Il 2 novembre 2016, la Federal Communications Commission (“FCC”), un’autorità a livello federale americano per la tutela delle comunicazioni, ha pubblicato una serie di disposizioni (decisione denominata Protecting the Privacy of Customers of Broadband and Other Telecommunications Services), volte a proteggere la privacy dei consumatori di servizi su banda larga e di altri servizi di telecomunicazione. La decisione impone obblighi di riservatezza più stringenti ai gestori di servizi a banda larga che garantiscono l’accesso a Internet e ad altri operatori di telecomunicazioni. Tuttavia, già in gennaio diversi fornitori di servizi di accesso alla rete (Internet Service Providers, “ISPs”) e compagnie di telecomunicazione hanno chiesto al governo USA di rivedere in modo significativo la decisione.
La delibera fornisce una guida per ISPs, per garantire ai consumatori più trasparenza, opzioni di scelta e anche una maggiore sicurezza per il trattamento dei dati personali.
Tra l’altro, la decisione prevede:
• un meccanismo di opt-in. Gli ISPs devono ottenere il consenso espresso degli interessati per poter utilizzare i dati personali. La decisione specifica le categorie di dati che sono considerati sensibili, tra cui quelli inerenti la geo-localizzazione dell’interessato, dati personali di minori, informazioni previdenziali, cronologia di navigazione del web, cronologia di utilizzo delle applicazioni ed il contenuto delle comunicazioni;
• un meccanismo di opt-out. Gli ISPs possono utilizzare e condividere dati non sensibili (ad esempio, indirizzo di posta elettronica o tipologia di servizio utilizzata), a meno che l’interessato abbia negato il proprio consenso;
• eccezioni all’obbligo di consenso. In determinati casi, il consenso al trattamento dell’interessato è presunto, come, per esempio, per poter fornire internet o fatturare.
Inoltre, la decisione impone:
• requisiti di trasparenza, che richiedono agli ISPs di “fornire ai clienti un’informativa chiara, precisa ed aggiornata sui dati raccolti, sul loro utilizzo, condivisione e possibilità di modificare le loro preferenze privacy”;
• l’utilizzo di procedure privacy che siano ragionevoli e di linee guida sui punti che gli ISPs dovrebbero prendere in considerazione, come ad esempio l’attuazione di best practice del settore, fornendo un’adeguata verifica delle procedure di sicurezza, implementando collaudati strumenti di autenticazione dell’utilizzatore ed un corretto smaltimento dei dati, che sia coerente con le disposizioni in vigore a tutela del consumatore;
• ragionevoli procedure di notifica delle violazioni privacy, strategie per minimizzare la raccolta dei dati, oltre a raccomandare l’effettivo utilizzo del concetto di privacy by design.
Originariamente pubblicato in inglese su Technethics nel febbraio 2017