Interlex n. 135
di Andrea Monti
La notizia è riportata da Punto Informatico: “L’ufficio del Garante della Privacy ha confermato l’avvio di un monitoraggio sui siti italiani, per capire quali sono gli strumenti di profilazione messi in atto e fino a che punto gli utenti vengano messi in condizione di sapere di essere monitorati da un “grande occhio elettronico”.
Dopo il caso “Libero-Infostrada” dunque, questa Autorità sembra aver deciso di occuparsi (finalmente o purtroppo, dipende dai punti di vista) anche della Rete e del modo in cui vengono applicate le norme sulla protezione dei dati personali.
Polemiche a parte (e molte ce ne sarebbero da fare su curiose amnesie normative e procedimentali, nonché sul fatto che proprio il sito del Garante è privo quantomeno dell’informativa sul trattamento – vedi la pagliuzza nell’occhio del vicino…) cerchiamo di capire i termini del problema con riferimento alle situazioni concrete.
Il gestore telefonico
Ricostruendo le fasi dell’accesso all’internet il primo soggetto che tratta dati è il gestore telefonico del POP al quale ci si collega.
Di regola, costui tratta i dati relativi alla telefonata (data, ora, durata, numero chiamato, CLI) ai soli fini di fatturazione pertanto, evaso l’obbligo di informativa – se non esentato ex art. 10 c. 4 L. 675/96 – si può ritenere “a posto”.
Il fornitore di servizi internet
Il secondo soggetto nel quale ci si imbatte è il nostro provider, e qui le cose si complicano.
Sicuramente il provider “logga” oltre ai dati di cui al punto precedente, anche username e password (altrimenti il cliente non accederebbe al servizio) e da questo momento in poi comincia la Babele.
Teoricamente l’attività di monitoraggio del comportamento di un utente può essere estremamente spinta, fino al punto di tenerne sotto controllo ogni piccolo movimento e addirittura leggergli la posta (il che – è bene ricordarlo – costituisce reato). Nella realtà dei fatti questo analisi troppo approfondite sarebbero estremamente complesse da gestire, per cui è ragionevole pensare che difficilmente il fornitore di servizi si discosterà da quel “minimo sindacale” cui facevo cenno in precedenza. Peraltro, non esistendo uno specifico obbligo normativo di tenuta e conservazione dei LOG di accesso, si potrebbe tagliare la testa al toro e decidere di farne a meno.
Sotto il profilo pratico, gli obblighi del fornitore variano sensibilmente a seconda della scelta operata in concreto.
Se si è deciso di “lavorare al minimo” e i dati relativi all’accesso (e non all’impiego del servizio) sono trattati esclusivamente per adempiere al contratto (consentire il funzionamento dei sistemi ed erogare accesso e altre funzionalità di rete) e/o a obblighi di legge (adozione di misure di sicurezza) basta l’informativa, mentre non è necessario il consenso, per via dell’esclusione prevista dall’art. 12 L. 675/96.
Viceversa, se i dati sull’accesso e sul “comportamento” dell’utente costituiscono oggetto di trattamento per finalità diverse (una per tutte, proprio la profilazione, appunto) allora è necessario raccogliere il consenso dell’avente diritto.
Ma in che modo?
E’ oramai invalsa nell’uso la prassi – mai “sconfessata” dall’Ufficio del Garante o da un’aula giudiziaria – di consentire la manifestazione del consenso mediante check-box, sistemi pop-up e assimilati. Questa modalità è probabilmente corretta se i dati oggetto di trattamento sono “ordinari”, ma è del tutto insufficiente quando si ha a che fare con i dati sensibili per i quali è previsto un consenso specifico ed espresso in forma scritta. In altri termini, ci vuole la firma.
A questo punto l’alternativa è secca: o si compie uno sforzo interpretativo e si dice che certe modalità di acquisizione del consenso permettono di essere “più realisti del Re”, riconoscendo che certe sequenze di accesso (che, ad esempio, costringono l’utente a leggere determinate pagine prima di proseguire nell’uso del servizio) offrono garanzie maggiori della sottoscrizione autografa sotto il profilo della effettiva presa di coscienza del contenuto di informativa e consenso, oppure si sposa una tesi più restrittiva e allora, fino a quando la firma digitale non si diffonderà a dovere, ai provider conviene rinunciare a qualsiasi forma di profilazione, essendo praticamente impossibile “dividere il grano dal loglio” e limitare il monitoraggio ai soli servizi politically correct
Ulteriore profilo rilevante nell’applicazione della legge è quello relativo alla comunicazione/diffusione di dati verso Paesi straniere.
Di questo argomento ho scritto molto tempo fa e non è il caso di aggiungere altro (vedi Internet chiude?).
Il gestore del servizio remoto
Il terzo interlocutore è il provider che ospita i servizi remoti ai quali accediamo una volta connessi alla rete. Questi, oltre che oltre ad elaborare i dati per sé, trasferisce le statistiche di accesso ai clienti che sono in hosting/housing sulle sue macchine.
Per questi soggetti l’utente della rete è essenzialmente anonimo, essendo semplicemente un numero IP che arriva da qualche parte, e in questo senso, non avendo a che fare con dati personali, non ci si deve preoccupare della 675/96.
La situazione cambia parzialmente quando all’utente viene chiesto di fornire le proprie generalità per poter usufruire del servizio.
Fino a quando i dati dell’utente non sono usati per interagire con la sua sfera giuridica – come per esempio in una compravendita – non c’è alcuna garanzia che il signor Dino Sauro utente dell’internet sia effettivamente lui e non il suo segretario, Ptero Dattilo.
Battute a parte, in questo caso pur avendo dei dati relativi ad un soggetto, non c’è modo di associarli univocamente ad una persona “in carne e ossa”. Un po’ come accadeva ai tempi dei BBS, quando ogni volta che si accedeva ad un nuovo sistema, si fornivano dati di chiunque tranne che i propri (utilissimo in questo senso l’elenco telefonico).
Quando invece l’identificazione è ragionevolmente certa torniamo al punto di partenza: se i dati servono solo per il contratto e per adempiere ad obblighi di legge, nessun (??) problema – con l’eccezione di quelli generati dall’art. 28. Se si intende fare altro, in bocca al lupo!
Conclusione
Non ci vuole molta fantasia per immaginare i risultati dell’indagine avviata dal Garante per i dati personali, e speriamo che il quadro di generale inadempimento alla legge, al quale sono obbligati i fornitori per via di norme confuse e incoerenti, induca una seria riflessione sulle modifiche – abrogazioni, se del caso – da apportare alla legge. Che se venisse applicata sul serio costituirebbe una pesantissima zavorra per lo sviluppo della rete e delle opportunità che offre.
Per fortuna siamo in Italia
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte