E la rete continua ad aspettare le regole
di Manlio Cammarata - 04.05.99

La legge 675/96 sulla protezione dei dati personali compie due anni e ci si può chiedere se sia diventata maggiorenne. Sembra che se lo chieda anche il Garante, nella sua relazione per il 1998, e sembra che a tratti risponda di no: c'è ancora molto da fare prima che la tutela della riservatezza diventi un dato comune nella nostra società.
Il problema ha due aspetti. Il primo è di natura culturale e si articola su tre poli: la consapevolezza dei diritti e dei doveri, la conoscenza della normativa e i tentativi di aggirarla. Il secondo è nella scarsa chiarezza e nell'incompletezza della normativa stessa.

Quest'ultimo aspetto riguarda in particolare il mondo della telematica, cioè l'internet e le varie attività che si svolgono sulla rete, prima fra tutte il commercio elettronico.
Non a caso il Garante organizzò il suo primo convegno, a un anno esatto dall'entrata in vigore della legge, sul tema "Internet e privacy". Dalle conclusioni emerse con chiarezza la strada da percorrere per dare alle attività telematiche un quadro certo di regole sulla protezione dei dati personali: una normativa di principio, non invasiva, completata da forme di autoregolamentazione degli operatori.
Poco tempo dopo, in due interviste a InterLex, chiarivano gli aspetti dell'autodisciplina il presidente Rodotà e l'ingegner Manganelli (il componente del Garante che più direttamente si occupa dei problemi dell'internet).

Ma alle dichiarazioni di principio e a un generico impegno di prendere iniziative non hanno fatto seguito atti concreti, né sul piano legislativo, né su quello dell'autodisciplina. In sostanza, fatte salve alcune disposizioni di difficile interpretazione nel DLgs 171/98, possiamo dire che siamo ancora al punto di partenza, o quasi.
La responsabilità di questa situazione non va attribuita solo al Garante, perché di fatto nei primi due anni della sua attività è stato costretto a "giocare di rimessa" da un'impressionante quantità di stimoli provenienti dai cittadini, dalle imprese e dalla pubblica amministrazione. In realtà è mancato proprio lo stimolo del mondo dell'internet, in particolare dei fonitori di servizi, che non sembrano ansiosi di avere regole da seguire nella loro attività.
E' un'impostazione miope, che a lungo andare avrà conseguenze negative, perché a mano a mano che negli utenti si diffonde la consapevolezza dei rischi reali che derivano dallo sfruttamento selvaggio della libertà della rete, aumentano la diffidenza e il rifiuto verso i nuovi strumenti, in primo luogo il commercio elettronico.

Su questo punto posso fare un esempio personale. Alcuni giorni fa stavo per acquistare un software da un fornitore sul Web. Sono andato a leggere con attenzione (ormai è una deformazione professionale) l'informativa sul trattamento dei dati personali e ho scoperto che non c'era la possibilità di negare il consenso alla comunicazione dei dati a terzi. Ho spento il computer e sono andato a comperare il programma in un negozio.

Dunque è opportuno fare il punto sulla situazione, anche alla luce degli sviluppi più recenti, come l'offerta di accesso gratuito e le prime iniziative di commercio elettronico. Possiamo partire da una descrizione schematica dei rischi per la protezione dei dati personali che si riscontrano nelle attività telematiche, identificando quattro diversi aspetti.

1. Il trattamento illegittimo "doloso" di dati personali, che può essere fatto sfruttando informazioni raccolte, all'insaputa dell'interessato, con un armamentario tecnico sofisticato, che comprende i famigerati e non sempre innocenti cookie, il "tatuaggio" e l'analisi occulta dei contenuti di un computer collegato alla rete e via discorrendo.

2. Il trattamento di dati personali forniti direttamente dall'interessato, in seguito a un'informativa poco esplicita o ingannevole, oppure "estorti" con procedure formalmente lecite, ma sostanzialmente ricattatorie (per esempio, non prevedendo la possibilità di opporsi alla comunicazioni a terzi dei dati ricavati da acquisti telematici).

3. La "disseminazione" di informazioni personali che ogni utente compie inevitabilmente nelle sue attività in rete. Questo è un aspetto ineliminabile, del quale bisogna essere coscienti. Le norme già esistenti sulla protezione dei dati dovrebbero evitare i trattamenti abusivi di queste informazioni, ma è necessario che tutti siano ben consapevoli dei rischi che si corrono esprimendo idee, raccontando fatti personali o indicando situazioni particolari. Un dato che, preso da solo, non è particolarmente lesivo della sfera persoale di un individuo, può diventarlo quando viene messo in relazione con altri dati catturati sulla rete.

4. Il trattamento che viene normalmente svolto dai fornitori di accesso sui dati dei collegamenti degli abbonati (i famosi LOG). Questo è un punto molto delicato, perché la registrazione e la conservazione dei LOG sono utili sul piano tecnico e indispensabili ai fini dell'attribuzione della responsabilità per atti illeciti, ma devono avvenire sulla base di regole certe e nel rispetto di precise norme di sicurezza. Una lettura frettolosa delle disposizioni contenute nell'articolo 4 del del DLgs 171/98 porterebbe a concludere che i LOG possono essere conservati solo per la fatturazione e non per la sicurezza, sulla base del principio di finalità del trattamento che è alla base della legge 675/96. Ne parla Andrea Monti nell'articolo I LOG di sistema fra esigenze del mercato e tutela dei dati personali. La conclusione, a mio avviso, è che occorrono anche norme specifiche, magari nell'ambito delle "misure minime" previste dall'articolo 15, comma 2 della legge 675/96.

Non resta che aspettare. Sperando di non dover ripetere queste considerazioni in occasione della prossima relazione annuale del Garante.