Dice il Garante per dati personali che – abrogato il Decreto Pisanu – gli utenti di punti pubblici di accesso alla rete non vanno identificati. Sarà vero?
di Andrea Monti – PC Professionale n. 265
Con l’abrogazione della legge 155/05 (nota come “Decreto Pisanu”) sono venuti meno, a carico di chi offre il servizio, gli obblighi di identificazione degli utenti che accedono alla rete tramite pubblici esercizi. Ma questo non significa che sia possibile – in senso assoluto – offrire servizi di accesso anonimo alla rete.
Inconsapevole di questa distinzione, un ufficio del Garante dei dati personali (e non il Garante in versione “ufficiale”) invia una stringata nota alla Federazione Italiana Pubblici Esercizi (FIPE) nella quale scrive testualmente: “L’abrogazione della revisione relativa alle “misure di preventiva acquisizione dei dati anagrafici riportati su un documento di identità dei soggetti che utilizzano postazioni pubbliche non vigilate per comunicazioni telematiche ovvero punti di accesso ad internet utilizzando tecnologia senza fili”, contenuta nel suindicato art. 7, comma 4 del decreto Pisanu, ha fatto venir meno l’obbligo, per i gestori dei c.d. Internet Point, di registrare i dati anagrafici e identificativi degli utenti e di monitorare le sessioni Internet.”
A parte il fatto che la norma si applica(va) non solo agli internet point (nemmeno peraltro esplicitamente indicati) ma a tutti i punti pubblici di accesso alla rete, il fatto che per una legge certi obblighi siano venuti meno non elimina questi obblighi se c’e’ qualche altra legge che li mantiene in vigore.
Bisogna ricordare, infatti, che il Decreto Pisanu fu emanato sull’onda isterica della “lotta al terrorismo” in nome della quale anche l’Italia ha emanato leggi liberticide che davano più poteri agli organi dello Stato, senza prevedere un’adeguata, effettiva ed efficace sanzione per chi ne abusava. Sia come sia, nella fregola di controllare tutto e tutti, lo Stato italiano emanò questo provvedimento che, nella testa di chi lo concepì avrebbe dovuto aiutare a prendere i “cattivi”.
Ora che il “cattivo” è stato preso – o che qualcuno si è reso conto dell’inutilità di una norma del genere – il Decreto Pisanu è stato messo in cantina, ma questo non ha cancellato gli obblighi giuridici che esistevano prima della sua emanazione. Primo fra tutti, quello previsto dal Codice delle comunicazioni elettroniche di garantire la sicurezza della rete pubblica di comunicazioni. E’ vero che la norma nasce per proteggere la componente fisica dell’infrastruttura ma questo non c’è scritto esplicitamente e, mai come ora, la protezione della componente logica della rete (non solo di quella pubblica) è altrettanto importante.
E’ scritto a pagina zero di qualsiasi tesina da scuola superiore che la gestione delle credenziali di autenticazione è fondamentale ai fini della corretta gestione della sicurezza e della riferibilità dei comportamenti di un account all’utente per il quale è stato creato. Tanto che lo stesso Codice dei dati personali impone un‘attenta gestione di username e password.
Dunque, e siamo già a un ulteriore fonte normativa che si aggiunge al Codice delle comunicazioni elettroniche, anche il Codice dei dati personali pone l’obbligo di adozione di adeguate misure di sicurezza che includono – evidentemente – la corretta identificazione di chi accede a un sistema.
Andando ancora indietro nel tempo, è opportuno ricordare che il Codice penale prevede la possibilità di contestare un reato in “concorso” a chi offra un supporto alla commissione di un reato. Lasciare una rete aperta e senza log significa assumersi consapevolmente la responsabilità di quello che tramite questa rete viene fatto. E se la cosa viene fatta per colpa (cioè per negligenza o imperizia) anche se non si va in galera si pagano i danni.
Infine, va ricordato che praticamente tutti gli internet provider e i fornitori di accesso prevedono, nei loro contratti, clausole di assunzione di responsabilità a carico del cliente (l’esercizio pubblico) per i fatti commessi dagli utenti finali (i clienti).
In sintesi, dunque, l’abrogazione del Decreto Pisanu significa che sono state abrogate le MODALITA’ di identificazione degli utenti che accedono tramite un posto pubblico ma non l’obbligo in quanto tale. Il che è certamente un vantaggio per i pubblici esercizi che vogliono offrire connettività wireless dal momento che possono utilizzare soluzioni tecniche più flessibili ma che, alla base, devono sempre tenere presente i principi della responsabilità civile e penale, per cui ciascuno risponde di quello che fa (o che non fa).
Rimane sullo sfondo di questa vicenda l’approssimazione con la quale è stata gestita la comunicazione sia da parte della FIPE ma, soprattutto, dal Garante dei dati personali. Quest’ultimo infatti, come spessissimo accade nei provvedimenti ufficiali e nelle comunicazioni dirette, non ha altro che citare stralci di norme o ripetere l’ovvio e nulla più, lasciando ai destinatari il compito di dare un senso all’esternazione istituzionale. Che, come in questo caso, ha generato tanto rumore per nulla.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte