Risoluzione sulla tutela della privacy nei servizi di social network

Pubblichiamo il testo integrale della "Risoluzione sulla tutela della privacy nei servizi di social network", adottata da 78 Autorità garanti per la protezione dei dati personali nel corso della "30th International Data Protection Conference of Data Protection and Privacy Commissioners".

Autorità proponente: Autorità per la protezione dei dati e l’accesso alle informazioni dello Stato di Berlino – Germania.

Co-sponsor: Commission nationale de l’informatique et des libertés (CNIL) – Francia; Autorità federale per la protezione dei dati e l’accesso alle informazioni – Germania; Garante per la protezione dei dati personali – Italia; Autorità per la privacy – Nuova Zelanda; Autorità federale per la protezione dei dati e le informazioni – Svizzera.

Risoluzione

I servizi di social network sono divenuti estremamente popolari negli ultimi anni. Fra l’altro, si tratta di servizi che offrono agli abbonati la possibilità di interagire attraverso profili personali generati autonomamente, il che favorisce la comunicazione di dati personali relativi agli abbonati, ma anche a soggetti terzi, in una misura che non ha precedenti. I servizi di social network offrono una gamma del tutto nuova di opportunità comunicative e di interazione in tempo reale attraverso ogni possibile tipologia di informazioni, ma l’utilizzo di questi servizi può comportare rischi per la privacy sia degli utenti sia di terzi. I dati personali divengono infatti disponibili pubblicamente e in modo globale, secondo schemi qualitativi e quantitativi che non hanno precedenti, anche attraverso enormi quantità di foto e video digitali.

C’è il rischio di perdere il controllo dell’utilizzo dei propri dati una volta pubblicati in rete. Il fatto che si tratti di servizi operanti attraverso una "comunità" di utenti può far pensare che la situazione non sia molto diversa dal condividere informazioni con un gruppo di amici nel mondo reale; in realtà, le informazioni contenute nel proprio profilo possono raggiungere l’intera comunità degli abbonati al servizio – talora in numero di diversi milioni.

Attualmente non vi sono che scarse tutele rispetto alla riproduzione dei dati personali contenuti nei profili-utente; possono essere copiati da altri membri della rete, o da terzi non autorizzati esterni alla rete, e quindi venire utilizzati per costruire profili personali oppure essere ripubblicati altrove. Talora risulta assai difficile, o addirittura impossibile, ottenere la totale cancellazione dei propri dati da Internet una volta che essi siano stati pubblicati. Anche dopo la cancellazione dal sito originario (ad esempio, un servizio di social network), possono esisterne copie in mano a soggetti terzi o ai fornitori del servizio di social network. Inoltre, i dati personali contenuti nei profili possono "filtrare" dalla rete se sono indicizzati da un motore di ricerca, mentre alcuni fornitori di questi servizi consentono a terzi di accedere ai dati relativi agli utenti attraverso API (interfacce di programmazione applicazioni), cosicché tali soggetti terzi sono liberi di disporre dei dati in questione.

Fra gli esempi di utilizzo ulteriore dei dati, possiamo citare la prassi invalsa presso molti uffici del personale di varie aziende di ricercare i profili-utente relativi a candidati all’assunzione o singoli dipendenti. Secondo quanto riferito dalla stampa, un terzo dei responsabili delle risorse umane ammette di utilizzare informazioni tratte da servizi di social network, ad esempio per verificare o completare le informazioni fornite dai candidati all’assunzione.

Le informazioni contenute nei profili-utente e i dati di traffico sono utilizzati anche dai fornitori di servizi di social network per l’invio di messaggi mirati di marketing ai rispettivi utenti.

E’ molto probabile che in futuro si manifestino altre modalità di utilizzo dei dati contenuti nei profili-utente.

Fra gli altri rischi specifici per la privacy e la sicurezza già oggi individuati, possiamo ricordare l’incremento del rischio di furti di identità favorito dalla diffusa disponibilità dei dati personali contenuti nei profili-utente e dalla "cattura" di tali profili ad opera di terzi non autorizzati. La 30ma Conferenza Internazionale delle autorità per la protezione dei dati e della privacy ricorda che tali rischi hanno già formato oggetto di analisi nel documento "Relazione e Linee-Guida sulla Privacy nei Servizi di Social Network ("Memorandum di Roma")" adottato durante la 43ma riunione dell’International Working Group on Data Protection in Telecommunications (3-4 marzo 2008), nonché nel Position Paper n. 1 dell’ENISA dedicato a "Security Issues and Recommendations for Online Social Networks" (ottobre 2007).

Le Autorità per la protezione dei dati e della privacy riunitesi in occasione della Conferenza Internazionale sono convinte, in primo luogo, della necessità di condurre un’approfondita campagna informativa che investa tutti i soggetti pubblici e privati: dalle autorità di governo alle istituzioni scolastiche, dai fornitori di servizi di social network alle associazioni di utenti e consumatori, nonché le stesse autorità, al fine di prevenire i molteplici rischi associati all’utilizzo dei servizi di social network.

Raccomandazioni

Tenuto conto della particolare natura dei servizi in oggetto, e dei rischi per la privacy delle persone nel breve e nel lungo periodo, la Conferenza sottopone le seguenti raccomandazioni agli utenti ed ai fornitori di servizi di social network:

Utenti dei servizi di social network
I soggetti interessati al benessere degli utenti dei servizi di social network, ivi compresi i fornitori di tali servizi, i governi, e le autorità per la protezione dei dati, dovrebbero contribuire ad educare gli utenti alla tutela dei dati personali che li riguardano, trasmettendo i messaggi di seguito indicati:

1. Pubblicazione delle informazioni
Gli utenti di servizi di social network dovrebbero valutare con attenzione se e in quale misura pubblicare dati personali in un profilo creato su tali servizi. Occorre tenere presente che le informazioni o le immagini pubblicate potrebbero riemergere in tempi successivi – ad esempio, in occasione della presentazione di una domanda d’impiego. Soprattutto, i minori dovrebbero evitare di fornire l’indirizzo o il numero telefonico di casa.
Sarebbe opportuno valutare se utilizzare nel profilo uno pseudonimo anziché il nome reale. Tuttavia, gli utenti devono ricordare che la tutela offerta dall’utilizzo di pseudonimi è piuttosto limitata, in quanto altri potrebbero individuare chi vi si cela dietro.

2. La privacy degli altri
Gli utenti devono rispettare la privacy altrui. Occorre particolare attenzione se si pubblicano dati personali relativi a soggetti terzi (comprese foto con o senza didascalie o etichette) senza il consenso di tali soggetti.

Fornitori dei servizi di social network
I fornitori dei servizi di social network sono tenuti ad operare nell’interesse delle persone che utilizzano i loro servizi. Oltre a rispettare la normativa in materia di protezione dei dati, dovrebbero mettere in pratica anche le raccomandazioni di seguito indicate:

1. Norme e standard in materia di privacy
I fornitori devono rispettare gli standard in materia di privacy vigenti nei Paesi ove operano. A tale scopo, dovrebbero consultarsi, se necessario, con le autorità per la protezione dei dati.

2. Informazioni relative agli utenti
I fornitori dei servizi di social network devono informare gli utenti in merito al trattamento dei dati personali che li riguardano, secondo modalità trasparenti e corrette. Inoltre, devono fornire informazioni veritiere e comprensibili sulle conseguenze derivanti dalla pubblicazione di dati personali in un profilo, nonché sugli altri rischi in materia di sicurezza e sulla possibilità che soggetti terzi (comprese, ad esempio, le forze dell’ordine) accedano legalmente a tali dati. L’informativa deve indicare anche le modalità per una corretta gestione dei dati personali relativi a terzi che siano contenuti nei singoli profili-utente.

3. Controllo da parte degli utenti sui dati che li riguardano
E’ necessario che i fornitori potenzino ulteriormente la capacità degli utenti di decidere l’utilizzo dei dati contenuti nei rispettivi profili per quanto riguarda i membri della comunità. Devono consentire agli utenti di limitare la visibilità dell’intero profilo, nonché di singoli dati contenuti nel profilo o ottenuti attraverso funzioni di ricerca messe a disposizione della comunità.
Inoltre, i fornitori devono consentire agli utenti di decidere sugli utilizzi ulteriori dei dati di traffico e dei dati contenuti nei rispettivi profili – ad esempio, per quanto riguarda attività di marketing. Come minimo, devono offrire la possibilità di negare il consenso (opt-out) rispetto all’utilizzo dei dati non sensibili contenuti nel profilo, e prevedere un consenso previo (opt-in) rispetto all’utilizzo di dati di natura sensibile contenuti nel profilo (ad esempio, dati relativi ad opinioni politiche o all’orientamento sessuale) nonché rispetto ai dati di traffico.

4. Impostazioni di default orientate alla privacy
Inoltre, i fornitori devono prevedere impostazioni di default orientate a favorire la privacy degli utenti per quanto riguarda le informazioni contenute nei singoli profili. Le impostazioni di default sono essenziali ai fini della tutela della privacy; è noto come solo una minoranza degli utenti che aderiscono ad un determinato servizio si preoccupi di modificare tali impostazioni. Le impostazioni in oggetto devono essere particolarmente restrittive se il servizio di social network è destinato o rivolto a minori.

5. Sicurezza
I fornitori devono continuare a potenziare e garantire la sicurezza dei sistemi informativi, impedendo accessi abusivi ai profili-utente, utilizzando standard riconosciuti per quanto concerne la programmazione, lo sviluppo e la gestione delle rispettive applicazioni, e ricorrendo a verifiche e certificazioni indipendenti.

6. Diritti di accesso
I fornitori devono riconoscere alle persone (siano esse membri del servizio o meno) il diritto di accedere e, se necessario, apportare modifiche a tutti i dati personali detenuti dai fornitori stessi.

7. Cancellazione dei profili-utente
I fornitori devono permettere agli utenti di recedere facilmente dal servizio, cancellando il rispettivo profilo ed ogni contenuto o informazione da essi pubblicato attraverso il servizio di social network.

8. Utilizzo di pseudonimi
I fornitori devono consentire la creazione e l’utilizzo, in via opzionale, di profili basati su pseudonimi e promuovere il ricorso a tale modalità opzionale.

9. Accesso da parte di soggetti terzi
I fornitori devono prendere misure atte ad impedire che soggetti terzi possano raccogliere attraverso dispositivi di spidering e/o scaricare (o raccogliere) in massa i dati contenuti nei profili-utente.

10. Indicizzazione dei profili-utente
I fornitori devono garantire che i dati relativi agli utenti siano navigabili da parte dei motori di ricerca soltanto con il previo consenso espresso ed informato da parte del singolo utente. Deve essere prevista per default la non-indicizzazione dei profili-utente da parte dei motori di ricerca.

 

Fonte: Garante per la protezione dei dati personali.

Focus
ottobre 31, 2008
No Tag
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it