Lezione 12 – 17.05.01
Privacy e Internet: tecniche telematiche e problemi
giuridici
di Giancarlo Mola
1. LE TECNICHE
-
L’identità sul Web. Quando navighiamo siamo portati a pensare
di essere completamente anonimi. Non è così: ogni volta che
ci connettiamo a un sito Internet, lasciamo una o più tracce indelebili,
con le quali possiamo potenzialmente essere individuati sia da chi gestisce
il sito sia – come vedremo più avanti – da terze persone. In Rete
siamo riconoscibili per un codice, detto indirizzo Ip, che ci viene assegnato
quando ci colleghiamo al provider (Ip dinamico) oppure che possediamo in
quanto utenti terminali di una linea dedicata (Ip statico). In entrambi
i casi è possibile risalire dall’Ip al numero telefonico o al computer
dal quale abbiamo navigato.
-
I log file. Ogni volta che visitiamo un sito, il server su cui quel
sito "gira" registra tracce del nostro passaggio. I cosiddetti log file
sono stringhe di testo che mostrano ogni accesso al sito in questione,
corredando l’informazione con una serie di dati: indirizzo Ip, data, ora,
minuto e secondo del "contatto", elemento visitato (pagina, immagine, file
audio o video, ecc). I log file scrivono attimo dopo attimo, la storia
del sito e le sue interazioni con gli utenti.
-
I cookies. Sono semplici programmi che vengono inviati dal server
del sito e si salvano sul disco rigido del nostro computer. Ne riceviamo
a centinaia, anche se quasi mai ce ne accorgiamo. A cosa servono i cookies?
A dare "spessore" alla nostra identità telematica. Servono a darci
un nome e un cognome, oltre che un Ip. A darci una nazionalità e
un sesso, spesso anche un reddito e una serie di preferenze. A raccontare
dove eravamo stati prima di visitare quel sito e dove ci siamo diretti
dopo averlo fatto. Siamo noi a fornire una buona parte di queste informazioni,
quando per esempio ci registriamo a un servizio Web. Ma altre – come la
localizzazione geografica, la pagina di provenienza e di destinazione -
sono dedotte automaticamente. Con i cookies non siamo più semplici
numeri, ma persone in carne ed ossa. Siamo consumatori con un profilo ben
preciso. E quindi molto appetibili sul mercato.
-
Chi ha accesso alle informazioni? I gestori del sito che abbiamo
visitato o al quale ci siamo registrati. Coloro ai quali sono stati ceduti
i database con i dati personali. E tutti gli inserzionisti pubblicitari:
le tracce del nostro passaggio sul sito sono infatti registrate anche dall’advertising
server, il server che gestisce i banner pubblicitari della pagina che abbiamo
visitato. Tutto questo è difficile da credere, ma è assolutamente
vero. Ecco una dimostrazione (segue demo online su http://www.privacy.net/track/.
2. I SOGGETTI
-
Una questione di mercato. Avere profili personali degli utenti di
Internet è di vitale importanza per le dotcom. Serve per inviare
messaggi pubblicitari mirati, e talvolta occulti. Serve per sapere quanto
l’utente è fedele (addirittura se e quanto va sui siti della concorrenza:
timing attack). Serve per elaborare strategie di marketing più o
meno aggressive. E infatti le dimensioni del database sono diventate uno
dei parametri sui quali si giudica il valore di una Internet company quando
va in borsa. Ma c’è di più: gli archivi stessi sono diventati
un bene di mercato.
-
Il caso Double Click. Alla fine di gennaio del 2000, dopo innumerevoli
denunce dei consumatori e delle associazioni che si battono per la tutela
della privacy, Double Click (la maggiore concessionaria di pubblicità
online del mondo) ammise di avere associato un nome e un cognome a tutti
coloro che avevano visitato i siti che ospitavano banner gestiti dai suoi
server. I numeri erano enormi: i banner di Double Click erano all’epoca
collocati su 11.500 siti, la stima degli utenti oggetto di schedatura di
circa 100 milioni di utenti di Internet. Il tracciamento era stato possibile
dopo che Double Click aveva acquistato Abacus Direct, una società
di direct marketing che possiede i profili di 90 milioni di famiglie americane.
Combinare i due database era stato semplicissimo. E la concessionaria aveva
ottenuto la possibilità di conoscere alla singola pagina le abitudini
di navigazione di una quantità impensabile di persone. Che rimanevano,
ovviamente, all’oscuro di tutto. Lo scandalo fu grande. E alla fine il
presidente Kevin O’Connor fu costretto a chiedere scusa e fare marcia indietro.
Ma l’episodio servì a far capire che l’età dell’innocenza
telematica era ormai finita. Casi come questo sono aggravati dal fatto
che i banner spesso sono assolutamente invisibili, si presentano cioè
come immagini incolori grandi quanto un pixel. In questo caso si chiamano
web bug. Qualcuno ha provato a scovarli, individuandone il nome, e setacciando
il codice html delle pagine web. Il risultato è sconcertante (segue
demo http://users.rcn.com/rms2000/privacy/wbfind.htm).
-
Il caso Amazon. Un altro caso che ha fatto molto discutere è
quello che ha coinvolto Amazon, cioè la più importante società
di commercio elettronico del mondo. I siti americani sono infatti tenuti
a dichiarare una privacy policy, a spiegare cioè agli utenti in
che modo saranno trattati i loro dati personali. Ebbene, a fine agosto
dello scorso anno, i venti milioni di utenti della società di Jeff
Bezos si sono visti recapitare una e-mail che spiegava che la politica
del sito era cambiata: "Dal momento che continuiamo sviluppare il nostro
business – si leggeva – noi potremo vendere o comprare attività
commerciali. In queste transazioni, le informazioni sui clienti fanno generalmente
parte delle attività trasferite. Nell’improbabile circostanza che
Amazon, o le sue attività, siano acquistate da altri, le informazioni
saranno naturalmente uno degli oggetti del trasferimento". I dati personali
dei clienti erano cioè diventati una preziosa merce di scambio.
Con un dettaglio non del tutto trascurabile. Che nessuno aveva chiesto
agli utenti se erano d’accordo a dare i loro dati a società sconosciute,
a persone diverse da quelle delle quali avevano liberamente scelto di diventare
clienti.
-
La posta in gioco. Si tratta solo di due casi emblematici. Ma non
sono gli unici. Testimoniano che nell’era tecnologica il cosiddetto trattamento
dei dati personali è diventato estremamente semplice per chi lo
fa e invasivo per chi lo subisce. Le nostre generalità e le nostre
preferenze, le nostre abitudini e le nostre vite sono visibili dall’esterno
come se vivessimo in una casa con le pareti di cristallo. Un po’ come nel
Grande fratello televisivo. Con due differenze sostanziali. La prima è
che noi spesso non ne sappiamo niente. La seconda è che tutto questo
non avviene a scopo di voyeurismo, ma per una ragione molto più
semplice e brutale: il business.
-
Il problema della transnazionalità della Rete. A complicare
le cose c’è una delle caratteristiche peculiari della grande rete.
In Internet non esistono confini nazionali. E soprattutto: in Internet
non esistono confini giurisdizionali. Che cosa succede se un sito americano
viola la legge italiana, cosa succede se un sito americano utilizza server
che si trovano a Singapore e commercia con cittadini europei in violazione
delle loro leggi? Al di là del problema tecnico (come rintracciare
chi non rispetta le leggi) ce n’è uno giuridico: chi giudica, e
in base a quali norme sostanziali e processuali?
3. PROFILI GIURIDICI
-
La legislazione italiana ed europea. In Europa la privacy dei cittadini
è protetta in forme molto garantiste. La riservatezza è cioè
un bene protetto alla stregua di diritto soggettivo. La legge 675/96, nota
come legge sulla privacy, recepisce integralmente la direttiva europea
sul trattamento dei dati personali. Fissando una serie di obblighi in capo
a chi gestisce banche dati e archivi, ma soprattutto stabilendo una serie
di diritti di cui il cittadino può avvalersi. Il titolare del trattamento
deve notificare al Garante di quali dati è in possesso e in che
modo intende usarli, indicando anche la persona responsabile del trattamento
stesso. Ma questo non basta: per poter trattare dati personali, deve ottenere
il consenso scritto dell’interessato. A quest’ultimo sono riconosciuti
una serie di diritti: deve poter accedere alla banca dati, chiedere di
esserne cancellato o modificare dati che ritenga inesatti. Tutto questo
fatti salvi, alcuni dati, definiti sensibili, che possono essere oggetto
di trattamento solo con l’autorizzazione preventiva del Garante, il consenso
dell’interessato, e stringenti motivi che devono essere stabiliti dalla
legge: sono i dati che riguardano "l’origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione
a partiti, sindacati, associazioni o organizzazioni a carattere religioso,
filosofico, politico o sindacale, nonché i dati personali idonei
a rivelare lo stato di salute e la vita sessuale". Tutto questo si applica,
ovviamente, anche ai dati trattati in forma telematica.
-
L’autoregolamentazione americana. Gli Stati Uniti sono stati il
primo paese al mondo a definire e riconoscere il concetto di privacy ("The
right to be let alone"). Per cultura e tradizione sono però restii
a garantire con la legge alcuni diritti. Per la privacy questo è
particolarmente rilevante. La strada scelta è stata quella dell’autoregolamentazione
da parte delle imprese. "Nel nostro paese la privacy è protetta
più dalle nostre norme sociali che dalle nostre leggi", ha detto
qualche giorno fa Wendy Parmet, docente di diritto alla Northeastern University.
Il dibattito sulla riservatezza è quindi affidato all’industria
e alle associazioni di consumatori, si risolve quindi – per grandi linee
– in uno scontro fra lobby. L’avvento delle nuove tecnologie ha però
aperto feroci polemiche. I consumatori chiedono una tutela più stringente,
persino la Federal and Trade Commission è intervenuta per chiedere
al Congresso di approvare una legge. Ma niente di concreto si è
fatto finora. La privacy degli americani è sostanzialmente nella
mani del buon senso delle grandi società e della combattività
della associazioni. Un paradosso che era stato predetto dall’uomo che 70
anni fa ha letteralmente "inventato" la privacy. Louis Brandeis, poco dopo
aver redatto la storica sentenza della Corte suprema che negava il diritto
della polizia di fare intercettazioni senza le opportune garanzie, aveva
infatti detto: "I progressi della scienza, che fornisce al governo nuovi
mezzi di spionaggio, probabilmente non lo fermeranno dal fare intercettazioni".
La tecnologia è un’arma troppo potente per non essere usata.
-
L’accordo di "safe harbor". Le società americane, però,
commerciano via Internet con quelle europee. Che invece sulla privacy hanno
un atteggiamento – come si è detto – molto più severo. Come
conciliare questo conflitto giuridico e giurisdizionale? Nel luglio 2000,
l’amministrazione Clinton e la Commissione europea hanno concluso un accordo
(operativo dal mese di ottobre) detto di Safe harbor (Porto sicuro). Stabilisce
che le società americane, quando effettuano transazioni commerciali
con cittadini europei devono rispettare le normative a tutela della privacy
vigenti in Europa. L’accordo, che comunque costituisce un passo avanti,
è stato duramente criticato dal Garante italiano per la privacy
Stefano Rodotà e dal gruppo dei Garanti europei. Perché?
Perché i punti deboli sono troppi: perché non sono previste
sanzioni per chi viola l’accordo, perché alla Ftc è riconosciuto
solo un ruolo di garanzia e arbitrato. Ma soprattutto perché l’adesione
all’accordo è, per le imprese, su base volontaria. Chi ritiene di
non aderire è liberissimo di farlo, e finisce, diciamo così,
in "una lista dei cattivi" che le autorità europee potrebbero rendere
nota ai cittadini. Ma senza conseguenze ulteriori. Un meccanismo troppo
blando per essere efficace. E infatti le società che hanno aderito
sono pochissime. E fra esse non c’è nessuno dei big mondiali del
commercio elettronico. I termini per l’adesione scadono il 30 giugno. L’unico
grosso gruppo che ha annunciato (ma non formalmente ratificato) la volontà
di partecipare al momento è Microsoft.
-
Conclusioni. In realtà una conclusione vera non c’è.
Non si può che prendere atto del fatto che la privacy su Internet
è al momento lungi dall’essere un diritto come la nostra legge prevede.
Per problemi tecnici: la tecnologia viaggia ad una velocità tale
da travolgere tutto quello che si trova sul suo cammino, a maggior ragione
quando il suo carburante sono interessi economici miliardari. Per problemi
giuridici: un diritto internazionale della Rete non esiste (e questo per
certi versi potrebbe anche essere un bene). E i diritti nazionali si trovano
spesso impotenti di fronte alle numerose illiceità che quotidianamente
si verificano. I passi fatti finora sono troppo piccoli e insufficienti.
Gli unici risultati si sono ottenuti quando la cosiddetta società
civile, cioè l’insieme dei consumatori, è scesa in campo.
In attesa di un progresso sul fronte giuridico internazionale (che è
comunque inevitabile), è proprio dal basso che si deve partire.
Con la conoscenza del fenomeno in primo luogo. Ma anche con la protesta
organizzata.
IN RETE
Electronic Privacy Information Center
(www.epic.org)
Privacy Foundation
(www.privacyfoundation.org/)
Privacy.net
(www.privacy.net)
Cookie Central
(www.cookiecentral.com)
Privacy e Internet: dossier di Repubblica.it
(www.repubblica.it/online/tecnologie_internet/track/presentazione/presentazione.html)
Garante per la privacy
(www.garanteprivacy.it)