Il Garante interviene - finalmente! - sulla cessione e sui trattamenti delle informazioni personali in cambio degli abbonamenti "gratuiti" all'internet.
Come molti ricorderanno, la questione è sorta quasi un anno fa con la prima offerta free internet da parte di Tiscali, nella quale a un'informativa "reticente" si accompagnava un contratto-capestro che dava all'operatore il diritto di utilizzare i dati a suo piacimento, anche se l'abbonato riteneva di aver negato il proprio consenso ai trattamenti non indispensabili per l'esecuzione del contratto stesso (vedi Il domani dell'internet: tutto gratis, basta pagare...).
Qualche mese dopo era Infostrada, con l'offerta "Libero", a proporre il baratto tra accesso alla Rete e dati personali, con un'informativa apparentemente più esplicita, ma proprio per questo più preoccupante: si parlava espressamente di controllo delle attività dell'utente e dell'avvenuta lettura dei messaggi di posta elettronica. ALCEI insorgeva con una segnalazione al Garante, all'Antitrust e all'Istituto dell'autodisciplina pubblicitaria.

Quest'ultimo si è subito occupato della vicenda (vedi la risposta e la nota di Alcei) e le due Autorità hanno aperto le rispettive istruttorie, ciascuna con le proprie procedure: l'Antitrust ha messo a confronto le parti, mentre il Garante ha lavorato in silenzio, con consultazioni con la società "indagata", fino all'emanazione di un provvedimento. Questo è stato comunicato alla stessa Infostrada e alle altre società che offrono questo tipo di servizio, come si legge nel comunicato del 20 gennaio scorso.
Nello stesso comunicato il Garante osserva che "fermo restando il rispetto della volontà dei cittadini e dei consumatori di accettare la cessione di dati identificativi o attinenti a gusti, preferenze ed interessi, per ottenere gratuitamente determinati servizi, gli interessati devono, però, essere messi in grado di esprimere le proprie scelte in maniera consapevole e libera". Da qui la necessità di un'informativa completa che deve essere "collocata prima della richiesta dei dati". Ineccepibile.

Ma il Garante, opportunamente, punta la sua attenzione su alcuni particolari trattamenti. Si legge, sempre nel comunicato:
"Nell'ambito di tale servizio ("Libero" di Infostrada, n.d.r.) è stato, inoltre, previsto un monitoraggio delle connessioni ai siti visitati dagli abbonati, svolto per individuare le loro preferenze (attraverso la determinazione dei loro profili di consumatori, la cosiddetta "profilazione") e per programmare l'invio di messaggi pubblicitari sulle e-mail degli abbonati.
In proposito, le segnalazioni pervenute all'Autorità hanno prospettato un contrasto con la disciplina sulla privacy, con particolare riguardo alla insufficienza delle informazioni fornite agli interessati, alla possibilità di raccogliere i dati sui siti frequentati (con eventuale conoscenza di informazioni relative, ad es., a salute, vita sessuale, opinioni politiche o sindacali, convinzioni religiose o filosofiche) e di controllare se i messaggi pubblicitari inviati dalla società vengano effettivamente letti dagli abbonati.
Durante l'istruttoria, la società ha eliminato varie anomalie ed incongruenze presenti nei documenti sottoposti al potenziale cliente al momento dell'iscrizione e ha specificato che l'analisi degli accessi ai siti verrà svolta su un catalogo predefinito dalla stessa società (che non comprende siti nei quali sono trattati argomenti da cui sono ricavabili dati "sensibili"). Non verrà, invece, effettuata alcuna verifica del ricevimento e della visualizzazione dei messaggi pubblicitari da parte dei clienti".

Questo è il punto centrale: gli operatori commerciali hanno l'interesse primario di conoscere proprio i "profili" dei consumatori e i loro comportamenti, e per queste informazioni sono disposti a pagare cifre significative. Anche il fatto, apparentemente banale, che un abbonato abbia scaricato o no un messaggio e-mail sul proprio PC e lo abbia effettivamente letto ha una sua "quotazione" che, moltiplicata per il numero dei "contatti", può determinare ricavi non indifferenti per gli operatori che vendono queste informazioni. Possono essere queste le voci più significative del bilancio di un'offerta di abbonamenti gratuiti, molto più della "retrocessione" di una quota della tariffa a tempo relativa alla connessione.

La cessione delle informazioni da parte dell'abbonato costituisce dunque una fonte di introiti ai quali un operatore, soprattutto di grandi dimensioni, difficilmente può rinunciare. Deve quindi scegliere se indicare il consenso al trattamento "esteso" dei dati personali come essenziale per l'esecuzione del contratto, e quindi subordinare l'accettazione del contratto stesso a questo consenso, oppure indicarlo come facoltativo. Appare evidente che, una volta diffusa nel pubblico la consapevolezza di questi aspetti, potrebbero essere in molti a negare il consenso "esteso", se facoltativo, o a rinunciare al servizio, se obbligatorio. Così il business dell'offerta gratuita si ridurrebbe non poco.
Come uscirne?

La soluzione, purtroppo, c'è: trattare i dati all'insaputa dell'interessato e cederli "sottobanco". Stando al alcune voci, sarebbe una pratica abbastanza diffusa. Si deve considerare che l'identificazione di una particolare procedura, tra le centinaia che "girano" nei server di un internet provider, non è facile. Un abile amministratore di sistema può nascondere procedure e archivi in modo tale da renderli invisibili alle ispezioni più accurate. E questo vale anche per trattamenti che non sono nemmeno citati nelle informative, come quelli relativi ai dati sensibili. E' la nuda realtà, contro la quale non ci sono soluzioni efficaci. Per avere un'idea delle possibilità di processi "invisibili" basta pensare alle storie degli hacker che nascondevano i loro BBS nei sistemi informativi di grandi organizzazioni, senza che i responsabili se ne accorgessero.

Altri due aspetti devono essere presi in considerazione. Il primo è che questi trattamenti illegittimi possono avvenire, con maggiore sicurezza, in server piazzati in qualche "paradiso telematico", al sicuro da qualsiasi ispezione. Il secondo è che queste informazioni riservate, comunque presenti su qualche macchina, possono essere catturate da pirati telematici. I casi recenti di numeri di carte di credito "rubati" dagli archivi delle società emittenti devono far riflettere su questo punto. Anche ammettendo la massima attenzione degli addetti alla sicurezza e l'adozione delle misure difensive più avanzate, non si può mai essere certi che non ci sia un incursore ancora più abile. Le precauzioni per la sicurezza sono sempre adeguate alle situazioni che devono proteggere, fino al momento in cui si scopre che non lo sono. Ma allora è troppo tardi.

Tra dati ceduti più o meno consapevolmente e dati disseminati involontariamente, su ciascuno di noi ci sono sulla Rete notizie più che sufficienti non solo a tracciare i "profili" che interessano il marketing, ma anche a ricavare informazioni strettamente attinenti alla sfera più privata. Così il pericolo riguarda tutti e due gli aspetti fondamentali della riservatezza: il cosiddetto "diritto di essere lasciato in pace" (right to be alone) e il diritto di disporre dei propri dati e di controllare l'uso che ne viene fatto.
Nell'Unione europea ci sono norme molto severe che vietano i trattamenti all'insaputa dell'interessato, ma altrove (in primo luogo negli USA) c'è la tendenza a favorire gli interessi economici più del diritto alla riservatezza. Per svolgere in luoghi più tolleranti i trattamenti vietati in Europa non occorre "esportare" i dati, perché il fatto stesso che siano in qualche modo sull'internet elimina qualsiasi vincolo territoriale, sicché le norme più restrittive non possono offrire efficaci mezzi di difesa.

Ci sono soluzioni? Fino a poco tempo fa si pensava che il cosiddetto "anonimato protetto" potesse costituire una buona risposta alle esigenze della riservatezza. Ma allora si pensava soprattutto al desiderio legittimo di molte persone di muoversi sulla rete senza rivelare la propria identità, o assumendo identità fittizie, ma con la possibilità di risalire agli autori di eventuali atti illeciti. Ora questo problema è superato dalle esigenze del commercio elettronico, o più in generale della web economy, dove non solo l'identità, ma anche e soprattutto il profilo personale del singolo consumatore sono informazioni indispensabili per il funzionamento di tutto il sistema. E i mezzi tecnici a disposizione dei "cacciatori di dati" sono molto più efficaci delle difese normative.
Non resta che ricorrere a forme di autodifesa: non solo negare, fino a quando è possibile, i consensi "estesi", ma soprattutto evitare di comunicare informazioni non indispensabili o fornire deliberatamente informazioni inesatte, per mettere in crisi i sistemi di "profilazione". Non sempre funziona, perché qualche contratto prevede una clausola risolutiva nel caso in cui l'interessato fornisca dati fasulli, ma sarebbe interessante sapere come il fornitore si possa accorgere dell'inganno.

Presto torneremo su questi problemi. Ora però dobbiamo puntare il dito su quello che potremmo definire un sistematico "eccesso di riservatezza": anche nel caso di "Libero", il provvedimento del Garante è stato reso noto con un comunicato stampa, ma non è stato diffuso il testo del provvedimento. Questo sarà pubblicato nel "Bollettino", rigorosamente cartaceo, solo tra qualche mese. Nella società dell'informazione, ai cui problemi il professor Rodotà si mostra così attento, non è una prassi accettabile.
Un'autorità indipendente, che svolge un ruolo così delicato, in un contesto che si evolve di giorno in giorno ed esercita la sua influenza sull'intera compagine sociale, non può affidare la diffusione di decisioni così rilevanti alla mediazione della stampa. E' necessario che i provvedimenti vengano resi noti nella loro interezza e nel più breve tempo possibile. Lo strumento c'è e si chiama internet.
Ma il Garante non ha ancora un sito internet. All'indirizzo www.garanteprivacy.it da mesi c'è solo una home page dalla quale non si raggiunge alcun documento. E' fuori da ogni logica.