La tutela dei dati personali su Internet tra trattamento palese e occulto

1 - La tutela dei dati personali raccolti in occasione di attività di commercio elettronico

Prima di procedere alla disamina dei principali problemi connessi all'applicabilità della L.675/96 ad Internet - e quindi al commercio elettronico - corre l'obbligo di far rilevare che non è stata esercitata la delega al Governo contenuta nella L.676/96 che individua - all'art.1, comma, 1 lett.n) - le reti telematiche come uno dei casi richiedenti norme ad hoc - integrative ed attuative di quelle generali - al fine di "stabilire modalità applicative della legislazione in materia di protezione dei dati personali ai servizi di comunicazione e di informazione offerti per via telematica, individuando i titolari del trattamento di dati inerenti i servizi accessibili al pubblico e la corrispondenza privata, nonché i compiti dei gestori, anche in rapporto alle connessioni con reti sviluppate su base internazionali".
La mancanza della predetta normativa di settore non impedisce, però, di applicare a Internet e al commercio elettronico - compatibilmente con la particolare natura tecnica del mezzo di comunicazione considerato - i principi generali della L.675/96.
La prassi del commercio elettronico è, senza dubbio, caratterizzata da numerose occasioni di raccolta dei dati personali del navigatore - consumatore "virtuale", ora palesi - mediante la richiesta di compilazione di generici formulari elettronici o di veri e propri ordini di beni o servizi - ora occulte - si pensi al caso emblematico, di cui si dirà successivamente, del "data-log" e dei "cookie".
Anche la raccolta e il trattamento dei dati personali via Internet devono essere improntati al rispetto dei principi generali indicati dalla L. 675/96.
In particolare sembra opportuno richiamare:
- il principio di liceità e trasparenza del trattamento dei dati personali posto dall'art.9;
- il principio dell'informativa all'interessato posto dall'art.10;
- il principio del consenso dell'interessato posto dall'art.11;
- il principio della notificazione al Garante del trattamento di dati personali da parte del titolare posto dall'art.7;
- il principio di sicurezza del trattamento posto dall'art. 15 della L.675/96.
Le norme richiamate costituiscono un importante parametro di valutazione della liceità del trattamento dei dati personali su Internet e nel commercio elettronico.
Il principio di correttezza
L'art.9 della L.675/96 è di fondamentale importanza perchè fornisce all'interprete i criteri generali di valutazione della liceità del trattamento, utili anche ai fini dell'azione risarcitoria di cui all'art.18 per il caso di danni derivanti da trattamento illecito. In particolare detto articolo stabilisce che i dati personali oggetto di trattamento devono essere:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;
c) esatti e se necessario aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per cui sono raccolti o successivamente trattati;
d) conservati come dati personali per un periodo non superiore a quello necessario per le finalità per cui sono stati raccolti o successivamente trattati.
Il principio dell'informativa
L'art.10 della L.675/96 prevede l'obbligo del titolare del trattamento di informare - oralmente o per iscritto - l'interessato - o la persona presso la quale sono raccolti i dati personali - preliminarmente al trattamento circa:
- le finalità e le modalità del trattamento cui sono destinati i dati;
- la natura obbligatoria o facoltativa del conferimento dei dati;
- le conseguenze di un eventuale rifiuto di rispondere;
- i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l'ambito di diffusione dei dati medesimi;
- i diritti di cui all'art.13;
- il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare e, se designato, del responsabile.
Non vi è dubbio che l'informativa di cui all'art.10 possa e debba essere resa anche in forma elettronica - via Internet - ogni qualvolta si proceda alla raccolta di dati del navigatore - consumatore "virtuale".
Ma veniamo all'ipotesi - tipica del commercio elettronico - di raccolta dei dati necessari per la conclusione del contratto "online".
Normalmente si tratterà di dati anagrafici e fiscali necessari per la stipula e l'esecuzione del contratto e come tali rientranti nell'esclusione del consenso dell'interessato di cui all'art.12.1 lett.b)
Per trattare tali dati in senso conforme alle disposizioni della L.675/96 sarà, quindi, sufficiente che il soggetto che effettua la raccolta dei dati "online" in occasione e per la stipula di un contratto via Internet, informi con la massima trasparenza l'interessato degli scopi della raccolta e degli altri elementi previsti dall'art.10 della L.cit., non essendo necessario anche il consenso dell'interessato.
Il problema del consenso si porrà, invece, nel caso in cui il provider - o il fornitore di beni o servizi online - utilizzi i dati personali raccolti per la conclusione del contratto per finalità diverse dalla stipula ed esecuzione dello stesso, oppure provveda a raccogliere dati dell'interessato non strettamente necessari alla stipula e alla esecuzione del contratto.
Trattasi di dati personali che pur essendo necessari alla stipula e alla esecuzione del contratto non vengono utilizzati solo per tali finalità ma anche per altre - si pensi ad esempio per attività di web-marketing - oppure di dati personali che per loro natura - siano essi dati comuni o a maggior ragione dati sensibili - non sono necessari alla stipula del contratto.
Il principio del consenso
Referente normativo in materia di consenso è l'art.11 il quale stabilisce che:
"1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato.
2. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso.
3. Il consenso è validamente prestato solo se è espresso liberamente, in forma specifica e documentata per iscritto, e se sono state rese all'interessato le informazioni di cui all'art.10".
Questa la regola per i dati comuni.
Per i dati sensibili - ossia quelli idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale nonché i dati idonei a rivelare lo stato di salute e la vita sessuale - l'art.22 della L.675/96 prevede che il trattamento possa essere effettuato solo con il consenso scritto dell'interessato e previa autorizzazione del Garante, ove non siano applicabili le autorizzazioni generali.
In buona sostanza - al di fuori dei casi di esclusione del consenso di cui all'art.12 - per trattare dati comuni non necessari per la stipula e l'esecuzione del contratto oppure necessari alla stipula e all'esecuzione del contratto ma utilizzati per finalità diverse, sarà sufficiente che il titolare del trattamento documenti per iscritto - quindi ad probationem - il consenso dell'interessato; mentre per trattare dati sensibili occorrerà che il titolare del trattamento ottenga il consenso scritto - quindi ad substantiam - dell'interessato a pena di nullità e la relativa autorizzazione del Garante al trattamento dei dati sensibili qualora non siano applicabili le autorizzazioni generali per determinate categorie di trattamento rilasciate in via preventiva dal Garante.
Si tratta a questo punto di chiarire la validità del consenso dell'interessato prestato online.
Esaminiamo innanzitutto il caso del consenso per il trattamento dei dati sensibili eventualmente raccolti via Internet. Nulla quaestio sulla inidoneità del consenso per via telematica atipica a produrre gli effetti del consenso per iscritto. L'unica modalità ammissibile al fine di ottenere un consenso scritto, validamente prestato per via telematica è quello di ricorrere alle modalità e garanzie tecniche tipizzate dal D.p.r. 513/97 recante norme in materia di firma digitale e del relativo regolamento tecnico esecutivo. L'interessato dovrà quindi utilizzare la firma digitale per prestare validamente via Internet il consenso al trattamento dei dati personali sensibili.
Il quadro giuridico relativo al consenso ad probationem prestato per il trattamento dei dati comuni non necessari alla stipula ed esecuzione del contratto o utilizzati per finalità diverse non pone alcun problema in caso di utilizzo della forma telematica tipica introdotta dalla firma digitale di cui al D.p.r. 513/97.
Ma quid iuris in caso di consenso per dati comuni manifestato utilizzando la forma telematica atipica di Internet senza utilizzare, quindi, le specifiche modalità tecniche introdotte dal D.p.r. 513/97?
E' conclusione, ormai dominante in dottrina, la qualificazione del documento elettronico quale documento in senso giuridico.
Sembrerebbe, quindi, ragionevole ritenere ammissibile e valido il consenso prestato attraverso e-mail o via web, al fine di soddisfare il requisito della documentazione scritta richiesta dall'art.11.3 L.675/96 per il trattamento dei dati comuni.
Non si dimentichi, infatti, che la L.675/96 sembra accontentarsi - al fine di soddisfare il requisito della documentazione per iscritto del consenso ex art.11.3 L.cit. - anche della comunicazione del consenso in forma orale ed è quindi più permissiva della normativa di diritto comune che richiede pur sempre - anche per la forma scritta ad probationem - la manifestazione del consenso mediante documento dotato di sottoscrizione al quale - evidentemente - il documento elettronico - privo della firma digitale - non può essere equiparato.
2 - La tutela dei dati personali raccolti mediante "Data Log": il controllo occulto degli utenti-navigatori

Esaminiamo, in secondo luogo, il problema del controllo degli utenti-navigatori da parte dei fornitori di accesso alla rete Internet. E' buona regola che ciascun Internet provider anche quando consenta l'utilizzo di pseudonimi o garantisca l'anonimato in rete provveda all'atto della stipula del contratto di accesso all'identificazione dell'utente mediante verifica di valido documento d'identificazione.
Nello stesso senso si esprime l'art.4a) e 5) della bozza di Codice di autoregolamentazione per i servizi Internet adottata dall'AIIP/Telecom Italia.
L'art. 4a) stabilisce come principio generale l'identificabilità di tutti i soggetti di Internet e la possibilità del soggetto identificato di restare anonimo durante l'utilizzo della rete a tutela della propria riservatezza.
L'art.5 stabilisce che i soggetti di Internet devono consentire l'acquisizione dei propri dati personali a chi fornisca loro accesso, hosting o entrambi. I fornitori di detti servizi sono tenuti a registrare i dati per renderli disponibili a richiesta dell'autorità giudiziaria. Una volta identificato, l'utente può chiedere al suo fornitore di accesso e hosting di avere un identificativo diverso dal suo nome (pseudonimo) con cui operare in Rete (anonimato protetto).
Si prevede, inoltre, che i soggetti firmatari del Codice si obblighino ad estendere ai terzi l'obbligatorietà del Codice stesso attraverso la previsione di un'apposita "clausola di estensione" in tutti i contratti di fornitura di accesso a Internet e di hosting che verranno stipulati.
In linea con quanto detto è anche il Codice di deontologia e di buona condotta per i servizi telematici adottato dall'Associazione Nazionale Fornitori di Video Audio Informazione (ANFOV) approvato nel novembre 1997 ed entrato in vigore il 1° gennaio 1998 che all'art.6 stabilisce:
"I fornitori di accesso e di servizi (...) accertano l'identità degli utenti e degli abbonati richiedendo l'esibizione o la produzione di un documento personale (...) mantengono un log attraverso il quale sia possibile risalire all'identità degli utenti o degli abbonati (...)".
L'art.6 del Codice di deontologia ANFOV pone, quindi, a carico del fornitore di accesso o di servizi l'onere di mantenere un registro elettronico c.d. Data Log attraverso cui sia possibile:
- risalire alla identità degli utenti o degli abbonati che hanno fatto accesso o concesso a terzi la facoltà di accedere al sistema o alla rete telematica, in via temporanea o permanente;
- risalire all'identità degli utenti o degli abbonati che hanno utilizzato il servizio o concesso a terzi la facoltà di utilizzarlo per diffondere o distribuire contenuti.
Nel caso di commissione di reati a mezzo Internet può essere, infatti, di fondamentale importanza per il provider individuare l'autore dell'illecito al fine di escludere o limitare eventuali proprie responsabilità penali o civili. E a maggior ragione nel caso in cui l'utente abbia commesso l'illecito grazie all'anonimato assicurato dal provider.
Sino all'8 maggio 1997, data dell'entrata in vigore della legge sulla "privacy" (L.675/96), tali controlli venivano effettuati - spesso all'insaputa dell'utente, in assenza di un preciso quadro normativo di riferimento - mediante l'utilizzo di diverse tipologie di registri elettronici contenenti ora la semplice durata dei collegamenti alla rete Internet ora il tracciamento completo dei movimenti virtuali degli utenti.
Solo raramente la modulistica contrattuale richiamava espressamente l'utilizzo di detto registro elettronico; non certo per informare l'utente ma solo per ottenere la specifica adesione al suo utilizzo, in caso di controversia, quale prova, piena ed incontrovertibile, dei fatti e degli atti compiuti dall'abbonato medesimo in relazione all'Internet provider fornitore dei servizi.
La prassi della conservazione di detto registro elettronico soddisfa, oltre che finalità tecniche di controllo dell'efficienza del sistema, finalità di tutela contrattuale ed extracontrattuale del provider.
Tutela contrattuale, potendo essere utilizzato, in un eventuale giudizio, al fine di dimostrare la durata degli accessi al servizio Internet e la correttezza degli importi addebbitati, anche in relazione alla verificazione del rispetto da parte dell'utente degli eventuali limiti d'uso mensile o annuale e alla conseguente applicazione di tariffe diversificate.
Tutela extracontrattuale, potendo essere utilizzato, a richiesta dell'autorità giudiziaria, per verificare la commissione di eventuali illeciti civili e penali da parte degli utenti del provider. Sono, inoltre, evidenti, in tal caso, le finalità dissuasive dalla commmissione di reati derivanti dalla consapevolezza dell'utente (quando informato, correttamente, di tale controllo) che i comportamenti virtuali tenuti su Internet sono registrati dal provider e possono essere valutati dall'Autorità Giudiziaria per sanzionare eventuali violazioni di legge.
Anteriormente alla legge sulla"privacy", che ha introdotto limiti e regole generali al trattamento dei dati personali, pur essendo dubbia la legittimità di tale strumento - che può costituire una forma penetrante di violazione dell'altrui "privacy", in difetto di espressa disposizione di legge che attribuisca al provider il potere-dovere di provvedere alla conservazione di detto registro - non si poteva andare oltre le affermazioni di principio per impedire eventuali abusi in assenza di un quadro normativo di riferimento.
Successivamente all'entrata in vigore della legge 675/96 sulla tutela della riservatezza l'utilizzo e la conservazione - non richiesta, nemmeno oggi, da alcuna disposizione di legge - da parte del provider del registro elettronico in parola, ha subito forti limitazioni a tutela dell'interessato dal trattamento dei dati personali.
E' del tutto evidente, infatti, che un registro in cui sia possibile immagazzinare dati relativi alla navigazione dell'utente, consente al provider di creare un dettagliato profilo personale del navigatore virtuale, anche con riferimento a dati sensibili quali, per esempio, orientamento politico o sessuale.
Per non parlare del rischio di un utilizzo illecito di tali dati; si pensi a finalità estorsive, da parte del provider stesso o da parte di terzi che riescano ad accedere al contenuto di detto registro.
Per poter continuare ad utilizzare detto registro, che può anche contenere, come si è visto, dati sensibili occorre, pertanto, rispettare alcuni principi generali introdotti dalla legge sulla privacy a partire dall'8 maggio 1997.
In primo luogo, il provider, oltre alle informazioni che deve dare all'interessato ai sensi dell'art.10, L.675/96, deve informare adeguatamente e correttamente, oralmente o per iscritto, l'interessato-utente dell'esistenza di tale registro, della natura dei dati ivi registrati (precisando se ad esempio si tratti della mera registrazione dei tempi d'accesso o dei dati relativi ai siti visitati e/o al loro contenuto), della finalità (finalità di fatturazione, finalità commerciali, finalità di controllo), della durata e delle modalità del trattamento.
L'interessato-utente, ricevuta l'informativa, deve fornire il suo indispensabile consenso al trattamento che deve essere documentato per iscritto (ad probationem, quindi) in caso di dati non sensibili e prestato in forma scritta, a pena di invalidità (ad substantiam, quindi), solo in caso di dati sensibili.
In difetto del consenso dell'interessato-utente si ritiene che il provider non possa utilizzare il registro elettronico in parola salvo che venga contrattualmente previsto per registrare esclusivamente i tempi d'accesso ad Internet: trattandosi di trattamento necessario per l'esecuzione dell'obbligo di pagamento del canone di accesso da parte dell'interessato-utente - finalità di fatturazione - non è, infatti, richiesto il consenso ex art.12.1 lett.a) L.695/96.
Nello stesso senso depone l'art.4 del Dlgs.13 maggio 1998, n.171 - recante norme in materia di tutela della riservatezza nel settore delle telecomunicazioni - secondo cui "I dati personali relativi al traffico, trattati per inoltrare chiamate e memorizzati dal fornitore di un servizio di telecomunicazioni accessibile al pubblico o dal fornitore della rete pubblica di telecomunicazioni, sono cancellati o resi anonimi al termine della chiamata" fatte salve le finalità di fatturazione - nel qual caso il trattamento è consentito fino alla fine del periodo durante il quale può essere legalmente contestata la fattura o preteso il pagamento - e le finalità di commercializzazione di servizi di telecomunicazioni - nel qual caso occorre, però, il consenso dell'interessato.
Nulla dice, invece, il Dlgs.171/98 in relazione al trattamento dei dati personali per finalità di controllo dell'utente da parte del fornitore del servizio di telecomunicazioni che dovrà, quindi, essere oggetto di specifica pattuizione contrattuale - con riguardo anche alla durata del trattamento - e di consenso informato in forma scritta a pena di nullità, potendo l'attività di controllo interessare anche il trattamento di dati sensibili.
Le violazioni dell'art.4 del Dlgs.171/98 comportano l'applicazione delle sanzioni penali di cui all'art.35 della L.675/96 previste per il trattamento illecito dei dati personali (reclusione sino a due anni e in caso di danno sino a 3 anni).
In secondo luogo, il provider dovrà notificare al Garante il trattamento automatizzato iniziato a partire dal 1° gennaio 1998 preventivamente all'inizio dello stesso (nel caso di trattamento automatizzato dei dati iniziato prima del 1° gennaio 1998 il termine ultimo per l'adempimento era il 31 marzo 1998) e richiedere l'autorizzazione del Garante per il trattamento dei dati personali sensibili qualora non risultino applicabili le Autorizzazioni generali per categorie di trattamento predisposte dal Garante.
In terzo luogo, il provider deve sin da ora, adottare tutte le misure di sicurezza idonee a garantire - ai sensi dell'art. 15.1 L.675/96 - il rispetto della riservatezza e dell'integrità dei dati contenuti nel registro elettronico, anche al fine di evitare che tali dati vengano utilizzati per finalità illecite.
E' quindi tenuto ad installare, seguendo le indicazioni di consulenti in sicurezza informatica, protezioni fisiche (allarmi, chiavi hardware, sistemi biometrici) e virtuali (firewall, chiavi software, sistemi crittografici) a tutela del sistema informatico e dei supporti che contengono tali dati.
Si ricorda, in proposito, che l'art.2.3 del Dlgs.171/98 pone a carico del fornitore di un servizio di telecomunicazioni accessibile al pubblico, l'obbligo informativo di rendere edotto l'utilizzatore del servizio dell'esistenza di particolari rischi di violazione della sicurezza della rete, indicando i possibili rimedi e i relativi costi.
Si osservi, inoltre, che:
- l'art.18 della L.675/96 prevede a carico del danneggiante, per effetto del trattamento di dati personali, la responsabilità aggravata per esercizio di attività pericolosa ai sensi dell'art.2050 c.c., con onere della prova a carico di questo consistente nella prova di aver adottato tutte le misure idonee ad evitare il danno. Si tenga ben presente che aver adottato unicamente le misure minime di sicurezza informatica previste dal D.P.R. 318/99 vale ad escludere l'applicazione delle sanzioni penali di cui all'art.36 L.675/96 ma non costituisce prova liberatoria ai fini della responsabilità civile di cui al disp. comb. art.18 L. 675/96 e art. 2050 c.c.;
- l'art. 29.9 L.675/96 riconosce la risarcibilità del danno non patrimoniale anche nei casi di violazione dell'art.9 L.675/96, quindi, anche nei casi di trattamento non corretto dei dati rilevante solamente sotto un profilo civilistico.
Corre, infine, l'obbligo di segnalare che l'art.15 della Direttiva CE 31/2000 sul commercio elettronico esclude - salve espresse richieste formulate dala pubblica autorità competente all'interno di ogni Stato membro - qualsiasi obbligo generale del provider di monitorare l'attività degli utenti e di ricercare attivamente attività illecite.

3 - La tutela dei dati personali raccolti - in modo occulto - tramite "cookie": la profilazione del consumatore virtuale ("clicktrail")

Esaminiamo ora uno strumento - ricorrente nella prassi del commercio elettronico - utilizzato per memorizzare determinati comportamenti del navigatore - consumatore, normalmente a sua insaputa: trattasi del c.d. cookie .
Il cookie non è altro che un contenitore di informazioni - normalmente di carattere commerciale - che viene inviato - attraverso il browser - dal sito web che si sta visitando alla memoria interna del computer utilizzato per la navigazione.
L'utilità di tale strumento va rinvenuta nella possibilità di personalizzare determinati aspetti della navigazione in funzione dei consumi e degli interessi manifestati dall'utente nel corso della stessa.
Si pensi, fra l'altro, alla possibilità del sito di riconoscere l'utente e di calibrare il contenuto dei banner pubblicitari in funzione del profilo ricostruito dal cookie in relazione ai dati raccolti nel corso di navigazioni precedenti.
Ma tale raccolta "invisibile" di dati è compatibile o meno con la tutela della privacy?
Secondo MANGANELLI - componente dell'Autorità Garante per la Protezione dei Dati Personali - il cookie non sarebbe strumento illecito di raccolta dei dati solo nei limiti in cui non sia possibile attraverso i dati da esso registrati identificare il navigatore, e quindi associare il profilo tracciato ad un soggetto individuato.
A diverse conclusioni - nel senso della illiceità ai sensi della L.675/96 - si deve evidentemente pervenire qualora il c.d. cookie registri - senza il consenso dell'interessato - un profilo del consumatore non in forma anonima ma riferibile immediatamente ad un utente individuato oppure non si limiti alla registrazione di dati di natura commerciale ma trasferisca informazioni relative al contenuto della memoria di massa del computer di navigazione.
In entrambi i casi sembra, però, ragionevole ritenere - tenuto conto delle problematiche relative alla legge applicabile e alla eterogeneità dei livelli di protezione - che lo strumento migliore di tuela del navigatore dalla raccolta occulta di informazioni che lo riguardano, sia in definitiva l'autotutela e quindi - in questo caso - l'utilizzo avanzato dei browser di navigazione che allo stato della tecnologia sono in grado di segnalare all'utente quando un cookie sta per essere registrato sul proprio computer, così consentendogli di impedirne - se del caso - la registrazione.
Sul punto, anche il Gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali - istituito dal'art.29 della Direttiva 95/46 - si è espresso a favore dell'applicabilità al trattamento dei dati invisibili via Internet delle Direttive 95/46 e 97/66, invitando i progettisti di software e hardware a tenere conto e rispettare i principi posti da queste al fine di rafforzare la privacy degli utenti Internet.
Un utilizzo sapiente dei "cookie" - da parte dell'operatore commerciale - può rendere possibile il monitoraggio - "clicktrail" - della navigazione dell'utente in modo tale da consentire, come si è detto, la ricostruzione di un accurato profilo personale.
Trattasi della c.d. "profilazione" del consumatore virtuale.
Sul problema della profilazione è intervenuto il Garante - con provvedimento del 13 gennaio 2000 - ribadendo l'illiceità dei comportamenti di raccolta invisibile dei dati posti in essere dall'operatore in difetto di preventiva Informativa ex art.10 L.675/96 e di consenso al trattamento da parte dell'interessato.
In particolare il Garante ha precisato che l'informativa ai clienti deve essere:
- collocata "online" prima della richiesta di registrazione dei propri dati;
- riferita a tutti gli aspetti del complessivo trattamento svolto dall'operatore nell'ambito del servizio offerto (anziché ai soli profili relativi a finalità commerciali o di marketing), riepilogando in maniera chiara e sintetica le informazioni rilevanti "disseminate" nel testo del contratto;
- contenere un sintetico richiamo ai diritti d'accesso attribuiti agli interessati dall'art.13 della L.675/96, conl'indicazione dell'ufficio o servizio presso cui esercitare tali diritti.
Occorre, inoltre, ottenere lo specifico consenso dell'interessato non solo per poter trattare i dati per finalità commerciali e di marketing - inviare messaggi pubblicitari, effettuare chiamate dirette al consumatore - ma anche per poter comunicare i dati a società terze il cui elenco nominatim deve essere allegato all'Informativa.

Prof. Avv. Emilio Tosi

Professore Aggregato di Diritto Privato e Diritto delle Nuove Tecnologie
Università di Milano Bicocca

Managing Partner
TOSI & PARTNERS HIGH TECH LEGAL

© 2000 TOSI & PARTNERS HIGH TECH LEGAL