Le regole sono inutili. La privacy è finita?

di Manlio Cammarata - 19.02.09

Le critiche che furono rivolte a quelle norme, già ai tempi della discussione parlamentare, sono in parte valide ancora oggi: una normativa complicata, fatta di onerosi adempimenti amministrativi, destinata ad restare per molto tempo inapplicabile. Dopo una quantità di aggiunte e modifiche è intervenuto il decreto legislativo 193/06 "Codice in materia di protezione dei dati personali".  Più chiaro, in parte più semplice, ma anch'esso oggetto di modifiche e integrazioni a non finire. La più recente delle quali è, appunto, la norma che potrebbe ripristinare la rottura di scatole telefonica su vasta scala, sulla base di vecchi elenchi. In aperta contraddizione con il principio dell'opt-in, cioè del consenso preventivo esplicito richiesto per questa forma di trattamento.

Ma il problema non è solo questo. Ci sono molti aspetti della protezione della riservatezza che non trovano soluzione. Il primo, e più banale, è quello del mancato rispetto dei principi e delle regole da parte di molti operatori. Un solo esempio: un sito internet di vendita di libri pone come essenziale il consenso a un trattamento non necessario per l'esecuzione del contratto: i soli dati che servono al venditore sono il nome e l'indirizzo dell'acquirente. Ma nell'informativa si legge:

Operazioni di trattamento dei dati personali e relativi scopi: Con la compilazione dei dati personali, il cliente autorizza xxxxx ad eseguire le operazioni di seguito elencate. Riepiloghiamo tutte le operazioni da noi svolte che implicano raccolta, conservazione od elaborazione dei tuoi dati personali, e gli scopi che perseguiamo con ciascuna di esse.
* Raccolta ,utilizzo e conservazione dei tuoi dati personali al fine della fornitura del servizio.
* Elaborazione dei dati personali da te forniti e di quelli desunti dalle tue navigazioni in rete allo scopo di definire il tuo profilo commerciale.
* Utilizzo del tuo profilo commerciale per finalità di marketing e promozionali
* Cessione a terzi del tuo profilo commerciale.
* Raccolta, conservazione ed elaborazione dei tuoi dati personali per scopi amministrativo - contabili
Il trattamento avverrà con l'aiuto di strumenti informatici o comunque automatici.
Libertà di rilasciare il consenso e conseguenze di un rifiuto: Il conferimento dei tuoi dati è facoltativo. Tuttavia, in caso di rifiuto del consenso, ci troveremo nell'impossibilità di erogarti il servizio.

Solo il primo e l'ultimo punto sono legittimi. Gli altri costituiscono un'aperta violazione della legge. Ma, tutto sommato, la questione non è così grave: ci sono gli strumenti per difendersi e chiedere un intervento del Garante.
Molto più critici sono i casi in cui le nostre autorità non hanno l'effettiva possibilità di intervenire. Prendiamo, per esempio, la chilometrica informativa che deve accettare chi scarica il nuovo software Silverlight dal sito di Microsoft. Si ponga attenzione al fatto che l'uso di questo programma è indispensabile per ricevere contenuti multimediali presenti in molti siti, come il rinnovato portale della Rai. Non se ne può fare a meno. Dice l'informativa:

Le funzionalità del software abilitate per Internet invieranno informazioni relative al computer ("informazioni standard sul computer") ai siti Web visitati e ai servizi Web utilizzati. Le informazioni raccolte non consentono in genere l'identificazione personale dell'utente. Le informazioni standard sul computer normalmente includono l'indirizzo IP, la versione del sistema operativo, la versione del browser, l'identificativo dell'hardware che indica il produttore, il nome e la versione del dispositivo, la versione dell'applicazione e le impostazioni internazionali e della lingua. In questo caso, la versione dell'applicazione corrisponde alla versione di Silverlight installata nel dispositivo. In Silverlight è disponibile una funzionalità per la notifica degli aggiornamenti che invia a Microsoft informazioni standard sul computer.
[...] Microsoft potrebbe accedere o divulgare i dati personali, compreso il contenuto delle comunicazioni, per (a) ottemperare alle disposizioni di legge o consentire lo svolgimento di richieste o procedimenti legali; (b) tutelare i diritti o la proprietà di Microsoft o relativi clienti, inclusa l'esecuzione dei contratti o delle normative che regolano l'utilizzo dei servizi o (c) agire nella ferma convinzione che tale accesso o divulgazione è necessario per proteggere la sicurezza personale dei dipendenti Microsoft, dei clienti o del pubblico.
Le informazioni inviate o raccolte da Microsoft possono essere memorizzate ed elaborate negli Stati Uniti o in qualsiasi altro paese in cui Microsoft o società affiliate, ausiliarie o fornitori di servizi sono presenti. Microsoft aderisce al protocollo di Safe Harbor come stabilito dal Department of Commerce degli Stati Uniti relativamente alla raccolta, all’utilizzo e alla conservazione dei dati provenienti dall’Unione Europea.

Alla faccia del Safe Harbor, questi trattamenti sono palesemente contrari alla normativa europea. Ma quali strumenti abbiamo per opporci a queste intrusioni, a queste minacce di divulgazione dei nostri dati nei casi in cui la casa arbitrariamente "agisca nella ferma convinzione" di fare il bene proprio o di altri? E soprattutto se i nostri dati sono trattati negli Stati Uniti "o in qualsiasi altro paese"?

E' un problema serio. Ma c'è un altro problema molto, molto più serio. E' quello dei trattamenti "legali" svolti dai governi con il pretesto della sicurezza. L'ultimo caso della lunga lista è quello della Gran Bretagna, che si appresta a schedare e tracciare i movimenti di tutti i suoi cittadini in viaggio all'estero. Il Grande Fratello (quello di Orwell...) fa salti di gioia. Di fronte a queste limitazioni della libertà, persino la nostra "Pisanu" è poca cosa. Tante leggi, tante regole, risultati zero. La privacy è finita.