio, in materia di dati “sensibili”, relativi a minori o a informazioni di carattere sanitario).