di Andrea Monti – PC Professionale n. 70
Chi ha diritto di leggere la mia posta? È legittimo l’uso dei cookies? Che fine fa il log delle mie connessioni? Queste e mille altre domande sono aspetti di un unico argomento al quale molti utenti della rete sono sensibili, ovvero il tema della privacy. Le cronache registrano con sempre maggiore frequenza contrapposizioni fra i sostenitori dell’anonymous surfing, (ovvero la possibilità di mantenere l’anonimato più totale), chi invoca norme ciecamente restrittive e chi, invece, cerca una posizione intermedia. Quest’ultimo gruppo, confortato dalla posizione dell’Unione Europea, si attiva per mediare tra un diritto fondamentale dell’utente con le altrettanto legittime necessità dell’Autorità Giudiziaria e degli operatori del settore, proponendo il cosiddetto “anonimato protetto”.
Un contributo importante, anche se per via indiretta, giunge dalla legge sulla Tutela delle persone e di altri soggetti nel trattamento dei dati personali (reperibile su http://giuriweb.unich.it) approvata finalmente il 18 dicembre scorso dal Parlamento e destinata a entrare in vigore il prossimo 8 maggio, almeno relativamente a una serie di articoli. L’attuazione completa della normativa (specie in materia di misure di sicurezza) dipenderà poi dall’emanazione di successivi regolamenti.
Di cosa si tratta esattamente e quali effetti può avere sulle attività (di qualsiasi natura) che si svolgono in rete?
La risposta non è semplice sia perché la legge è molto “voluminosa” sia perché la materia è assai complessa. Per giunta a nostro avviso lascia molto perplessi anche il modo in cui è stato organizzato il materiale.
Chi ha diritto sui miei dati?
Le opinioni politiche, le preferenze sessuali, i gusti, le analisi cliniche, i luoghi frequentati durante le vacanze… tutte queste informazioni sono estremamente preziose non solo per chi opera in ambito commerciale o scientifico, ma anche per chi persegue fini meno “nobili”, ed è appena il caso di ricordare che con la progressiva diffusione della rete questi rischi aumentano geometricamente.
Non è giusto che qualcuno analizzi i dati che mi riguardano senza che io abbia dato il mio consenso. E infatti proprio questo è l’obiettivo dichiarato della legge: stabilire l’esistenza di un autonomo diritto sui dati di ciascuno (a prescindere dalla loro forma e dal modo, elettronico, automatizzato o manuale, in cui vengono elaborati) e stabilire che il loro utilizzo a opera di terze parti avvenga solo con il preventivo consenso dell’interessato. Inoltre, chi intende procedere al trattamento dei dati deve avvertire con un’apposita notificazione un’autorità, il Garante per la protezione dei dati delle proprie intenzioni; allo stesso Garante dovranno poi essere richieste le autorizzazioni per una serie di casi particolari, come l’esportazione di dati all’estero.
Questo schema prevede una serie di eccezioni senza le quali sarebbe praticamente paralizzata qualsiasi forma di attività. Ad esempio la legge non si applica a chi tratta dati a fini esclusivamente personali, senza destinarli sistematicamente alla comunicazione o alla diffusione e viene limitata relativamente alla professione di giornalista.
Ciò comporta innanzi tutto un cambiamento nei rapporti fra provider e utente. La disciplina prevista per il consenso al trattamento (ed è fuori discussione che gli isp rientrino in questa categoria) prevede il consenso scritto dell’interessato rispetto alla diffusione dei dati oltrefrontiera (che con Internet è la regola e non l’eccezione). Di questa cosa i contratti per l’accesso alle reti dovranno tenere conto, soprattutto perché sono previste sanzioni penali e la possibilità di richiedere un risarcimento danni ai sensi dell’articolo 2050 del codice civile che impone al provider la cui attività è considerata intrinsecamente pericolosa, di fornire la prova di avere fatto tutto il possibile per evitare l’eventuale danno. Per inciso vorrei segnalare che questa norma si applica anche al rischio nucleare.
Un altro aspetto molto problematico riguarda l’obbligo, previsto dall’articolo 15 della legge per chi tratta dati personali, di adottare le misure di sicurezza previste allo stato dell’arte, e comunque specificate in una serie di decreti di prossima emanazione, atte a scongiurare non solo, in senso lato, la distruzione dei dati, ma anche la loro illecita diffusione o comunicazione.
Da questo punto di vista la rete è un colabrodo. La cultura della sicurezza è veramente a livello embrionale; gli utenti non la esigono e i fornitori di servizi difficilmente la offrono. Ora però esiste una sanzione penale che punisce la mancata adozione di queste misure. Immagino già le reazioni di alcuni che sulla scorta di questa legge invocheranno misure più restrittive nei confronti dei pericolosissimi hacker, responsabili di chissà quale apocalisse telematica.
Sarà il caso di ricordare che l’obbligo riguarda più i sysadmin che gli utenti esterni; i secondi infatti sono già soggetti alla legge sui computer crimes, a differenza dei primi che ora possono essere ritenuti responsabili anche sulla base della semplice colpa se qualcuno buca la macchina da loro amministrata. Dall’altro lato, però, è anche vero che la formulazione degli articoli sembrerebbe imporre una continua rincorsa all’implementazione di nuovi e più moderni sistemi innescando una spirale inarrestabile, col rischio di essere ritenuti responsabili per non avere appunto fatto tutto il possibile.
Problemi aperti: un link è un dato personale? Se sì, devo chiedere il permesso prima di inserirlo nella mia pagina? Devo fare lo stesso ogni volta che inserisco dati relativi a terze persone? Gli anonymous remailer sono legittimi? Come ci si deve regolare con i Paesi nei quali non è previsto un adeguato livello di sicurezza dei dati (ma soprattutto, quali sono?) visto che la legge non consente il trasferimento se i dati di un certo tipo devono passare per questi Paesi?
La normativa non sembra essersi resa conto dell’esistenza della rete e infatti quando si cerca di applicare l’una all’altra vengono fuori conclusioni a volte paradossali. È vero che in qualche caso l’interpretazione delle norme, peraltro in molti casi veramente oscure, consente di trovare una soluzione, ma è anche vero che ancora una volta si è persa l’occasione di fare una legge dotata di un requisito fondamentale: la chiarezza.
Possibly Related Posts:
- Chatbot troppo umani, i rischi che corriamo
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)