bozza di regole sulla privacy

Griffini Giorgio grunz a TIN.IT
Ven 31 Gen 2003 02:08:11 CET


Rispondo a V.Bertola

> >In quest'ottica trovo poco proponible il consentire la velatura dei dati di
> >contatto per i ruoli tecnici (zone-c,tech-c e maintainer) considerato che per
> >alcuni di questi ruoli esiste' gia' un regime di conoscibilita' pubblica (registro
> >pubblico delle autorizzazioni ministeriali)
>
> Vedi, qui ci vuole un esperto della legge, ma per quel che ho capito
> della legge sulla privacy non spetta a noi (regolatori / fornitori del
> servizio) stabilire quali dati e' bene che siano necessariamente
> pubblici e quali no.

No, non ci vuole 'solamente' un esperto della legge... ci vuole l'interpretazione
ufficiale e definitiva cioe' quella del Garante.
Noi non possiamo certo 'stabilire' il bene o il male.  Possiamo e dobbiamo
stabilire pero' se il fatto che l'assegnatario di un nome o un contatto tecnico
per quella registrazione sia di pubblico dominio (fatto salvo che ritengo sia
doveroso il proteggere la sfera privata) costituisca un elemento di maggiore o
minore pregio rispetto al buon funzionamento del namespace rendendo
eventualmemte la 'pubblicita' come 'conditio sine qua non'..

>
> Semplicemente, il consumatore finale ha diritto a
> non dare il consenso alla pubblicazione dei propri dati, punto. Al
> massimo, noi possiamo dire "se non dai questo consenso non ci e'
> possibile fornirti il servizio", a patto di dimostrarlo.
>

Non nel senso 'integralista' del termine anche perche'  la considerazione va
capovolta ovvero: questo e' il servizio, questi dati vengono pubblicati, questi
no, questi invece sono a tua discrezione renderli pubblici o meno.
Il giudizio 'autorevole' sul fatto che alcuni dati vengano richiesti oltre le finalita'
del servizio lo puo' dare solo il Garante che tra l'altro lo fa 'istituzionalmente'
e ha anche quindi maggiore visibilita' ad esempio rispetto alle armonizzazioni
in corso sulla privacy in ambito europeo.  E visto che nel .it possono
registrare soggetti a livello europeo credo che sia difficile trovare soggetto
che abbia maggior titolo del Garante per esprimere un parere in proposito.

> >Altro punto che mi trova altrettanto perplesso e' il voler dettagliare il solo tipo
> >di query WHOIS consentito quando la tutela da fornire e' caratteristica
> >propria del dato risultante e non dellle modalita' con cui questi dati sono stati
> >cercati ed estratti. Per fare un esempio concreto diventerebbe
> >immediatamente difficile avere lo 'stato delle registrazioni'  che ritorna la
> >'storia' delle registrazioni di un nome, la cui utilita' credo sia indubbia.
>
> I problemi qui sono molteplici, ad esempio:
> - se ammetto query tipo "whois d*.it" diventa molto facile tirare
> fuori elenchi a fini di spam;
> - se ammetto query tipo "quali domini ha registrato il signor X",
> diventa molto facile tracciare le attivita' di una persona in rete
> (figurati che esiste una proposta, sempre dalle lobby del copyright,
> di mettere in piedi un sistema di referral per cui con una query sola
> posso sapere tutti i domini registrati da una persona in tutti i TLD)
>
> Anche qui, queste query possono magari essere fatte da persone
> autorizzate (come peraltro previsto dalla mia proposta al paragrafo
> 9.2), ma non dal primo che passa.
>

Tutto assolutamente condivisibile ma non riguarda la riservatezza o meno di
questo o quel dato. Le considerazioni che sostieni sono relative all'uso che
viene fatto di questi dati . Uno dei principi cardine della 675 e' che il dato non
deve essere usato per scopi diversi dalle finalita' per cui e' stato fornito
indipendentemente dal fatto che sia di pubblico accesso o meno e quindi
esiste gia' una tutela 'naturale' rispetto alle pratiche che hai citato.

> >Sul piano formale ritengo invece che non sia opportuno separare in due
> >'documenti distinti' la LAR e 'l'informativa della privacy'
>
> Il punto e' che per ogni dominio tu hai bisogno di una LAR e di 0-N
> informative sulla privacy, a seconda di quante persone indichi e del
> fatto che queste persone abbiano gia' in passato inviato la propria
> informativa. Per cui mi sembra piu' comodo avere una seconda parte da
> fotocopiare/stampare nel numero di copie necessario.

Nella LAR deve comparire l'informativa e deve essere espresso il consenso
del registrante relativo al trattamento dei dati .
Per i contatti tecnici il percorso e' anche temporalmente diverso,di norma e'
di competenza del maintainer, e puo' essere fatto anche 'in anticipo'  in
assenza di una registrazione concomitante. (con altri documenti/moduli)

Volendo affrontare sistematicamente l'argomento credo si possa provare a
procedere per gradi cercando, per cominciare, di dare una risposta comune
almeno ad una semplice domanda:

"Riteniamo opportuno, prima di rendere operativa una regola o procedura non
banale riguardante l'assetto della riservatezza e della visibilita' dei dati delle
registrazioni, che sia necessario sentire il parere del Garante per la tutela dei
dati personali ?"

Cordiali saluti
Giorgio Griffini



Maggiori informazioni sulla lista ita-pe