GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI

Transcript

1 GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI 01189/09/IT WP 163 Parere 5/2009 sui social network on-line adottato il 12 giugno 2009 Il Gruppo, istituito in virtù dell articolo 29 della direttiva 95/46/CE, è l organo consultivo indipendente dell UE per la tutela dei dati personali e della vita privata. I suoi compiti sono fissati all articolo 30 della richiamata direttiva e all articolo 15 della direttiva 2002/58/CE. Le funzioni di segreteria sono espletate dalla direzione C (Giustizia civile, diritti fondamentali e cittadinanza) della Commissione europea, direzione generale Giustizia, libertà e sicurezza, B Bruxelles, Belgio, ufficio LX-46 01/02. Sito Internet:

2 INDICE Sintesi Introduzione Definizione di servizio di social network (SNS) e modello commerciale Applicazione della direttiva sulla protezione dei dati Chi è il responsabile del trattamento? Sicurezza e impostazioni per default sulla privacy Informazioni che devono essere fornite dagli SNS Dati sensibili Trattamento dei dati dei non iscritti Accesso di terzi Basi giuridiche della commercializzazione diretta Conservazione dei dati Diritti degli utenti Bambini e minori Sintesi degli obblighi/diritti

3 Sintesi Il presente parere tratta del modo in cui il funzionamento dei siti di social network può soddisfare le prescrizioni UE sulla protezione dei dati ed è inteso in primo luogo a fornire ai fornitori di servizi di social network (SNS) indicazioni sulle misure necessarie per conformarsi alla normativa comunitaria. Il parere osserva che i fornitori di SNS e in molti casi i fornitori di applicazioni sono i responsabili del trattamento dei dati, con i conseguenti obblighi nei confronti degli utenti. Il documento sottolinea che molti utenti agiscono in una sfera del tutto personale, contattando altri utenti nel quadro delle proprie attività personali, familiari o domestiche. In questi casi, secondo il Gruppo di lavoro articolo 29 vale la cosiddetta esenzione domestica ( household exemption ) e non si applicano le norme sul responsabile del trattamento. Il parere specifica le circostanze in cui le attività dell utente non rientrano nell esenzione. La diffusione e l uso delle informazioni contenute in un SNS per scopi secondari e non previsti sono fra le principali fonti di preoccupazione per il Gruppo di lavoro. In tutto il documento si insiste sulla necessità di una maggiore sicurezza e sull uso di impostazioni per default orientate alla privacy come punto di partenza ideale per tutti i servizi proposti. Un altra fonte di grande preoccupazione è l accesso alle informazioni del profilo-utente. Sono inoltre affrontate questioni come il trattamento di immagini e di dati sensibili, la pubblicità e la commercializzazione diretta sugli SNS e la conservazione dei dati. Le raccomandazioni principali vertono sull obbligo dei fornitori di SNS di conformarsi alla direttiva sulla protezione dei dati e di rispettare e rafforzare i diritti degli utenti. È estremamente importante che i fornitori di SNS comunichino immediatamente la loro identità agli utenti precisando tutte le diverse finalità per le quali i dati personali sono elaborati. I fornitori di SNS dovrebbero poi riservare particolare attenzione al trattamento dei dati personali dei minori. Nel parere si raccomanda infine agli utenti di caricare foto o dati relativi a terzi soltanto dopo aver ottenuto il consenso degli interessati e si afferma che gli SNS hanno anche il dovere di informare gli utenti sul diritto altrui alla privacy. -3-

4 IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI istituito con direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre , visti l articolo 29 e l articolo 30, paragrafo 1, lettera a), e paragrafo 3 della richiamata direttiva, e l'articolo 15, paragrafo 3, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002, visto l'articolo 255 del trattato CE e il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione, visto il proprio regolamento interno, HA ADOTTATO IL PRESENTE DOCUMENTO: 1. Introduzione L'evoluzione delle comunità virtuali e di altri servizi ospitati sul web, quali i servizi di social network (Social Network Services - SNS), rappresenta un fenomeno relativamente recente e il numero di utenti di tali servizi continua a crescere a un ritmo esponenziale. I dati personali che l utente inserisce on-line, insieme ai dati che ne descrivono le azioni e le interazioni con altri utenti, possono creare un profilo articolato dei suoi interessi e delle sue attività. I dati personali pubblicati sui siti di social network possono essere usati da terzi per svariati scopi, anche commerciali, e possono comportare gravi rischi come il furto d identità, il danno economico, la perdita di opportunità commerciali e di possibilità di impiego e pericoli per l incolumità fisica. Nel marzo 2008 il Gruppo di lavoro internazionale sulla protezione dei dati nelle telecomunicazioni (Gruppo Berlino) ha adottato il Memorandum di Roma 2, nel quale esamina i rischi dei social network per la privacy e la sicurezza e fornisce linee-guida a legislatori, fornitori di SNS e utenti. Anche la recente risoluzione sulla tutela della privacy nei servizi di social network si sofferma sulle sfide poste dagli SNS 3. Il Gruppo di lavoro tiene infine conto del documento pubblicato nell ottobre 2007 dall'agenzia europea per la sicurezza delle reti e dell'informazione (ENISA), Security Issues and Recommendations for Online Social Networks 4, rivolto ai legislatori e ai fornitori di servizi di social network. 2. Definizione di servizio di social network (SNS) e modello commerciale L SNS può essere definito sostanzialmente come una piattaforma di comunicazione on-line che consente ad un utente di creare reti di utenti che condividono i suoi stessi interessi o di entrarne a far parte. Dal punto di vista giuridico, i social network sono servizi della società GU L 281 del , pag. 31, Adottata in occasione della XXX Conferenza internazionale dei Garanti della privacy e della protezione dei dati a Strasburgo il 17 ottobre 2008, disponibile sul sito:

5 dell'informazione, ai sensi dell'articolo 1, paragrafo 2 della direttiva 98/34/CE modificata dalla direttiva 98/48/CE. Gli SNS hanno delle caratteristiche comuni: - gli utenti sono invitati a fornire dati personali per creare una descrizione di se stessi o profilo ; - gli SNS mettono a disposizione anche strumenti che consentono agli utenti di inserire in rete il loro materiale (contenuto generato dall utente, come foto, testi, musica, video clip, oppure link verso altri siti 5 ); - la socializzazione in rete avviene attraverso strumenti che forniscono agli utenti un elenco di contatti con i quali possono interagire. Gran parte degli introiti degli SNS è assicurata dalla pubblicità proposta sulle pagine web che gli utenti pubblicano e consultano. Gli utenti che inseriscono nel proprio profilo grandi quantità di dati sui loro interessi rappresentano un ricco mercato per gli inserzionisti, che sulla base di tali dati possono proporre pubblicità mirata. È quindi importante che gli SNS operino nel rispetto dei diritti e delle libertà degli utenti, i quali si aspettano legittimamente che i loro dati personali siano elaborati conformemente alla legislazione europea e nazionale sulla protezione dei dati e sulla privacy. 3. Applicazione della direttiva sulla protezione dei dati Le disposizioni della direttiva sulla protezione dei dati si applicano ai fornitori di SNS nella maggior parte dei casi, anche se la loro sede si trova al di fuori del territorio SEE. Il Gruppo di lavoro articolo 29 rinvia al suo precedente parere sui motori di ricerca per ulteriori orientamenti sui temi dello stabilimento e del ricorso a strumenti ai fini dell applicazione della direttiva sulla protezione dei dati, nonché per le norme applicabili in caso di trattamento degli indirizzi IP e di uso dei cookie Chi è il responsabile del trattamento? Fornitori di SNS I fornitori di SNS sono i responsabili del trattamento ai sensi della direttiva sulla protezione dei dati. Mettono a disposizione i mezzi per l elaborazione dei dati degli utenti e forniscono tutti i servizi di base relativi alla gestione degli utenti (per esempio, la registrazione e la cancellazione degli account). Determinano inoltre il modo in cui i dati degli utenti possono essere usati a fini pubblicitari e commerciali - inclusa la pubblicità fornita da terzi. Fornitori di applicazioni Anche i fornitori di applicazioni possono essere responsabili del trattamento, se sviluppano applicazioni che funzionano in aggiunta a quelle degli SNS e se gli utenti decidono di servirsene. Utenti Nella maggior parte dei casi gli utenti sono considerati gli interessati. La direttiva non estende gli obblighi del responsabile del trattamento a chi elabora dati personali per l'esercizio di 5 6 Nei casi in cui gli SNS forniscono servizi di comunicazione elettronica, si applicano anche le disposizioni della direttiva relativa alla vita privata e alle comunicazioni elettroniche (2002/58/CE). WP 148, Parere sugli aspetti della protezione dei dati connessi ai motori di ricerca. -5-

6 attività a carattere esclusivamente personale o domestico la cosiddetta esenzione domestica. In alcuni casi, è possibile che queste attività non siano più coperte dall esenzione e si può allora ritenere che all utente dell SNS incombano alcuni obblighi del responsabile del trattamento. Nei punti che seguono se ne riporta qualche esempio. -6-

7 Oggetto e natura Nel settore degli SNS si nota sempre più spesso il passaggio del web 2.0 da strumento per il tempo libero a strumento per la produttività e i servizi, 7 in quanto le attività di alcuni utenti possono andare al di là della sfera esclusivamente personale o domestica, per esempio quando l'sns è usato come piattaforma di collaborazione per un'associazione o una società. Se l utente agisce per conto di una società o di un associazione, oppure usa il servizio di social network soprattutto come piattaforma a fini commerciali, politici o filantropici, l esenzione non si applica. In questo caso l utente assume tutti gli obblighi di un responsabile del trattamento che comunica dati personali ad un altro responsabile del trattamento (SNS) e a terzi (altri utenti SNS o potenzialmente anche altri responsabili del trattamento con accesso ai dati). In tali circostanze, l utente ha bisogno del consenso degli interessati o di un altra opportuna base giuridica ai sensi della direttiva sulla protezione dei dati. Spesso l accesso ai dati (profilo, messaggi, contenuti, ecc.) inseriti da un utente è limitato ai contatti che l utente stesso ha scelto. Talvolta però l utente può acquisire molti contatti di soggetti terzi, alcuni dei quali del tutto sconosciuti. Un numero elevato di contatti può indicare che l esenzione domestica non si applica e che l utente va quindi considerato un responsabile del trattamento Accesso alle informazioni del profilo Gli SNS dovrebbero garantire impostazioni per default gratuite e orientate alla privacy, che limitino l accesso ai contatti scelti dall utente. Quando l accesso alle informazioni del profilo non si limita ai contatti scelti, come nel caso in cui tutti gli iscritti all SNS hanno la possibilità di consultare un profilo 8 o i relativi dati possono essere indicizzati da motori di ricerca, si oltrepassa la sfera personale o domestica. Analogamente, se un utente decide con cognizione di causa di non limitare l accesso ad amici scelti, assume gli obblighi di un responsabile del trattamento. Si applica quindi lo stesso regime giuridico di quando una persona usa altre piattaforme tecnologiche per pubblicare dati personali sul web 9. In vari Stati membri, l accesso senza restrizioni (e quindi il carattere pubblico) implica l applicazione della direttiva sulla protezione dei dati nel senso che all'utente di Internet incombono gli obblighi del responsabile del trattamento 10. Va tenuto presente che, anche se l esenzione domestica non si applica, l utente dell SNS può beneficiare di altre esenzioni, per esempio a fini giornalistici o di espressione artistica o letteraria. In questi casi occorre trovare un equilibrio tra libertà di espressione e diritto alla privacy Trattamento dei dati di terzi da parte degli utenti "Internet of the future: Europe must be a key player" (L Internet del futuro: l Europa deve avere un ruolo fondamentale), discorso di Viviane Reding, commissario responsabile per la società dell informazione e i media, a proposito dell iniziativa Il futuro di Internet del Consiglio europeo di Lisbona (2 febbraio 2009). Oppure se si può dimostrare che non c è alcuna selezione vera quando si accettano i contatti, cioè gli utenti accettano i contatti senza preoccuparsi dei legami esistenti tra loro. Per esempio, le piattaforme di pubblicazione che non sono SNS o i software self-hosted. Al punto 44 della sentenza Satamedia la Corte di giustizia delle Comunità europee ha invece statuito: Ne discende che tale seconda eccezione deve interpretarsi nel senso che comprende unicamente le attività che rientrano nell ambito della vita privata o familiare dei singoli (v. sentenza Lindqvist, cit., punto 47). Questo non è, manifestamente, il caso per quanto riguarda le attività della Markkinapörssi e della Satamedia, il cui obiettivo è quello di portare i dati estratti a conoscenza di un numero indefinito di persone. -7-

8 L applicazione dell esenzione domestica è limitata anche dalla necessità di garantire i diritti dei terzi, soprattutto per quanto riguarda i dati sensibili. Inoltre, va osservato che anche se si applica l esenzione, l utente potrebbe comunque essere tenuto responsabile ai sensi delle disposizioni nazionali generali di diritto privato o penale (per esempio, diffamazione, responsabilità per violazione dei diritti della personalità, responsabilità penale). 3.2 Sicurezza e impostazioni per default sulla privacy La sicurezza del trattamento delle informazioni costituisce un elemento chiave di fiducia negli SNS. Il responsabile del trattamento deve adottare adeguate misure tecniche ed organizzative, sia al momento della progettazione che a quello dell'esecuzione del trattamento, per garantire la sicurezza ed impedire qualsiasi trattamento non autorizzato, tenendo conto dei rischi presentati dal trattamento e della natura dei dati 11. Un elemento importante delle impostazioni relative alla privacy è l accesso ai dati personali pubblicati in un profilo. Se l accesso non è limitato, un terzo può venire a conoscenza di particolari intimi della vita dell utente, in quanto iscritto all SNS o attraverso i motori di ricerca. Tuttavia, solo una minoranza di utenti modifica le impostazioni per default quando si iscrive ad un servizio. Per questo motivo, gli SNS dovrebbero proporre impostazioni per default orientate alla privacy che permettano agli utenti di accettare liberamente e specificamente l accesso di persone che non fanno parte dei loro contatti al loro profilo per ridurre i rischi di trattamento illecito da parte di terzi. I motori di ricerca interni non dovrebbero poter risalire a profili ad accesso limitato, neppure con la funzione di ricerca per parametri come l età o la località. La decisione di estendere l accesso non deve essere implicita, per esempio con una scelta di esclusione (opt-out) proposta dal responsabile dell SNS Informazioni che devono essere fornite dagli SNS Conformemente all articolo 10 della direttiva sulla protezione dei dati, i fornitori di SNS dovrebbero comunicare agli utenti la loro identità e le differenti finalità del trattamento cui sono destinati i dati, tra le quali: - l uso dei dati a fini di commercializzazione diretta; - l eventuale condivisione dei dati con categorie specifiche di terzi; - informazioni generali sui profili: loro creazione e loro principali fonti di dati; - l uso di dati sensibili. Il Gruppo di lavoro raccomanda ai fornitori di SNS di: - mettere adeguatamente in guardia gli utenti sui rischi per la loro privacy e per quella altrui quando inseriscono dati sugli SNS; - ribadire ai loro utenti che inserire dati su terzi può pregiudicare il diritto altrui alla privacy e alla protezione dei dati; Articolo 17 e considerando 46 della direttiva sulla protezione dei dati. Nel Rapporto e nelle linee-guida in materia di privacy nei servizi di social network ( Memorandum di Roma ) si sottolineano rischi come l idea ingannevole di comunità, punto 2, rivelare più informazioni personali di quanto si creda, punto 6. Una società di sicurezza informatica avverte un noto SNS dell accesso per default agli iscritti di una stessa località geografica: -8-

9 - informare i loro utenti che, se desiderano pubblicare foto o dati riguardanti terzi, dovrebbero farlo solo con il consenso degli interessati Dati sensibili I dati che rivelano l origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l appartenenza sindacale, nonché quelli relativi alla salute e all orientamento sessuale sono considerati dati sensibili. I dati personali sensibili possono essere pubblicati su Internet soltanto con il consenso esplicito dell interessato o se è l interessato stesso ad averli resi pubblici 14. In alcuni Stati membri dell UE le immagini degli interessati sono considerate una categoria speciale di dati personali, poiché possono essere usate per distinguere tra origini razziali/etniche o per dedurre le convinzioni religiose oppure dati relativi alla salute. In linea di massima il Gruppo di lavoro non considera le immagini su Internet dati sensibili 15, a meno che non siano esplicitamente usate per rivelare informazioni sensibili sulle persone. Nella veste di responsabili del trattamento dei dati, gli SNS non possono elaborare dati sensibili sugli iscritti o su persone non iscritte senza il consenso esplicito degli interessati 16. Se nel modulo di iscrizione ad un SNS figurano domande relative a dati sensibili, l SNS deve indicare molto chiaramente che rispondere è del tutto facoltativo. 3.5 Trattamento dei dati dei non iscritti Molti servizi di social network permettono agli utenti di inserire dati su terzi, per esempio un nome sotto una foto, un giudizio su una persona, l elenco delle persone che ho incontrato/voglio incontrare nel corso di determinati avvenimenti. Questo tagging può identificare anche persone non iscritte al servizio. L SNS però può trattare i dati dei non iscritti soltanto se ricorre una delle condizioni di cui all articolo 7 della direttiva sulla protezione dei dati. Inoltre, la creazione di profili predefiniti di soggetti non iscritti grazie all aggregazione di dati forniti indipendentemente da utenti SNS, inclusi quelli sui rapporti tra di loro ricavati dagli indirizzari on-line, non ha base giuridica 17. Anche se l SNS avesse i mezzi per contattare i non iscritti e informarli dell esistenza di dati personali che li riguardano, un eventuale invito per ad iscriversi al servizio per consultare i dati violerebbe il divieto di inviare messaggi di posta elettronica indesiderati a fini di commercializzazione diretta previsto all articolo 13, paragrafo 4 della direttiva sulla protezione della vita privata nel settore delle comunicazioni elettroniche Si potrebbe facilitare il compito con l introduzione di strumenti di gestione del tagging sui siti dei social network, per esempio creando spazi su un profilo personale per indicare la presenza di un nome utente nelle immagini o nei video etichettati in attesa di consenso o fissando una scadenza per i tag che non hanno avuto il consenso dell interessato. Gli Stati membri possono prevedere eccezioni a tale norma; cfr. articolo 8, paragrafo 2, lettera a), seconda frase e articolo 8, paragrafo 4 della direttiva sulla protezione dei dati. La pubblicazione di immagini su Internet suscita però sempre più preoccupazioni in termini di rispetto per la vita privata, se si considera lo sviluppo delle tecniche di riconoscimento facciale. Il consenso deve essere libero, informato e specifico. Il considerando 38 della direttiva sulla protezione dei dati specifica: considerando che il trattamento leale dei dati presuppone che le persone interessate possano conoscere l'esistenza del trattamento e disporre, quando i dati che le riguardano sono forniti direttamente da loro, di un'informazione effettiva e completa in merito alle circostanze della raccolta. Si presume che per alcuni SNS la pubblicazione dei profili dei non iscritti sia diventata importante per la commercializzazione dei loro servizi. -9-

10 3.6 Accesso di terzi Accesso tramite gli SNS Oltre al servizio di base, la maggior parte degli SNS propone agli utenti applicazioni supplementari fornite da terzi che le sviluppano e che pure elaborano dati personali. Gli SNS dovrebbero avere i mezzi per garantire che queste applicazioni rispettino le direttive sulla protezione dei dati e sulla protezione della vita privata nel settore delle comunicazioni elettroniche, in particolare che informino gli utenti in modo chiaro e specifico sul trattamento dei loro dati personali e abbiano accesso esclusivamente ai dati personali necessari. Pertanto, i servizi di social network dovrebbero offrire agli sviluppatori terzi un accesso a più livelli in modo che possano optare per una modalità di accesso intrinsecamente più limitata. Dovrebbero inoltre fare in modo che gli utenti possano comunicare facilmente i loro timori riguardo alle applicazioni Accesso tramite gli utenti I servizi di social network consentono talvolta agli utenti di accedere ai loro dati e di aggiornarli attraverso altre applicazioni. Gli utenti possono per esempio: - leggere e inviare messaggi dal loro cellulare alla rete; - sincronizzare le coordinate dei loro amici nell SNS con l indirizzario sul computer; - aggiornare automaticamente il loro status o la loro localizzazione nell'sns usando un altro sito web. Gli SNS pubblicano il modo in cui si può creare questo software sotto forma di interfaccia per programmi applicativi (API). In questo modo qualunque terzo può creare software per eseguire questi compiti e gli utenti possono scegliere liberamente tra vari fornitori 18. Quando propongono un API che consente l accesso ai dati dei contatti, gli SNS dovrebbero: - assicurare un grado di articolazione che permetta all utente di scegliere un livello di accesso per i terzi che sia limitato all esecuzione di un determinato compito. Quando accedono per conto di un utente ai dati personali tramite le API di terzi, i fornitori di servizi terzi dovrebbero: - elaborare e conservare i dati per una durata non superiore a quella necessaria ad eseguire un compito specifico; - limitare le operazioni sui dati dei contatti importati dall utente all uso personale dell utente che li ha forniti. 3.7 Basi giuridiche della commercializzazione diretta La commercializzazione diretta è un aspetto essenziale del modello commerciale degli SNS; i servizi di social network possono usare modelli di commercializzazione diversi. Tuttavia, coloro che gestiscono dati personali a fini di commercializzazione dovrebbero rispettare le 18 Il termine tecnico API ha un ampio significato, ma in questo caso si riferisce all'accesso per conto dell'utente, nel senso che quest ultimo deve dare le proprie credenziali al software affinché questo possa agire per suo conto. -10-

11 disposizioni pertinenti delle direttive sulla protezione dei dati e sulla protezione della vita privata nel settore delle comunicazioni elettroniche 19. La commercializzazione contestuale è adattata al contenuto che l utente visiona o consulta 20. La commercializzazione segmentata consiste nel diffondere pubblicità a gruppi mirati di utenti 21 ; l utente è inserito in un gruppo in funzione delle informazioni che ha comunicato direttamente all SNS 22. Infine, la commercializzazione comportamentale seleziona gli annunci pubblicitari grazie all osservazione e all analisi dell attività dell utente nel tempo. Queste tecniche possono essere soggette a requisiti giuridici diversi, in funzione delle basi giuridiche applicabili e delle caratteristiche delle tecniche usate. Il Gruppo di lavoro raccomanda di non usare dati sensibili nei modelli pubblicitari comportamentali, a meno che non siano soddisfatti tutti i requisiti di legge. A prescindere dal modello o dalla combinazione dei modelli usati, gli annunci possono essere diffusi sia direttamente dall SNS (il fornitore di SNS funge in questo caso da intermediario) sia da un pubblicitario terzo. Nel primo caso, non occorre comunicare a terzi i dati personali degli utenti. Nel secondo caso invece il pubblicitario terzo potrebbe elaborare i dati personali dell utente, per esempio se tratta l indirizzo IP dell utente o un cookie memorizzato sul suo computer. 3.8 Conservazione dei dati I servizi di social network esulano dalla definizione di servizi di comunicazione elettronica di cui all articolo 2, lettera c) della direttiva quadro 2002/21/CE. I fornitori di SNS possono però proporre servizi supplementari che rientrano in tale definizione, per esempio un servizio di posta elettronica accessibile al pubblico, e che saranno quindi disciplinati dalla direttiva relativa alla vita privata e alle comunicazioni elettroniche e dalla direttiva sulla conservazione dei dati. Alcuni SNS consentono ai loro utenti di inviare inviti a terzi. Il divieto di usare la posta elettronica per la commercializzazione diretta non si applica alle comunicazioni personali. Per beneficiare della deroga, l SNS deve rispettare i seguenti criteri: - non incitare il mittente o il destinatario a comunicare; - il fornitore non seleziona i destinatari del messaggio 23 ; - l identità del mittente deve essere menzionata chiaramente; - il mittente deve conoscere l intero contenuto del messaggio che sarà inviato a suo nome. Alcuni SNS conservano poi i dati identificativi degli utenti che sono stati espulsi dal servizio per assicurarsi che non possano registrarsi nuovamente. In tal caso, gli interessati devono essere informati della misura presa nei loro confronti. Inoltre, le uniche informazioni che si Il Gruppo di lavoro intende esaminare prossimamente in un documento distinto i diversi aspetti della pubblicità on-line. Per esempio, se la pagina visionata contiene la parola Parigi, la pubblicità potrebbe riguardare un ristorante della città. Ogni gruppo è definito in base ad una serie di criteri. Per esempio quando si è iscritto al servizio. È vietata cioè la prassi di alcuni SNS di inviare inviti indiscriminatamente all'intero indirizzario di un utente. -11-

12 possono conservare sono i dati identificativi e non le motivazioni dell espulsione dal servizio. Queste informazioni non dovrebbero essere conservate per più di un anno. I dati personali comunicati dall utente quando si iscrive ad un SNS dovrebbero essere cancellati non appena l utente o il fornitore di SNS decide di cancellare l account 24. Allo stesso modo non dovrebbero essere conservati i dati cancellati dall'utente quando aggiorna il suo account. Prima di procedere a queste operazioni, gli SNS dovrebbero avvisare gli utenti con i mezzi a loro disposizione per informarli in merito ai periodi di conservazione. In casi specifici, per motivi giuridici e di sicurezza, potrebbe essere giustificato conservare i dati cancellati o aggiornati e gli account per un periodo determinato al fine di contribuire ad impedire atti dolosi derivanti da furti di identità e da altri reati. Quando l utente non usa più il servizio per un certo periodo di tempo, il suo profilo dovrebbe diventare inattivo, cioè non essere più visibile agli altri utenti o all esterno, e trascorso un certo lasso di tempo, i dati dell account abbandonato dovrebbero essere cancellati. Prima di procedere a queste operazioni, gli SNS dovrebbero avvisare gli utenti con i mezzi a loro disposizione. 3.9 Diritti degli utenti Gli SNS dovrebbero rispettare i diritti degli interessati dal trattamento dei dati conformemente alle disposizioni di cui agli articoli 12 e 14 della direttiva sulla protezione dei dati. I diritti di accesso e rettifica non sono limitati agli utenti del servizio ma si estendono ad ogni persona fisica i cui dati sono sottoposti a trattamento 25. Sia gli iscritti che i non iscritti all SNS devono avere la possibilità di esercitare il diritto di accesso, rettifica e cancellazione. La homepage dei siti di SNS dovrebbe segnalare chiaramente l esistenza di uno sportello reclami istituito dal fornitore di SNS per occuparsi dei problemi relativi alla protezione dei dati e della vita privata e dei reclami di iscritti e non iscritti. A norma dell articolo 6, paragrafo 1, lettera c) della direttiva sulla protezione dei dati, i dati devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati. In questo contesto, si può osservare che l SNS può aver bisogno di registrare alcuni dati identificativi dei suoi iscritti, ma non di diffonderne il vero nome su Internet. Pertanto, gli SNS dovrebbero considerare attentamente se sia giustificabile obbligare gli utenti ad usare il loro vero nome anziché uno pseudonimo. Solidi argomenti indicano che gli utenti dovrebbero avere libertà di scelta al riguardo e in almeno uno Stato membro la libertà di scelta è prevista per legge. Questi argomenti acquistano maggior peso nel caso di SNS che contano iscritti in tutto il mondo. A norma dell articolo 17 della direttiva sulla protezione dei dati, il responsabile del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali. In particolare, queste misure di sicurezza includono meccanismi di controllo dell accesso e di autenticazione che possono essere attuati anche se sono usati pseudonimi A norma dell articolo 6, paragrafo 1, lettera e) della direttiva sulla protezione dei dati, i dati personali devono essere conservati in modo da consentire l identificazione dell interessato per e non oltre il tempo necessario a conseguire le finalità per le quali sono rilevati o successivamente trattati. Per esempio, se l indirizzo della persona è stato usato dal servizio SNS per inviarle un invito. -12-

13 4. Bambini e minori Gran parte dei servizi di social network è usata da bambini/minori. Il parere WP del Gruppo di lavoro si sofferma sull applicazione dei principi della protezione dei dati nelle scuole e nel mondo dell istruzione, sottolineando la necessità di tenere conto dell interesse superiore del minore come stabilito anche nella Convenzione delle Nazioni Unite sui diritti del fanciullo. Il Gruppo di lavoro desidera evidenziare l importanza di questo principio anche nel contesto degli SNS. In tutto il mondo le autorità garanti della protezione dei dati hanno preso alcune interessanti iniziative 27 incentrate soprattutto sulla sensibilizzazione agli SNS e ai possibili rischi connessi. Il Gruppo di lavoro invita ad approfondire la ricerca sul modo in cui risolvere i problemi relativi alla verifica dell età richiesta e alla prova del consenso informato per affrontare al meglio queste sfide. Sulla base delle considerazioni sopra esposte, il Gruppo di lavoro ritiene che per affrontare il tema della protezione dei dati dei minori nel contesto degli SNS occorrerebbe una strategia pluridimensionale. Questa strategia potrebbe essere basata: - su strategie di sensibilizzazione, che sono fondamentali per assicurare la partecipazione attiva dei minori (attraverso le scuole, l introduzione di nozioni di base sulla protezione dei dati nei programmi scolastici, la creazione di strumenti didattici ad-hoc, la collaborazione di organismi nazionali competenti); - su un trattamento equo e lecito dei dati personali dei minori, per esempio rinuncia a chiedere dati sensibili nel modulo di iscrizione e assenza di commercializzazione diretta, richiesta del consenso dei genitori prima dell iscrizione e garanzia di un adeguato livello di separazione logica tra comunità di minori e di adulti; - sull attuazione di tecnologie a difesa della privacy, per esempio, impostazioni per default orientate alla privacy, finestre pop-up di avvertimento al momento opportuno, software per la verifica dell età; - sull autoregolamentazione dei fornitori di SNS per incoraggiare l adozione di manuali di buone pratiche con misure d applicazione efficaci, incluse sanzioni disciplinari; - se necessario, su misure legislative ad hoc per scoraggiare le pratiche sleali e/o ingannevoli nel contesto degli SNS. 5. Sintesi degli obblighi/diritti Applicabilità delle direttive CE 1. La direttiva sulla protezione dei dati si applica generalmente al trattamento dei dati personali effettuato da SNS, anche quando la loro sede si trova al di fuori del SEE Per esempio, l iniziativa portoghese Dadus o il Chat Check Badge danese,

14 2. I fornitori di SNS sono considerati responsabili del trattamento ai sensi della direttiva sulla protezione dei dati. 3. I fornitori di applicazioni possono essere considerati responsabili del trattamento ai sensi della direttiva sulla protezione dei dati. 4. Gli utenti sono considerati gli interessati per quanto riguarda il trattamento dei loro dati ad opera degli SNS. 5. Nella maggior parte dei casi il trattamento di dati personali ad opera degli utenti rientra nell ambito di applicazione dell esenzione domestica. In alcuni casi tuttavia le attività degli utenti sono escluse dall esenzione. 6. Gli SNS esulano dalla definizione di servizi di comunicazione elettronica e pertanto ad essi non si applica la direttiva sulla conservazione dei dati. Obblighi degli SNS 7. Gli SNS dovrebbero comunicare la loro identità agli utenti e fornire loro informazioni chiare e complete sulle finalità per le quali e sui diversi modi in cui intendono effettuare il trattamento. 8. Gli SNS dovrebbero proporre impostazioni per default orientate alla privacy. 9. Gli SNS dovrebbero informare e mettere adeguatamente in guardia gli utenti sui rischi per la privacy derivanti dall inserimento dei dati in rete. 11. Gli SNS dovrebbero raccomandare agli utenti di non mettere in rete immagini o informazioni relative a terzi senza il consenso degli interessati. 12. Sulla homepage degli SNS dovrebbe figurare almeno un link verso uno sportello reclami destinato agli iscritti e ai non iscritti per le questioni relative alla protezione dei dati. 13. L attività di commercializzazione deve rispettare le norme previste nelle direttive sulla protezione dei dati e sulla protezione della vita privata nel settore delle comunicazioni elettroniche. 14. Gli SNS devono fissare i limiti massimi per la conservazione dei dati degli utenti inattivi. Gli account abbandonati devono essere cancellati. 15. Per quanto riguarda i minori, gli SNS dovrebbero prendere le misure appropriate per limitare i rischi. Diritti degli utenti 16. I diritti degli iscritti e dei non iscritti agli SNS sono quelli dell interessato, se applicabili, ai sensi delle disposizioni degli articoli da 10 a 14 della direttiva sulla protezione dei dati. 17. Sia gli iscritti che i non iscritti dovrebbero avere accesso ad una procedura di trattamento delle denunce predisposta dagli SNS e facile da seguire. -14-

15 18. In generale, agli utenti dovrebbe essere consentito l'uso di uno pseudonimo. Fatto a Bruxelles, il 12 giugno 2009 Per il Gruppo di lavoro Il Presidente Alex TÜRK -15-