Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Tutela dei dati personali - Legge 675/96

I LOG di sistema fra esigenze del mercato e tutela dei dati personali
di Andrea Monti - 04.05.99

La formulazione testuale dell'articolo 4 del del DLgs 171/98 consente ai fornitori di servizi di telecomunicazioni il trattamento dei dati relativi ai collegamenti dell'utenza e in particolare l'identificazione della linea chiamante (CLI - Calling Line Identifier) ai soli fini della fatturazione dei servizi, subordinandone gli impieghi ulteriori all'espresso consenso della stessa.
Si è immediatamente posto da un lato il problema del "se e come" applicare questa norma ai servizi internet; dall'altro quello di valutare il rapporto di questa previsione con la legge 675/96.

Un prima - e superficiale - interpretazione del disposto normativo porterebbe a concludere per la sua applicabilità tout-court anche alla Rete, con il che discenderebbe che ai provider - se non impiegano sistemi di tariffazione "a traffico" - sarebbe addirittura vietato conservare i LOG delle connessioni e utilizzare il CLI ove manchi l'espresso consenso dei clienti.
Le (più che legittime) preoccupazioni per la tutela delle modalità di trattamento dei dati personali però non possono (o non dovrebbero) far dimenticare che l'identificazione certa dell'utente è prima ancora di una esigenza commerciale un atto (indirettamente) imposto proprio dalla legge 675/96.

Non intendo entrare in questa sede nella complessa e delicata problematica della tutela dell'anonimato di chi utilizza servizi di telecomunicazioni e mi limito a dire in primo luogo che sempre più credito assume la soluzione - teorizzata negli USA fra gli altri da David Brin - chiamata "pseudonimato" (nota in Italia come "anonimato protetto"); in secondo luogo che proprio per la criticità del ruolo che svolge chi si offre da "terzo garante" per non rivelare l'identità di un soggetto, richiederebbe in capo al primo una maggiore protezione da ingerenze esterne volte a spingerlo a svelare l'identità altrui e parallelamente una maggiore responsabilità giuridica per il tradimento della fiducia che qualcuno ha riposto in lui.

Ciò premesso, e torniamo al punto, è necessario ricordare come la legge sul trattamento dei dati personali imponga l'adozione di misure di sicurezza (ancora non vede la luce l'elenco di quelle minime) allo stato dell'arte e comunque senza porre limiti "verso l'alto" cioè verso il livello di complessità della misura stessa. Se questo è vero, appare evidente che l'identificazione della linea chiamante costituisce un elemento molto importante in un progetto globale di sicurezza di un sistema. D'altra parte lo stesso meccanismo di accesso ad un sistema si basa sul postulato che l'amministratore si faccia garante della corrispondenza biunivoca fra username e soggetto fisico; solo in questo modo sarà possibile non diminuire i livelli di sicurezza (spesso compromessi - per altri versi - da software e sistemi operativi ben reclamizzati ma molto mal scritti). Non c'è ragione di pensare altrimenti per le procedure di accesso ad un sistema telematico, che sarebbero molto più affidabili, sotto il profilo della sicurezza, se l'utente potesse essere identificato tramite il CLI e non tramite documenti inviati via fax, la cui attendibilità può essere fortemente discussa.

Tirando le fila di queste note dunque, sembra possibile concludere che una minima attività di logging e l'impiego del CLI si configurino a tutti gli effetti come misure di sicurezza e in quanto tali consentite proprio dalla legge 675/96, che addirittura le sottrae al consenso dell'interessato. Ovviamente a condizione che il trattamento sia finalizzato alla sola adozione delle misure suddette e non ad altri obiettivi "mercantili".
Del resto la stessa ratio dell'articolo 4 del del DLgs 171/98 sembrerebbe confermare questa interpretazione: i fornitori non devono trattare dati dell'utenza a scopi (commerciali) diversi dalla fatturazione dei servizi.

In questo quadro di riferimento, però, mi piacerebbe molto sapere come mai, dopo la prima bolletta telefonica sensibilmente ridotta per via dell'impiego di un altro gestore, ho ricevuto una richiesta di appuntamento di un commerciale Telecom che voleva prospettarmi un piano di agevolazioni tariffarie... di certo sarà un post hoc, ergo propter hoc, ma la coincidenza rimane curiosa.