Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Le regole dell'internet

Tra tutela della privacy e selezione dei contenuti
di Manlio Cammarata - 27.10.97

Il 31 ottobre si svolge a Napoli la prima conferenza di EUROISPA (European Internet Service Provider Association), con il patrocinio del Ministero delle comunicazioni e del Comune di Napoli. Il programma dei lavori prevede due sessioni, una sulle politiche di sviluppo di Internet in Italia e in Europa e una sulla regolamentazione e l'autoregolamentazione di Internet.
Per noi italiani sono due temi di grande interesse, per motivi opposti: sulle politiche di sviluppo di Internet - e della società dell'informazione in generale - non si è discusso abbastanza, anzi per nulla, mentre sull'autoregolamentazione si sono spese troppe chiacchiere.
Negli ultimi tempi su queste pagine si è parlato spesso della politica - o della non politica - per lo sviluppo della Rete, mentre abbiamo trascurato un po' il tema dell'autoregolamentazione, dopo l'annuncio di un nostro progetto di "carta di Internet" pubblicato il 26 giugno scorso (Il codice deontologico degli Internet provider: quali obblighi e quali garanzie?).

La conferenza di Napoli è l'occasione giusta per riprendere il discorso, anche perché è pronta una bozza, che richiede ormai solo qualche limatura, ma che lascia aperti diversi problemi.
Per capire quali sono i punti ancora da chiarire, partiamo dal quadro di riferimento. In prima battuta il codice deontologico dovrebbe rispondere da una parte alle indicazioni dell'Unione europea, rivolte al controllo dei contenuti "illegali e nocivi" di Internet, e dall'altra alle esigenze di protezione dei dati personali, con l'intervento del Garante, secondo il dettato del primo comma, lettera h), dell'articolo 31 della legge 675/96, comma 1, lettera h).
Si devono aggiungere anche delle previsioni della legge 249/97, art. 1, comma 6, lettera a), punto 5), e lettera b), punto 6), che affidano alle due commissioni della costituenda Autorità per le garanzie, rispettivamente, la tenuta del registro degli operatori e la verifica del rispetto dei codici deontologici. A queste norme, già in vigore, deve essere aggiunto il futuro decreto legislativo sulla protezione dei dati personali nei servizi telematici, previsto dalla legge-delega 676/96, comma 1, lettera n), oltre al regolamento sulla sicurezza, che dovrebbe essere emanato fra pochi giorni, previsto dal secondo comma dell'articolo 15 della legge 675/96.

Dunque le indicazioni del codice deontologico in materia di protezione dei dati personali e disciplina dei contenuti dovrebbero essere comporre un ideale triangolo con la normativa italiana e quella europea, che per ora non è formalizzata in direttive vincolanti. Ma nella normativa italiana mancano sia il decreto legislativo previsto dalla legge 676/96, sia il regolamento sulla sicurezza dei dati. Dunque il triangolo non si può chiudere. E non è ragionevole scrivere un codice che faccia riferimento a una normativa inesistente, sulla quale abbiamo avuto solo in tempi recentissimi qualche indicazione di massima (si vedano le anticipazioni di Claudio Manganelli, componente del Garante, nell'articolo di Laura La Posta pubblicato a pagina II del supplemento Informatica del Sole 24 Ore di venerdì 24 ottobre).
Per questo le regole che oggi possono essere inserite nel codice hanno solo il valore di una proposta al legislatore e potrebbero dover essere riscritte dopo l'emanazione dei provvedimenti sulla tutela dei dati personali nei servizi telematici e sulla sicurezza, senza considerare che anche l'Autorità per le garanzie nelle telecomunicazioni potrebbe emettere disposizioni importanti in un futuro abbastanza vicino.
Nella preparazione della bozza, che sarà pubblicata tra pochi giorni, ci siamo posti un'altra domanda cruciale: un codice deontologico dei fornitori di Internet deve essere solo un elenco di regole sulla tutela dei dati personali e sul controllo dei contenuti, o non deve essere piuttosto lo strumento per diffondere tra gli utenti, prima ancora che tra gli operatori, la conoscenza degli aspetti etici delle attività telematiche, il quadro generale dei diritti, dei doveri e, soprattutto, delle responsabilità di ciascuno?

Se a questa domanda si dà una risposta affermativa, tutto il discorso deve essere spostato su un piano diverso. Il codice non è più un documento normativo in qualche modo complementare alle leggi, composto solo di prescrizioni più o meno vincolanti per gli operatori, ma diventa lo strumento per la conoscenza e l'applicazione intelligente e consapevole delle norme. Ecco perché alla definizione di "codice di autoregolamentazione" preferiamo quella di "codice deontologico", che sottolinea l'aspetto etico, o meglio ancora quella di "carta delle garanzie di Internet", che sposta l'attenzione sui diritti di tutti i soggetti coinvolti nelle attività telematiche.
Questa impostazione non semplifica il lavoro di drafting del codice, anzi lo rende più impegnativo, perché impone di concentrare l'attenzione su aspetti più sostanziali, capaci di incidere a fondo sulla diffusione e sull'evoluzione dell'uso di Internet.

La protezione dei dati personali

Tutto questo è reso più difficile dalla dimensione di Internet e dalla complessità dei suoi schemi. Prendiamo l'aspetto della tutela dei dati personali: il primo problema è che la diffusione di informazioni personali nei contenuti della Rete avviene su scala planetaria, al di fuori di qualsiasi possibilità di controllo non solo dell'interessato, ma anche di chi pubblica le informazioni stesse. Un secondo problema, ancora più grave e di più difficile soluzione, consiste nella possibilità di aggregazione e di elaborazione di dati presenti sulla rete - sottolineo, senza alcuna possibilità di controllo - che possono fornire informazioni su un individuo molto al di là delle intenzioni di chi ha diffuso quei dati, anche se è l'interessato stesso.
Facciamo un esempio. Tizio è iscritto a due liste di discussione, su argomenti diversi e gestite da soggetti diversi. Una è dedicata alle auto sportive, nell'altra si discute di diritto. In più il nostro uomo ha pubblicato su un sito di annunci economici la ricerca di un'abitazione di lusso e anche l'offerta di vendita di un'automobile di media cilindrata. Sono informazioni isolate, che non dicono nulla su Tizio, anche perché negli annunci economici c'è solo il numero di telefono. Ma la ricerca di un'abitazione di lusso attira l'attenzione degli specialisti dell'ufficio marketing di una società che propone investimenti finanziari. Dal numero di telefono in un attimo scoprono il secondo annuncio e risalgono alle generalità di Tizio, quindi con il suo nome lanciano una ricerca sulla rete. Scoprono la sua appartenenza alle due liste di discussione, poi con una rapida indagine negli albi professionali vedono che fa l'avvocato e giungono a una conclusione: l'avvocato Tizio "ha fatto i soldi" e quindi è il caso di contattarlo per proporgli un investimento.
Semplice, legittimo, e in questo caso anche "innocente". Ma con lo stesso sistema si possono ottenere anche informazioni molto più delicate e per fini molto meno nobili. È il problema della "disseminazione dei dati personali", che su Internet è particolarmente intensa ed è accompagnata da ampie possibilità di elaborazione per scopi del tutto diversi da quelli per i quali i dati sono stati immessi.

Il punto è se e come si possa mettere un limite a queste situazioni, il che presuppone anche la disponibilità di strumenti tecnici adeguati. Per ora non siamo in grado di dare una risposta, e non solo a livello di autoregolamentazione, perché anche il legislatore dovrà fare i conti con la natura della Rete e con i suoi inafferrabili schemi. C'è una quantità di aspetti critici per i quali è necessario individuare modelli di soluzione. Un esempio, fra i tanti possibili, è quello di azioni come il mail spamming, cioè la diffusione su vasta scala di messaggi a liste di abbonati normalmente accessibili in rete: devono essere vietate dalla legge, come sta accadendo in alcuni stati americani, o può bastare l'autoregolamentazione? La soluzione può essere trovata nella "deontologia" e nella sua diffusione come strumento formativo, ma non è semplice.

In materia di tutela dei dati personali c'è da considerare un altro aspetto, sul quale il futuro decreto legislativo dovrà fornire almeno qualche linea guida: è il trattamento dei dati personali che vengono necessariamente raccolti, con procedure automatiche, dai sistemi ai quali accedono gli utenti. Questi dati non sono necessari solo a fini tecnici o amministrativi, ma anche per risalire agli autori di atti illeciti o comunque contrari alle regole della Rete. Si deve tener presente che l'elaborazione di questi dati potrebbe essere in qualche misura obbligatoria anche in vista delle misure minime di sicurezza, che devono essere indicate dal regolamento di prossima emanazione (il termine previsto dalla legge è il 4 novembre).

I contenuti critici

Passiamo al secondo lato del triangolo descritto all'inizio: la richiesta di controllo, che viene dall'Unione europea, sui "contenuti illegali e nocivi di Internet". Una definizione illogica e inaccettabile, che non può essere presa come punto di partenza per dettare regole né a livello legislativo, né a livello di deontologia.
Vediamo il primo termine, "contenuti illegali": ciò che è illegale non può essere regolamentato. Se in un sito ci sono informazioni contrarie alla legge (traffico d'armi, terrorismo, riciclaggio di denaro sporco o altro) non c'è autoregolamentazione che tenga, si deve applicare la legge penale. I problemi possono sorgere nel momento in cui si cerca di rintracciare e perseguire i criminali, nascosti chissà dove nel labirinto telematico, ma non è certo l'autoregolamentazione dei provider che può risolverli. Occorrono leggi nazionali (che ci sono) e accordi internazionali, che devono portare alla definizione di un "diritto della rete" riconosciuto dal maggior numero possibile di stati (vedi Quali leggi per il "territorio Internet?").

Anche il secondo termine "contenuti nocivi" indica un'impostazione del problema pericolosamente sbagliata. Secondo la visione delle autorità comunitarie, i contenuti nocivi sarebbero quelli non illegali, ma che danneggiano determinate categorie di utenti. Ma se è facile definire quali sono i contenuti illegali, chi può indicare quali sono i contenuti nocivi? Nel momento stesso in cui un contenuto viene definito nocivo, esso diventa in qualche misura illegale.
Si deve partire da una classificazione diversa, che può essere quella di contenuti "potenzialmente nocivi" o più semplicemente "critici". Così diventa più semplice individuare gli strumenti di protezione, che possono essere di diversi tipi, ma che devono avere come punto di riferimento le scelte degli utenti, espresse sia a livello individuale, sia attraverso forme associative.

Entrano in gioco a questo punto gli strumenti per il controllo dei contenuti critici. Alcuni di essi si fondano sulla selezione delle pagine in funzione di una "etichettatura" logica, in particolare il sistema PICS, Platform for Internet Content Selection ( si vedano le proposte dell'associazione "La città invisibile" e la replica di ALCEI). Il problema di questi sistemi non è tanto quello di diffondere tra gli utenti la conoscenza e l'uso dei "programmi-filtro", perché questo compito può essere svolto molto bene dalle associazioni, dalla scuola e dagli stessi provider, quanto quello di imporne l'adozione da parte dei fornitori di contenuti, a tutti i livelli. Inoltre non risolvono il problema della selezione dei contenuti immessi prima dell'adozione dei filtri e si prestano a diverse forme di aggiramento. Altri strumenti sono basati sulla compilazione di "liste nere", che funzionano più o meno come programmi antivirus (per esempio Cyber Patrol) e sono di più facile adozione, perché richiedono solo una selezione da parte dell'utente, non l'etichettatura "alla fonte", difficile da imporre su scala globale.

Il codice deontologico dei fornitori di accesso deve prevedere l'assistenza agli utenti che intendono avvalersi dei sistemi di selezione dei contenuti, svolgendo in questo modo anche una funzione educativa e mettendo a disposizione dei genitori uno strumento relativamente sicuro per impedire ai figli l'accesso a contenuti critici. I fornitori potrebbero offrire anche la scelta di abbonamenti "filtrati", purché con indicazioni molto chiare sui criteri e sui limiti della selezione.
In questo modo il codice deontologico raggiungerebbe l'importate risultato della responsabilizzazione degli abbonati, valorizzando gli aspetti positivi dell'uso della Rete.

Cinque punti essenziali

Chiariti, in linea di principio, i requisiti del codice deontologico - o Carta dei diritti di Internet - restano da vedere i criteri da seguire per la sua elaborazione. Possiamo riassumerli in cinque punti.

1. Il codice deve essere elaborato dopo un attento esame della normativa vigente.
2. Devono essere ascoltate tutte le proposte avanzate da soggetti interessati, proposte che devono essere tenute presenti per la redazione di un testo che possa ricevere il consenso più vasto possibile.
3. Devono essere classificati con la massima precisione possibile i soggetti interessati (fornitori di accessi, fornitori di servizi, fornitori di contenuti, utenti abbonati e utenti non abbonati e così via), perché a ciascuna categoria possono essere attribuiti diritti e doveri particolari.
4. Tutte le indicazioni del codice devono essere applicabili in funzione della globalità della Rete. Non ha senso proporre criteri di rating autarchici o meccanismi diversi da quelli adottati su scala internazionale.
5. Il testo deve essere preparato con la collaborazione di tecnici specializzati e di giuristi con un'effettiva esperienza diretta nelle tecnologie dell'informazione.

Se non si tengono presenti questi cinque punti si può giungere alla proposta di testi inaccettabili, come alcuni di quelli diffusi fino a oggi, i cui contenuti si collocano tra l'aria fritta e il delirio.