La conversione in legge del “Decreto del fare” semplifica gli adempimenti, ma solo sulla carta. Obbligo di identificazione ancora in vigore per chi sottoscrive il contratto
di Andrea Monti – PC Professionale n. 271
“All’articolo 10: il comma 1 è sostituito dal seguente: 1. L’offerta di accesso alla rete internet al pubblico tramite tecnologia WIFI non richiede l’identificazione personale degli utilizzatori. … il comma 2 e’ soppresso; al comma 3, lettera a), la parola: «soppresso» è sostituita dalla seguente: «abrogato»”.
Questo è il testo del nuovo articolo 10 del “Decreto del fare” così come è stato riformulato nel provvedimento di conversione che lo ha trasformato definitivamente in legge, eliminando l’obbligo di identificazione personale degli utilizzatori di accessi wi-fi.
Sono scomparsi i riferimenti all’uso del MAC address come dato da conservare obbligatoriamente, la confusione fra “traccia delle sessioni” e “dato di traffico”, e il riferimento esplicito all’esenzione dall’osservanza della normativa sui dati personali. Dunque rispetto al testo pre-modifica, analizzato in dettaglio nello scorso numero di PC Professionale, quello licenziato dalle Camere è senz’altro più snello ma non per questo è meno problematico.
Vediamo perché.
La prima cosa che balza agli occhi è che mentre nel testo precedente si parlava genericamente di libertà di accesso alla rete internet, ora questa libertà è stata ristretta al solo accesso via wi-fi. Quindi, le altre forme di collegamento alla rete con e senza fili rimangono – evidentemente – non “libere” e non si capisce quale sia la logica che discrimina un adempimento tecnico-giuridico (l’identificazione dell’utilizzatore) sulla base della modalità di accesso prescelta.
Interpretando alla lettera il testo della legge, che parla di wi-fi puro e semplice e non di “wi-fi e tecnologie analoghe”, sono curioso di vedere cosa accadrà quando il marketing di qualche colosso delle telecomunicazioni inventerà una diversa tecnologia di accesso senza fili con un nome diverso da “wi-fi”. Vuoi vedere che qualcuno dirà che questo decreto non si applica perché la tecnologia si chiama in altro modo?
Passiamo oltre. Un altro aspetto problematico evidenziato dalla norma così come è stata definitivamente approvata è capire chi sia il destinatario effettivo della “liberazione” del wi-fi. Il testo dell’articolo, infatti, parla di “utilizzatore” che però è un soggetto giuridicamente diverso dal “contraente”. Nel diritto dei consumatori, infatti, il “contraente” è chi stipula il contratto con l’operatore di accesso, mentre “utilizzatore” – o utente – è chi materialmente si collega in rete. Le due figure possono certamente coincidere ma non è sempre così. Spesso infatti, specie nel caso di minorenni, chi usa lo smartphone non è chi ha comprato la SIM. Ma quando si accede a un network wi-fi di terze parti con il proprio smartphone, dal punto di vista legale si sta mettendo in piedi un rapporto giuridico vincolante, nel quale chi mette a disposizione il proprio gateway wireless lo fa a determinate condizioni. E poco importa che non venga richiesto il pagamento del servizio, siamo sempre di fronte all’offerta di un servizio.
Dunque, il soggetto che accede è nello stesso tempo contraente e utilizzatore con la conseguenza che dovrà in ogni caso essere identificato personalmente non perché utilizzatore ma perché contraente.
L’ultimo aspetto problematico sollevato dalla norma in commento è il rapporto fra i log di accesso e la normativa sul trattamento dei dati personali.
La formulazione dell’articolo pre-conversione in legge diceva chiaramente che i dati di accesso non associati a un’identità erano “fuori” dall’ambito di applicazione del Codice dei dati personali. Si trattava dell’unica cosa corretta in tutta la confusione fatta dal legislatore, dal momento che ribadiva il concetto che numeri IP e dati di traffico, se non riferiti direttamente a una persona, sono anonimi.
Nel nuovo testo l’inciso riferito al Codice dei dati personali è stato eliminato, ma essendo rimasto in piedi il discorso dell’accesso senza identificazione dell’utente, il legislatore ha definitivamente stabilito che ci possono essere dati di traffico che NON sono dati personali.
Tecnicamente, infatti, se è possibile consentire l’accesso senza associare i dati generati dal terminale a un’identità fisica, allora questi dati sono – per la legge – anonimi e come tali non sottoposti al Codice dei dati personali.
Il risultato pratico di questa conclusione è che lo stesso principio deve valere per i dati generati dagli accessi con altre tecnologie, cavo e fibra compresi e che, dunque, i dati di navigazione degli utenti non registrati raccolti – per esempio – da Google possono essere utilizzati senza alcuna limitazione per fare data-mining, profilazione, traffico di IP ecc. ecc.
Dunque, per riassumere, grazie alla conversione in legge del Decreto del fare, i contraenti-utenti dei servizi di accesso wi-fi devono ancora essere identificati, anche se la norma sembra dire il contrario.
Mai come in questo caso vale il vecchio detto del “si stava meglio quando si stava peggio”.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte