In seguito all’intervista al CEO di Google, nella quale si è cercata di minimizzare l’importanza della tutela della privacy, Quintarelli ha segnalato la “reazione” di Asa Dotzler, uno dei “coordinatori” del progetto Mozilla, il quale ha (indirettamente) consigliato sul proprio blog di utilizzare Bing e non Google:
And here’s how you can easily switch Firefox’s search from Google to Bing. (Yes, Bing does have a better privacy policy than Google.)
Personalmente non sono per “boicottare” Google, ma sono per un utilizzo consapevole di Internet e ritengo fondamentale che gli utilizzatori siano consci del trattamento dei propri dati personali.
Deve essere chiaro a tutti che “una cronologia delle ricerche è l’istantanea degli interessi, delle relazioni e delle intenzioni dell’utente”.
Spesso invece “La maggior parte degli utenti Internet non si rende conto dell’enorme quantità di dati elaborati sulla base delle loro abitudini di ricerca, né delle finalità per le quali vengono usati. Se non sono consapevoli del trattamento, non possono prendere decisioni informate al riguardo.”
Io sono per il consenso informato: le persone devono conoscere (e devono essere messi in grado di comprendere) quante informazioni (rectius, dati personali) vengono elaborati da un motore di ricerca e quali siano le “conseguenze” di tale trattamento. In altre parole deve essere a tutti chiaro che unendo diverse informazioni apparentemente “anonime” (query di ricerca, data e ora, indirizzo IP, cookie) è assai agevole individuare l’autore di tali attività e quindi conoscerne passioni, preferenze, tendenze sessuali e orientamenti politici.
Invito tutte le persone interessate a leggere il parere del Data Protection Working Party (i.e. il Gruppo dei Garanti della Privacy europei) in riferimento ai motori di ricerca. Si scoprono diverse informazioni a mio avviso importanti.
Mi limito a riportare le conclusioni:
Applicabilità delle direttive CE
1. La direttiva 95/46/CE sulla protezione dei dati si applica generalmente al trattamento dei dati personali effettuato da motori di ricerca, anche quando la loro sede si trova al di fuori del SEE.
2. Un provider non stabilito nel SEE deve informare gli utenti delle condizioni che impongono il rispetto della direttiva sulla protezione dei dati, che si tratti della presenza di uno stabilimento o del ricorso a strumenti.
3. La direttiva 2006/24/CE sulla conservazione dei dati non si applica ai motori di ricerca Internet.
Obblighi dei provider di motori di ricerca
4. I motori di ricerca possono elaborare dati personali soltanto per finalità legittime e la quantità di dati deve essere pertinente e non eccedente rispetto alle diverse finalità.
5. I provider devono cancellare o rendere anonimi i dati personali (in maniera irreversibile e efficace) una volta che questi non sono più necessari per la finalità per la quale sono stati raccolti. In Gruppo di lavoro chiede ai provider di mettere a punto opportuni sistemi di anonimizzazione.
6. I periodi di conservazione dovrebbero essere ridotti al minimo ed essere proporzionati alle singole finalità indicate dal provider. Per quanto riguarda le spiegazioni iniziali dei provider sulle potenziali finalità della raccolta dei dati personali, il Gruppo di lavoro ritiene che non si giustifichi un periodo di conservazione superiore a sei mesi. La normativa nazionale può sempre disporre scadenze più brevi per la cancellazione dei dati personali. I provider che conservano i dati personali per più di sei mesi dovranno dimostrarne chiaramente l’assoluta necessità per il servizio. In ogni caso, è opportuno che le informazioni sul periodo di conservazione prescelto dai provider siano facilmente accessibili dalla home page.
7. Anche se, inevitabilmente, i provider raccolgono dati personali sugli utenti dei loro servizi (indirizzi IP) derivanti dal traffico HTTP standard, non è necessario raccogliere dati supplementari dai singoli utenti per assicurare il servizio di invio dei risultati delle ricerche e per la pubblicità.
8. Se i provider usano cookie, la loro durata di vita non dovrebbe essere superiore a quanto si dimostri necessario. Come per i cookie web, anche i flash cookie andrebbero installati soltanto se vengono fornite informazioni trasparenti sulla finalità della loro installazione e su come accedervi, modificarli e cancellarli.
9. I provider devono fornire agli utenti informazioni chiare e comprensibili sulla loro identità e ubicazione, sui dati che intendono raccogliere, conservare o trasmettere, e sulle finalità per le quali sono raccolti.
10. L’arricchimento dei profili individuali con dati non forniti dagli utenti stessi deve basarsi sul consenso degli interessati.
11. Se i provider propongono mezzi per conservare le cronologie di ricerca del singolo utente, devono assicurarsi il consenso dell’interessato.
12. I motori di ricerca dovrebbero rispettare le scelte di esclusione (opt-out) dei responsabili editoriali del sito, per cui il sito non deve essere sottoposto a ricerche per indicizzazione né incluso nella memoria cache dei motori di ricerca.
13. Quando i provider propongono una memoria cache, nella quale i dati personali sono conservati più a lungo che nella pubblicazione originale, devono rispettare il diritto degli interessati alla cancellazione di dati superflui e errati dalla memoria cache.
14. I provider specializzati in trattamenti a valore aggiunto, come la profilazione di persone fisiche (i cosiddetti “motori di ricerca di persone”) e il software di riconoscimento facciale sulla base di immagini, devono avere una motivazione legittima, per esempio il consenso dell’interessato, e rispettare tutte le altre prescrizioni della direttiva sulla protezione dei dati, come l’obbligo di garantire la qualità dei dati e la liceità del trattamento.
Diritti degli utenti
15. Gli utenti dei servizi di un motore di ricerca hanno il diritto di accedere, controllare e rettificare se necessario tutti i loro dati personali, profili e cronologie di ricerca compresi, conformemente all’articolo 12 della direttiva sulla protezione dei dati (95/46/CE).
Il Gruppo di lavoro raccomanda un modello multistrato per la privacy policy descritto nel suo Parere sulla maggiore armonizzazione della fornitura di informazioni
16. La correlazione incrociata di dati provenienti da servizi diversi appartenenti al provider può essere effettuata soltanto previo consenso dell’utente per quel servizio specifico.
.jpg)
