bozza di regole sulla privacy

Griffini Giorgio grunz a TIN.IT
Gio 30 Gen 2003 03:56:44 CET


Ho letto la proposta di V.Bertola e ho alcune osservazioni da fare di cui
alcune solo formali altre invece piu' sostanziali.
Comincio da queste ultime....

Considerando i ruoli dei vari soggetti coinvolti nella registrazione le cui
informazioni appaiono nel risultato di una query whois (i vari tag admin-c,
zone-c etc.) credo che non debba essere sottovalutato il fatto che la
disponibilita' dei dati per contattare (anche e sopratutto tempestivamente)
alcuni dei ruoli citati e' parte integrante degli strumenti 'tecnici' che
consentono il buon funzionamento del namespace.
In quest'ottica trovo poco proponible il consentire la velatura dei dati di
contatto per i ruoli tecnici (zone-c,tech-c e maintainer) considerato che per
alcuni di questi ruoli esiste' gia' un regime di conoscibilita' pubblica (registro
pubblico delle autorizzazioni ministeriali)
Il discorso e' invece diverso nel momento in cui si parla del 'domain holder'
che nella nostra realta' corrisponde sostanzialmente all'admin-c.
In questo caso l'utilita'  'tecnica'  di poter disporre di un contatto tempestivo
viene decisamente meno. Il punto chiave da dirimere, in questo caso, e'
quale debba essere il 'grado' di protezione dei dati di contatto tenendo
presente il ventaglio di soluzioni possibili che vanno dall'anonimato totale alla
'full disclosure'. Sono andato a verificare la situazione olandese (cui
V.Bertola faceva riferimento in un messaggio precedente sulla base del quale
avevo formulato una iniziale perplessita') e ho potuto riscontrare che la loro
soluzione e' sufficentemente bilanciata ed accettabile perche' per il
registrante vengono pubblicati il solo nome e indirizzo postale mentre per i
contatti tecnici il nome,il n.telefono e l'e-mail.
Se si cala questo approccio nella realta' italiana questa soluzione mi trova
d'accordo perche' permette al registrante di verificare la propia assegnazione
ed inoltre e' in linea con altre norme di tutela di natura (si tappino gli occhi i
legali) 'civlistica' che impongono la presenza e la conoscibilita' pubblica del
titolare della 'responsabilita' per il contenuto veicolato con modalita' di
'diffusione' (nel senso della 675)  (es. direttori responsabili di testate
giornalistiche o di reti radio/televisive).
Entrando nel merito dell'articolato proposto sono quindi molto perplesso
rispetto al punto 3) dell'articolo 1.2.1 che invece abilita questo 'anonimato
stretto' in contrasto con le considerazioni di cui sopra.

Altro punto che mi trova altrettanto perplesso e' il voler dettagliare il solo tipo
di query WHOIS consentito quando la tutela da fornire e' caratteristica
propria del dato risultante e non dellle modalita' con cui questi dati sono stati
cercati ed estratti. Per fare un esempio concreto diventerebbe
immediatamente difficile avere lo 'stato delle registrazioni'  che ritorna la
'storia' delle registrazioni di un nome, la cui utilita' credo sia indubbia.

Sul piano formale ritengo invece che non sia opportuno separare in due
'documenti distinti' la LAR e 'l'informativa della privacy' (che volendo usare i
termini corretti in realta'  risulta  la 'manifestazione del consenso al
trattamento dei dati' perche'  per 'informativa sulla privacy' si intende
quell'insiame di  informazioni (titolare e tipo trattamento etc, possibilita' di
revisione, accesso etc.) che devono essere fornite affinche' chi si trovo nella
situazione di dover fornire dati personali possa 'manifestare il consenso' al
trattamento)
E' piu' opportuno che l'informativa sulla privacy e il relativo consenso siano
parte integrale della LAR .
Inoltre non so quanto sia il caso di appesantire in maniera specifica e
disseminata il testo delle regole con riferimenti specifici alla legge in
questione quando e'  gia' implicito che tutto il trattamento ed ogni altra
azione derivante dalle regole e' soggetta 'natualmente' alle leggi vigenti.

Detto questo, suggerirei di discutere dei punti chiave in lista (fare assemblee
fisiche temo sia un argomento tabu') per arrivare ad una proposta ben
delineata (non come articolato ma come principi) e formulare la proposta al
CE di sottoporre l'elaborato all'ufficio del Garante per un parere.  Sulla base
del parere del garante il CE potra' quindi formulare, a ragion veduta,  le
opportune variazioni alle regole.

Cordiali saluti
Giorgio Griffini



Maggiori informazioni sulla lista ita-pe