La tutela della privacy e Internet. Fra netiquette e disciplina legislativa

Barbara Gualtieri

StranoNetwork

Con l'entrata in vigore della cosiddetta "legge sulla privacy", operatori telematici, navigatori ed utenti a vario titolo hanno cominciato a temere l'ingresso surrettizio di limiti e controlli anche nell'utilizzo della Rete delle reti diretti a comprimere la libera diffusione dei dati nel ciberspazio notoriamente e naturalmente privo di confini geografici e politici.

Le qualità di rapidità, potenza e capacità di archiviazione del computer, se collegato in rete, consentono a qualsiasi utente pubblicazioni a largo raggio, facilitano ed economicizzano le comunicazioni tra soggetti distanti migliaia di chilometri. Con l'"avvento della privacy" però tali medesime qualità innovative hanno fatto ritenere a molti che un simile strumento potesse costituire un serio pericolo per la vita privata.

Tale rischio è stato ed è oggetto di convegni in rete e non, tanto tra utilizzatori/navigatori e provider, quanto tra esperti di diritto, giuristi e studenti. Nell'attesa di una disciplina ad hoc della materia, regole di correttezza consigliano/impongono determinati comportamenti diretti ad evitare divulgazioni scortesi dei dati e delle informazioni personali. Trattasi di una sorta di autoregolamentazione predisposta dagli utenti nell'attesa di una regolamentazione "ufficiale", posto che è proprio l'utente, in ultima analisi, ad essere responsabile delle proprie azioni quando accede ai servizi di rete. E' quindi essenziale che "conosca e riconosca" le responsabilità insite nel fatto di avere accesso a un gran numero di servizi, siti, sistemi e persone.

Vanno in questo senso alcune proposte di carte di auto disciplina. Un primo esempio è fornito dalla proposta a cura di InterLex (www.interlex.com), intitolata "Proposta per una carta delle garanzie di Internet". Nel preambolo vengono individuate quali sono le questioni ed i problemi insiti nella c.d. "società dell'informazione telematica". Si afferma: "Già oggi ci sono forti differenze nelle opportunità di relazioni umane, di lavoro e di svago tra chi ha la possibilità di servirsi dei nuovi mezzi di comunicazione e informazione e chi non ce l'ha. Queste differenze sono destinate ad accentuarsi nel prossimo futuro[ …] Un altro problema è costituito dalla diffusione di contenuti illegali o critici sulle reti telematiche. [ …] è necessario fornire alle autorità gli strumenti per la repressione dei reati e ai gruppi sociali e ai singoli individui gli strumenti per la scelta dei contenuti, in modo particolare per la tutela dei minori. Terzo, ma non ultimo aspetto da considerare, è l'impossibilità di realizzare una regolamentazione efficace al di fuori di un concerto internazionale".

Vengono poi indicati gli scopi che la carta intende perseguire: "favorire un corretto sviluppo delle attività telematiche in Italia, tutelando gli interessi materiali e morali degli operatori e degli utenti, assicurando la libertà di lavoro e di espressione di tutti i soggetti interessati. Tuttavia la Carta non può ottenere risultati definitivi in assenza di un quadro legislativo chiaro e coerente, concordato a livello internazionale....".

Un secondo esempio di autoregolamentazione è fornito da una sorta di dichiarazione di principi definita dall'Istituto per l'Etica dei Computer (vedi in proposito The Net. Guida per l'utente e Netiquette, di Arlene Rinaldi) "I dieci comandamenti dell'etica dell'uso dei computer".

Posto che, comunque, sono gli stessi utenti che hanno ritenuto di doversi in qualche maniera autoregolamentare,per motivi di cortesia telematica e reciproco rispetto, rimangono da affrontare due ordini di questioni:

1) se oggettivamente siano presenti nel sistema dati personali "tutelabili" a mezzo della legge sulla privacy 675/'96 ( sue successive modifiche ed integrazioni);

2) se su e per mezzo di Internet possano essere svolte attività rilevanti ai fini della summenzionata legge.

I dati personali trattati nell'ambito di Internet possono essere divisi in due categorie: a) dati relativi ai soggetti abbonati a un fornitore, compresi in determinati archivi; b) dati immessi dagli interessati o da soggetti diversi nell'attività di diffusione delle informazioni, che costituisce la ragione prima dell'esistenza della Rete.

Partiamo dalle banche dati normalmente presenti nel sistema di un ISP (Internet Service Provider) o di un IAP (Internet Access Provider). La prima, e più ovvia, è l'elenco degli abbonati, che comprende i dati anagrafici e lo username (cioè l'identificativo pubblico assegnato all'utente, che può anche essere uno pseudonimo o un nome di fantasia, il cosiddetto nickname). Questo elenco in molti casi è accessibile al pubblico e costituisce quindi una sorta di rubrica telefonica, mentre in alcuni casi è riservato.

Collegato all'elenco degli abbonati è l'archivio delle password, cioè delle chiavi private che, in combinazione con lo username, consentono l'accesso al sistema o a parti di esso. L'archivio delle password dovrebbe essere sempre crittografato con algoritmi one way e superprotetto contro le intrusioni (sugli aspetti della sicurezza e sui risvolti penali si veda la relazione di Gianni Buonomo, Banche dati, privacy e sicurezza: gli obblighi del gestore).

Terzo archivio è quello dei log, cioè delle registrazioni automatiche dei principali dati dei collegamenti, generati automaticamente dal sistema. È compito del responsabile del sistema stesso decidere quali informazioni debbano essere raccolte e in che modo vadano archiviate e protette. L'utilizzo più comune dei log è per gli addebiti dei collegamenti, quando sono praticate tariffe a tempo o è previsto un tempo massimo giornaliero o mensile; si possono generare log molto dettagliati o ridotti all'essenziale, ma l'importante è che possano essere utilizzati in caso di contestazioni degli abbonati e anche per ricostruire collegamenti sospetti nel caso di tentativi di accesso illecito al sistema o della commissione di altri reati telematici. Dal punto di vista della protezione dei dati personali l'archivio dei log è delicato quanto quello delle password, perché può contenere informazioni molto riservate: i tempi di collegamento di ciascun utente, a quali ore si collega, quali siti visita più di frequente, quali prodotti acquista e così via. Un log molto dettagliato permette di costruire un profilo dell'abbonato che può essere utilissimo per le promozioni commerciali, e anche per diffamazioni, ricatti, estorsioni e quant'altro (v."La legge 675/'97 vieta Internet?", Manlio Cammarata - 18.02.97 - www.interlex.com).

Per la seconda questione, relativa all'applicazione della 675/97 ad Internet, bisogna procedere ad una sintetica analisi per singole attività. In primo luogo i dati vengono raccolti. La raccolta delle informazioni può avvenire in forma esplicita, come nella compilazione delle schede anagrafiche, o in background, come nella registrazione dei log. Un caso a parte è costituito dall'archivio delle password, il cui aggiornamento è spesso nelle mani degli utenti, ma la cui gestione e protezione spetta al gestore del sistema. Le informazioni vengono poi conservate. Se l'archivio degli abbonati deve essere pubblico, almeno i dati relativi a password e log dovrebbero essere difesi dalle intrusioni non autorizzate con tutti i mezzi messi a disposizione dalla tecnologia: collocazione in zone protette del sistema, crittografia, password di accesso, ecc., senza dimenticare la protezione fisica dei locali e del sistema (badge di accesso, serrature affidabili ecc.). I dati sono normalmente elaborati per scopi amministrativi, per la fatturazione dei consumi, per scopi statistici e commerciali, per scopi tecnici o quando si devono analizzare le prestazioni dei sistemi. Un caso a parte è costituito dall'elaborazione delle password, sotto l'aspetto della cifratura e del confronto automatico che autorizza l'accesso: la raccolta, la conservazione e l'elaborazione del dato costituiscono momenti inscindibili di un processo unico, con particolari implicazioni dal punto di vista della sicurezza. Rimangono, infine, le attività di comunicazione e diffusione dei dati: la prima consiste nella trasmissione delle informazioni a determinati soggetti, la seconda si risolve di fatto nella messa in rete delle informazioni.

Vi è quindi una terza ed ultima questione da affrontare, che deriva dalla combinazione delle due precedenti e concerne la possibilità di definire il mettere i dati in rete "esportazione" così da farlo forzatamente rientrare nella rigida disposizione dell'art. 28 della L. 675/'96.

Al fine di effettuare tale analisi mi sembrano rilevanti i seguenti aspetti. Il primo è che l'informazione in rete comprende per sua natura una quantità enorme di dati personali, che vengono diffusi materialmente dagli Internet provider, ma che sono immessi da una moltitudine di soggetti per finalità connesse all'informazione stessa. Anzi, spesso sono proprio connaturati alle informazioni (per esempio i siti universitari).

Il secondo è legato alla stessa natura di Internet, un sistema globale, privo di confini fisici e politici, che si sovrappone al sistema politico disegnato dal diritto internazionale.

Quando un'informazione viene immessa in Internet non si verifica un passaggio da uno stato a un altro stato, come quando un individuo o un bene attraversano una frontiera, ma si realizza il passaggio di beni immateriali da un territorio fisico e giuridicamente delimitato a uno spazio illimitato e ancora non definito da norme di diritto positivo. Mentre ci sono accordi tra gli stati che regolano il passaggio e l'attività nelle acque internazionali, nessuna legge, regola il ciberspazio.

A questo proposito è opportuno rammentare la recente L. n.318 del 19 settembre 1997 che reca il Regolamento per l'attuazione di direttive comunitarie nel settore delle telecomunicazioni, il cui art.15 (Protezione dei dati e tutela della riservatezza delle reti e delle comunicazioni) recita: "per le problematiche attinenti alle misure di sicurezza adottate dai fornitori di telecomunicazione accessibili al pubblico, ai dati personali relativi agli utenti e agli abbonati, all'identificazione della linea chiamante e della linea collegata, nonché alle chiamate a fini pubblicitari, si osservano le disposizioni di cui alle leggi 31 dicembre 1996, n.675 e n.676 e nei relativi decreti legislativi di attuazione". E' a mezzo di questa disposizione che la legge sembra avere stabilito il primo rapporto tra Internet e privacy, senza, peraltro, risolvere le implicazioni dell'adeguamento della rete alla disciplina della L.675/'96.

I problemi di maggior rilievo sembrano sorgere in materia di trasferimenti di dati personali all'estero. L'art.28 prevede infatti, che "Il trasferimento anche temporaneo fuori del territorio nazionale, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento deve essere previamente notificato al Garante, qualora sia diretto verso un Paese non appartenente all'Unione europea o riguardi taluno dei dati di cui agli artt. 22 e 24 (comma 1)".

Il trasferimento può avvenire soltanto dopo quindici giorni dalla data della notificazione; il termine è di venti giorni qualora il trasferimento riguardi taluno dei dati di cui agli articoli 22 e 24 (comma 2). Il trasferimento è vietato qualora l'ordinamento dello Stato di destinazione o di transito dei dati non assicuri un livello di tutela delle persone adeguato ovvero se si tratta dei dati di cui agli articoli 22 e 24, di grado pari a quello assicurato dall'ordinamento italiano. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza (comma 3). Prosegue, poi, indicando le ipotesi in cui il trattamento è comunque consentito (v. commi 4, 5, 6 e 7).

Ciò che emerge è l'incongruenza tra questa disciplina, condizionata da rigide preclusioni temporali, e le potenzialità della Rete. E' un po' difficile, infatti, pensare di attendere 15 o 20 giorni prima di poter comunicare qualcosa via Internet!

Ogni dato inserito viene 'esportato' sul presupposto che il ciberspazio sia privo di confini di qualsiasi tipo, la transnazionalità e la rapidità sono le caratteristiche che connotano in positivo questo tipo di comunicazione. In virtù delle peculiarità del mezzo, però, non si verifica un passaggio da una nazione all'altra, ma si realizza un passaggio da un territorio fisicamente e giuridicamente delimitato ad uno spazio illimitato e non ancora definito da norme di diritto positivo. Neppure il gestore del sistema è capace di determinare in qualche modo da quali stati transiteranno e dove andranno a finire le informazioni diffuse dal suo sistema.

L'astratta volontà di "inglobare" quest'ultimo tipo di trasferimento tra quelli ex art.28 emerge in particolare dalla lettura della "Relazione illustrativa al disegno di legge" presentato dal Ministro di Grazia e Giustizia il 20 giugno 1996, riguardante la tutela delle persone e di altri soggetti rispetto al trattamento di dati, in cui, nel commentare detto articolo si dice che "....il trasferimento anche temporaneo dei dati oltre frontiera è oggetto di disciplina al di là del fatto esso sia realizzato mediante comunicazione o diffusione, tenuto conto dei rischi e delle implicazioni che possono derivare, in termini di utilizzabilità dei dati e di legislazione applicabile, dalla dislocazione all'estero degli stessi...". Se consideriamo che la diffusione dei dati consiste anche nella messa a disposizione o consultazione (art.1, comma 2, lettera h), formula che si adatta perfettamente alla pubblicazione su Internet, concludiamo che la semplice presenza dei dati su un server collegato alla Rete determina il trasferimento all'estero dei dati stessi.

Partendo dal presupposto che la pubblicazione di informazioni personali su Internet configura la fattispecie del trasferimento di dati all'estero, non essendoci confini nella diffusione delle informazioni, si ricade inevitabilmente nella previsione del terzo comma, ovvero nell'ipotesi di trasferimento o transito in stati che non assicurano un livello di tutela delle persone adeguato, espressamente vietato. Da ciò una paradossale conclusione: assunto che il trasferimento dei dati all'estero è insito nella natura stessa di Internet, dobbiamo concludere che Internet è vietata dalla legge.

In sintesi, quindi, ed allo stato attuale della legislazione, se per quanto riguarda i dati archiviati all'interno del sistema telematico possono considerarsi da osservare le disposizioni di cui alla legge 675 (in particolare per quanto riguarda i contratti d'abbonamento), per le informazioni personali che fanno parte dei contenuti si dovrà attendere il decreto o i decreti legislativi delegati.

E' opportuno sottolineare che le pagine del World Wide Web sono continuamente esplorate e copiate da numerosi soggetti, che si trovano in ogni parte del mondo, cosicché nessuno può fornire all'interessato un'informazione attendibile su quali dei suoi dati siano custoditi, dove, per quali fini e per quanto tempo. Presumibilmente, come alcuni autorevoli osservatori hanno sottolineato, ad oggi, sempre e comunque nell'attesa di una normativa veramente "ad hoc", bisognerebbe escludere l'applicabilità della L. 675/96 al trasferimento dei dati all'estero via Internet.