1. LE TECNICHE

• L’identità sul Web. Quando navighiamo siamo portati a pensare di essere completamente anonimi. Non è così: ogni volta che ci connettiamo a un sito Internet, lasciamo una o più tracce indelebili, con le quali possiamo potenzialmente essere individuati sia da chi gestisce il sito sia – come vedremo più avanti – da terze persone. In Rete siamo riconoscibili per un codice, detto indirizzo Ip, che ci viene assegnato quando ci colleghiamo al provider (Ip dinamico) oppure che possediamo in quanto utenti terminali di una linea dedicata (Ip statico). In entrambi i casi è possibile risalire dall’Ip al numero telefonico o al computer dal quale abbiamo navigato.

• I log file. Ogni volta che visitiamo un sito, il server su cui quel sito "gira" registra tracce del nostro passaggio. I cosiddetti log file sono stringhe di testo che mostrano ogni accesso al sito in questione, corredando l’informazione con una serie di dati: indirizzo Ip, data, ora, minuto e secondo del "contatto", elemento visitato (pagina, immagine, file audio o video, ecc). I log file scrivono attimo dopo attimo, la storia del sito e le sue interazioni con gli utenti.

• I cookies. Sono semplici programmi che vengono inviati dal server del sito e si salvano sul disco rigido del nostro computer. Ne riceviamo a centinaia, anche se quasi mai ce ne accorgiamo. A cosa servono i cookies? A dare "spessore" alla nostra identità telematica. Servono a darci un nome e un cognome, oltre che un Ip. A darci una nazionalità e un sesso, spesso anche un reddito e una serie di preferenze. A raccontare dove eravamo stati prima di visitare quel sito e dove ci siamo diretti dopo averlo fatto. Siamo noi a fornire una buona parte di queste informazioni, quando per esempio ci registriamo a un servizio Web. Ma altre – come la localizzazione geografica, la pagina di provenienza e di destinazione - sono dedotte automaticamente. Con i cookies non siamo più semplici numeri, ma persone in carne ed ossa. Siamo consumatori con un profilo ben preciso. E quindi molto appetibili sul mercato.

• Chi ha accesso alle informazioni? I gestori del sito che abbiamo visitato o al quale ci siamo registrati. Coloro ai quali sono stati ceduti i database con i dati personali. E tutti gli inserzionisti pubblicitari: le tracce del nostro passaggio sul sito sono infatti registrate anche dall’advertising server, il server che gestisce i banner pubblicitari della pagina che abbiamo visitato. Tutto questo è difficile da credere, ma è assolutamente vero. Ecco una dimostrazione (segue demo online su http://www.privacy.net/track/.

2. I SOGGETTI

• Una questione di mercato. Avere profili personali degli utenti di Internet è di vitale importanza per le dotcom. Serve per inviare messaggi pubblicitari mirati, e talvolta occulti. Serve per sapere quanto l’utente è fedele (addirittura se e quanto va sui siti della concorrenza: timing attack). Serve per elaborare strategie di marketing più o meno aggressive. E infatti le dimensioni del database sono diventate uno dei parametri sui quali si giudica il valore di una Internet company quando va in borsa. Ma c’è di più: gli archivi stessi sono diventati un bene di mercato.

• Il caso Double Click. Alla fine di gennaio del 2000, dopo innumerevoli denunce dei consumatori e delle associazioni che si battono per la tutela della privacy, Double Click (la maggiore concessionaria di pubblicità online del mondo) ammise di avere associato un nome e un cognome a tutti coloro che avevano visitato i siti che ospitavano banner gestiti dai suoi server. I numeri erano enormi: i banner di Double Click erano all’epoca collocati su 11.500 siti, la stima degli utenti oggetto di schedatura di circa 100 milioni di utenti di Internet. Il tracciamento era stato possibile dopo che Double Click aveva acquistato Abacus Direct, una società di direct marketing che possiede i profili di 90 milioni di famiglie americane. Combinare i due database era stato semplicissimo. E la concessionaria aveva ottenuto la possibilità di conoscere alla singola pagina le abitudini di navigazione di una quantità impensabile di persone. Che rimanevano, ovviamente, all’oscuro di tutto. Lo scandalo fu grande. E alla fine il presidente Kevin O’Connor fu costretto a chiedere scusa e fare marcia indietro. Ma l’episodio servì a far capire che l’età dell’innocenza telematica era ormai finita. Casi come questo sono aggravati dal fatto che i banner spesso sono assolutamente invisibili, si presentano cioè come immagini incolori grandi quanto un pixel. In questo caso si chiamano web bug. Qualcuno ha provato a scovarli, individuandone il nome, e setacciando il codice html delle pagine web. Il risultato è sconcertante (segue demo http://users.rcn.com/rms2000/privacy/wbfind.htm).

• Il caso Amazon. Un altro caso che ha fatto molto discutere è quello che ha coinvolto Amazon, cioè la più importante società di commercio elettronico del mondo. I siti americani sono infatti tenuti a dichiarare una privacy policy, a spiegare cioè agli utenti in che modo saranno trattati i loro dati personali. Ebbene, a fine agosto dello scorso anno, i venti milioni di utenti della società di Jeff Bezos si sono visti recapitare una e-mail che spiegava che la politica del sito era cambiata: "Dal momento che continuiamo sviluppare il nostro business – si leggeva – noi potremo vendere o comprare attività commerciali. In queste transazioni, le informazioni sui clienti fanno generalmente parte delle attività trasferite. Nell’improbabile circostanza che Amazon, o le sue attività, siano acquistate da altri, le informazioni saranno naturalmente uno degli oggetti del trasferimento". I dati personali dei clienti erano cioè diventati una preziosa merce di scambio. Con un dettaglio non del tutto trascurabile. Che nessuno aveva chiesto agli utenti se erano d’accordo a dare i loro dati a società sconosciute, a persone diverse da quelle delle quali avevano liberamente scelto di diventare clienti.

• La posta in gioco. Si tratta solo di due casi emblematici. Ma non sono gli unici. Testimoniano che nell’era tecnologica il cosiddetto trattamento dei dati personali è diventato estremamente semplice per chi lo fa e invasivo per chi lo subisce. Le nostre generalità e le nostre preferenze, le nostre abitudini e le nostre vite sono visibili dall’esterno come se vivessimo in una casa con le pareti di cristallo. Un po’ come nel Grande fratello televisivo. Con due differenze sostanziali. La prima è che noi spesso non ne sappiamo niente. La seconda è che tutto questo non avviene a scopo di voyeurismo, ma per una ragione molto più semplice e brutale: il business.

• Il problema della transnazionalità della Rete. A complicare le cose c’è una delle caratteristiche peculiari della grande rete. In Internet non esistono confini nazionali. E soprattutto: in Internet non esistono confini giurisdizionali. Che cosa succede se un sito americano viola la legge italiana, cosa succede se un sito americano utilizza server che si trovano a Singapore e commercia con cittadini europei in violazione delle loro leggi? Al di là del problema tecnico (come rintracciare chi non rispetta le leggi) ce n’è uno giuridico: chi giudica, e in base a quali norme sostanziali e processuali?

• La legislazione italiana ed europea. In Europa la privacy dei cittadini è protetta in forme molto garantiste. La riservatezza è cioè un bene protetto alla stregua di diritto soggettivo. La legge 675/96, nota come legge sulla privacy, recepisce integralmente la direttiva europea sul trattamento dei dati personali. Fissando una serie di obblighi in capo a chi gestisce banche dati e archivi, ma soprattutto stabilendo una serie di diritti di cui il cittadino può avvalersi. Il titolare del trattamento deve notificare al Garante di quali dati è in possesso e in che modo intende usarli, indicando anche la persona responsabile del trattamento stesso. Ma questo non basta: per poter trattare dati personali, deve ottenere il consenso scritto dell’interessato. A quest’ultimo sono riconosciuti una serie di diritti: deve poter accedere alla banca dati, chiedere di esserne cancellato o modificare dati che ritenga inesatti. Tutto questo fatti salvi, alcuni dati, definiti sensibili, che possono essere oggetto di trattamento solo con l’autorizzazione preventiva del Garante, il consenso dell’interessato, e stringenti motivi che devono essere stabiliti dalla legge: sono i dati che riguardano "l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale". Tutto questo si applica, ovviamente, anche ai dati trattati in forma telematica.

• L’autoregolamentazione americana. Gli Stati Uniti sono stati il primo paese al mondo a definire e riconoscere il concetto di privacy ("The right to be let alone"). Per cultura e tradizione sono però restii a garantire con la legge alcuni diritti. Per la privacy questo è particolarmente rilevante. La strada scelta è stata quella dell’autoregolamentazione da parte delle imprese. "Nel nostro paese la privacy è protetta più dalle nostre norme sociali che dalle nostre leggi", ha detto qualche giorno fa Wendy Parmet, docente di diritto alla Northeastern University. Il dibattito sulla riservatezza è quindi affidato all’industria e alle associazioni di consumatori, si risolve quindi – per grandi linee – in uno scontro fra lobby. L’avvento delle nuove tecnologie ha però aperto feroci polemiche. I consumatori chiedono una tutela più stringente, persino la Federal and Trade Commission è intervenuta per chiedere al Congresso di approvare una legge. Ma niente di concreto si è fatto finora. La privacy degli americani è sostanzialmente nella mani del buon senso delle grandi società e della combattività della associazioni. Un paradosso che era stato predetto dall’uomo che 70 anni fa ha letteralmente "inventato" la privacy. Louis Brandeis, poco dopo aver redatto la storica sentenza della Corte suprema che negava il diritto della polizia di fare intercettazioni senza le opportune garanzie, aveva infatti detto: "I progressi della scienza, che fornisce al governo nuovi mezzi di spionaggio, probabilmente non lo fermeranno dal fare intercettazioni". La tecnologia è un’arma troppo potente per non essere usata.

• L’accordo di "safe harbor". Le società americane, però, commerciano via Internet con quelle europee. Che invece sulla privacy hanno un atteggiamento – come si è detto – molto più severo. Come conciliare questo conflitto giuridico e giurisdizionale? Nel luglio 2000, l’amministrazione Clinton e la Commissione europea hanno concluso un accordo (operativo dal mese di ottobre) detto di Safe harbor (Porto sicuro). Stabilisce che le società americane, quando effettuano transazioni commerciali con cittadini europei devono rispettare le normative a tutela della privacy vigenti in Europa. L’accordo, che comunque costituisce un passo avanti, è stato duramente criticato dal Garante italiano per la privacy Stefano Rodotà e dal gruppo dei Garanti europei. Perché? Perché i punti deboli sono troppi: perché non sono previste sanzioni per chi viola l’accordo, perché alla Ftc è riconosciuto solo un ruolo di garanzia e arbitrato. Ma soprattutto perché l’adesione all’accordo è, per le imprese, su base volontaria. Chi ritiene di non aderire è liberissimo di farlo, e finisce, diciamo così, in "una lista dei cattivi" che le autorità europee potrebbero rendere nota ai cittadini. Ma senza conseguenze ulteriori. Un meccanismo troppo blando per essere efficace. E infatti le società che hanno aderito sono pochissime. E fra esse non c’è nessuno dei big mondiali del commercio elettronico. I termini per l’adesione scadono il 30 giugno. L’unico grosso gruppo che ha annunciato (ma non formalmente ratificato) la volontà di partecipare al momento è Microsoft.

• Conclusioni. In realtà una conclusione vera non c’è. Non si può che prendere atto del fatto che la privacy su Internet è al momento lungi dall’essere un diritto come la nostra legge prevede. Per problemi tecnici: la tecnologia viaggia ad una velocità tale da travolgere tutto quello che si trova sul suo cammino, a maggior ragione quando il suo carburante sono interessi economici miliardari. Per problemi giuridici: un diritto internazionale della Rete non esiste (e questo per certi versi potrebbe anche essere un bene). E i diritti nazionali si trovano spesso impotenti di fronte alle numerose illiceità che quotidianamente si verificano. I passi fatti finora sono troppo piccoli e insufficienti. Gli unici risultati si sono ottenuti quando la cosiddetta società civile, cioè l’insieme dei consumatori, è scesa in campo. In attesa di un progresso sul fronte giuridico internazionale (che è comunque inevitabile), è proprio dal basso che si deve partire. Con la conoscenza del fenomeno in primo luogo. Ma anche con la protesta organizzata.

Electronic Privacy Information Center

(www.epic.org)

Privacy Foundation

(www.privacyfoundation.org/)

Privacy.net

(www.privacy.net)

Cookie Central

(www.cookiecentral.com)

Privacy e Internet: dossier di Repubblica.it

(www.repubblica.it/online/tecnologie_internet/track/presentazione/presentazione.html)

Garante per la privacy

(www.garanteprivacy.it)