Cookie free: nessun "biscotto" per spiare i lettori

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

 

Regolamento e-privacy: basta intrusioni nei telefonini?

Privacy e sicurezza - Manlio Cammarata - 28 aprile 2017
Il regolamento europeo sulla protezione dei dati nelle comunicazioni elettroniche, in fase di approvazione, sancisce un divieto secco del trattamento dei contenuti delle comunicazioni. Se resta così, la privacy fa un bel passo avanti.

Il testo della proposta, che porta la data del 10 gennaio 2017, deve ora ottenere l'approvazione del Parlamento e del Consiglio. Questi potranno introdurre modifiche, tenendo conto del parere dell'European Data Protection Supervisor. Parere che non dovrebbe presentare sorprese tali da alterare la sostanza delle disposizioni più importanti.

Che non sono poche. La proposta affronta le diverse forme di aggressione alla privacy degli utenti, imponendo una serie di misure che dovrebbero rendere più trasparente la fase di informativa-consenso e più immediate le misure che gli utenti finali possono adottare per difendersi dal trattamento indiscriminato dei dati.

Oggi sono sotto gli occhi di tutti le informative sui cookie, spesso  menzognere, che compaiono su quasi tutti i siti web, con scarse possibilità di opposizione da parte dell'utente finale. Il nuovo regolamento fissa regole chiare che dovrebbero risolvere molte questioni. Fra le altre, la distinzione fra gli innocui cookie tecnici e quelli che raccolgono dati personali.

Meno evidenti per un utente non molto accorto, ma anche più pericolose, sono le "autorizzazioni" imposte con le app per i dispositivi mobili (vedi Il telefonino mi spia. E spia anche i miei amici, Ecco le "autorizzazioni" di Kaspersky sui dispositivi Android e Microsoft e WhatsApp: leggere bene le avvertenze).

Ci vuole poco per capire che questi trattamenti sono illegittimi anche alla luce della normativa vigente. Infatti in molti casi si tratta di raccolta di dati non necessaria ai fini del servizio erogato (perché l'app "torcia elettrica" deve conoscere la mia posizione?) e di conseguenza la raccolta del dato dovrebbe essere soggetta a un consenso separato e facoltativo. Ma non lo è. Quindi è contraria alla legge.

Ancora. Tante app (per non dire tutte) sono "autorizzate" a leggere il contenuto delle email e l'elenco dei contatti. Ma, ammesso che l'utente dell'apparecchio abbia espresso un consenso valido, messaggi e rubrica contengono dati dei suoi corrispondenti, che il consenso non l'hanno espresso.

E allora merita attenzione l'articolo 5 della proposta di regolamento, che afferma: 

I dati delle comunicazioni elettroniche sono riservati. Sono vietate tutte le interferenze con i dati delle comunicazioni elettroniche, quali ascolto, registrazione, conservazione, monitoraggio, scansione o altri tipi di intercettazione, sorveglianza o trattamento dei dati delle comunicazioni elettroniche, da parte di persone diverse dagli utenti finali, salvo ove consentito dal presente regolamento.

Ecco, dirà qualcuno, le solite eccezioni che rendono vana la regola. Invece no. Le sole eccezioni al divieto di trattamento dei contenuti sono (o sembrano, alla prima lettura) solo quelle previste dall'articolo 6, comma 3:

I fornitori di servizi di comunicazione elettronica possono trattare il contenuto delle comunicazioni elettroniche solo:
(a) a fini di erogazione di un servizio specifico a un utente finale, se l’utente finale o gli utenti finali hanno prestato il loro consenso al trattamento del contenuto delle loro comunicazioni e l’erogazione del servizio non può essere realizzata senza il trattamento di tale contenuto; oppure
(b) se tutti gli utenti finali interessati hanno prestato il loro consenso al trattamento del contenuto delle loro comunicazioni elettroniche per uno o più fini specificati che non possono essere realizzati mediante il trattamento anonimizzato delle informazioni e il fornitore ha consultato l’autorità di controllo.

Il riferimento ai contenuti è chiarissimo, anche perché nell'art. 6 (e in tutta la proposta di regolamento) è netta la distinzione tra metadati e contenuti nell'insieme dei dati delle comunicazioni elettroniche. Dunque il trattamento è consentito se ne sono specificati i fini, se tutti gli interessati hanno prestato il consenso e se il fornitore (di servizi di comunicazione elettronica) ha consultato l'autorità di controllo.

Autorità di controllo (leggi, in Italia, il Garante) che a questo punto non potrà esimersi dal valutare la legittimità delle "autorizzazioni" delle app. Con buona pace dei profilatori, ai quali queste disposizioni non dovrebbero piacere affatto.

Per intervenire su questo argomento clicca qui
Inizio pagina     Indice di questa sezione      Home

 

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2017 -  Informazioni sul copyright