Blog, commenti e privacy
Autore: Avv. Hermans Joseph IEZZONI Data: 5 settembre 2008
Discorrevo tempo fa con amici sui difetti delle piattaforme per bloggare. Così m’ero ripromesso che prima o poi avrei trattato l’argomento della privacy e dei commenti.
Mentre giocavo a realizzare un plug-in Privacy IP (ndr. l’autore è conscio che non sia niente di che non allarmatevi ), per uso interno dei miei blog, di cui vi parlerò tra gli esempi del post, ho cominciato a scrivere, senza pretesa di esaustività, alcune cose che, almeno a livello di intenti, dovrebbero essere dei suggerimenti rivolti ai blogger.
Come in molti avranno notato le piattaforme sono carenti di opzioni che impediscano di raccogliere informazioni, come l’indirizzo IP, dell’ignaro commentatore di turno.
Certo la sezione commenti rappresenta un momento di confronto con le opinioni altrui ma è anche un punto dolente.
Può capitare, infatti, che attraverso di essa si scatenino liti, vere e proprie zuffe tra blogger culminanti in offese di ogni tipo.
In questi casi, il ricorso alla moderazione è la via breve per rimuovere le parti incriminate o cancellare il tutto.
Il dubbio però resta e si affaccia anche la preoccupazione di non finire schiacciati dalla burocrazia, nonostante la fortezza dell’articolo 27 della Costituzione, come e perché lo si appurerà dalle contestazioni successive non mancando certo di fantasia i burocrati.
Così ragionando, tutte le informazioni supplementari ricavate dai commenti hanno un valore positivo.
Consentono, infatti, di attribuire un ben preciso profilo all’autore di essi.
Favoriscono, in buona sostanza, quel distacco/distanza tra autore delle offese e blogger.
Tutto fa brodo in un certo senso.
Ma negli altri casi?
I dati si accumulano e finiscono per ingrassare una vera raccolta, o meglio un trattamento.
Prima di continuare la lettura, vi invito a recuperare concetti che avevo già espresso in vecchi post:
- E’ possibile che un indirizzo ip riceva protezione dalle norme a tutela della privacy? (1^ parte);
- IP, Graffiti e Dati Personali (2^ parte);
- Privacy, caso Satakunnan Markkinapörssi e Satamedia, depositate le conclusioni dell’Avvocato Kokott ;
L’incertezza impone cautela, ma genera distorsioni. Sul capo dei blogger si affacciano nuovi tentacoli.
Perché?
La raccolta di tutte queste informazioni supplementari avviene spesso all’insaputa di chi commenta.
Se fate caso, ogni form lascia alla libera determinazione solo i campi nome, url e testo. Ma poi si associano altri dati e non sempre è possibile accedervi per rimuoverli.
Le ragioni di questo limite sono varie, ad esempio perché la piattaforma è del tutto blindata e assistita dal fornitore del servizio o dell’hosting.
Informazioni che non sono neppure nella disponibilità diretta dell’autore del blog e nulla si potrà garantire circa la loro destinazione e diffusione.
Familiarizzando meglio con il lessico della privacy, qualcuno rammenterà che si parla sempre di “dato” ma in estrema sintesi che cosa è?
Si tratta di un’informazione che può essere veicolata attraverso un qualsiasi supporto. Ma, badate bene, non “ogni” informazione solo quelle che conducono ad una persona.
Dunque, un dato non è personale se attraverso di esso non si può individuare una persona fisica o giuridica.
Tra i dati personali vi è una distinzione. Essa si basa principalmente su quello che io chiamo parametro di aggressione: quanto più si apprende sulla persona a cui appartengono i dati tanto più essa può ricevere un danno.
Per questa ragione, diversamente dalla maggioranza degli interpreti , preferisco unire tra loro le categorie di dati sensibili, giudiziari e particolari sotto un grande gruppo, cioè dati ad elevato rischio.
La spiegazione di questa scelta è semplice: tutti questi dati, ossia i sensibili, i giudiziari e i particolari, sono in grado di rivelare qualcosa in più rispetto ai comuni, questi ultimi si possono riassumere nelle informazioni anagrafiche e in quant’altro sia rinvenibile anche mediante un semplice accesso ai documenti pubblici.
Spesso questi frammenti di dati sono così annodati tra loro che in uno stesso contesto è possibile ricavare un quadro anche delle condizioni finanziarie o dell’orientamento sessuale di un soggetto.
Anche i commenti costituiscono una vetrina ricca di informazioni per chi ha la pazienza di unire i punti tra loro. Non sarebbe impossibile creare un profilo di un commentatore, difficile ma non impossibile.
Ed allora mi sorge anche una domanda siamo realmente consapevoli di questi aspetti della blogosfera?
Dai miei vecchi post, si sarà percepita la ragione che mi spinge a considerare un punto dolente anche la raccolta dell’IP.
Informazioni insignificanti sono in grado di evolvere fino a dati sensibili e rivelare, ad esempio, l’orientamento politico o sessuale dei nostri commentatori aldilà degli stratagemmi usati per nascondersi in rete.
Se riusciste a guardare il web dall’alto, come fossero le linee di Nazca, anzi a ridurlo ad una serie di stanze con tante macchine che chiacchierano tra loro, riuscireste forse a cogliere uno dei problemi che non si scrolla di dosso l’essenzialità digitale.
Accidenti, mi correggo. Se osservaste dentro questa nullità elettrica la vedreste pulsare e scambiare dati su dati. E di questa continua dispersione non dovrebbe in alcun modo importarci se non fosse che ivi transitano anche informazioni di persone.
Forse occorre un po’ di fantasia per immaginarsi i protocolli come chiacchiericcio ma renderebbe bene l’idea.
Tanti servizi sul web appartengono a questo rumore di fondo e fanno anche capo a società unite in un medesimo gruppo. Così i blog finiscono per completare un quadro.
Quante tracce avete disperso di blog in blog? Proviamo ad unire i punti fra loro?
Se vi carpiscono, come sembra essere successo tra le pieghe concitate dell’oscuramento di The Pirate Bay, informazioni di navigazione, banalmente, è come se vi avessero portato via un segreto che non avreste mai confidato ma prima di tutto vi hanno usato riducendo a carta straccia le norme poste a vostra tutela.
Qualcuno potrebbe già aver iniziato ad unire tutti i vostri punti per tracciare un profilo.
Il chiacchiericcio, la continua dispersione di dati, come già scrivevo, attrae dal cassetto dell’astratto l’eventualità che un blogger venga considerato responsabile del trattamento di informazioni.
Domandiamoci il perché della Privacy?
Esiste, e deve esistere, un diritto al dominio assoluto ed esclusivo sulla conoscibilità delle informazioni che ci appartengono.
Ma il legislatore lo intende così?
Ho delle perplessità al riguardo. Nell’ambito europeo la sua evoluzione è passata da un riconoscimento convenzionale, ai diritti dell’uomo fino al debutto di rango nella Carta dei Diritti Fondamentali dell’Unione Europea.
Ad oggi, semplificando, la privacy è materia affrontata dagli Stati con il recepimento di varie direttive, l’emanazione di norme puntuali e l’istituzione di referenti, o meglio di autorità indipendenti, i Garanti, con l’obbligo di sorvegliare, assicurare, coordinare, disciplinare e vigilare sul rispetto anche della dignità nel trattamento dei dati.
Abbiamo familiarizzato un po’ con i concetti relativi alla privacy, semplificando ulteriormente, diremo che l’interessato è colui a cui appartengono i dati e a lui si contrappongono tutti coloro che li trattano.
Nel ciclo di raccolta finiscono anche i blog, peggio se attraverso alcuni loro meccanismi che, basandosi semplicisticamente sulla dispersione di dati tipica delle macchine, accumulino informazioni ad insaputa della persona che lasci un commento.
Ma in che cosa consiste il trattamento?
Si tratta di ogni operazione che può essere compiuta sul dato ed è indipendente dal fatto che si utilizzi uno strumento rispetto ad un altro.
Per essere ancora più semplici, si compie un’operazione quando si comunica oralmente l’informazione al pari di scriverla dentro un database.
Nello specifico costituiscono trattamento: il blocco, la cancellazione, la comunicazione, la conservazione, la consultazione, la diffusione, la distruzione, l’elaborazione, l’estrazione, l’interconnessione, la modificazione, l’organizzazione, la raccolta, il raffronto, la registrazione, la selezione e l’utilizzo.
Ricordate anche come ogni strumento o procedura debba ridurre il più possibile l’uso di dati personali identificativi, cioè che il trattamento in fin dei conti deve permettere di poter risalire all’individuo ma non deve essere concepito a questo scopo.
L’individuazione, in un certo qual modo, deve risultare eventualità… se e solo se vengano associati e poi estratti tra loro tutti i punti che conducono alla persona.
Teniamo anche in debito conto il fattore sicurezza.
Chi tratta i dati deve attuare obbligatoriamente almeno le misure minime per proteggerli.
Le piattaforme di blog sono vulnerabili al pari di ogni sito web. Esempi recenti per WordPress li trovate leggendo il post di Maxime , l’appello di Wolly su WordPress Italy e in molti conosceranno BlogSecurity.
Si usa il codice per risolvere un problema e si inverte lo stesso codice per scovare una vulnerabilità, così l’uomo ha fatto sua l’abitudine di approfittarsi della debolezza del golem macchina.
Il pericolo di un accesso non autorizzato alle informazioni raccolte attraverso i blog non è una probabilità ma un evento non trascurabile. E chi raccoglie i dati dovrebbe anche garantire che non finiscano in mani sbagliate, impedendo così ogni principio di una loro diffusione.
Dovrebbe non fosse altro che per non doverne rispondere in sede civile e penale o davanti al Garante.
Il trattamento deve avvenire in modo lecito e secondo correttezza. Cosa che non è pienamente rispettata dalla sezione commenti presente nei blog, dove anzi si registrano informazioni aggiuntive per scopi che non vengono in alcuno modo esplicitati.
I blog hanno messo radici su un groviglio giuridico per tante ragioni, non ultimo alla raccolta di dati si accompagna, per certi versi, un trasferimento degli stessi all’estero, in paesi fuori dell’Unione Europea per i quali occorre: l’autorizzazione esplicita dell’interessato e persino del Garante, dare seguito ad obblighi di controllo sull’uso che ne verrà fatto all’estero e rispettare doverosi altri limiti.
Come rimediare?
Il metodo più opportuno, oltre che semplice, è quello di creare una pagina apposita in cui inserire un’informativa che andremo, successivamente, a richiamare all’interno del template, preferibilmente dalla sezione dei commenti.
Ecco un esempio pratico, per utenti Blogger – Splinder – WordPress.com, di quello che andremo a scrivere in un post dal titolo “Informativa sulla privacy“:
La presente informativa ha ad oggetto il blog [NOME], raggiungibile all’indirizzo [http://www], i cui contenuti sono gestiti da [I VOSTRI DATI].
Il blog non raccoglie dati sensibili relativi alla legge sulla privacy, tuttavia nell’area commenti il visitatore, che decida di esprimere la sua opinione, può liberamente lasciare alcune informazioni tra le quali il proprio nome e l’indirizzo e-mail.
Questi dati saranno archiviati, per ragioni di sicurezza, assieme al commento con strumenti elettronici o comunque automatizzati, così che il visitatore, lasciando un commento, accetta che la sua e-mail venga conservata, assieme agli altri dati che lo compongono, ivi compreso l’indirizzo IP. Questi dati, però, non verranno resi pubblici o divulgati.
Poiché la piattaforma in uso è stata realizzata da un soggetto diverso rispetto al curatore dei contenuti del blog, nello specifico [ indicare il nome della società che offre la piattaforma per bloggare, ad esempio nel caso di Blogger la società sarà la Google Inc. , per Splinder la Dada S.p.A. e per WordPress.com la Automattic, Inc. ] , non si esclude, per ragioni tecniche, che tale società associ ad ogni commento dati ulteriori.
Si fa presente come i server, a fini statistici e di sicurezza, facciano uso di file di log per archiviare informazioni come gli indirizzi IP, l’ISP, il percorso d’ingresso e di uscita o le pagine visitate. Solitamente tali dati non conducono all’identificazione di una persona fisica ma non è possibile escludere che un software, appositamente sviluppato, sia in grado di incrociarli al fine di risalire da una macchina al profilo di un utente.
Per le ragioni esposte si invitano gli utenti di questo blog a visitare e far riferimento anche alla policy della società [indicare se Google Inc. , Dada S.p.A. o Automattic Inc.] raggiungibile alla seguente pagina: [ se Google Inc. indicare l'url -> http://www.google.com/privacy.html , per Dada S.p.A. -> http://www.splinder.com/node/view/12814812 o per WordPress.com -> http://automattic.com/privacy/ ] .
Il blog fa uso di cookie, ossia di file che vengono memorizzati, durante la navigazione dei suoi contenuti, nella memoria di massa della macchina in uso. All’interno di questi file sono raccolte informazioni che consento ad esempio di ricordare i parametri di alcune ricerche, i campi di testo digitati o le pagine già lette.
La gran parte dei browser permette di scaricare in modo automatico i cookie. L’utente può disattivare tale impostazione agendo sulle opzioni offerte dal software di navigazione. Si fa presente che alcune pagine potrebbero non risultare navigabili a causa del rifiuto dei cookie.
Se ospitiamo della pubblicità aggiungeremo le seguenti righe:
Il blog ospita della pubblicità esterna offerta dal servizio [ad esempio indicare Google Adsense o dalla società TradeDoubler]. Questa pubblicità fa uso di particolari cookie definiti persistenti e l’informativa della privacy della società che offre il servizio di advertising è raggiungibile al seguente indirizzo [per Google adsense indicare -> http://www.google.com/privacy.html e per TradeDouble -> http://www.tradedoubler.it/pan/cms/privacy_policy ]. Il visitatore, accettando la presente informativa, autorizza il trattamento dei dati con le modalità descritte dalla predetta società.
Per richiamare l’informativa chi usa Blogger è agevolato. Dovrà semplicemente aggiungere, in Impostazioni > Commenti alla casella “Messaggio del modulo dei commenti”, un avviso di questo tipo:
Caro lettore commentando dichiari di aver letto e accettato la privacy policy di questo blog raggiungibile a questa pagina <a href=”http://www”>http://www</a>.<br />
Gli utenti Splinder potranno aggiungere l’avviso, subito prima dell’istruzione <$BlogItemCommentList$>, copiando il seguente codice:
<p>Caro lettore commentando dichiari di aver letto e accettato la privacy policy di questo blog raggiungibile a questa pagina <a href=”http://www”>http://www</a>.<br /></p>
Su WordPress.com, chi non ha fatto l’upgrade a pagamento, troverà pratica la barra di navigazione delle pagine presente in quasi tutti i temi di default, in caso contrario potrà inserire un link nella sidebar. Mettendo mano invece al template, si potrà aggiungere lo stesso avviso prima del codice che richiama il seguente pulsante:
<input name=”submit” type=”submit” id=”submit” tabindex=”5″ value=”Inserisci commento” />
Veniamo al contatore statistico, quando è presente, l’informativa andrà integrata come da esempio:
Sul blog è presente un contatore di accessi, il cui servizio rileva per scopi statistici solo dati comuni e non specifici in forma anonima, aggregata e non identificabile individualmente. In tale modo risulta impossibile una correlazione diretta tra statistiche e singolo visitatore. Il servizio è comunque protetto da password e i terzi non possono accedervi. Il visitatore, accettando la presente informativa, autorizza la raccolta dei dati statistici con le modalità descritte.
Se il contatore è offerto da una società esterna, ad esempio la Protosconnect SAGL (histats), la Google Analytics o la Shiny S.r.l. (ShinyStat), o quando si utilizzano i servizi di WordPress.com, dovremo aggiungere una riga simile a questa:
Il servizio statistico è offerto da [indicare il nome della società ad esempio Protosconnect o Shiny] la cui privacy policy è accessibile al seguente url: [inserire l'url della pagina contenente l'informativa].
Per completare l’informativa aggiungeremo anche un riferimento ai diritti degli utenti:
Si rammenta che l’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. Ha diritto di ottenere l’indicazione: dell’origine dei dati personali; delle finalità e modalità del trattamento; della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; degli estremi identificativi del titolare, dei responsabili e del rappresentante designato, dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza. Ha, inoltre, diritto di ottenere: l’aggiornamento, la rettificazione, l’integrazione, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, l’attestazione che le operazioni sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi. Ha diritto di opporsi, in tutto o in parte, per motivi legittimi al trattamento dei dati personali che lo riguardano e al trattamento per fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
Chi, invece, si appoggia ad un hosting personalizzato farà attenzione a modificare l’informativa in modo da richiamare i termini di servizio della società che gestisce l’hosting. Consiglio, inoltre, di prestare attenzione alla presenza di qualche contatore di troppo. Per farvi un esempio i miei blog si appoggiano ai servizi della Società Aziende Italia S.r.l. (WebPerTe per capirci), ma questa non blocca di default l’accesso al contatore presente sull’hosting. Quest’ultimo risulta così raggiungibile semplicemente completando l’url del blog con “/plesk-stat/webstat/”. Per il ragionamento già esposto, capirete bene come l’accesso indiscriminato a questi dati dovrebbe invece essere bloccato di default.
Chi ha familiarità con WordPress avrà notato come ogni informazione venga sistematicamente archiviata nel database di servizio. Volendo risolvere dal principio il problema della raccolta di informazioni, si potrebbe agire mettendo mano al codice della piattaforma, ma i continui aggiornamenti della stessa rendono poco pratico questo approccio.
Fermo restando che possono esserci più soluzioni ad un medesimo problema, io ho scelto di agire sul database più che sulla piattaforma in modo da epurare i commenti dalle informazioni di troppo:
UPDATE ‘wp_comments’ SET ‘comment_author_IP’ = ‘[Privacy]‘,
‘comment_agent’ = ‘[Privacy]‘ ;
Il metodo citato, può essere ulteriormente raffinato, magari escludendo i commenti non approvati con la condizione:
WHERE ‘comment_approved’ = ’1′
Si può fare senz’altro di più, ad esempio un plug-in che velocizzi l’aggiornamento dei campi. Mentre ci riflettevo ne ho realizzato uno per uso interno dei miei blog. Vi metto il link per provarlo a titolo di esempio, magari qualcuno prenderà così qualche spunto. Il codice è compatibile con la versione 2.6, 2.6.1.,2.6.2, 2.6.3, 2.6.5, 2.7 e 2.7.1 di WordPress, ma vi consiglio di fare sempre un backup dato che l’operazione di aggiornamento dei campi non è reversibile:
Impronta MD5 di “privacyip.php”: 58BB1AE86091800B66DC4F8995763B77
Impronta MD5 di “privacyip.rar”: 2732977E88EA5816A2BED474B9913D24
<?php
/*
Plugin Name: Privacy IP
Plugin URI: http://hermansji.it/blog-commenti-e-privacy-prima-parte/
Description: Questo non e’ un vero e proprio plug-in, ma un esempio didattico di implementazione dei concetti espressi dal suo autore a partire da questo post: http://hermansji.it/blog-commenti-e-privacy-prima-parte/
Version: 0.4
Author: hermansji .:.
Author URI: http://hermansji.it/
Copyright: privacyip.php – Copyright (C) 2008 hermansji .:. http://hermansji.it, This program is free software: you can redistribute it and/or modify
it under the terms of the GNU General Public License as published by the Free Software Foundation, either version 3 of the License, or
(at your option) any later version. This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details. You should have received a copy of the GNU General Public License along with this program. If not, see <http://www.gnu.org/licenses/>.
*/
# avvia il plug-in in wordpress
if
(
!defined
(
‘ABSPATH’
)
)
die
(
‘No no!! Non si fa!!’
)
;
# aggiorna i campi IP ed Agent nella tabella commenti
function
riservatezza
(
)
{
(
“<br />”
)
;
$wpdb
=&
$GLOBALS
[
'wpdb'
]
;
$tart
=
mysql_connect
(
DB_HOST,
DB_USER,
DB_PASSWORD
)
or
die
(
‘Si sono verificati dei problemi mentre tentavo di stabilire una connessione…‘
);
?>
<div
class
=
“wrap”>
<p
style
=
“background-color: #949187; border: 0.1em solid #ffffff; color: #ffffff; padding:0 0 0 36px; margin:0.5em 0;”>
Sono connesso a MySQL!! : -)
</p>
</div>
<?php
mysql_select_db
(
DB_NAME,
$tart
)
or
die
(
‘Si sono verificati dei problemi mentre tentavo di accedere al database
);
?>
<div
class
=
“wrap”>
<p
style
=
“background-color: #949187; border: 0.1em solid #ffffff; color: #ffffff; padding:0 0 0 36px; margin:0.5em 0;”>
Ho aperto il database!! : -)
</p>
</div>
<?php
mysql_query
(
“UPDATE ‘”
.$GLOBALS[
'table_prefix'
].
“comments’ SET ‘comment_author_IP’ = ‘[Privacy]‘,’comment_agent’ = ‘[Privacy]‘ WHERE ‘comment_author_IP’ <> ‘[Privacy]‘ AND ‘comment_approved’ = ’1′”
,
$tart
)
or
die
(
‘Si sono verificati dei problemi mentre aggiornavo la tabella…
);
?>
<div
class
=
“wrap”>
<p
style
=
“background-color: #949187; border: 0.1em solid #ffffff; color: #ffffff; padding:0 0 0 36px; margin:0.5em 0;”>
Ho aggiornato i campi IP ed Agent!! : -)
</p>
</div>
<?php
mysql_close
(
$tart
)
or
die
(
‘Si sono verificati dei problemi mentre tentavo di chiudere la connessione al database…
)
;
?>
<div
class
=
“wrap”>
<p
style
=
“background-color: #949187; border: 0.1em solid #ffffff; color: #ffffff; padding:0 0 0 36px; margin:0.5em 0;”>
Ho chiuso la connessione a MySQL!! : -)
</p>
</div>
<?php
}
# qualche info spartana sul plug-in
function
informazioni
(
)
{
?>
<div
class
=
“wrap”>
<p
style
=
“background-color: #cce4ff; border: 0.1em solid #0e31e1; color: #0e31e1; padding:10px 10px 10px 36px; margin:0.5em 0;”>
Questo non e’ un vero e proprio plug-in, ma un esempio didattico di implementazione dei concetti espressi dal suo autore a partire da questo post: <a href=”http://hermansji.it/blog-commenti-e-privacy/”>Blog, commenti e privacy</a>. Il suo scopo e’ sostituire i campi IP ed Agent, della tabella commenti approvati, con la parola [Privacy].
</p>
<p
style
=
“background-color: #f4c8ce; border: 0.1em solid #d90322; color: #d90322; padding:10px 10px 10px 36px; margin:0.5em 0;”>
<strong>
Attenzione: l’operazione non e’ reversibile !! Si consiglia di fare un backup prima di utilizzare questo plug-in !! Il funzionamento e’ stato testato sulle versioni 2.6, 2.6.1, 2.6.2, 2.6.3, 2.6.5, 2.7 e 2.7.1 di WordPress e su MySQL: 5.0.51b. Ricordate che l’autore non fornisce alcun supporto o garanzia sull’utilizzo di questo plug-in.
</strong>
</p>
<p
style
=
“background-color: #f9d060; border: 0.1em solid #cc0000; color: #cc0000; padding:10px 10px 10px 36px; margin:0.5em 0;”>
Copyright (c) 2008 <a href=”http://hermansji.it/”>hermansji .:.</a> – This program is free software: you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation, either version 3 of the License, or (at your option) any later version. This program is distributed in the hope that it will be useful,but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details. You should have received a copy of the GNU General Public License along with this program. If not, see <a href=”http://www.gnu.org/licenses/”>http://www.gnu.org/licenses/</a>.
</p>
</div>
<form
method
=
“post”>
<input
style
=
“border: 0.1em solid #cc0000; margin: 0 0 0 51px;” class=”button-secondary” type=”submit” name=”approvo”
value
=
“<?php echo $ok ? ” : ‘Approvo’; ?>”/>
</form>
</div>
<?php
if
(
preg_match
(
‘/Approvo/’
,
$_POST
[
'approvo'
]
)
)
$ok
=
riservatezza
(
)
;
}
# registra il plug-in per operare all’interno di WP
function
registrami
(
)
{
if
(
function_exists
(
‘add_submenu_page’
)
)
// fai riferimento a questa pagina http://codex.wordpress.org/Adding_Administration_Menus
add_submenu_page
(
‘edit-comments.php’
,
‘Privacy IP’
,
‘Privacy IP’
,
8
,
__FILE__
,
‘informazioni’
)
;
}
add_action
(
‘admin_menu’
,
‘registrami’
)
;
# the end… o almeno così dicono?>
Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero
Autore: Avv. Hermans Joseph IEZZONI Data: 12 agosto 2008
Il Garante Privacy, attraverso le linee guida, pubblicate nella Gazzetta Ufficiale n. 178 del 31 luglio 2008, si rivolge agli ausiliari del Giudice ed ai consulenti di parte. A questi indica di sfrondare gli archivi di tutto il materiale superfluo acquisito attraverso l’attività svolta.
Il provvedimento, ad una attenta analisi, pare voler evitare che, documenti di particolare delicatezza processuale e non solo, possano costituire oggetto di una diffusione incontrollata sfuggendo alle regole di estrazione copia, dietro domanda qualificata alle cancelleria presso la quale sono stati depositati.
Tutta la documentazione fornita od acquisita per la consulenza dovrà essere depositata assieme alla relazione finale di consulenza. Sfuggono a questa rigida regola gli atti necessari, anche fiscalmente, a testimoniare l’attività espletata e quelli per i quali vi è una autorizzazione da parte del magistrato od un’eccezione di legge.
Segue il testo del provvedimento:
Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero
Gazzetta Ufficiale n. 178 del 31 luglio 2008
Registro delle deliberazioni Del. n. 46 del 26 giugno 2008
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna in presenza del prof. Francesco Pizzetti presidente del dott. Giuseppe Chiaravalloti vice presidente del dott. Mauro Paissan e del dott. Giuseppe Fortunato componenti e del dott. Giovanni Buttarelli segretario generale;
V1STO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003 n. 196) anche in riferimento all’art. 154 comma 1 lett. h);
R1TENUTA la necessità di provvedere in relazione ai rischi connessi al trattamento di dati personali effettuato da consulenti tecnici e periti ausiliari del giudice e del pubblico ministero nell’ambito di procedimenti in sede civile penale e amministrativa;
R1LEVATA l’esigenza di individuare un quadro unitario di misure e di accorgimenti necessari e opportuni volti a fornire orientamenti utili per i professionisti interessati;
V1STE le pertinenti disposizioni del codice di procedura civile (in particolare gli articoli da 61 a 64 e da 191 a 200) e del codice di procedura penale (in particolare gli articoli da 220 a 232 359 e 360);
V1STE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Giuseppe Chiaravalloti;
DELIBERA
di adottare le “Linee guida” contenute nel documento allegato quale parte integrante della presente deliberazione; di inviare copia del presente provvedimento al Ministero della giustizia e al Consiglio superiore della magistratura per opportuna conoscenza nonché – per quanto di rispettiva competenza – per l’adozione di ogni iniziativa ritenuta idonea alla massima diffusione presso gli uffici giudiziari interessati; ai sensi dell’art. 143 comma 2 del Codice di trasmettere al Ministero della giustizia-Ufficio pubblicazione leggi e decreti copia del presente provvedimento unitamente alle menzionate “Linee guida” per la loro pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.
Roma, 26 giugno 2008
IL PRESIDENTE
Pizzetti
IL RELATORE Chiaravalloti
IL SEGRETAR1O GENERALE
Buttarelli
Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici
e dei periti ausiliari del giudice e del pubblico ministero
(Deliberazione n. 46 del 26 giugno 2008 – Gazzetta Ufficiale n. 178 del 31 luglio 2008)
1. Premessa
1.1 Scopo delle linee guida
1 consulenti tecnici e i periti ausiliari del giudice e del pubblico ministero coadiuvano e assistono l’autorità giudiziaria nello svolgimento delle proprie funzioni quando ciò si rende necessario per compiere atti o esprimere valutazioni che richiedono particolari e specifiche competenze tecniche (art. 61 c.p.c.; artt. 220 e 359 c.p.p.).
L’attività svolta dai consulenti tecnici e dai periti è strettamente connessa e integrata con l’attività giurisdizionale di cui mutua i compiti e le finalità istituzionali.
Nell’espletamento delle relative incombenze il consulente e il perito di regola vengono a conoscenza e devono custodire contenuti nella documentazione consegnata dall’ufficio giudiziario anche dati personali di soggetti coinvolti a diverso titolo nelle vicende giudiziarie (quali le parti di un giudizio civile o le persone sottoposte a procedimento penale) e possono acquisire altre informazioni di natura personale nel corso delle operazioni (cfr. ad esempio art. 194 c.p.c. richiesta di chiarimenti alle parti e assunzione di informazioni presso terzi; art. 228 comma 3 c.p.p. richiesta di notizie all’imputato alla persona offesa o ad altre persone). L’attività dell’ausiliario comporta quindi il trattamento di diversi dati personali talvolta di natura sensibile o di carattere giudiziario (art. 4 comma 1 lettere d) ed e) del Codice) di uno o più soggetti persone fisiche o giuridiche.
A tali trattamenti in quanto direttamente correlati alla trattazione giudiziaria di affari e di controversie si applicano le norme del Codice relative ai trattamenti effettuati presso uffici giudiziari di ogni ordine e grado per ragioni di giustizia (art. 47 comma 2 del Codice; cfr. Provv. del Garante 31 dicembre 1998 doc. web n. 39608; Provv. 27 marzo 2002 doc. web n. 1063421).
Le presenti linee guida mirano a fornire indicazioni di natura generale ai professionisti nominati consulenti tecnici e periti dall’autorità giudiziaria nell’ambito di procedimenti civili penali e amministrativi al fine esclusivo di garantire il rispetto dei princìpi in materia di protezione dei dati personali ai sensi del Codice in materia protezione dei dati persona/i (d.lg. 30 giugno 2003 n. 196).
1.2 Ambito considerato
Le predette indicazioni non incidono sulle forme processuali che gli ausiliari devono rispettare nello svolgimento delle attività e nell’adempimento degli obblighi derivanti dall’incarico e dalle istruzioni ricevuti dallautorità giudiziaria come disciplinati dalle pertinenti disposizioni codicistiche.
All’interno del paragrafo 6. sono poi formulate alcune indicazioni applicabili anche ai trattamenti di dati personali effettuati dai soggetti nominati consulenti tecnici dalle parti private con riferimento a procedimenti giudiziari (artt. 87 194 195 e 201 c.p.c.; artt. 225 e ss. 233 e 360 c.p.p.).
2. Il rispetto dei principi di protezione dei dati personali 2.1 Considerazioni generali
La peculiare disciplina posta dal Codice con riguardo ai trattamenti svolti per ragioni di giustizia (art. 47) rende non applicabili alcune disposizioni del medesimo Codice relative alle modalità di esercizio dei diritti da parte dell’interessato (art. 9) al riscontro da fornire al medesimo (art. 10) ai codici di deontologia e di buona condotta (art. 12) all’informativa agli interessati (art. 13) alla cessazione del trattamento (art. 16) al trattamento svolto da soggetti pubblici (artt. da 18 a 22) alla notificazione al Garante (artt. 37 e 38 commi da 1 a 5) a determinati obblighi di comunicazione all’Autorità alle autorizzazioni e al trasferimento dei dati allestero (artt. da 39 a 45) nonché ai ricorsi al Garante (artt. da 145 a 151).
Sono invece pienamente applicabili le altre pertinenti disposizioni del Codice. 1n particolare il trattamento dei dati effettuato a cura di consulenti tecnici e periti deve avvenire:
nel rispetto dei princìpi di liceità e che riguardano la qualità dei dati (art. 11); adottando le misure di sicurezza idonee a preservare i dati da alcuni eventi tra i quali accessi e utilizzazioni indebite (artt. 31 e ss. e disciplinare tecnico allegato B) al Codice).
2.2 Liceità, finalità, esattezza, pertinenza
1l consulente e il perito possono trattare lecitamente dati personali nei limiti in cui ciò è necessario per il corretto adempimento dell’incarico ricevuto e solo nell’ambito dell’accertamento demandato dall’autorità giudiziaria; devono rispettare altresì le disposizioni sulle funzioni istituzionali della medesima autorità giudiziaria contenute in leggi e regolamenti avvalendosi in particolare di informazioni personali e di modalità di trattamento proporzionate allo scopo perseguito (art. 11 comma 1 lett. a) e b)) nel rigoroso rispetto delle istruzioni impartite dall’autorità giudiziaria.
1n tale quadro l’eventuale utilizzo incrociato di dati può ritenersi consentito se è chiaramente collegato alle indagini delegate ed è stato autorizzato dalle singole autorità giudiziarie dinanzi alle quali pendono i procedimenti o se questi si sono conclusi che ebbero a conferire l’incarico o da altra autorità giudiziaria competente.
Nel pieno rispetto dell’ambito e della natura dell’incarico ricevuto il consulente e il perito sono tenuti ad acquisire utilizzare e porre a fondamento delle proprie operazioni e valutazioni informazioni personali che con riguardo all’oggetto dell’indagine da svolgere siano idonee a fornire una rappresentazione (finanziaria sanitaria patrimoniale relazionale ecc.) corretta completa e corrispondente ai dati di fatto anche quando vengono espresse valutazioni soggettive di ciascun interessato persona fisica o giuridica. Ciò non solo allo scopo di fornire un riscontro esauriente in relazione al compito assegnato ma anche al fine di evitare che da un quadro inesatto o comunque inidoneo di informazioni possa derivare nocumento all’interessato anche nell’ottica di una non fedele rappresentazione della sua identità (art. 11 comma 1 lett. c)).
Particolare attenzione deve essere inoltre posta dal consulente e dal perito nell’acquisire e utilizzare solo le informazioni che risultino effettivamente necessarie in riferimento alle specifiche finalità di accertamento perseguite. 1n ossequio al principio di pertinenza nel trattamento dei dati le relazioni e le informative fornite al magistrato ed eventualmente alle parti non devono né riportare dati specie se di natura sensibile o di carattere giudiziario o comunque di particolare delicatezza chiaramente non pertinenti all’oggetto dell’accertamento peritale né contenere ingiustificatamente informazioni personali relative a soggetti estranei al procedimento (art. 11 comma 1 lett. d)).
3. Comunicazione dei dati
Le informazioni personali acquisite nel corso dell’accertamento possono essere comunicate alle parti come rappresentate nel procedimento (ad esempio attraverso propri consulenti tecnici) con le modalità e nel rispetto dei limiti fissati dalla pertinente normativa posta a tutela della segretezza e riservatezza degli atti processuali. Fermo l’obbligo per l’ausiliare di mantenere il segreto sulle operazioni compiute (art. 226 c.p.p.; cfr. anche art. 379-bis c.p.) eventuali comunicazioni di dati a terzi ove ritenute indispensabili in funzione del perseguimento delle finalità dell’indagine restano subordinate a quanto eventualmente direttamente stabilito per legge o comunque a preventive e specifiche autorizzazioni rilasciate dalla competente autorità giudiziaria.
4. Conservazione e cancellazione dei dati
1n riferimento ai trattamenti di dati svolti per ragioni di giustizia non è applicabile la disposizione del Codice (art. 16) relativa alla cessazione del trattamento di dati personali evenienza che nel caso del trattamento effettuato dal consulente e dal perito di regola coincide con l’esaurimento dell’incarico.
Trova peraltro applicazione anche ai trattamenti di dati personali effettuati per ragioni di giustizia il dettato dell’art. 11 comma 1 lett. e) del Codice il quale prevede che i dati non possono essere conservati per un periodo di tempo superiore a quello necessario al perseguimento degli scopi per i quali essi sono stati raccolti e trattati.
Ne consegue che espletato l’incarico e terminato quindi il connesso trattamento delle informazioni personali l’ausiliario deve consegnare per il deposito agli atti del procedimento non solo la propria relazione ma anche la documentazione consegnatagli dal magistrato e quella ulteriore acquisita nel corso dell’attività svolta salvo quanto eventualmente stabilito da puntuali disposizioni normative o da specifiche autorizzazioni dell’autorità giudiziaria che dispongano legittimamente ed espressamente in senso contrario.
Ove non ricorrano tali ultime due ipotesi il consulente e il perito non possono quindi conservare in originale o in copia in formato elettronico o su supporto cartaceo informazioni personali acquisite nel corso dell’incarico concernenti i soggetti persone fisiche o giuridiche nei cui confronti hanno svolto accertamenti.
Analogamente la documentazione acquisita nel corso delle operazioni peritali deve essere restituita integralmente al magistrato in caso di revoca o di rinuncia all’incarico da parte dell’ausiliario.
Qualora sia prevista una conservazione per adempiere a uno specifico obbligo normativo (ad esempio in materia fiscale o contabile) possono essere custoditi i soli dati personali effettivamente necessari per adempiere tale obbligo.
Eventuali ulteriori informazioni devono essere quindi cancellate oppure trasformate in forma anonima anche per finalità scientifiche o statistiche tale da non poter essere comunque riferita a soggetti identificati o identificabili anche indirettamente mediante riferimento a qualsiasi altra informazione (art. 4 comma 1 lett. b) del Codice).
Tutto ciò non pregiudica l’espletamento di eventuali ulteriori attività dell’ausiliare conseguenti a richieste di chiarimenti o di supplementi di indagine che il consulente e il perito possono soddisfare acquisendo dal fascicolo processuale in conformità alle regole poste dai codici di rito la documentazione necessaria per fornire i nuovi riscontri.
5. Misure di sicurezza
5.1 Misure idonee e misure minime
Limitatamente all’espletamento degli accertamenti l’attività dell’ausiliare è connotata da peculiari caratteri di autonomia in relazione alla natura squisitamente tecnica delle indagini che si svolgono di regola senza l’intervento del magistrato.
Ricevuto l’incarico e sino al momento della consegna al giudice o al pubblico ministero delle risultanze dell’attività svolta incombono concretamente al consulente tecnico e al perito riguardo ai dati personali acquisiti allatto dell’incarico e alle ulteriori informazioni raccolte nel corso delle operazioni le responsabilità e gli obblighi relativi al profilo della sicurezza prescritti dal Codice.
L’ausiliare è tenuto quindi a impiegare tutti gli accorgimenti idonei a evitare un indebita divulgazione delle informazioni e al contempo la loro perdita o distruzione adottando a tal fine le misure atte a garantire la sicurezza dei dati e dei sistemi eventualmente utilizzati. Egli deve curare personalmente con il grado di autonomia riconosciuto per legge o con l’incarico ricevuto sia le misure idonee e preventive cui fa riferimento l’art. 31 del Codice sia le misure minime specificamente indicate negli articoli da 33 a 35 e nel disciplinare tecnico allegato B) al Codice la cui mancata adozione costituisce fattispecie penalmente sanzionata (art. 169 del Codice). Ove reso necessario dal trattamento di dati sensibili o giudiziari effettuato con l’ausilio di strumenti elettronici nell’ambito delle misure minime (art. 33 comma 1 lett. g) del Codice) deve essere redatto il documento programmatico sulla sicurezza con le modalità e i contenuti previsti al punto 19. del citato disciplinare tecnico.
5.2 Incaricati
L’obbligo di preporre alla custodia e al trattamento dei dati personali raccolti nel corso dell’accertamento solo il personale specificamente incaricato per iscritto resta fermo anche nel caso in cui il consulente e il perito si avvalgano dell’opera di collaboratori anche se addetti a compiti di collaborazione amministrativa (art. 30 del Codice). L’attività di tali incaricati deve essere oggetto di precise istruzioni oltre che sulle modalità e sull’ambito del trattamento consentito anche in ordine alla scrupolosa osservanza della riservatezza relativamente ai dati di cui vengono a conoscenza.
6. I consulenti tecnici di parte nei procedimenti giudiziari
Ferma restando ogni altra disposizione contenuta nel Codice nei provvedimenti generali adottati dal Garante e in un codice deontologico concernente le condizioni e i limiti applicabili ai trattamenti di dati personali effettuati dai consulenti tecnici di parte nei procedimenti giudiziari anche a tali trattamenti trovano applicazione i principi di liceità e che riguardano la qualità dei dati (art. 11 del Codice) e le disposizioni in materia di misure di sicurezza volte alla protezione dei dati stessi (artt. 31 e ss. e disciplinare tecnico allegato B) al Codice).
In particolare il consulente di parte:
può trattare lecitamente i dati personali nei limiti in cui ciò è necessario per il corretto adempimento dell’incarico ricevuto dalla parte o dal suo difensore ai fini dello svolgimento delle indagini difensive di cui alla legge n. 397/2000 o comunque per far valere o difendere un diritto in sede giudiziaria (art. 11 comma 1 lett. a) e b)); dati sensibili o giudiziari possono essere utilizzati solo se ciò è indispensabile; può acquisire e utilizzare solo i dati personali comunque pertinenti e non eccedenti rispetto alle finalità perseguite con l’incarico ricevuto avvalendosi di informazioni personali e di modalità di trattamento proporzionate allo scopo perseguito (art. 11 comma 1 lett. d)); salvi i divieti di legge posti a tutela della segretezza e riservatezza delle informazioni acquisite nel corso di un procedimento giudiziario (cfr. ad esempio l’art. 379-bis c.p.p.) e i limiti e i doveri derivanti dal segreto professionale e dal fedele espletamento dell’incarico ricevuto (cfr. artt. 380 e 381 c.p.) può comunicare a terzi dati personali solo ove ciò risulti necessario per finalità di tutela dell’assistito limitatamente ai dati strettamente funzionali all’esercizio del diritto di difesa della parte e nel rispetto dei diritti e della dignità dell’interessato e di terzi; relativamente ai dati personali acquisiti e trattati nell’espletamento dell’incarico ricevuto da una parte assume personalmente le responsabilità e gli obblighi relativi al profilo della sicurezza prescritti dal Codice relativamente sia alle misure idonee e preventive(art. 31) sia alle misure minime(artt. da 33 a 35 e disciplinare tecnico allegato B) al Codice; art. 169 del Codice); ove l’incarico comporti il trattamento con strumenti elettronici di dati sensibili o giudiziari è tenuto a redigere il documento programmatico sulla sicurezza (art. 33 comma 1 lett. g) e punto 19. del disciplinare tecnico allegato B)); deve incaricare per iscritto gli eventuali collaboratori anche se adibiti a mansioni di carattere amministrativo che siano addetti alla custodia e al trattamento in qualsiasi forma dei dati personali (art. 30 del Codice) impartendo loro precise istruzioni sulle modalità e lambito del trattamento loro consentito e sulla scrupolosa osservanza della riservatezza dei dati di cui vengono a conoscenza.
