La notizia è riportata da Punto Informatico: "L'ufficio del Garante della Privacy ha confermato l'avvio di un monitoraggio sui siti italiani, per capire quali sono gli strumenti di profilazione messi in atto e fino a che punto gli utenti vengano messi in condizione di sapere di essere monitorati da un "grande occhio elettronico".
Dopo il caso "Libero-Infostrada" dunque, questa Autorità sembra aver deciso di occuparsi (finalmente o purtroppo, dipende dai punti di vista) anche della Rete e del modo in cui vengono applicate le norme sulla protezione dei dati personali.
Polemiche a parte (e molte ce ne sarebbero da fare su curiose amnesie normative e procedimentali, nonché sul fatto che proprio il sito del Garante è privo quantomeno dell'informativa sul trattamento - vedi la pagliuzza nell'occhio del vicino.) cerchiamo di capire i termini del problema con riferimento alle situazioni concrete.

Ricostruendo le fasi dell'accesso all'internet il primo soggetto che tratta dati è il gestore telefonico del POP al quale ci si collega.
Di regola, costui tratta i dati relativi alla telefonata (data, ora, durata, numero chiamato, CLI) ai soli fini di fatturazione pertanto, evaso l'obbligo di informativa - se non esentato ex art. 10 c. 4 L. 675/96 - si può ritenere "a posto".

Il secondo soggetto nel quale ci si imbatte è il nostro provider, e qui le cose si complicano.
Sicuramente il provider "logga" oltre ai dati di cui al punto precedente, anche username e password (altrimenti il cliente non accederebbe al servizio) e da questo momento in poi comincia la Babele.
Teoricamente l'attività di monitoraggio del comportamento di un utente può essere estremamente spinta, fino al punto di tenerne sotto controllo ogni piccolo movimento e addirittura leggergli la posta (il che - è bene ricordarlo - costituisce reato). Nella realtà dei fatti questo analisi troppo approfondite sarebbero estremamente complesse da gestire, per cui è ragionevole pensare che difficilmente il fornitore di servizi si discosterà da quel "minimo sindacale" cui facevo cenno in precedenza. Peraltro, non esistendo uno specifico obbligo normativo di tenuta e conservazione dei LOG di accesso, si potrebbe tagliare la testa al toro e decidere di farne a meno.

Sotto il profilo pratico, gli obblighi del fornitore variano sensibilmente a seconda della scelta operata in concreto.
Se si è deciso di "lavorare al minimo" e i dati relativi all'accesso (e non all'impiego del servizio) sono trattati esclusivamente per adempiere al contratto (consentire il funzionamento dei sistemi ed erogare accesso e altre funzionalità di rete) e/o a obblighi di legge (adozione di misure di sicurezza) basta l'informativa, mentre non è necessario il consenso, per via dell'esclusione prevista dall'art. 12 L. 675/96.
Viceversa, se i dati sull'accesso e sul "comportamento" dell'utente costituiscono oggetto di trattamento per finalità diverse (una per tutte, proprio la profilazione, appunto) allora è necessario raccogliere il consenso dell'avente diritto.

Ma in che modo?
E' oramai invalsa nell'uso la prassi - mai "sconfessata" dall'Ufficio del Garante o da un'aula giudiziaria - di consentire la manifestazione del consenso mediante check-box, sistemi pop-up e assimilati. Questa modalità è probabilmente corretta se i dati oggetto di trattamento sono "ordinari", ma è del tutto insufficiente quando si ha a che fare con i dati sensibili per i quali è previsto un consenso specifico ed espresso in forma scritta. In altri termini, ci vuole la firma.

A questo punto l'alternativa è secca: o si compie uno sforzo interpretativo e si dice che certe modalità di acquisizione del consenso permettono di essere "più realisti del Re", riconoscendo che certe sequenze di accesso (che, ad esempio, costringono l'utente a leggere determinate pagine prima di proseguire nell'uso del servizio) offrono garanzie maggiori della sottoscrizione autografa sotto il profilo della effettiva presa di coscienza del contenuto di informativa e consenso, oppure si sposa una tesi più restrittiva e allora, fino a quando la firma digitale non si diffonderà a dovere, ai provider conviene rinunciare a qualsiasi forma di profilazione, essendo praticamente impossibile "dividere il grano dal loglio" e limitare il monitoraggio ai soli servizi politically correct

Ulteriore profilo rilevante nell'applicazione della legge è quello relativo alla comunicazione/diffusione di dati verso Paesi straniere. Di questo argomento ho scritto molto tempo fa e non è il caso di aggiungere altro (vedi Internet chiude?).

Il terzo interlocutore è il provider che ospita i servizi remoti ai quali accediamo una volta connessi alla rete. Questi, oltre che oltre ad elaborare i dati per sé, trasferisce le statistiche di accesso ai clienti che sono in hosting/housing sulle sue macchine.
Per questi soggetti l'utente della rete è essenzialmente anonimo, essendo semplicemente un numero IP che arriva da qualche parte, e in questo senso, non avendo a che fare con dati personali, non ci si deve preoccupare della 675/96.

La situazione cambia parzialmente quando all'utente viene chiesto di fornire le proprie generalità per poter usufruire del servizio. Fino a quando i dati dell'utente non sono usati per interagire con la sua sfera giuridica - come per esempio in una compravendita - non c'è alcuna garanzia che il signor Dino Sauro utente dell'internet sia effettivamente lui e non il suo segretario, Ptero Dattilo.
Battute a parte, in questo caso pur avendo dei dati relativi ad un soggetto, non c'è modo di associarli univocamente ad una persona "in carne e ossa". Un po' come accadeva ai tempi dei BBS, quando ogni volta che si accedeva ad un nuovo sistema, si fornivano dati di chiunque tranne che i propri (utilissimo in questo senso l'elenco telefonico).

Quando invece l'identificazione è ragionevolmente certa torniamo al punto di partenza: se i dati servono solo per il contratto e per adempiere ad obblighi di legge, nessun (??) problema - con l'eccezione di quelli generati dall'art. 28. Se si intende fare altro, in bocca al lupo!