Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Tutela dei dati personali - Legge 675/96

Perché non si affronta la questione dei "trattamenti occulti"?
di Manlio Cammarata - 30.05.01

Internet al centro dell'attenzione dei garanti europei per la protezione dei dati personali. La "Conferenza di primavera", che si è svolta ad Atene tra il 10 e l'11 maggio, si è conclusa con una serie di "raccomandazioni" sui principali problemi della tutela della riservatezza nelle attività on line, indirizzate alla Commissione, al Parlamento europeo e agli Stati membri.
Il documento ufficiale non è ancora stato pubblicato, ma dalla Newsletter del Garante italiano si ricavano indicazioni sufficienti per capire quali dovrebbero essere le linee di tendenza della futura normativa sulla delicata materia (vedi Atene: garanzie minime per gli utenti di Internet e Atene: la conservazione dei LOG limita la privacy).

I commissioner europei hanno messo a fuoco due ordini di problemi: la tutela dell'utente che fornisce i propri dati quando utilizza i servizi on line e la lunga conservazione della documentazione sui collegamenti (i cosiddetti LOG) da parte dei fornitori di accesso. Questa documentazione serve sia per ragioni tecniche, sia per la fatturazione (nel caso di servizi "a consumo") e viene spesso richiesta dalle forze di polizia nel corso di indagini su casi di criminalità informatica.

Vediamo le "raccomandazioni" per la raccolta dei dati on line. Naturalmente il punto di riferimento è la direttiva 95/46/CE, accolta nella sostanza da tutti gli Stati membri. Queste, in sintesi, Le prescrizioni dei garanti, delle quali si dovrà tenere conto nell'emanazione di nuove disposizioni o nell'aggiornamento di quelle esistenti:

  1. Fornire preventivamente, a chiunque si colleghi ad un sito web che preveda la raccolta di dati personali, le informazioni indicate nella direttiva: identità e indirizzo del titolare, finalità del trattamento, obbligatorietà delle informazioni richieste eccetera; si deve dare all'utente la possibilità di negare il consenso alla comunicazione dei dati a terzi; si devono dare le informazioni relative alla raccolta "automatica" dei dati (con i cookie). Il consenso può essere dato validamente cliccando su apposite caselle. Inoltre devono essere adottate le misure di sicurezza necessarie a garantire l'integrità e la riservatezza dei dati.
  2. Le informazioni devono essere visibili sul monitor del singolo utente, prima della raccolta dei suoi dati, ricorrendo a tutte le tecniche disponibili (caselle da cliccare, finestre pop-up ecc.).
  3. La raccolta di dati personali deve essere necessaria per le finalità specificate: quindi, se l'obiettivo del titolare può essere raggiunto senza elaborare dati personali, questi non devono essere raccolti, e non si devono raccogliere più dati di quelli strettamente necessari. La conservazione non deve superare il periodo giustificato dalle finalità del trattamento.
  4. Non si devono utilizzare per attività di marketing indirizzi di posta elettronica ricavati da aree pubbliche dell'internet, come i newsgroup, se gli interessati non hanno espresso il loro consenso.

Come si vede, non c'è nulla di sostanzialmente nuovo anche rispetto alle disposizioni italiane. Due punti sono interessanti: il primo riguarda l'efficacia del "clic" come indicazione esplicita della volontà dell'interessato, equivalente quindi al consenso "documentato per iscritto"; il secondo è l'applicazione del "principio di finalità" per negare la possibilità di mail grabbing a fini commerciali. Su questo punto c'è una lacuna nella normativa e l'indicazione che viene dalla Conferenza di Atene si rivela importante (vedi Spam e indirizzi e-mail. Quando la 675 è impotente e Consenso, informativa e direct marketing).

Il secondo aspetto preso in considerazione nella Conferenza di Atene è quello della conservazione della documentazione dei collegamenti effettuati da ogni utente, attraverso il file LOG. La normativa in vigore   (direttiva 97-66-CE e decreto legislativo 13 maggio 1998, n. 171) prevede che i dati relativi ai collegamenti possano essere conservati non oltre il periodo in cui può essere contestata la fattura o preteso il pagamento. Termine che potrebbe arrivare ai dieci anni della prescrizione civile, secondo un'interpretazione estensiva della norma.

Secondo i Garanti "la conservazione di dati per un periodo lungo e indeterminato è da considerarsi una violazione dei diritti fondamentali garantiti dall'art. 8 della Convenzione europea dei diritti dell'uomo e dalla Convenzione del Consiglio d'Europa sul trattamento automatizzato dei dati di carattere personale (Convenzione n.108 del 1981), oltre che dagli articoli 8 e 7 della Carta dei diritti fondamentali dell'Unione Europea". E concludono che è necessario "mettere in atto precise cautele... e regolamentare con legge i casi eccezionali".

Però non si ha notizia che i commissioner europei abbiano affrontato un problema ben più grave: quello dei "trattamenti occulti", cioè delle raccolte di dati effettuate all'insaputa dell'interessato, attraverso i programmi spyware o ben nascoste backdoor dei sistemi operativi (vedi, per esempio, Spyware: quanti reati con i programmi "indiscreti".
Si aggiunga che i sisitemi operativi più diffusi (leggi: Microsoft) non solo non permettono all'utente di "nascondere" le informazioni personali, ma le mettono addirittura "a disposizione" degli spioni che usano i cookie anche per "profilare" i clienti reali o potenziali.

Non parliamo poi degli interminabili moduli che devono essere compilati da chiunque voglia semplicemente scaricare un software gratuito o un'indispensabile patch. E' un trattamento del tutto "non pertinente", sistematicamente praticato dai siti USA, con tanti saluti agli accordi con l'Unione europea chiamati, con involontario umorismo, del "porto sicuro" (safe harbour).
E' vero che in genere vengono fornite (per lo più in inglese) dettagliate rassicurazioni sui limiti del trattamento e sulla riservatezza dei dati, ma il fatto è che non c'è nessuna possibilità reale di controllo e di opposizione al trattamento stesso.

Non è facile affrontare questo problema con interlocutori di smisurata potenza economica, ma sarebbe comunque utile mettere in guardia gli utenti contro i trattamenti occulti e contro le raccolte di dati che per il diritto europeo sono abusive.
Si potrebbe anche ventilare l'ipotesi di vietare l'importazione di software che  non dà alcuna garanzia di tutela della riservatezza delle persone che lo usano e non offre la possibilità di "opporsi" a trattamenti che lo stesso interessato svolge inconsapevolmente "per conto terzi"...