Il provider può effettuare la scansione
automatizzata della posta elettronica alla ricerca di virus o spam
senza il consenso dell'utente o dell'abbonato, ma ha l'obbligo di
richiederlo se lo scopo dello screening è quello di individuare contenuti
potenzialmente illegali. Lo hanno stabilito le Autorità europee per la
protezione dei dati personali con il Parere 2/2006. Il parere si
propone di fornire alcune prime indicazioni agli operatori del
settore su tutta una serie di attività che mirano a ridurre prassi dannose e
intromissioni nella comunicazione elettronica, ma che possono tuttavia
configurarsi esse stesse come un'interferenza nella libertà di comunicazione
per le caratteristiche che vengono ad assumere.
In particolare, la scansione effettuata al fine di
individuare virus - spiega un nota - è lecita perché si tratta di una
finalità che rientra negli obblighi di sicurezza imposti dalla direttiva
2002/58 e dalle norme nazionali e non richiede il consenso dell'utente.
Tuttavia, ciò non esime il provider dall'obbligo di informare adeguatamente
l'utente sulla natura dell'attività svolta (ad esempio, nell'ambito delle
condizioni contrattuali previste per il servizio), di non rivelare a
chiunque il contenuto della comunicazione e, qualora la scansione anti-virus
sia effettuata sotto forma di scansione del contenuto dei messaggi, di
limitare l'analisi esclusivamente alla ricerca di possibili virus.
Anche lo screening effettuato per individuare spam è, a
giudizio dei Garanti Ue, attività assimilabile all'attivazione di misure di
sicurezza, poiché lo spam compromette la funzionalità dei servizi di posta
elettronica. Tuttavia, in considerazione del rischio di generare "falsi
positivi" - ossia di filtrare come spam messaggi che in effetti non lo sono
- e dunque di limitare in qualche misura la libertà di comunicazione, i
provider dovrebbero consentire agli utenti di disapplicare i filtri
anti-spam e di stabilire quali tipi di spam debbano essere filtrati. In
particolare, il Gruppo di lavoro invita i provider e i produttori di
software e programmi di posta elettronica a mettere a punto strumenti che
diano all'utente la possibilità di configurare autonomamente i meccanismi di
filtraggio anti-spam.
La scansione a scopo di ricerca di specifici contenuti
potenzialmente illeciti deve essere, invece, configurata come una vera e
propria intercettazione delle comunicazioni. Essa può essere effettuata solo
dalla autorità giudiziaria e dalle forze di polizia; se effettuata dai
provider, è invece necessario che via sia stata una espressa manifestazione
di volontà dell'utente interessato al controllo. Questo tipo di screening,
dunque, non può rientrare negli obblighi standard dei provider e deve essere
offerto, eventualmente, quale servizio a valore aggiunto.
Clicca
qui per scaricare il Parere 2/2006.
|