Verso una carta internazionale sulla protezione della riservatezza: questo è il risultato di maggiore rilievo della conferenza dei Garanti che si è conclusa a Venezia lo scorso 30 settembre. Non è ancora la "convenzione", con effetti vincolanti, che molti auspicano, ma si tratta indubbiamente di un notevole passo avanti in questa direzione.
Non è ancora definito in tutti i dettagli il testo che, per ora, si presenterà come una "dichiarazione" comune. Ma i principi generali della futura "Carta di Venezia" sono quelli, ormai largamente accettati, della direttiva 96/45/CE:

• raccolta dei dati personali solo per finalità chiare e definite
• correttezza e trasparenza della raccolta, con divieto dei trattamenti "invisibili", cioè la raccolta dei dati sull'internet senza il consenso degli interessati;
• rispetto del principio di proporzionalità, cioè il rapporto tra mezzi e fini, per cui non sono ammissibili raccolte di massa di dati personali;
• qualità dei dati raccolti, tempi limitati per la loro conservazione, pieno diritto di accesso e correzione dei dati raccolti da parte degli interessati;
• tutela effettiva e agevole, così che i cittadini possano esercitare effettivamente il loro potere di controllo;
• rafforzare le garanzie in settori in cui crescono oggi le preoccupazioni, come quelli riguardanti i dati genetici e la sorveglianza elettronica.

Questo, per così dire, è il risultato "di facciata" delle tre giornate di lavori, durante le quali i rappresentanti dei quaranta Paesi intervenuti alla Conferenza hanno esaminato ogni aspetto della protezione dei dati personali, alla luce della diffusione delle tecnologie, dei contrapposti interessi di tutela da una parte e di libertà del commercio dall'altra, e delle notevoli differenze tra gli ordinamenti dei diversi Stati. Sul sito del Garante italiano molte  relazioni sono già pubblicate, altre si aggiungeranno (si spera in tempi brevi), così da disegnare un quadro completo dei diversi problemi della tutela della riservatezza in moltissimi Paesi del mondo.

In ultima analisi, sembra di poter identificare tre ordini di questioni sulle quali è necessario riflettere e agire:
1) i trattamenti a scopo commerciale, con le attività di "profilazione" più o meno occulte e le possibilità di controllo da parte degli interessati;
2) i trattamenti in ambito pubblico, con particolare attenzione ai dati sensibili, e con i rischi di schedature di massa;
3) l'importanza di utilizzare gli strumenti utili a fini di pubblica sicurezza e di giustizia, nel rispetto della sfera privata dei cittadini (intercettazioni, videosorveglianza ecc.).
E' comune a questi problemi un aspetto nuovo e sempre più preoccupante, quello del trattamento dei dati genetici, la cui importanza è enorme, come (purtroppo) il valore economico.

Se il primo dei punti appena citati sembra in qualche modo risolvibile, anche per l'interesse degli operatori commerciali a non perdere la fiducia dei clienti, il secondo e il terzo destano interrogativi molto pesanti. Ecco, in ordine sparso, alcuni problemi che non sembrano di facile soluzione.

In Italia, le forze dell'ordine registrano sistematicamente le generalità dei cittadini fermati casualmente per controlli sul territorio. Quale legge lo prevede? A quale scopo i dati vengono registrati, dove e per quanto tempo vengono conservati, chi vi ha accesso?

Ancora, torna periodicamente alla ribalta della cronaca la schedatura di massa che sarebbe operata sistematicamente dai Carabinieri in tutte le stazioni. Nessuno spiega in forza di quale legge si operi questo trattamento e perché i cittadini non possano controllare le informazioni che li riguardano, visto che non si può considerare fatta a fini di sicurezza pubblica o di giustizia una raccolta di dati che riguardano milioni e milioni di "brave persone", che possono al più essere colpevoli di qualche violazione del codice della strada.

Sempre restando in Italia, e sempre parlando di trattamenti in ambito pubblico, non si può ignorare un "progresso tecnologico" molto pericoloso: la struttura del circuito della carta d'identità elettronica, che il Ministero dell'interno sembra intenzionato a varare in tempi molto brevi.
Tutte le carte saranno "certificate" dal Ministero stesso e le informazioni saranno custodite in un unico sistema telematico, consultabile da una serie di soggetti abilitati. Nelle carte potranno essere registrati anche dati sensibili.
E' evidente che l'esistenza di questa banca dati rende tecnicamente possibile il "tracciamento" di moltissime attività dei cittadini, in particolare di tutte quelle che comportano un contatto con la pubblica amministrazione. Anche confidando (con qualche riserva...)  che il trattamento avvenga nel rispetto puntiglioso di tutte le norme, e che le misure di sicurezza siano ai massimi livelli, quali garanzie abbiamo che un domani, in una situazione politica diversa, qualcuno non decida di fare un uso illecito di queste informazioni, magari a fini di discriminazione nell'assegnazioni di posti di lavoro? O quali danni potrebbero derivare da alterazioni dei dati, non immediatamente riconoscibili, operate da un pirata informatico che riuscisse a violare le protezioni?

Spostiamoci al di là dell'Atlantico, dove si discute di un sistema di intercettazione telematico, dal preoccupante nome di Carnivore, che l'FBI vorrebbe installare (naturalmente con tutte le garanzie di legge - viene da ridere!) presso gli internet provider, per spiare la posta degli utenti.
Nel frattempo in Gran Bretagna si cerca di far passare un sistema analogo, con l'aggravante che le intercettazioni non avverrebbero su ordine specifico della magistratura, ma su diretta iniziativa delle forze di polizia.
Anche in Italia ci si prepara ad adottare soluzioni di questo tipo, come dimostra l'articolo 5, comma 1, lettera k) delle condizioni per le autorizzazioni generali alle quali sono soggetti gli internet provider, che prevede

la collaborazione tempestiva alle competenti Autorità giudiziarie ai fini della tutela della sicurezza delle comunicazioni e le necessarie prestazioni a fronte di richieste di documentazione e di intercettazioni legali, anche mediante sistemi informatici e telematici, secondo quanto previsto dalla Risoluzione del Consiglio dell'Unione Europea del 17 gennaio 1995 sull'intercettazione legale delle comunicazioni...

Per capire la portata di questa norma è opportuno leggere appunto questa Risoluzione comunitaria sull'intercettazione delle comunicazioni, perché chiarisce al di là di ogni dubbio quali poteri si vogliono attribuire alle law enforcement agencies per mettere sotto controllo i sistemi telematici. Si dirà che in Italia la legge non consente intercettazioni né acquisizioni di documenti senza l'autorizzazione del magistrato, ma un dubbio rimane: che fine fanno le registrazioni e i documenti sequestrati, soprattutto quando riguardano soggetti che poi si rivelano estranei ai fatti oggetto di indagine, o comunque non colpevoli di alcun reato? La nostra legge, e la direttiva europea sui dati personali, tanto severe e dettagliate per quanto riguarda i trattamenti svolti dai privati, sono molto evasive sulle informazioni raccolte a fini di sicurezza nazionale o di giustizia.

Si aggiunga che recenti fatti di cronaca, come le inchieste sulla pedofilia, hanno suscitato ancora una volta le richieste di maggiori controlli sulla Rete e preparano il terreno per un "giro di vite" che deve preoccupare chi crede ancora nell'internet come strumento di libertà (vedi Il coro dei bugiardi alla seconda crociata e Verso un "giro di vite" contro la libertà della Rete). La "cittadinanza elettronica" del titolo della Conferenza di Venezia rischia di diventare la cittadinanza del controllo globale e della schedatura di massa, con buona pace degli onesti privacy commissioner  di tutto il mondo, i cui poteri cozzano contro il muro di gomma delle (a volte pretestuose) esigenze di law enforcement. 

C'e anche la prospettiva, sempre più concreta, dell'introduzione di qualche forma di responsabilità penale oggettiva a carico degli internet provider. Prospettiva non lontana, se si rileggono le norme della legge 269/98 sulla pedofilia, che oggi viene considerata "insufficiente". Norme che già adombrano la responsabilità del fornitore di hosting o di accesso per i contenuti pedo-pornografici (vedi "Chiunque distribuisce... anche per via telematica": i fornitori sono serviti) e che potrebbero essere rese più incisive e devastanti applicando le previsioni della direttiva 2000/31/CE, articoli 12 e 13,  sul commercio elettronico. Qui si escludono esplicitamente le responsabilità di chi fornisce il mero trasporto dei dati o non ha la possibilità materiale di intervenire sui contenuti, con una serie di pedanti distinzioni che non hanno altro scopo che quello di consentire l'imputabilità in tutti i casi non esplicitamente esclusi.

Su questo punto sono pesantissime le affermazioni del presidente della Commissione per la riforma del codice penale, Carlo Federico Grosso, nell'intervista alla Repubblica del 1. ottobre scorso. Alla domanda "Già oggi i server possono rispondere penalmente?" Grosso risponde "In teoria sì, poiché attraverso le parole e le immagini transitate sui server si possono realizzare reati fra i quali la
divulgazione, distribuzione e pubblicizzazione di materiale pornografico concernente i minori, ed il server può essere considerato concorrente nella loro realizzazione. Per la loro responsabilità oggi è tuttavia necessario il dolo e potrebbe non essere sempre agevole provare che un server era consapevole di ciò che è transitato dalla sua porta di accesso". Sorvoliamo, naturalmente, sulla confusione tra "server" e "provider", perché non possiamo sapere se essa derivi dall'ignoranza dell'intervistatore o da quella del giurista.

Che c'entra tutto questo con la protezione dei dati personali? Il collegamento è diretto e immediato, perché l'unica misura che può essere ragionevolmente imposta ai fornitori di accesso è l'identificazione certa degli abbonati, proteggendo nel contempo l'anonimato di chi lo chiede. Per ottenere questo risultato basterebbe un codice di autodisciplina, ma i provider italiani hanno fatto orecchie da mercante alle proposte, anche qualificate, avanzate negli anni scorsi.
Forse ci ripenseranno quando qualcuno di loro si vedrà recapitare una comunicazione giudiziaria e sequestrare i server per un  reato - magari solo presunto - commesso da altri.

In conclusione, quella "cittadinanza elettronica" vagheggiata a Venezia dai Garanti potrebbe essere, più che un sogno, un incubo.
Sono le 21 del 3 ottobre 2000. Dalle 9 di questa mattina, solo navigando alla ricerca di informazioni sull'argomento "privacy", su questo computer si sono installati più di venti cookie.