Blog, commenti e privacy

Autore: Avv. Hermans Joseph IEZZONI   Data: 5 settembre 2008

Discorrevo tempo fa con amici sui difetti delle piattaforme per bloggare. Così m’ero ripromesso che prima o poi avrei trattato l’argomento della privacy e dei commenti.

Mentre giocavo a realizzare un plug-in Privacy IP (ndr. l’autore è conscio che non sia niente di che non allarmatevi ), per uso interno dei miei blog, di cui vi parlerò tra gli esempi del post, ho cominciato a scrivere, senza pretesa di esaustività, alcune cose che, almeno a livello di intenti, dovrebbero essere dei suggerimenti rivolti ai blogger.

Come in molti avranno notato le piattaforme sono carenti di opzioni che impediscano di raccogliere informazioni, come l’indirizzo IP, dell’ignaro commentatore di turno.

Certo la sezione commenti rappresenta un momento di confronto con le opinioni altrui ma è anche un punto dolente.

Può capitare, infatti, che attraverso di essa si scatenino liti, vere e proprie zuffe tra blogger culminanti in offese di ogni tipo.

In questi casi, il ricorso alla moderazione è la via breve per rimuovere le parti incriminate o cancellare il tutto.

Il dubbio però resta e si affaccia anche la preoccupazione di non finire schiacciati dalla burocrazia, nonostante la fortezza dell’articolo 27 della Costituzione, come e perché lo si appurerà dalle contestazioni successive non mancando certo di fantasia i burocrati.

Così ragionando, tutte le informazioni supplementari ricavate dai commenti hanno un valore positivo.

Consentono, infatti, di attribuire un ben preciso profilo all’autore di essi.

Favoriscono, in buona sostanza, quel distacco/distanza tra autore delle offese e blogger.

Tutto fa brodo in un certo senso.

Ma negli altri casi?

I dati si accumulano e finiscono per ingrassare una vera raccolta, o meglio un trattamento.

Prima di continuare la lettura, vi invito a recuperare concetti che avevo già espresso in vecchi post:

- E’ possibile che un indirizzo ip riceva protezione dalle norme a tutela della privacy? (1^ parte);

- IP, Graffiti e Dati Personali (2^ parte);

- Libertà digitale? Tra privacy e violenza… riflessione e spunti sulla difficile linea di confine fra informatica e diritto;

- Anti-violence;

- Privacy, caso Satakunnan Markkinapörssi e Satamedia, depositate le conclusioni dell’Avvocato Kokott ;

L’incertezza impone cautela, ma genera distorsioni. Sul capo dei blogger si affacciano nuovi tentacoli.

Perché?

La raccolta di tutte queste informazioni supplementari avviene spesso all’insaputa di chi commenta.

Se fate caso, ogni form lascia alla libera determinazione solo i campi nome, url e testo. Ma poi si associano altri dati e non sempre è possibile accedervi per rimuoverli.

Le ragioni di questo limite sono varie, ad esempio perché la piattaforma è del tutto blindata e assistita dal fornitore del servizio o dell’hosting.

Informazioni che non sono neppure nella disponibilità diretta dell’autore del blog e nulla si potrà garantire circa la loro destinazione e diffusione.

Familiarizzando meglio con il lessico della privacy, qualcuno rammenterà che si parla sempre di “dato” ma in estrema sintesi che cosa è?

Si tratta di un’informazione che può essere veicolata attraverso un qualsiasi supporto. Ma, badate bene, non “ogni” informazione solo quelle che conducono ad una persona.

Dunque, un dato non è personale se attraverso di esso non si può individuare una persona fisica o giuridica.

Tra i dati personali vi è una distinzione. Essa si basa principalmente su quello che io chiamo parametro di aggressione: quanto più si apprende sulla persona a cui appartengono i dati tanto più essa può ricevere un danno.

Per questa ragione, diversamente dalla maggioranza degli interpreti , preferisco unire tra loro le categorie di dati sensibili, giudiziari e particolari sotto un grande gruppo, cioè dati ad elevato rischio.

La spiegazione di questa scelta è semplice: tutti questi dati, ossia i sensibili, i giudiziari e i particolari, sono in grado di rivelare qualcosa in più rispetto ai comuni, questi ultimi si possono riassumere nelle informazioni anagrafiche e in quant’altro sia rinvenibile anche mediante un semplice accesso ai documenti pubblici.

Spesso questi frammenti di dati sono così annodati tra loro che in uno stesso contesto è possibile ricavare un quadro anche delle condizioni finanziarie o dell’orientamento sessuale di un soggetto.

Anche i commenti costituiscono una vetrina ricca di informazioni per chi ha la pazienza di unire i punti tra loro. Non sarebbe impossibile creare un profilo di un commentatore, difficile ma non impossibile.

Ed allora mi sorge anche una domanda siamo realmente consapevoli di questi aspetti della blogosfera?

Dai miei vecchi post, si sarà percepita la ragione che mi spinge a considerare un punto dolente anche la raccolta dell’IP.

Informazioni insignificanti sono in grado di evolvere fino a dati sensibili e rivelare, ad esempio, l’orientamento politico o sessuale dei nostri commentatori aldilà degli stratagemmi usati per nascondersi in rete.

Se riusciste a guardare il web dall’alto, come fossero le linee di Nazca, anzi a ridurlo ad una serie di stanze con tante macchine che chiacchierano tra loro, riuscireste forse a cogliere uno dei problemi che non si scrolla di dosso l’essenzialità digitale.

Accidenti, mi correggo. Se osservaste dentro questa nullità elettrica la vedreste pulsare e scambiare dati su dati. E di questa continua dispersione non dovrebbe in alcun modo importarci se non fosse che ivi transitano anche informazioni di persone.

Forse occorre un po’ di fantasia per immaginarsi i protocolli come chiacchiericcio ma renderebbe bene l’idea.

Tanti servizi sul web appartengono a questo rumore di fondo e fanno anche capo a società unite in un medesimo gruppo. Così i blog finiscono per completare un quadro.

Quante tracce avete disperso di blog in blog? Proviamo ad unire i punti fra loro?

Se vi carpiscono, come sembra essere successo tra le pieghe concitate dell’oscuramento di The Pirate Bay, informazioni di navigazione, banalmente, è come se vi avessero portato via un segreto che non avreste mai confidato ma prima di tutto vi hanno usato riducendo a carta straccia le norme poste a vostra tutela.

Qualcuno potrebbe già aver iniziato ad unire tutti i vostri punti per tracciare un profilo.

Il chiacchiericcio, la continua dispersione di dati, come già scrivevo, attrae dal cassetto dell’astratto l’eventualità che un blogger venga considerato responsabile del trattamento di informazioni.

Domandiamoci il perché della Privacy?

Esiste, e deve esistere, un diritto al dominio assoluto ed esclusivo sulla conoscibilità delle informazioni che ci appartengono.

Ma il legislatore lo intende così?

Ho delle perplessità al riguardo. Nell’ambito europeo la sua evoluzione è passata da un riconoscimento convenzionale, ai diritti dell’uomo fino al debutto di rango nella Carta dei Diritti Fondamentali dell’Unione Europea.

Ad oggi, semplificando, la privacy è materia affrontata dagli Stati con il recepimento di varie direttive, l’emanazione di norme puntuali e l’istituzione di referenti, o meglio di autorità indipendenti, i Garanti, con l’obbligo di sorvegliare, assicurare, coordinare, disciplinare e vigilare sul rispetto anche della dignità nel trattamento dei dati.

Abbiamo familiarizzato un po’ con i concetti relativi alla privacy, semplificando ulteriormente, diremo che l’interessato è colui a cui appartengono i dati e a lui si contrappongono tutti coloro che li trattano.

Nel ciclo di raccolta finiscono anche i blog, peggio se attraverso alcuni loro meccanismi che, basandosi semplicisticamente sulla dispersione di dati tipica delle macchine, accumulino informazioni ad insaputa della persona che lasci un commento.

Ma in che cosa consiste il trattamento?

Si tratta di ogni operazione che può essere compiuta sul dato ed è indipendente dal fatto che si utilizzi uno strumento rispetto ad un altro.

Per essere ancora più semplici, si compie un’operazione quando si comunica oralmente l’informazione al pari di scriverla dentro un database.

Nello specifico costituiscono trattamento: il blocco, la cancellazione, la comunicazione, la conservazione, la consultazione, la diffusione, la distruzione, l’elaborazione, l’estrazione, l’interconnessione, la modificazione, l’organizzazione, la raccolta, il raffronto, la registrazione, la selezione e l’utilizzo.

Ricordate anche come ogni strumento o procedura debba ridurre il più possibile l’uso di dati personali identificativi, cioè che il trattamento in fin dei conti deve permettere di poter risalire all’individuo ma non deve essere concepito a questo scopo.

L’individuazione, in un certo qual modo, deve risultare eventualità… se e solo se vengano associati e poi estratti tra loro tutti i punti che conducono alla persona.

Teniamo anche in debito conto il fattore sicurezza.

Chi tratta i dati deve attuare obbligatoriamente almeno le misure minime per proteggerli.

Le piattaforme di blog sono vulnerabili al pari di ogni sito web. Esempi recenti per Wordpress li trovate leggendo il post di Maxime , l’appello di Wolly su Wordpress Italy e in molti conosceranno BlogSecurity.

Si usa il codice per risolvere un problema e si inverte lo stesso codice per scovare una vulnerabilità, così l’uomo ha fatto sua l’abitudine di approfittarsi della debolezza del golem macchina.

Il pericolo di un accesso non autorizzato alle informazioni raccolte attraverso i blog non è una probabilità ma un evento non trascurabile. E chi raccoglie i dati dovrebbe anche garantire che non finiscano in mani sbagliate, impedendo così ogni principio di una loro diffusione.

Dovrebbe non fosse altro che per non doverne rispondere in sede civile e penale o davanti al Garante.

Il trattamento deve avvenire in modo lecito e secondo correttezza. Cosa che non è pienamente rispettata dalla sezione commenti presente nei blog, dove anzi si registrano informazioni aggiuntive per scopi che non vengono in alcuno modo esplicitati.

I blog hanno messo radici su un groviglio giuridico per tante ragioni, non ultimo alla raccolta di dati si accompagna, per certi versi, un trasferimento degli stessi all’estero, in paesi fuori dell’Unione Europea per i quali occorre: l’autorizzazione esplicita dell’interessato e persino del Garante, dare seguito ad obblighi di controllo sull’uso che ne verrà fatto all’estero e rispettare doverosi altri limiti.

Come rimediare?

Il metodo più opportuno, oltre che semplice, è quello di creare una pagina apposita in cui inserire un’informativa che andremo, successivamente, a richiamare all’interno del template, preferibilmente dalla sezione dei commenti.

Ecco un esempio pratico, per utenti Blogger – Splinder – WordPress.com, di quello che andremo a scrivere in un post dal titolo “Informativa sulla privacy“:

La presente informativa ha ad oggetto il blog [NOME], raggiungibile all’indirizzo [http://www], i cui contenuti sono gestiti da [I VOSTRI DATI].

Il blog non raccoglie dati sensibili relativi alla legge sulla privacy, tuttavia nell’area commenti il visitatore, che decida di esprimere la sua opinione, può liberamente lasciare alcune informazioni tra le quali il proprio nome e l’indirizzo e-mail.

Questi dati saranno archiviati, per ragioni di sicurezza, assieme al commento con strumenti elettronici o comunque automatizzati, così che il visitatore, lasciando un commento, accetta che la sua e-mail venga conservata, assieme agli altri dati che lo compongono, ivi compreso l’indirizzo IP. Questi dati, però, non verranno resi pubblici o divulgati.

Poiché la piattaforma in uso è stata realizzata da un soggetto diverso rispetto al curatore dei contenuti del blog, nello specifico [ indicare il nome della società che offre la piattaforma per bloggare, ad esempio nel caso di Blogger la società sarà la Google Inc. , per Splinder la Dada S.p.A. e per Wordpress.com la Automattic, Inc. ] , non si esclude, per ragioni tecniche, che tale società associ ad ogni commento dati ulteriori.

Si fa presente come i server, a fini statistici e di sicurezza, facciano uso di file di log per archiviare informazioni come gli indirizzi IP, l’ISP, il percorso d’ingresso e di uscita o le pagine visitate. Solitamente tali dati non conducono all’identificazione di una persona fisica ma non è possibile escludere che un software, appositamente sviluppato, sia in grado di incrociarli al fine di risalire da una macchina al profilo di un utente.

Per le ragioni esposte si invitano gli utenti di questo blog a visitare e far riferimento anche alla policy della società [indicare se Google Inc. , Dada S.p.A. o Automattic Inc.] raggiungibile alla seguente pagina: [ se Google Inc. indicare l'url -> http://www.google.com/privacy.html , per Dada S.p.A. -> http://www.splinder.com/node/view/12814812 o per WordPress.com -> http://automattic.com/privacy/ ] .

Il blog fa uso di cookie, ossia di file che vengono memorizzati, durante la navigazione dei suoi contenuti, nella memoria di massa della macchina in uso. All’interno di questi file sono raccolte informazioni che consento ad esempio di ricordare i parametri di alcune ricerche, i campi di testo digitati o le pagine già lette.

La gran parte dei browser permette di scaricare in modo automatico i cookie. L’utente può disattivare tale impostazione agendo sulle opzioni offerte dal software di navigazione. Si fa presente che alcune pagine potrebbero non risultare navigabili a causa del rifiuto dei cookie.

Se ospitiamo della pubblicità aggiungeremo le seguenti righe:

Il blog ospita della pubblicità esterna offerta dal servizio [ad esempio indicare Google Adsense o dalla società TradeDoubler]. Questa pubblicità fa uso di particolari cookie definiti persistenti e l’informativa della privacy della società che offre il servizio di advertising è raggiungibile al seguente indirizzo [per Google adsense indicare -> http://www.google.com/privacy.html e per TradeDouble -> http://www.tradedoubler.it/pan/cms/privacy_policy ]. Il visitatore, accettando la presente informativa, autorizza il trattamento dei dati con le modalità descritte dalla predetta società.

Per richiamare l’informativa chi usa Blogger è agevolato. Dovrà semplicemente aggiungere, in Impostazioni > Commenti alla casella “Messaggio del modulo dei commenti”, un avviso di questo tipo:

Caro lettore commentando dichiari di aver letto e accettato la privacy policy di questo blog raggiungibile a questa pagina <a href=”http://www”>http://www</a>.<br />

Gli utenti Splinder potranno aggiungere l’avviso, subito prima dell’istruzione <$BlogItemCommentList$>, copiando il seguente codice:

<p>Caro lettore commentando dichiari di aver letto e accettato la privacy policy di questo blog raggiungibile a questa pagina <a href=”http://www”>http://www</a>.<br /></p>

Su Wordpress.com, chi non ha fatto l’upgrade a pagamento, troverà pratica la barra di navigazione delle pagine presente in quasi tutti i temi di default, in caso contrario potrà inserire un link nella sidebar. Mettendo mano invece al template, si potrà aggiungere lo stesso avviso prima del codice che richiama il seguente pulsante:

<input name=”submit” type=”submit” id=”submit” tabindex=”5″ value=”Inserisci commento” />

Veniamo al contatore statistico, quando è presente, l’informativa andrà integrata come da esempio:

Sul blog è presente un contatore di accessi, il cui servizio rileva per scopi statistici solo dati comuni e non specifici in forma anonima, aggregata e non identificabile individualmente. In tale modo risulta impossibile una correlazione diretta tra statistiche e singolo visitatore. Il servizio è comunque protetto da password e i terzi non possono accedervi. Il visitatore, accettando la presente informativa, autorizza la raccolta dei dati statistici con le modalità descritte.

Se il contatore è offerto da una società esterna, ad esempio la Protosconnect SAGL (histats), la Google Analytics o la Shiny S.r.l. (ShinyStat), o quando si utilizzano i servizi di WordPress.com, dovremo aggiungere una riga simile a questa:

Il servizio statistico è offerto da [indicare il nome della società ad esempio Protosconnect o Shiny] la cui privacy policy è accessibile al seguente url: [inserire l'url della pagina contenente l'informativa].

Per completare l’informativa aggiungeremo anche un riferimento ai diritti degli utenti:

Si rammenta che l’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. Ha diritto di ottenere l’indicazione: dell’origine dei dati personali; delle finalità e modalità del trattamento; della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; degli estremi identificativi del titolare, dei responsabili e del rappresentante designato, dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza. Ha, inoltre, diritto di ottenere: l’aggiornamento, la rettificazione, l’integrazione, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, l’attestazione che le operazioni sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi. Ha diritto di opporsi, in tutto o in parte, per motivi legittimi al trattamento dei dati personali che lo riguardano e al trattamento per fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

Chi, invece, si appoggia ad un hosting personalizzato farà attenzione a modificare l’informativa in modo da richiamare i termini di servizio della società che gestisce l’hosting. Consiglio, inoltre, di prestare attenzione alla presenza di qualche contatore di troppo. Per farvi un esempio i miei blog si appoggiano ai servizi della Società Aziende Italia S.r.l. (WebPerTe per capirci), ma questa non blocca di default l’accesso al contatore presente sull’hosting. Quest’ultimo risulta così raggiungibile semplicemente completando l’url del blog con “/plesk-stat/webstat/”. Per il ragionamento già esposto, capirete bene come l’accesso indiscriminato a questi dati dovrebbe invece essere bloccato di default.

Chi ha familiarità con Wordpress avrà notato come ogni informazione venga sistematicamente archiviata nel database di servizio. Volendo risolvere dal principio il problema della raccolta di informazioni, si potrebbe agire mettendo mano al codice della piattaforma, ma i continui aggiornamenti della stessa rendono poco pratico questo approccio.

Fermo restando che possono esserci più soluzioni ad un medesimo problema, io ho scelto di agire sul database più che sulla piattaforma in modo da epurare i commenti dalle informazioni di troppo:

UPDATE ‘wp_comments’ SET ‘comment_author_IP’ = ‘[Privacy]‘,
‘comment_agent’ = ‘[Privacy]‘ ;

Il metodo citato, può essere ulteriormente raffinato, magari escludendo i commenti non approvati con la condizione:

WHERE ‘comment_approved’ = ‘1′

Si può fare senz’altro di più, ad esempio un plug-in che velocizzi l’aggiornamento dei campi. Mentre ci riflettevo ne ho realizzato uno per uso interno dei miei blog. Vi metto il link per provarlo a titolo di esempio, magari qualcuno prenderà così qualche spunto. Il codice è compatibile con la versione 2.6, 2.6.1.,2.6.2, 2.6.3, 2.6.5, 2.7 e 2.7.1 di Wordpress, ma vi consiglio di fare sempre un backup dato che l’operazione di aggiornamento dei campi non è reversibile:

- Privacy IP

Impronta MD5 di “privacyip.php”: 58BB1AE86091800B66DC4F8995763B77

Impronta MD5 di “privacyip.rar”: 2732977E88EA5816A2BED474B9913D24

<?php
/*
Plugin Name: Privacy IP
Plugin URI: http://hermansji.it/blog-commenti-e-privacy-prima-parte/
Description: Questo non e’ un vero e proprio plug-in, ma un esempio didattico di implementazione dei concetti espressi dal suo autore a partire da questo post: http://hermansji.it/blog-commenti-e-privacy-prima-parte/
Version: 0.4
Author: hermansji .:.
Author URI: http://hermansji.it/
Copyright: privacyip.php – Copyright (C) 2008 hermansji .:. http://hermansji.it, This program is free software: you can redistribute it and/or modify
it under the terms of the GNU General Public License as published by the Free Software Foundation, either version 3 of the License, or
(at your option) any later version. This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details. You should have received a copy of the GNU General Public License along with this program. If not, see <http://www.gnu.org/licenses/>.
*/
# avvia il plug-in in wordpress
if
(
!defined
(
‘ABSPATH’
)
)
die
(
‘No no!! Non si fa!!’
)
;
# aggiorna i campi IP ed Agent nella tabella commenti
function
riservatezza
(
)
{
print
(
“<br />”
)
;
$wpdb
=&
$GLOBALS
[
'wpdb'
]
;
$tart
=
mysql_connect
(
DB_HOST,
DB_USER,
DB_PASSWORD
)
or
die
(
‘Si sono verificati dei problemi mentre tentavo di stabilire una connessione… ‘
);
?>
<div
class
=
“wrap”>
<p
style
=
“background-color: #949187; border: 0.1em solid #ffffff; color: #ffffff; padding:0 0 0 36px; margin:0.5em 0;”>
Sono connesso a MySQL!! : -)
</p>
</div>
<?php
mysql_select_db
(
DB_NAME,
$tart
)
or
die
(
‘Si sono verificati dei problemi mentre tentavo di accedere al database ‘
);
?>
<div
class
=
“wrap”>
<p
style
=
“background-color: #949187; border: 0.1em solid #ffffff; color: #ffffff; padding:0 0 0 36px; margin:0.5em 0;”>
Ho aperto il database!! : -)
</p>
</div>
<?php
mysql_query
(
“UPDATE ‘”
.$GLOBALS[
'table_prefix'
].
“comments’ SET ‘comment_author_IP’ = ‘[Privacy]‘,’comment_agent’ = ‘[Privacy]‘ WHERE ‘comment_author_IP’ <> ‘[Privacy]‘ AND ‘comment_approved’ = ‘1′”
,
$tart
)
or
die
(
‘Si sono verificati dei problemi mentre aggiornavo la tabella… ‘
);
?>
<div
class
=
“wrap”>
<p
style
=
“background-color: #949187; border: 0.1em solid #ffffff; color: #ffffff; padding:0 0 0 36px; margin:0.5em 0;”>
Ho aggiornato i campi IP ed Agent!! : -)
</p>
</div>
<?php
mysql_close
(
$tart
)
or
die
(
‘Si sono verificati dei problemi mentre tentavo di chiudere la connessione al database… ‘
)
;
?>
<div
class
=
“wrap”>
<p
style
=
“background-color: #949187; border: 0.1em solid #ffffff; color: #ffffff; padding:0 0 0 36px; margin:0.5em 0;”>
Ho chiuso la connessione a MySQL!! : -)
</p>
</div>
<?php
}
# qualche info spartana sul plug-in
function
informazioni
(
)
{
?>
<div
class
=
“wrap”>
<p
style
=
“background-color: #cce4ff; border: 0.1em solid #0e31e1; color: #0e31e1; padding:10px 10px 10px 36px; margin:0.5em 0;”>
Questo non e’ un vero e proprio plug-in, ma un esempio didattico di implementazione dei concetti espressi dal suo autore a partire da questo post: <a href=”http://hermansji.it/blog-commenti-e-privacy/”>Blog, commenti e privacy</a>. Il suo scopo e’ sostituire i campi IP ed Agent, della tabella commenti approvati, con la parola [Privacy].
</p>
<p
style
=
“background-color: #f4c8ce; border: 0.1em solid #d90322; color: #d90322; padding:10px 10px 10px 36px; margin:0.5em 0;”>
<strong>
Attenzione: l’operazione non e’ reversibile !! Si consiglia di fare un backup prima di utilizzare questo plug-in !! Il funzionamento e’ stato testato sulle versioni 2.6, 2.6.1, 2.6.2, 2.6.3, 2.6.5, 2.7 e 2.7.1 di Wordpress e su MySQL: 5.0.51b. Ricordate che l’autore non fornisce alcun supporto o garanzia sull’utilizzo di questo plug-in.
</strong>
</p>
<p
style
=
“background-color: #f9d060; border: 0.1em solid #cc0000; color: #cc0000; padding:10px 10px 10px 36px; margin:0.5em 0;”>
Copyright (c) 2008 <a href=”http://hermansji.it/”>hermansji .:.</a> – This program is free software: you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation, either version 3 of the License, or (at your option) any later version. This program is distributed in the hope that it will be useful,but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details. You should have received a copy of the GNU General Public License along with this program. If not, see <a href=”http://www.gnu.org/licenses/”>http://www.gnu.org/licenses/</a>.
</p>
</div>
<form
method
=
“post”>
<input
style
=
“border: 0.1em solid #cc0000; margin: 0 0 0 51px;” class=”button-secondary” type=”submit” name=”approvo”
value
=
“<?php echo $ok ? ” : ‘Approvo’; ?>”/>
</form>
</div>
<?php
if
(
preg_match
(
‘/Approvo/’
,
$_POST
[
'approvo'
]
)
)
$ok
=
riservatezza
(
)
;
}
# registra il plug-in per operare all’interno di WP
function
registrami
(
)
{
if
(
function_exists
(
‘add_submenu_page’
)
)
// fai riferimento a questa pagina http://codex.wordpress.org/Adding_Administration_Menus
add_submenu_page
(
‘edit-comments.php’
,
‘Privacy IP’
,
‘Privacy IP’
,
8
,
__FILE__
,
‘informazioni’
)
;
}
add_action
(
‘admin_menu’
,
‘registrami’
)
;
# the end… o almeno così dicono?>

Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero

Autore: Avv. Hermans Joseph IEZZONI   Data: 12 agosto 2008

Il Garante Privacy, attraverso le linee guida, pubblicate nella Gazzetta Ufficiale n. 178 del 31 luglio 2008, si rivolge agli ausiliari del Giudice ed ai consulenti di parte. A questi indica di sfrondare gli archivi di tutto il materiale superfluo acquisito attraverso l’attività svolta.

Il provvedimento, ad una attenta analisi, pare voler evitare che, documenti di particolare delicatezza processuale e non solo, possano costituire oggetto di una diffusione incontrollata sfuggendo alle regole di estrazione copia, dietro domanda qualificata alle cancelleria presso la quale sono stati depositati.

Tutta la documentazione fornita od acquisita per la consulenza dovrà essere depositata assieme alla relazione finale di consulenza. Sfuggono a questa rigida regola gli atti necessari, anche fiscalmente, a testimoniare l’attività espletata e quelli per i quali vi è una autorizzazione da parte del magistrato od un’eccezione di legge.

Segue il testo del provvedimento:

Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero

Gazzetta Ufficiale n. 178 del 31 luglio 2008

Registro delle deliberazioni Del. n. 46 del 26 giugno 2008

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna in presenza del prof. Francesco Pizzetti presidente del dott. Giuseppe Chiaravalloti vice presidente del dott. Mauro Paissan e del dott. Giuseppe Fortunato componenti e del dott. Giovanni Buttarelli segretario generale;

V1STO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003 n. 196) anche in riferimento all’art. 154 comma 1 lett. h);

R1TENUTA la necessità di provvedere in relazione ai rischi connessi al trattamento di dati personali effettuato da consulenti tecnici e periti ausiliari del giudice e del pubblico ministero nell’ambito di procedimenti in sede civile penale e amministrativa;

R1LEVATA l’esigenza di individuare un quadro unitario di misure e di accorgimenti necessari e opportuni volti a fornire orientamenti utili per i professionisti interessati;

V1STE le pertinenti disposizioni del codice di procedura civile (in particolare gli articoli da 61 a 64 e da 191 a 200) e del codice di procedura penale (in particolare gli articoli da 220 a 232 359 e 360);

V1STE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Chiaravalloti;

DELIBERA

di adottare le “Linee guida” contenute nel documento allegato quale parte integrante della presente deliberazione; di inviare copia del presente provvedimento al Ministero della giustizia e al Consiglio superiore della magistratura per opportuna conoscenza nonché – per quanto di rispettiva competenza – per l’adozione di ogni iniziativa ritenuta idonea alla massima diffusione presso gli uffici giudiziari interessati; ai sensi dell’art. 143 comma 2 del Codice di trasmettere al Ministero della giustizia-Ufficio pubblicazione leggi e decreti copia del presente provvedimento unitamente alle menzionate “Linee guida” per la loro pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.

Roma, 26 giugno 2008

IL PRESIDENTE

Pizzetti

IL RELATORE Chiaravalloti

IL SEGRETAR1O GENERALE

Buttarelli

Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici
e dei periti ausiliari del giudice e del pubblico ministero

(Deliberazione n. 46 del 26 giugno 2008 – Gazzetta Ufficiale n. 178 del 31 luglio 2008)

1. Premessa

1.1 Scopo delle linee guida

1 consulenti tecnici e i periti ausiliari del giudice e del pubblico ministero coadiuvano e assistono l’autorità giudiziaria nello svolgimento delle proprie funzioni quando ciò si rende necessario per compiere atti o esprimere valutazioni che richiedono particolari e specifiche competenze tecniche (art. 61 c.p.c.; artt. 220 e 359 c.p.p.).

L’attività svolta dai consulenti tecnici e dai periti è strettamente connessa e integrata con l’attività giurisdizionale di cui mutua i compiti e le finalità istituzionali.

Nell’espletamento delle relative incombenze il consulente e il perito di regola vengono a conoscenza e devono custodire contenuti nella documentazione consegnata dall’ufficio giudiziario anche dati personali di soggetti coinvolti a diverso titolo nelle vicende giudiziarie (quali le parti di un giudizio civile o le persone sottoposte a procedimento penale) e possono acquisire altre informazioni di natura personale nel corso delle operazioni (cfr. ad esempio art. 194 c.p.c. richiesta di chiarimenti alle parti e assunzione di informazioni presso terzi; art. 228 comma 3 c.p.p. richiesta di notizie all’imputato alla persona offesa o ad altre persone). L’attività dell’ausiliario comporta quindi il trattamento di diversi dati personali talvolta di natura sensibile o di carattere giudiziario (art. 4 comma 1 lettere d) ed e) del Codice) di uno o più soggetti persone fisiche o giuridiche.

A tali trattamenti in quanto direttamente correlati alla trattazione giudiziaria di affari e di controversie si applicano le norme del Codice relative ai trattamenti effettuati presso uffici giudiziari di ogni ordine e grado per ragioni di giustizia (art. 47 comma 2 del Codice; cfr. Provv. del Garante 31 dicembre 1998 doc. web n. 39608; Provv. 27 marzo 2002 doc. web n. 1063421).

Le presenti linee guida mirano a fornire indicazioni di natura generale ai professionisti nominati consulenti tecnici e periti dall’autorità giudiziaria nell’ambito di procedimenti civili penali e amministrativi al fine esclusivo di garantire il rispetto dei princìpi in materia di protezione dei dati personali ai sensi del Codice in materia protezione dei dati persona/i (d.lg. 30 giugno 2003 n. 196).

1.2 Ambito considerato

Le predette indicazioni non incidono sulle forme processuali che gli ausiliari devono rispettare nello svolgimento delle attività e nell’adempimento degli obblighi derivanti dall’incarico e dalle istruzioni ricevuti dallautorità giudiziaria come disciplinati dalle pertinenti disposizioni codicistiche.

All’interno del paragrafo 6. sono poi formulate alcune indicazioni applicabili anche ai trattamenti di dati personali effettuati dai soggetti nominati consulenti tecnici dalle parti private con riferimento a procedimenti giudiziari (artt. 87 194 195 e 201 c.p.c.; artt. 225 e ss. 233 e 360 c.p.p.).

2.  Il rispetto dei principi di protezione dei dati personali 2.1 Considerazioni generali

La peculiare disciplina posta dal Codice con riguardo ai trattamenti svolti per ragioni di giustizia (art. 47) rende non applicabili alcune disposizioni del medesimo Codice relative alle modalità di esercizio dei diritti da parte dell’interessato (art. 9) al riscontro da fornire al medesimo (art. 10) ai codici di deontologia e di buona condotta (art. 12) all’informativa agli interessati (art. 13) alla cessazione del trattamento (art. 16) al trattamento svolto da soggetti pubblici (artt. da 18 a 22) alla notificazione al Garante (artt. 37 e 38 commi da 1 a 5) a determinati obblighi di comunicazione all’Autorità alle autorizzazioni e al trasferimento dei dati allestero (artt. da 39 a 45) nonché ai ricorsi al Garante (artt. da 145 a 151).

Sono invece pienamente applicabili le altre pertinenti disposizioni del Codice. 1n particolare il trattamento dei dati effettuato a cura di consulenti tecnici e periti deve avvenire:

nel rispetto dei princìpi di liceità e che riguardano la qualità dei dati (art. 11); adottando le misure di sicurezza idonee a preservare i dati da alcuni eventi tra i quali accessi e utilizzazioni indebite (artt. 31 e ss. e disciplinare tecnico allegato B) al Codice).

2.2 Liceità, finalità, esattezza, pertinenza

1l consulente e il perito possono trattare lecitamente dati personali nei limiti in cui ciò è necessario per il corretto adempimento dell’incarico ricevuto e solo nell’ambito dell’accertamento demandato dall’autorità giudiziaria; devono rispettare altresì le disposizioni sulle funzioni istituzionali della medesima autorità giudiziaria contenute in leggi e regolamenti avvalendosi in particolare di informazioni personali e di modalità di trattamento proporzionate allo scopo perseguito (art. 11 comma 1 lett. a) e b)) nel rigoroso rispetto delle istruzioni impartite dall’autorità giudiziaria.

1n tale quadro l’eventuale utilizzo incrociato di dati può ritenersi consentito se è chiaramente collegato alle indagini delegate ed è stato autorizzato dalle singole autorità giudiziarie dinanzi alle quali pendono i procedimenti o se questi si sono conclusi che ebbero a conferire l’incarico o da altra autorità giudiziaria competente.

Nel pieno rispetto dell’ambito e della natura dell’incarico ricevuto il consulente e il perito sono tenuti ad acquisire utilizzare e porre a fondamento delle proprie operazioni e valutazioni informazioni personali che con riguardo all’oggetto dell’indagine da svolgere siano idonee a fornire una rappresentazione (finanziaria sanitaria patrimoniale relazionale ecc.) corretta completa e corrispondente ai dati di fatto anche quando vengono espresse valutazioni soggettive di ciascun interessato persona fisica o giuridica. Ciò non solo allo scopo di fornire un riscontro esauriente in relazione al compito assegnato ma anche al fine di evitare che da un quadro inesatto o comunque inidoneo di informazioni possa derivare nocumento all’interessato anche nell’ottica di una non fedele rappresentazione della sua identità (art. 11 comma 1 lett. c)).

Particolare attenzione deve essere inoltre posta dal consulente e dal perito nell’acquisire e utilizzare solo le informazioni che risultino effettivamente necessarie in riferimento alle specifiche finalità di accertamento perseguite. 1n ossequio al principio di pertinenza nel trattamento dei dati le relazioni e le informative fornite al magistrato ed eventualmente alle parti non devono né riportare dati specie se di natura sensibile o di carattere giudiziario o comunque di particolare delicatezza chiaramente non pertinenti all’oggetto dell’accertamento peritale né contenere ingiustificatamente informazioni personali relative a soggetti estranei al procedimento (art. 11 comma 1 lett. d)).

3.  Comunicazione dei dati

Le informazioni personali acquisite nel corso dell’accertamento possono essere comunicate alle parti come rappresentate nel procedimento (ad esempio attraverso propri consulenti tecnici) con le modalità e nel rispetto dei limiti fissati dalla pertinente normativa posta a tutela della segretezza e riservatezza degli atti processuali. Fermo l’obbligo per l’ausiliare di mantenere il segreto sulle operazioni compiute (art. 226 c.p.p.; cfr. anche art. 379-bis c.p.) eventuali comunicazioni di dati a terzi ove ritenute indispensabili in funzione del perseguimento delle finalità dell’indagine restano subordinate a quanto eventualmente direttamente stabilito per legge o comunque a preventive e specifiche autorizzazioni rilasciate dalla competente autorità giudiziaria.

4. Conservazione e cancellazione dei dati

1n riferimento ai trattamenti di dati svolti per ragioni di giustizia non è applicabile la disposizione del Codice (art. 16) relativa alla cessazione del trattamento di dati personali evenienza che nel caso del trattamento effettuato dal consulente e dal perito di regola coincide con l’esaurimento dell’incarico.

Trova peraltro applicazione anche ai trattamenti di dati personali effettuati per ragioni di giustizia il dettato dell’art. 11 comma 1 lett. e) del Codice il quale prevede che i dati non possono essere conservati per un periodo di tempo superiore a quello necessario al perseguimento degli scopi per i quali essi sono stati raccolti e trattati.

Ne consegue che espletato l’incarico e terminato quindi il connesso trattamento delle informazioni personali l’ausiliario deve consegnare per il deposito agli atti del procedimento non solo la propria relazione ma anche la documentazione consegnatagli dal magistrato e quella ulteriore acquisita nel corso dell’attività svolta salvo quanto eventualmente stabilito da puntuali disposizioni normative o da specifiche autorizzazioni dell’autorità giudiziaria che dispongano legittimamente ed espressamente in senso contrario.

Ove non ricorrano tali ultime due ipotesi il consulente e il perito non possono quindi conservare in originale o in copia in formato elettronico o su supporto cartaceo informazioni personali acquisite nel corso dell’incarico concernenti i soggetti persone fisiche o giuridiche nei cui confronti hanno svolto accertamenti.

Analogamente la documentazione acquisita nel corso delle operazioni peritali deve essere restituita integralmente al magistrato in caso di revoca o di rinuncia all’incarico da parte dell’ausiliario.

Qualora sia prevista una conservazione per adempiere a uno specifico obbligo normativo (ad esempio in materia fiscale o contabile) possono essere custoditi i soli dati personali effettivamente necessari per adempiere tale obbligo.

Eventuali ulteriori informazioni devono essere quindi cancellate oppure trasformate in forma anonima anche per finalità scientifiche o statistiche tale da non poter essere comunque riferita a soggetti identificati o identificabili anche indirettamente mediante riferimento a qualsiasi altra informazione (art. 4 comma 1 lett. b) del Codice).

Tutto ciò non pregiudica l’espletamento di eventuali ulteriori attività dell’ausiliare conseguenti a richieste di chiarimenti o di supplementi di indagine che il consulente e il perito possono soddisfare acquisendo dal fascicolo processuale in conformità alle regole poste dai codici di rito la documentazione necessaria per fornire i nuovi riscontri.

5. Misure di sicurezza

5.1 Misure idonee e misure minime

Limitatamente all’espletamento degli accertamenti l’attività dell’ausiliare è connotata da peculiari caratteri di autonomia in relazione alla natura squisitamente tecnica delle indagini che si svolgono di regola senza l’intervento del magistrato.

Ricevuto l’incarico e sino al momento della consegna al giudice o al pubblico ministero delle risultanze dell’attività svolta incombono concretamente al consulente tecnico e al perito riguardo ai dati personali acquisiti allatto dell’incarico e alle ulteriori informazioni raccolte nel corso delle operazioni le responsabilità e gli obblighi relativi al profilo della sicurezza prescritti dal Codice.

L’ausiliare è tenuto quindi a impiegare tutti gli accorgimenti idonei a evitare un indebita divulgazione delle informazioni e al contempo la loro perdita o distruzione adottando a tal fine le misure atte a garantire la sicurezza dei dati e dei sistemi eventualmente utilizzati. Egli deve curare personalmente con il grado di autonomia riconosciuto per legge o con l’incarico ricevuto sia le misure idonee e preventive cui fa riferimento l’art. 31 del Codice sia le misure minime specificamente indicate negli articoli da 33 a 35 e nel disciplinare tecnico allegato B) al Codice la cui mancata adozione costituisce fattispecie penalmente sanzionata (art. 169 del Codice). Ove reso necessario dal trattamento di dati sensibili o giudiziari effettuato con l’ausilio di strumenti elettronici nell’ambito delle misure minime (art. 33 comma 1 lett. g) del Codice) deve essere redatto il documento programmatico sulla sicurezza con le modalità e i contenuti previsti al punto 19. del citato disciplinare tecnico.

5.2 Incaricati

L’obbligo di preporre alla custodia e al trattamento dei dati personali raccolti nel corso dell’accertamento solo il personale specificamente incaricato per iscritto resta fermo anche nel caso in cui il consulente e il perito si avvalgano dell’opera di collaboratori anche se addetti a compiti di collaborazione amministrativa (art. 30 del Codice). L’attività di tali incaricati deve essere oggetto di precise istruzioni oltre che sulle modalità e sull’ambito del trattamento consentito anche in ordine alla scrupolosa osservanza della riservatezza relativamente ai dati di cui vengono a conoscenza.

6. I consulenti tecnici di parte nei procedimenti giudiziari

Ferma restando ogni altra disposizione contenuta nel Codice nei provvedimenti generali adottati dal Garante e in un codice deontologico concernente le condizioni e i limiti applicabili ai trattamenti di dati personali effettuati dai consulenti tecnici di parte nei procedimenti giudiziari anche a tali trattamenti trovano applicazione i principi di liceità e che riguardano la qualità dei dati (art. 11 del Codice) e le disposizioni in materia di misure di sicurezza volte alla protezione dei dati stessi (artt. 31 e ss. e disciplinare tecnico allegato B) al Codice).

In particolare il consulente di parte:

può trattare lecitamente i dati personali nei limiti in cui ciò è necessario per il corretto adempimento dell’incarico ricevuto dalla parte o dal suo difensore ai fini dello svolgimento delle indagini difensive di cui alla legge n. 397/2000 o comunque per far valere o difendere un diritto in sede giudiziaria (art. 11 comma 1 lett. a) e b)); dati sensibili o giudiziari possono essere utilizzati solo se ciò è indispensabile; può acquisire e utilizzare solo i dati personali comunque pertinenti e non eccedenti rispetto alle finalità perseguite con l’incarico ricevuto avvalendosi di informazioni personali e di modalità di trattamento proporzionate allo scopo perseguito (art. 11 comma 1 lett. d)); salvi i divieti di legge posti a tutela della segretezza e riservatezza delle informazioni acquisite nel corso di un procedimento giudiziario (cfr. ad esempio l’art. 379-bis c.p.p.) e i limiti e i doveri derivanti dal segreto professionale e dal fedele espletamento dell’incarico ricevuto (cfr. artt. 380 e 381 c.p.) può comunicare a terzi dati personali solo ove ciò risulti necessario per finalità di tutela dell’assistito limitatamente ai dati strettamente funzionali all’esercizio del diritto di difesa della parte e nel rispetto dei diritti e della dignità dell’interessato e di terzi; relativamente ai dati personali acquisiti e trattati nell’espletamento dell’incarico ricevuto da una parte assume personalmente le responsabilità e gli obblighi relativi al profilo della sicurezza prescritti dal Codice relativamente sia alle misure idonee e preventive(art. 31) sia alle misure minime(artt. da 33 a 35 e disciplinare tecnico allegato B) al Codice; art. 169 del Codice); ove l’incarico comporti il trattamento con strumenti elettronici di dati sensibili o giudiziari è tenuto a redigere il documento programmatico sulla sicurezza (art. 33 comma 1 lett. g) e punto 19. del disciplinare tecnico allegato B)); deve incaricare per iscritto gli eventuali collaboratori anche se adibiti a mansioni di carattere amministrativo che siano addetti alla custodia e al trattamento in qualsiasi forma dei dati personali (art. 30 del Codice) impartendo loro precise istruzioni sulle modalità e lambito del trattamento loro consentito e sulla scrupolosa osservanza della riservatezza dei dati di cui vengono a conoscenza.

Informativa alla clientela e provvedimento del 19 giugno 2008 del Garante Privacy

Autore: Avv. Hermans Joseph IEZZONI   Data: 2 luglio 2008

Cade, in parte, il velo di “deificazione” che nell’opinione popolare, avvolge la figura del Garante della Privacy ed inizia, davvero, la stagione delle misure minime in tema di “privatezza”.

E’ stato, infatti, pubblicato, nella Gazzetta Ufficiale 152 del 1 luglio 2008, il provvedimento volto a semplificare l’Informativa ai Clienti dando ascolto alle lamentate difficoltà delle piccole realtà economiche.

La finalità principe è quella di snellire le procedure burocratiche per imprese di ridotte dimensioni, professionisti ed artigiani.

Così, secondo l’ottica del Garante, l’Informativa soffre spesso di un’eccessiva lunghezza burocratica anche quando la finalità, per cui è richiesta, non incide su dati sensibili o giudiziari ma degrada a profili contabili come le buste paga e la corrispondenza ordinaria.

Per queste ragioni il Garante elenca tre casi in cui il consenso non deve essere richiesto dai soggetti pubblici o è superfluo:

1) per l’adempimento di obblighi contrattuali o normativi o per finalità amministrative e contabili;

2) se i dati provengono da registri ed elenchi pubblici conoscibili da chiunque o sono relativi allo svolgimento di attività economiche dell’interessato;

3) quando si è già aperto un canale comunicativo con l’interessato, per una precedente vendita o prestazione di servizio, sarà possibile inviare ai recapiti acquisiti ulteriore materiale pubblicitario, come promuovere una vendita diretta, le ricerche di mercato o la comunicazione commerciale.

Come si può notare è il terzo punto quello che farà più discutere poiché, ferma restando la garanzia, per chi non desidera ricevere la pubblicità, di opporvisi, potrà dar luogo ad una selvaggia azione di marketing diretto su beni e servizi del titolare al trattamento.

Il Garante consiglia, tra le altre, di redigere una prima informativa breve, collocabile anche negli spazi bianchi delle corrispondenza, suggerendo il seguente contenuto:

“I SUOI DATI PERSONALI

Utilizziamo – anche tramite collaboratori esterni – i dati che la riguardano esclusivamente per nostre finalità amministrative e contabili, anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate su… [RINVIO AD UN TESTO PIU' ARTICOLATO]“

ma, forse, per un eccesso di bilanciamento di interessi tra le parti in causa, spinge troppo sulla semplificazione quando suggerisce che nel testo articolato “è possibile non inserire [...] gli elementi noti [...] riferimenti meramente burocratici o circostanze ovvie [...]” il tutto in nome di “espressioni efficaci, anche se sintetiche”.

La patata passa alle associazioni di categoria chiamate a predisporre informative – tipo per determinati settori o categorie di trattamento onde, successivamente, proporre un kit di istruzioni, con facsimile, sugli adempimenti in materia.

Congiuntamente il Garante invita il Governo a modificare l’articolo 33 del D.lgs. 196/2003 aggiungendovi il comma 1-bis: “Il Garante può individuare con proprio provvedimento modalità semplificate in ordine all’adozione delle misure minime di cui al comma 1, con riferimento ai trattamenti effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani”.

Segue il testo del provvedimento:

Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili - 19 giugno 2008 ^(*)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196) e ritenuta l’opportunità di promuovere alcune misure di semplificazione per l’intero settore pubblico e privato in relazione alle correnti attività amministrative e contabili, in particolare nei riguardi di piccole e medie imprese, liberi professionisti e artigiani;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

1. Esigenze alla base di nuove misure di semplificazione
Presso vari operatori si avverte l’esigenza di alcune semplificazioni nell’applicazione della disciplina sulla protezione dei dati personali.

La riflessione in ambito pubblico e privato è avvertita in modo particolare presso piccole e medie imprese, liberi professionisti e artigiani, per quanto riguarda la gestione di informazioni attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti utilizzate, anche in relazione a obblighi contrattuali e normativi, per correnti finalità amministrative e contabili.

Sulla base dell’esperienza acquisita in materia vengono prospettate alcune criticità rispetto a determinate modalità per adempiere a obblighi di legge o derivanti da un contratto, avvertite come troppo onerose in rapporto alle garanzie per gli interessati.

Il Garante ha completato un’analisi approfondita della problematica. In aggiunta alle misure di semplificazione disposte con decisioni per casi specifici, l’Autorità ha intrapreso varie iniziative, anche sulla base di un dialogo con le categorie interessate, che ha già comportato l’approvazione di un provvedimento di carattere generale (”Guida pratica e misure di semplificazione per le piccole e medie imprese“, Provv. 24 maggio 2007, n. 21, in G.U. 21 giugno 2007, n. 142 e doc. web n. 1412271).

Dall’istruttoria sono emerse tre valutazioni di fondo:

a) alcune modalità applicative, seguite soprattutto presso piccole imprese, liberi professionisti e artigiani, sono ancora basate su approcci prettamente burocratici e di ordine puramente formale. Istituti posti a garanzia degli interessati vengono banalizzati in contrasto con lo spirito del Codice che intende assicurare una protezione elevata dei diritti e delle libertà fondamentali “nel rispetto dei princìpi di semplificazione, armonizzazione ed efficacia” (art. 2, comma 2). Da tali prassi conseguono adempimenti superflui o ripetuti inutilmente, talvolta anche per effetto di erronee valutazioni fornite in sede di consulenza, con oneri organizzativi da cui non deriva un reale valore aggiunto ai fini della correttezza e della trasparenza del trattamento e che gli interessati avvertono con disinteresse o fastidio;

b) è possibile apportare ulteriori semplificazioni (in particolare per agevolare la corrente attività gestionale di organismi pubblici e privati di ridotte dimensioni), in aggiunta a quelle già introdotte per legge o da questa Autorità e in armonia con la disciplina complessiva, anche comunitaria, della materia, salvaguardando i diritti e le libertà fondamentali dei cittadini;

c) la protezione dei dati personali può rappresentare una risorsa, anche per piccole e medie imprese, rendere più efficiente l’attività gestionale e incrementare la fiducia degli interessati.

L’Autorità intende fornire un suo nuovo contributo in materia esercitando le attribuzioni che le sono conferite per legge.

Con il presente provvedimento sono pertanto individuate soluzioni concrete volte ad agevolare ulteriormente l’ordinaria attività di gestione amministrativa e contabile, in modo particolare rispetto ai casi in cui non sono trattati dati di carattere sensibile o giudiziario. Di seguito, vengono quindi enunciate nuove linee guida-interpretative della normativa vigente e sono individuate alcune modalità innovative per semplificare taluni adempimenti, in modo particolare per l’informativa agli interessati e il consenso.

2. L’informativa agli interessati
Diverse realtà, specie imprenditoriali di piccole e medie dimensioni, trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente per finalità di ordine amministrativo e contabile (gestione di ordinativi, buste paga e di ordinaria corrispondenza con clienti, fornitori, realtà esterne di supporto anche in outsourcing, dipendenti); spesso, ciò accade in relazione a informazioni che non hanno carattere sensibile o giudiziario.

Alcune tra le criticità menzionate riguardano le modalità con cui l’informativa è fornita per iscritto, anziché oralmente (art. 13). Sono stati formati spesso moduli lunghi e burocratici, privi di comunicatività e basati sull’eccessivo uso di espressioni prettamente giuridiche, inidonee a far comprendere le caratteristiche principali del trattamento. Alla mancanza di chiarezza si è sommata l’inutile ripetizione dell’informativa in occasione di ciascun contatto con gli interessati, frazionando le spiegazioni che andrebbero invece fornite in modo organico e possibilmente unitario.

Il Garante intende prescrivere a tutti i titolari in ambito privato e pubblico alcune misure opportune e formulare indicazioni per semplificare l’informativa nei termini di cui al seguente dispositivo (artt. 2, comma 2, 13, commi 3 e 5 e 154, comma 1, lett. c)).

3. Il consenso
Il Garante, con riferimento al consenso (art. 23), considerati i princìpi di efficacia e proporzionalità e in relazione agli artt. 2, 18, 24 comma 1 e 154, comma 1, lett. c), del Codice, intende anche prescrivere a tutti i titolari del trattamento pubblici e privati alcune misure opportune affinché non richiedano il consenso nei vari casi in cui esso non deve essere richiesto (dai soggetti pubblici) o è superfluo (per i soggetti privati). Ciò, in particolare, quando:

a) il trattamento dei dati in ambito privato è svolto per adempiere a obblighi contrattuali o normativi o, comunque, per ordinarie finalità amministrative e contabili;

b) i dati trattati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque o sono relativi allo svolgimento di attività economiche dell’interessato (v., per i presupposti relativi a ciascuno dei predetti casi, l’art. 24, comma 1; v. anche l’art. 18, comma 4).

Il Garante, in applicazione dell’istituto del bilanciamento degli interessi (art. 24, comma 1, lett. g)) intende anche individuare un’ulteriore ipotesi nella quale il consenso non va richiesto.

Il titolare del trattamento che abbia già venduto un prodotto o prestato un servizio a un interessato, nel quadro dello svolgimento di ordinarie finalità amministrative e contabili, potrà utilizzare nei termini di cui al seguente dispositivo i recapiti (oltre che di posta elettronica, come già previsto per legge: art. 130, comma 4) di posta cartacea forniti dall’interessato medesimo, per inviare ulteriore suo materiale pubblicitario o promuovere una sua vendita diretta o per compiere sue ricerche di mercato o di comunicazione commerciale.

Tale bilanciamento degli interessi considera le difficoltà rappresentate da alcuni operatori economici nel conservare un proprio diretto “canale comunicativo” con i soggetti con i quali abbiano già instaurato un rapporto contrattuale; tiene al tempo stesso conto del diritto dell’interessato a non essere disturbato mediante comunicazioni promozionali, in base a garanzie analoghe a quelle previste, per la situazione appena indicata, per l’uso della posta elettronica (art. 130, comma 4; v. anche, con riguardo alle comunicazioni postali, l’ art. 58, comma 2, d.lg. n. 206/2005).

Non è necessario rivolgere un’istanza al Garante per avvalersi delle opportunità previste dal presente punto 3.

Viene infine dato atto nel seguente dispositivo di alcune altre risultanze dell’istruttoria relative alla designazione degli incaricati del trattamento e alla notificazione dei trattamenti.

TUTTO CIÒ PREMESSO IL GARANTE

1) ai sensi degli artt. 2, comma 2, 13, commi 3 e 5 e 154, comma 1, lett. c), del Codice formula a tutti i titolari del trattamento in ambito privato e pubblico, in particolare a piccole e medie imprese, liberi professionisti, artigiani, le seguenti indicazioni per semplificare l’informativa rispetto allo svolgimento di correnti finalità amministrative e contabili, anche in relazione all’adempimento di obblighi contrattuali, precontrattuali o normativi. Detti soggetti possono:

a) fornire un’unica informativa per il complesso dei trattamenti, anziché per singoli aspetti del rapporto con gli interessati;

b) fornire a questi ultimi una ricostruzione organica dei trattamenti e con linguaggio semplice, senza frammentarla o reiterarla inutilmente;

c) indicare le informazioni essenziali in un quadro adeguato di lealtà e correttezza;

d) redigere, per quanto possibile, una prima informativa breve. All’interessato, anche oralmente, andrebbero indicate sinteticamente alcune prime notizie chiarendo subito, con immediatezza, le principali caratteristiche del trattamento. In linea di massima l’informativa breve, quando è scritta, può avere la seguente formulazione:

“I SUOI DATI PERSONALI

Utilizziamo – anche tramite collaboratori esterni – i dati che la riguardano esclusivamente per nostre finalità amministrative e contabili, anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate su…”;

e) per l’informativa, specie per quella breve, si possono utilizzare gli spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano già, ordinariamente, per finalità amministrative e contabili;

f) l’informativa breve può rinviare a un testo più articolato, disponibile agevolmente senza oneri per gli interessati, in luoghi e con modalità facilmente accessibili anche con strumenti informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili digitando un numero telefonico gratuito).
Anche questa più ampia informativa deve essere improntata a correttezza, tenendo conto di possibili modifiche del trattamento, ed essere basata su espressioni sintetiche, chiare e comprensibili. Le notizie da indicare per legge (art. 13, comma 1) devono essere aggiornate, specificando la data dell’ultimo aggiornamento;

g) è possibile non inserire nell’informativa più articolata gli elementi noti all’interessato (art. 13, commi 2 e 4). E’ opportuno omettere riferimenti meramente burocratici o circostanze ovvie, per esempio quando alcune informazioni, compresi gli estremi identificativi del titolare, risultano da altre parti del documento in cui è presente l’informativa. Vanno utilizzate espressioni efficaci, anche se sintetiche, anche per quanto riguarda i diritti degli interessati e l’organismo o soggetto al quale rivolgersi per esercitarli. Se è prevista la raccolta di dati presso terzi è possibile formulare una sola informativa per i dati forniti direttamente dall’interessato e per quelli che saranno acquisiti presso terzi. Per questi ultimi dati, l’informativa può non essere fornita quando vi è un obbligo normativo di trattarli (art. 13, comma 5);

h) è opportuno che l’informativa più articolata sia basata su uno schema tendenzialmente uniforme per il settore di attività del titolare del trattamento;

i) è invece necessario fornire un’informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari perché coinvolge, ad esempio, peculiari informazioni (es. dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze amministrative e contabili, o può comportare rischi specifici per gli interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo delle attività dei lavoratori). Se il titolare del trattamento è un soggetto pubblico devono essere inserite le indicazioni che la legge prevede per i dati sensibili e giudiziari;

2) invita le associazioni di categoria a predisporre informative-tipo per determinati settori o categorie di trattamento, anche in collaborazione con questa Autorità. Il Garante si riserva in questo quadro di porre a disposizione gratuita (chiedendo anche la collaborazione delle camere di commercio), un kit contenente concrete istruzioni e fac-simile per semplificare tutti gli adempimenti in materia;

3) richiama l’attenzione dei titolari del trattamento sulla circostanza che la designazione degli incaricati del trattamento può avvenire in modo semplificato evitando singoli atti circostanziati relativi distintamente a ciascun incaricato, individuando i trattamenti di dati e le relative modalità che sono consentiti all’unità cui sono addetti gli incaricati stessi (art. 30);

4) richiama l’attenzione dei titolari del trattamento sulla circostanza che, per effetto delle previsioni del Codice e delle determinazioni già adottate da questa Autorità, la notificazione telematica al Garante non è necessaria per perseguire finalità amministrative e contabili, salvo che per eventuali casi eccezionali indicati per legge (art. 37);

5) ai sensi degli artt. 2, comma 2, 24 e 154, comma 1, lett. c), del Codice invita tutti i titolari del trattamento pubblici e privati a non chiedere il consenso degli interessati quando il trattamento dei dati è svolto, anche in relazione all’adempimento di obblighi contrattuali, precontrattuali o normativi, esclusivamente per correnti finalità amministrative e contabili, nonché quando i dati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque, o sono relativi allo svolgimento di attività economiche o sono trattati da un soggetto pubblico;

6) in applicazione del principio del bilanciamento degli interessi (art. 24, comma 1, lett. g)), dispone che i titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato un servizio, nel quadro del perseguimento di ordinarie finalità amministrative e contabili, possono utilizzare senza il consenso i recapiti (oltre che di posta elettronica come già previsto per legge) di posta cartacea forniti dall’interessato, ai fini dell’invio diretto di proprio materiale pubblicitario o di propria vendita diretta o per il compimento di proprie ricerche di mercato o di comunicazione commerciale. Ciò, rispettando anche le garanzie previste per le attività di profilazione degli interessati (Provv. 24 febbraio 2005, doc. web n. 1103045), a condizione che:

a) tale attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita;

b) l’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le menzionate finalità, sia informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente, anche mediante l’utilizzo della posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi l’interruzione di tale trattamento (art. 7, comma 4);

c) l’interessato medesimo, così adeguatamente informato già prima dell’instaurazione del rapporto, non si opponga a tale uso, inizialmente o in occasione di successive comunicazioni;

7) dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana, nonché alle associazioni di categoria, ai ministeri interessati e alle camere di commercio.

Roma, 19 giugno 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli

———–

(*) Congiuntamente al presente provvedimento sulla semplificazione, in fase di pubblicazione sulla Gazzetta ufficiale, il Garante ha segnalato alle competenti autorità di Governo l’opportunità di apportare una modifica al Codice con riferimento alla disciplina delle misure minime di sicurezza e al documento programmatico, per contemperare meglio l’applicazione delle necessarie cautele di sicurezza dei dati e dei sistemi con l’esigenza di adattarle alle attività che, specie presso piccole e medie imprese, liberi professionisti e artigiani, vengono svolte in relazione ad attività di corrente gestione amministrativa e contabile.

In tale prospettiva, il Garante ha ipotizzato una modifica normativa dell’art. 33 del Codice, del seguente tenore:

“Art.

All’articolo 33 del decreto legislativo 30 giugno 2003 n. 196, dopo il comma 1, è aggiunto il seguente:

“1-bis. Il Garante può individuare con proprio provvedimento modalità semplificate in ordine all’adozione delle misure minime di cui al comma 1, con riferimento ai trattamenti effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani”.

Accesso abusivo ad un sistema informatico o telematico

Autore: Avv. Hermans Joseph IEZZONI   Data: 29 giugno 2008

I fatti di cui si discute nella blogosfera (mi riferisco al post di Enrica Garzilli/Orientalia4all.net) mi hanno ispirato alcune riflessioni attorno al reato previsto dall’articolo 615 ter, ossia l’accesso abusivo ad un sistema informatico o telematico.

Anche per la collocazione sistematica, all’interno del Codice penale, tra i delitti contro l’inviolabilità del domicilio, l’articolo 615 ter protegge il domicilio informatico ed i dati in esso contenuti. Così rafforzando il diritto di escludere i terzi dall’accesso ad essi.

Cosa dice la norma?

“Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato o con abuso della qualità di operatore del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.”

Il domicilio informatico, o meglio il sistema, è stato qualificato, nella relazione al disegno di legge, come “espansione ideale” dell’area tutta privata che è il domicilio reale ma la tutela è imperfetta: non vi è nessuna distinzione sulla natura del sistema violato o sulle finalità di aggressione tenuto conto che pur sempre di un domicilio violato si discute e dunque di un affare privato. La fattispecie è ben diversa dal luogo, o meglio dal sistema pubblico, caratterizzato dall’indistinto ed indistinguibile via vai del traffico altrui.

La norma trascura la riservatezza invertendo i presupposti e discriminandone i valori. La causa principale di questa mal posizione è data da un approccio alle informazioni, o meglio alle comunicazioni, semplicistico dove non è opportuno distinguere la pluralità di eventi poiché il fenomeno informatico di base è costituito da relazioni e scambi. Contatti continui come avviene in locale tra processore e singola periferica così in remoto fra macchine. Sotto un profilo criminologico,all’opposto, le condotte possono differenziarsi sul piano delle finalità alla base dell’accesso come quelle di sfida al sistema od all’amministratore, spionaggio o frodi ed altro.

Ecco che la norma si perde nei suoi propositi ed il domicilio informatico non assomiglia affatto a quello comune. In quest’ultimo è punita la condotta di chi si introduce clandestinamente nell’abitazione altrui mentre nel primo l’aggressione al mondo privato è caratterizzata anche dalla elusione di una misura di sicurezza.

Basta riflettere un attimo. Se un terzo si introduce, occultandosi, nella privata dimora allora opera, a causa della modalità di condotta, la presunzione (fino a prova contraria) della volontà proibente del legittimato. Invece nell’accesso abusivo la clandestinità non rileva affatto… assorbita, come altre considerazioni, dalle misure di sicurezza a protezione dell’accesso.

Punto questo che la stessa Cassazione ha ingessato precisando che “la violazione dei dispositivi di protezione [...] non assume rilevanza di per sé, bensì solo come manifestazione di volontà contraria a quella di chi del sistema legittimamente dispone” (Cassazione 12732/2000). Interpretazione che mostra tutti i suoi limiti rapportandosi alla portata dell’articolo 615 ter.

Il fianco è aperto alla ridondante immagine del virtuale dove il domicilio ha porte e finestre, ossia misure di sicurezza e chiavi d’accesso, e l’intruso i ferri del mestiere per lo scasso. Ma questa non è una degna rappresentazione di quella tutela che vuole il domicilio inviolabile in quanto tale. Lo ricorda la Costituzione o meglio lo impone.

Quindi l’articolo 615 ter, a ben guardare, mostra un profilo di incostituzionalità poiché, non distinguendo tra loro fattispecie di accesso tecnicamente e giuridicamente legittime, sacrifica alle porte ed alle finestre l’inviolabilità del domicilio custode dei fatti tutti privati o meglio dei dati digitali.

Il reato, così, si perfeziona con il semplice accesso… ma solo se il sistema sia protetto, via hardware o software, e l’intrusione manifesti la volontà di superare quelle barriere a protezione della gestione del sistema con privilegi amministrativi.

L’ultima parola della Cassazione su “Le Jene” ed il test antidroga ai Parlamentari

Autore: Avv. Hermans Joseph IEZZONI   Data: 19 giugno 2008

Con la sentenza pubblicata si conclude la vicenda legata alla trasmissione televisiva Le Jene ed ai test di positività alla droga compiuti su alcuni Parlamentari italiani.

La Cassazione conferma che in quell’occasione fu superato il diritto di cronaca. Inoltre i dati raccolti non erano relativi a “circostanze o fatti resi noti direttamente dagli interessati” o ricavati dai loro comportamenti in pubblico. I test furono eseguiti su campioni biologici raccolti fraudolentemente con l’inganno e l’istituzione parlamentare fu danneggiata nell’immagine al punto che tutti i Parlamentari potevano considerarsi sospettabili.

Il “diritto di cronaca” e la deroga stabilita in suo favore dal Codice della privacy nulla possono quando il comportamento illecito tenuto dal giornalista abbia violato un diritto alla riservatezza causando un danno o una diminuzione patrimoniale.

Segue il testo della sentenza:

Cassazione Terza Sezione Penale n. 23086 del 10 giugno 2008

Motivi della decisione

Con sentenza 16 ottobre 2007, il Giudice per le indagini preliminari del Tribunale di Roma ha applicato a P. D. e V. M. la pena concordata per il reato previsto dall’art. 167 c. 2 D.Lvo 196/2003 (per avere, in qualità di ideatori di un servizio televisivo avente ad oggetto il consumo di stupefacenti, proceduto, senza il consenso degli interessati e l’autorizzazione del Garante, alla raccolta di dati personali sensibili – campioni organici di cinquanta Deputati e sedici Senatori – ed alla successiva analisi per accertare la eventuale traccia di sostanze stupefacenti).

Per l’annullamento della sentenza, gli imputati hanno proposto ricorso per Cassazione deducendo violazione di legge e sostenendo che la fattispecie materiale non era inquadrabile nella ipotesi di reato contestata.

Tanto premesso, deve precisarsi come gli imputati, che hanno concordato la pena con l’organo della accusa, non possono mettere in discussione le coordinate del patto che loro stessi hanno sollecitato e che il Giudice, all’esito del sindacato che la normativa gli demanda, ha ritenuto conforme a giustizia; di conseguenza, il ricorso per Cassazione è limitato al solo caso in cui il patto si pone in violazione di legge.

Tale è l’ipotesi prospettata dagli imputati i quali hanno sostenuto che i fatti per cui è processo non hanno rilevanza penale sia perché la violazione di norme del codice deontologico dei giornalisti è sanzionata in via amministrativa sia per la mancanza di uno degli elementi della fattispecie (nocumento alle parti lese). Le prospettazioni non sono fondate.

L’attuale normativa ha dedicato al trattamento dei dati effettuati dai giornalisti e dai soggetti ad essi equiparati gli artt. 136, 137, 138, 139 D.Lvo 196 /2003. Queste disposizioni, nell’alveo della precedente disciplina (art.25 L.675/1996 novellato dall’art. 12 DLvo 171/1998), esonerano, anche in relazione ai dati sensibili, il giornalista che persegue il fine della sua professione dal consenso dello interessato e dalla autorizzazione del Garante a precise, indefettibili condizioni per la liceità del trattamento.

A sensi dell’art. 137 uc citato, il giornalista deve rispettare i limiti del diritto di cronaca, in particolare, quello della essenzialità della informazione riguardo a fatti di interesse pubblico; inoltre, può trattare i dati personali relativi a circostanze o fatti resi noti direttamente dagli interessati o attraverso un loro comportamento pubblico.

Questa ultima condizione non è stata rispettata nel caso in esame nel quale i campioni biologici sono stati carpiti con un comportamento ingannevole e fraudolento. Consegue che gli imputati hanno disatteso una previsione contenuta non nel codice deontologico, ma nella normativa in materia di protezione dei dati personali; consegue, ancora, che gli imputati non possono invocare la previsione derogatoria dell’art. 137 del D.Lvo 196/2003.

Per quanto concerne il nocumento alle parti lese, è esatta la deduzione difensiva secondo la quale il trattamento illecito dei dati senza il consenso dell’avente diritto è penalmente irrilevante se dal fatto tipico non deriva danno alla persona offesa; i ricorrenti hanno sostenuto che non vi è stato un vulnus per alcuno dal momento che i loro accertamenti non permettevano di associare l’esito del test a persone note.

Sul punto, deve precisarsi come la circostanza che il capo di imputazione non facesse riferimento a specifici soggetti trovati positivi all’esame non è decisiva.

Gli imputati hanno diffuso la notizia che alcuni Senatori e Deputati, pur rimasti anonimi, erano positivi alla analisi per la individuazione di sostanze stupefacenti; l’informazione evidenziava che taluno, entro una circoscritta e determinabile cerchia di persone, faceva indebito uso di droghe.

In tale situazione, tutti i Parlamentari potevano essere indiscriminatamente sospettati di assumere stupefacenti con la conseguenza che ogni membro del Senato o della Camera dei Deputati, nonché la istituzione parlamentare, ha subito un nocumento alla sua immagine pubblica ed onorabilità.

Per le esposte considerazioni la Corte dichiara inammissibile il ricorso con condanna dei proponenti in solido al pagamento delle spese processuali e singolarmente al versamento della somma- che ritiene equo fissare in euro millecinquecento- alla Cassa delle Ammende.

P.Q.M.

La Corte dichiara inammissibile il ricorso e condanna i ricorrenti in solido al pagamento delle spese processuali e ciascuno al versamento di euro millecinquecento alla Cassa della Ammende.

Libertà digitale? Tra privacy e violenza… riflessione e spunti sulla difficile linea di confine fra informatica e diritto.

Autore: Avv. Hermans Joseph IEZZONI   Data: 18 febbraio 2008

Quante volte abbiamo sentito parlare di tempi duri? Allo sfiorarsi di opposti interessi fra i binari dell’etica, della libertà e del diritto puntuale scoppia la tensione e si scatena l’arco voltaico. Sotto e marginale si trova l’utente. Messo in ombra dalla scarsa trasparenza degli interessi in gioco. Passato il ciclone (diffamazione, phishing o p2p) arrivano da più parti le richieste di “Stop!!”: come se ci fossero davvero dei lucchetti telematici. Si fanno largo le comode politiche criminali e gli utenti si trovano a galleggiare indistintamente nel web metamorfosi d’un limbo.

L’EQUIDISTANZA

Occorre porsi di fronte alle questioni in maniera da percepire la natura di questa ricerca spasmodica di responsabilità a 360° come companatico d’un bisogno di protezione esasperato. Chiediamo alla tecnologia di amplificare le potenzialità umane con una sicurezza prossima all’invulnerabilità che nella vita reale non abbiamo. E finiamo per demonizzarla di aver tradito distorte aspettative come se essa fosse vitale ed umana. Persino le aziende sono affette da questa aberrazione e si assiste a forme di autotutela che oltre a sconfinare nel puro arbitrio sbandierano, attraverso l’opinione pubblica, un nuovo “vangelo” del diritto senza nemmeno reggere il confronto di un’aula di Tribunale.Parlare di legalità ed illegalità equivale da sempre a scoprire l’acqua calda. Ed ecco perché in molti confondono i piani della computer forensic. La tecnologia non è l’isola franca di valori che non devono e non possono esserci perché risiedono al di fuori nella vita reale. La tecnologia è solo un mezzo che slarga in confini del reale anche attraverso un niente elettrico. Perché? Attinge ad una serie di bisogni tutti umani che si sono già espressi attraverso l’uso di strumenti più rozzi. Niente di più e niente di meno. Salvo la fantasia umana e di molte scienze inesatte. Occorre dunque un particolare tatto per affrontare il confine fra la pura informatica ed il puro diritto.

ANTI-FORENSIC E ANTI-VIOLENCE

Curiosamente la società,nel replicare se stessa sul web, ha riproposto numerosi settori critici quali banche, sanità, ecc. L’allarme generato dagli attacchi terroristici ha prodotto come paradosso non la riduzione delle criticità ma l’accentuarsi di un disinvolto uso del sospetto nella fase delle investigazioni. Da qui il passo breve per giustificare la virtuale possibilità di accedere a qualsiasi informazione. Ecco che gli strumenti in grado di tutelare la privacy in rete sono stati ricollocati dagli studiosi sotto l’etichetta di anti-forensic ossia in contrapposizione con le attività rivolte alla ricostruzione di un reato. Un simile atteggiamento inquisitorio ha ingenerato numerose perplessità. Dovrebbe dedursi l’illegalità di tutte le tecnologie rivolte a preservare la riservatezza delle comunicazioni?Innanzitutto è bene ricordare come il concetto di privacy riassume il diritto di controllare i propri dati personali poiché l’individuo è il proprietario delle sue impronte biologiche o digitali. Da qui non può sfuggire come il tentativo di accedere, senza autorizzazione, a qualunque informazione relativa ad una persona identificata od identificabile, anche indirettamente, costituisca una violenza. Allo stesso modo lo è il misuse delle tecniche preventive di indagine. Se dunque l’azione da un lato costituisce violenza necessariamente gli strumenti per impedire tale invasione non possono che costituire “anti-violenza”. Quindi, rispetto alla posizione di altri studiosi che parlano di anti-forensic, contrapporrei una categoria più adatta col nome di anti-violence.

CRITTOGRAFIA E STEGANOGRAFIA

La prospettiva cambia. Non si tratta più di strumenti volti ad eludere o contrastare delle indagini ma destinati a tutelare l’illegittimo accesso ai dati personali. Prendiamo spunto ad esempio dall’uso della crittografia o della steganografia per rendere il contenuto di una e-mail effettivamente “in busta chiusa”. Busta chiusa o aperta? Discusso è se la posta elettronica in chiaro sia da considerare inviata in busta chiusa o aperta. Una distinzione di questo tipo è essenziale. La polizia giudiziaria è tenuta a non aprire la corrispondenza acquisita potendo prendere conoscenza del suo contenuto solo il PM. Questa necessità è tutelata in Italia a vari livelli. Il più alto è quello costituzionale ed infatti si parla di segretezza della corrispondenza. Vi è poi la tutela indiretta riconosciuta ai lavoratori privati o pubblici dallo Statuto dei lavoratori contro le ingerenze ed i controlli del datore. A quest’ultima devono aggiungersi le linee guida dettate dal Garante Privacy: solo in casi eccezionali è possibile controllare la posta elettronica ed il traffico internet dei dipendenti. E’ opportuno, però, prevenire questi controlli adottando ad esempio una casella di posta aziendale condivisa priva di qualunque carattere personale. A livello penale poi, se la criticata legge 281/2006 ha introdotto un procedimento di distruzione di tutti i dati digitali illegalmente formati od acquisiti, è anche vero che la persona sottoposta ad indagini, avendo il diritto di non rispondere e di non rendere dichiarazioni auto-indizianti, può non rivelare agli investigatori le chiavi necessarie a decifrare i documenti od i settori nascosti nelle partizioni.Più complessa è la situazione sul piano della sicurezza militare. In molti Stati vigono limitazioni all’uso della crittografia forte e per quanto riguarda l’Europa la posizione restrittiva della Francia costituisce un precedente non trascurabile. In Italia le norme che accennano a limitazioni sulla crittografia forte sono legate al materiale di interesse strategico militare, all’alta tecnologia ed alla tutela dei segreti di Stato. Se dovessimo realmente limitare o vietare la crittografia in toto sarebbe vanificato il concetto stesso di sicurezza. Si ammetterebbe una notevole disparità di trattamento con prevalenza degli interessi rispetto ai diritti. Questa contraddizione ed il ritorno a politiche del sospetto minano le fondamenta stesse degli stati moderni causando spinte disgregative. D’altra parte se diamo un occhiata al Codice del trattamento dei dati personali non possiamo non sottolineare come la crittografia risponda a quelle misure di sicurezza idonee ad evitare il danno od il minimo rischio di accesso ai dati sensibili.

ANONIMATO, REMAILER E TOR

In termini di anti-violence, l’anonimato garantisce una nutrita serie di valori. Innanzitutto evita la mercificazione dei dati ricavabili dal traffico in termini di puro marketing ma non solo. Garantisce un’intangibilità informatica che si fonda sul presupposto di appartenenza alla persona fisica di tutte le tracce digitali anche di quelle abbandonate inconsapevolmente (abbonamento elettronico o SIM del telefono). I dati digitali incrociano costantemente la vita quotidiana e spesso costituiscono la possibilità di esprimere le proprie opinioni, esercitare il diritto di cronaca o critica in tutte quelle situazioni di forte censura. Purtroppo certi fiori hanno le spine ed accanto ad usi leciti convivono quelli illeciti. Occorre sempre prudenza ed una dose di obiettività. Se invece del remailer, usato per un mail bombing, si parlasse di coltelli nessuno intenterebbe una causa al fabbricante perché attraverso i suoi prodotti sono state minacciate delle persone. Eppure per via della curiosa idea del web sicuro si chiede di responsabilizzare i fornitori di servizi oltre quello che avviene nella realtà quotidiana. Non dovremmo dimenticare che la responsabilità penale riguarda l’autore della condotta e che qualunque oggetto, come qualunque servizio può essere utilizzato per scopi diversi da quelli per i quali è stato progettato: così un coltello per usare violenza od un remailer per inviare spam. Sono dunque sempre responsabili dei crimini commessi i fornitori di questi servizi? Dipende. Occorre valutare caso per caso con la necessaria equidistanza per non trasformare il “digitale” in un luogo che non può e non deve essere. Un’altra difficoltà è data dall’uso a catena di remailer dislocati in vari paesi e con legislazioni diverse. In questi casi è praticamente impossibile chiamare in causa i vari gestori. Spinosa oltretutto è l’individuazione delle responsabilità penali. Ad esempio nel caso di un server Tor che tipo di legame rintracciare? I dati sono nulli. I pochi esistenti, come l’IP, sono falsati poiché non corrispondono all’identità digitale dell’autore degli illeciti. Allora? Ipotizziamo una responsabilità omissiva per non aver impedito? Ma allo stato attuale è impossibile esercitare un controllo efficace sul volume del traffico in transito attraverso i server. Un concorso per aver agevolato la consumazione di un reato? E’ difficile dimostrare una conoscenza del disegno criminoso ed una condivisione dello stesso senza tralasciare l’impossibilità di discriminare volumi di traffico fra loro. Una responsabilità per non aver tenuto traccia delle comunicazioni telematiche? Se è vero che le intercettazioni telematiche costituiscono strumenti di contrasto alle attività criminali (svolte anche tramite impianti appartenenti a privati) d’altro canto la legislazione italiana sul data retention non è del tutto chiara. L’interpretazione comunemente accettata è che l’obbligo di tenere traccia del traffico riguardi i fornitori diretti di accesso ed i titolari e gestori ad esempio di: internet point, sale di attesa negli aeroporti o nelle ferrovie, circoli privati, terminali self service ed accessi wireless ecc.. Ma in situazioni diverse? Quando il flusso telematico è solo di transito e non è possibile individuare un utente preciso? L’interpretazione non è univoca ed a situazioni tra loro diverse non può pretendersi l’applicazione della medesima norma.A parere di chi scrive, per contrastare le attività criminali, non si può passare solo dagli strumenti repressivi. E’ necessaria principalmente una cultura, una regola di convivenza equa tra diritti ed interessi, e poi una regolamentazione diversificata.

Glossario:

Computer Forensic – Attività di ricerca, conservazione ed identificazione di ogni traccia digitale necessaria a ricostruire la scena di un crimine;

Anti-Forensic – Strumenti volti ad eludere od impedire attività di Computer Forensic;

Misuse Of Investigation – Abusi commessi attraverso attività di indagine preventiva senza il rispetto delle regole di procedura o delle norme di salvaguardia dei diritti degli investigati.

IP, Graffiti e Dati Personali

Autore: Avv. Hermans Joseph IEZZONI   Data: 11 agosto 2007

Avevo sostenuto che la Privacy arrivava notte tempo nel tessuto normativo italiano senza stupire più di tanto e governata dal ritmo dell’interpretazione.S’era detto che la rottura delle analisi condotte in materia di “dato personale” fosse costituito da quel piccolo substrato di colla, con la quale si cercava di far stare assieme due opposti che tirano … spingono per rompere ognuno in una direzione propria: libertà e diritto.

Non è certo un caso che ogni convivenza si basi, innanzitutto, sulla creazione d’un equilibrio e spesso qualche incrinatura è il segno, non della fine, ma dell’assestamento del rapporto.

Così è accaduto per la nostra amata Privacy, mentre la stragrande maggioranza dei commentatori alzava spallucce sostenendo l’insostenibile possibilità d’una tutela dell’IP a mezzo della privacy e qui si tiravano i dadi mostrando all’opposto la falla del sistema, inducendo ad anticipare la protezione al livello dell’IP… ecco … è accaduto che la Privacy veniva ridiscussa.

A breve distanza, il 20 giugno, con il parere 1248/07/EN WP 136 i Garanti UE hanno armonizzato le varie interpretazioni attorno alla nozione di Dato personale.

Si sentiva la necessità di mettere una parola robusta sulle querelle al di là della fortezza UE . Mi permetto una piccola considerazione … lo scontro di massima infondo … e mi pare non sia il caso di nasconderlo … è il braccio forte tra “The” privacy … mascolina entità americana … che gonfia il bicipite del dato personale come arma, per rinverdire il DMCA – Digital Millennium Copyright Act … contro gli utenti di servizi gratuiti od a pagamento che finiscano nella stessa lunghezza d’onda del Diritto di privativa … e la concezione della vecchia Europa … della femminea Privacy … che invece ha un profondo senso materno … occupata com’è di coccolare le posizioni più deboli nell’economia del marketing.

Ecco quindi che i Garanti UE si sono mossi utilizzano tipologie mirate, provenienti da casistiche giurisprudenziali, al fine di razionalizzare il discorso spesso col buon senso… ma non mettendo la parola fine (come si è lasciato sfuggire qualche commentatore) od aver escluso il rilancio dei dadi … anzi la partita è nel vivo.

Gli stessi Garanti, infatti, lasciano carta bianca al legislatore “nazionale” : nothing prevents Member States from extending the scope of the national legislation implementig the provisions of the Directive to areas non included within the scope thereof [...].

Vengono cristallizzati i limiti di definizione del “dato personale” partendo dalle parole chiave:

Per qualsiasi informazione distingueremo la “natura” come ogni affermazione, indice delle qualità personali del soggetto da cui provengono, indipendentemente dalla loro corrispondenza al vero (“not necessary that it be true or proven”).

Approcceremo poi il suo “contenuto” anche esso in modo ampio includendo ogni tipo di informazione, da contesto interno ed esterno ad un ambito familiare, fino a toccare i posti di lavoro, il curriculum professionale od i propri trascorsi giudiziari tenuto conto del grado elevato di rischio che la manipolazione dei dati soffre nell’esplosione a 360 gradi dell’informazione.

Ed infine ci avvilupperemo sull’involucro dell’informazione (“format”) intendendo la nozione con la dovuta liberalità di mezzi (acustici o visivi, in forma immediatamente intelligibile od in codice binario) senza curarci se siano archiviati in database, file o solo testo.

Rintracceremo il legame (“relating to”) fra “qualsiasi informazione” e l’individuo per due livelli.

Il primo quando una tale corrispondenza sarà di tutta evidenza dalla struttura dei dati che si riferiscono univocamente al nostro individuo (“the content about”).

Il secondo livello si attuerà nei casi in cui le informazioni possano condurre ad una cerchia di individui (“purpose” element [...] that “relates” to a certain person) tra i quali vi sia rischio di rintracciare il “lui” di cui siamo alla ricerca.

Eventualità concretizzabile anche se i dati raccolti in superficie riguardino un oggetto e non un individuo.

Per altro per aversi un legame non è necessaria la presenza di tutti questi elementi (“content, purpose or impact) essendo sufficiente la presenza di almeno uno di essi.

Ed ecco l’argomento scivolare nel vivo dell’arena … si erano generate polemiche qui ed altrove … attorno alla “sostenibilità” di una tutela dell’IP … ed io per parte mia avevo mostrato come in realtà questa “anticipazione” di tutela fosse necessaria e naturale per la “nostrana” concezione femminea della Privacy … qualcuno aveva ipotizzando di mozzare la testa al toro con la netta simbiosi tra IP e macchina … ma … i Garanti UE … nel loro parere danno ragione della ricostruzione fornita dallo scrivente.

Se non vi sono dubbi riguardo l’identificazione diretta (ad esempio il nome) sulle vie “indirette” si faticava a trovare l’accordo.

I Garanti hanno preferito scavalcare la definizione e passare alle pratiche vie di fatto: si tratta di tutti quei fenomeni di “unique combinations” che consentono all’individuo di essere distinto da altri.

Ed ecco dunque profilarsi la massima espansione… anche l’IP entra “ufficialmente” negli ingranaggi della privacy : gli strumenti di sorveglianza del web consentono identificando la macchina di risalire all’utente.

Non è necessario provare la particolare abilità di chi raccoglie i dati per parlare di tutela, poiché ciò che conta è la “persona naturale” (termine di massima precostituito alla singola individualità e senza nazionalità particolare avendo cittadinanza nel mondo… impronta della persona come classe o “umano-tipo” secondo la qualifica legislativa… da tutelare ben prima che si muti in “quella particolare persona”).

Attraverso l’IP è possibile compiere numerose associazioni (socio-economiche, psicologiche, filosofiche o mediante altri criteri) per raggiungere convinzioni e se non è immediatamente individuabile il soggetto, a causa di un IP dinamico, è comunque possibile stringere il cerchio attraverso i log ad una cerchia di persone dalle quali, indirettamente, ricavare con successive analisi il nostro “Lui” (magari proprio per tutelare un preteso diritto violato a mezzo di quella macchina oppure per altre ragioni) : “in these cases there is no doubt about the fact that one can talk about personal data”.

I Garanti EU però sostengono che in altri casi non sia possibile seguire le tracce dell’IP per risalire ad un’identità. Utilizzano come esempio il fenomeno degli Internet Café, ora su questo punto sono scettico, e ritengo che ci sia comunque bisogno di anticipare la tutela all’IP.

Dimostro la mia tesi con un esempio, facilmente verificabile, proprio tornando al tema dei contatori statistici.

Ipotizziamo di mandare una mail ad un nostro amico contenente un link ad un articolo interessante.

Il nostro amico si troverà nella situazione indicata dai Garanti UE, ossia in un Internet Point. Aprendo la posta cliccherà sul link approdando sul sito X.

Sul sito X è presente un contatore di accessi che seguirà l’ingresso… ecco cosa registrerà il “nostro” contatore statistico:

Sono state acquisite informazioni che il nostro amico non aveva intenzione di rilevare… se sono state compiute attività su quel sito … magari commenti attraverso il solito pseudonimo… il contatore statistico avrà registrato tutto questo senza grosse “magie”.

Dunque anche una postazione frequentata da tante persone … con un certo grado di anonimato … può fornire informazioni “indiscrete” : una macchina, un luogo fisico, un nome, un cognome, un fornitore di servizi, una mail ed un “nickname”.

Permane dunque ancora una falla nel sistema anche se i Garanti EU, continuando a dare ragione allo scrivente, hanno sostenuto che bisogna apprestare la tutela tenuto conto dello “state-of-the-art” di tutte le misure volte a contrastare fenomeni di appropriazione di dati sensibili (appartenenti ai più od al singolo).

Per altro la tutela si è spinta anche a difendere la sottoscrizione.

E’ noto a tutti che la firma è un segno grafico che riassume il tutto della persona ed è in grado espandere i suoi effetti negoziali (contratti, testamenti ecc.)

Per i Garanti è legittima l’assonanza firma = “graffiti writing” , nobilitando, in un certo senso, questa forma “d’arte urbana”.

Precisamente il graffito è tutelabile nella parte in cui il segno grafico assume all’interno dell’elemento artistico una qualche originalità rappresentativa della personalità del suo ideatore (“tag”). Una tale estensione rende degna di protezione ogni elemento presente nel graffiti dalle azioni volte a costruire una banca dati … magari per rintracciare l’autore (ad esempio le indagini svolte dalle compagnie di trasporto danneggiate dall’azione vandalica dei poser writers).

Dunque la partita riprende aspettando la prossima mossa.

Questo perché, come ci era già noto dagli studi antropologici ed in genere nell’analisi sociale, ogni persona (ripeto fino allo stereotipo leggere sempre “maschera”) abbandona un’impronta individuale nelle sue azioni quotidiane, rimarcando non solo il proprio vissuto ma anche la sua profonda psicologica.

Così per i Garanti UE “qualsiasi informazione” può condurci a ricostruire l’identità, le caratteristiche od il comportamento di un individuo o se tali informazioni possano essere usate per determinare o influenzare il modo in cui quella persona sarà trattata o valutata.

Elemento di sutura nella burrascosa convivenza fra libertà e diritto è l’impatto che le informazioni a disposizione possono creare con la sfera di diritti ed interessi appartenenti al singolo.

Indirizzo IP e Privacy

Autore: Avv. Hermans Joseph IEZZONI   Data: 14 giugno 2007

Segue il testo dell’articolo (originariamente pubblicato suOrientalia4all.net qui: Indirizzi IP, diritto alla privacy e marketing) che risponde all’interessante quesito se un indirizzo IP possa essere tutelato dalle norme sulla privacy:
Il discorso prosegue senza pretesa di compiutezza (data la vasta natura della materia) muovendo più che altro “nuove” riflessioni sul tema e se del caso rilanciarne altre (v’invito dunque a curiosare tra quei commenti per recuperare alcune informazioni).

La “privacy” è un concetto di fede più che di sostanza.
Questa sua ambiguità era già chiara nel dibattito anglosassone. Quando fu teorizzata con un certo garbo nel 1890 da due giuristi americani Samuel D. Warren e Louis D. Brandeis (Harvard Law Review, V. IV, No. 5, December 1890), risultò esclusivamente come una risposta a quell’opinione (forse pubblica?) preoccupata di come il giornalismo, coadiuvato dalla fotografia, stesse assumendo modi invasivi (Instantaneous photographs and newspaper enterprise have invaded the sacred precincts of private and domestic life [...] Gossip is no longer the resource of the idle and of the vicious, but has become a trade, which is pursued with industry as well as effrontery).

Dall’altro perché l’Italia possiede un’arte tutta sua nell’argomentare il diritto e tutta nostrana è la “riservatezza”.
Coccolata a partire dal dibattito degli anni ‘40 del vecchio secolo. Smentita come reale necessità nel ‘56 dalla Cassazione (sentenza n° 4487 depositata il 22/12/1956) che la inquadrava tra le mere scelte di politica legislativa. Ha mosso i suoi primi passi incerti all’ombra della Costituzione con la stessa medesima continuità. Finalmente accolta nel 1973 dalla Corte Costituzionale come la figlia smarrita dei generosi diritti inviolabili dell’uomo. Raggiunge la sua maturità qualche anno dopo per opera di un revirement della Cassazione, che con la pronuncia n°2199 depositata il 27 maggio 1975, la dichiara “autonomo diritto” su tutti i fatti che riguardino le “vicende personali”.
Ora ibrida … tutta moderna per mezzo della sua “personificazione” con l’individuazione (o deificazione?) di un referente gerarchico, il Garante, cui rimbalzare ogni patata bollente.

Non certo marginali sono poi alcuni aspetti:
1) vi è un concetto squisitamente giuridico di “bilanciamento di interessi” per il quale ogni volta che si invoca la protezione di un proprio diritto si cerca di farne salvo un altro;
2) tra le forme di tutela dei diritti prevale un’equidistanza dal danno, così si può ottenere un’utilità equivalente alla lesione subita (compensazione o riparazione) ma mai la stessa utilità e, anche quando il risarcimento superi il danno, non può mai essere eccessivamente oneroso;
3) spesso la persona, fisica o giuridica, contro la quale è mossa l’azione di risarcimento è chiamata a difendersi per mezzo di una prova a contenuto “diabolico” (occorre provare oltre ogni ragionevole dubbio di aver attuato un comportamento incensurabile con tutte le cautele, nel rispetto di qualunque obbligo predisposto e con l’ausilio della migliore scienza tecnica o tecnologica);
Quando l’Italia ha fatto fronte ai suoi obblighi comunitari, recependo le varie direttive – la European Union Data Protection Directive 95/46/EC, la Data Protection Telecommunications Directive 97/66/CE, la Directive on privacy and electronic communications 2002/58/CE – il punto nodale della discussione è passato gradatamente dalla sensibilizzazione, mediante strumenti di indagine quali l’Eurobarometro, agli imperativi categorici.

Si è fatta, così, palese la necessità di superare le vecchie tendenze anglosassoni che ricostruivano il diritto come aspetto della solitudine (right to be let alone), per rendere concreta l’uguaglianza di ciascun individuo rispetto alle procedure di trattamento dei dati, giungendo ad assimilare dalla esperienza teutonica i concetti di parsimonia ed indispensabilità (datenvermeidung und datensparsamkeit).

La chiave di volta è stata, quindi, introdurre il diritto di controllare i propri dati personali. Si è smorzata l’idea romantica dell’individuo isolato, arroccato nella sua ambigua posizione di disuguaglianza o meglio di dominus solitario con i suoi diritti nella scarsella alla continua ricerca di un anonimato o di un proxy-anonymizer, a beneficio dell’”essere sociale” che costantemente si relaziona con il mondo esterno. Operatore quindi nella e della realtà concreta. Soggetto ed oggetto di azioni che inevitabilmente lasciano segni e quindi autore/proprietario delle sue impronte fisiche, digitali o biologiche. Si è sviluppata, a margine, tutta la tematica di confine meta-giuridico e meta-filosofico con protagonisti l’io, lo spazio e la proprietà.

Il legislatore arriva e, (stranamente almeno parlando di pure statistiche) svecchia l’apparato normativo ed introduce nuove fattispecie o meglio nuovi scenari nei quali si muove l’azione degli operatori sociali. Fa capolino il concetto di tracciabilità. Così i dati debbono essere tutelati poiché appartengono ad una persona. Non sono elementi solitari – o meglio, frutto di solitudine – sono solo riservati poiché intimi e, fin tanto che restano negli interstizi di queste intimità, occorre attendere che sia la persona a tirarli fuori.

Costituisce, infatti, una forma di violenza quell’aggregazione dei dati che permetta di conoscere la persona (maschera ?) non per quello che è ma per quello che potrebbe astrattamente essere. Eco lontano di quelle altre innovazioni, estranee al nostro discorso, ma tutte legate alla “persona” come le tutele apprestate a chi vuol far coincidere la sua identità sessuale interiorizzata a livello psichico con la sua manifestazione corporea.

Violenza? Sì … poiché toglie all’individuo la sua legittima progressione. Ad esempio, l’utilizzo di questionari aziendali, allo scopo di procedere ad un restyling del personale, costituisce per questa via una saturazione del concetto di “rapporto di lavoro” dove l’individuo mette energie psicofisiche allo scopo di evolversi anche socialmente. Orbene la specializzazione del lavoratore assume una doppia personalità (maschera?) diretta a conseguire una vita libera e dignitosa mediante una retribuzione che la garantisca, ma possiede anche un diritto ad evolversi/ realizzarsi/ crescere all’interno dei gradini sociali.

La violenza diventa esasperata quando tramite la raccolta dei dati si producono ripercussioni nella vita quotidiana di un uomo o di una donna rubando anche la prospettiva del futuro. Le raccolte di dati assumono i connotati di stigmatizzazioni e come ogni ferita sanguinante se non curate tempestivamente possono causare conseguenze inaspettate. Così ad esempio viene in mente a chi scrive che mentre a un detenuto è riconosciuto il diritto alla rieducazione e al reinserimento sociale… a una persona che abbia subito la perdita della prospettiva del futuro, a causa di un’invasione negli interstizi delle intimità, purtroppo un tale diritto non è riconosciuto.

Il legislatore segue (insegue?) la “tracciabilità” rammentando però, come avevamo chiarito qualche riga sopra, che non si tratta di un diritto assoluto ma “bilanciato”. Così ad esempio, nell’ambito giudiziario, è pubblico il contenuto delle sentenze ma legittimamente può essere riservato il nome delle parti in causa.

Il legislatore, con il Codice in materia di protezione dei dati personali, è andato oltre, superando la dicotomia tra “comuni” e “sensibili”, presente nella legge 675/1996, infatti, si è mosso attraverso l’uso dei principi:

1) di semplificazione, armonizzazione ed efficacia che devono improntare il comportamento dell’interessato, del titolare del trattamento ma anche del giudice chiamato ad individuare la presenza di un interesse “vivo” all’interno di tutti i diritti fondamentali la cui aggressione determina il fondamento di una pretesa di risarcimento (articolo 2 del Codice);
2) di necessità o meglio di utilizzo minimo ed indispensabile dei dati (articolo 3 del Codice) con una apertura alla progressiva razionalizzazione di questa “necessità” connaturata con l’evoluzione degli standard tecnici, tecnologici od organizzativi del trattamento;
3) di liceità e correttezza nel trattamento (articolo 11 lettera a del Codice);
4) di determinatezza degli scopi e di utilizzo dei dati raccolti compatibilmente con essi (articolo 11 lettera b del Codice);
5) di esattezza ed aggiornamento (articolo 11 lettera c del Codice);
6) di pertinenza, completezza e non eccedenza rispetto agli scopi (articolo 11 lettera d del Codice);
7) di conservazione per il tempo necessario agli scopi (articolo 11 lettera e del Codice).

Si è spinto oltre nel momento in cui ha fornito una definizione legale, ossia il gergo comune da adottare e al quale far riferimento per l’applicazione della materia considerata.

Per le finalità di questo nostro discorrere, ossia rispondere alla domanda se vi è tutela per l’indirizzo IP, giova soffermarsi su alcune di queste definizioni.
Per “trattamento” s’intende qualunque operazione o complesso d’operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati (articolo 4 lettera a del Codice).
Si può pacificamente sostenere che quest’elencazione contenutistica non sia esaustiva e nemmeno tassativa ma anzi “aperta” a numerose esemplificazioni ed espansioni semantiche.
Peraltro, proprio in questa definizione si nota come l’intento del Legislatore sia stato quello di configurare ipotesi di trattamento in ogni operazione intrapresa. Dunque è trattamento anche il solo distruggere i dati oppure consultarli, come anche conservarli. Ognuna di queste operazioni, singolarmente intese, costituisce trattamento.
Il “dato personale” invece è qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (articolo 4 lettere b del Codice).

Si badi bene dunque alle espressioni usate:
- qualunque informazione;
- relativa a persona identificata o identificabile anche indirettamente.

La vis espansiva della norma è di tutta evidenza. Ricadono nella disciplina del Codice “tutte” le informazioni fossero anche quelle anonime se, al contrario delle apparenze, vi sia, anche potenzialmente, la possibilità di identificare tramite di esse una persona.
Questa possibilità discende, proporzionalmente, da ogni contributo aggiuntivo che i dati raccolti forniscono in termini di “identificabilità” del soggetto cui appartengono. Essa può essere sfruttata sia dal titolare del trattamento quanto dai terzi. Ad esempio il contatore statistico, presente ormai ovunque nel web, raccogliendo dati sempre più minuziosi sugli accessi giornalieri può diventare strumento per risalire alla persona fisica tramite l’IP. Quest’aspetto è stato meglio chiarito nel commento n° 89 di questo Post.

Poniamo un ulteriore caso. Ammettiamo che il soggetto “A” sia il titolare di un trattamento e che per le proprie finalità raccolga numerosi dati. Immaginiamo anche che questi dati singolarmente presi non determinino alcuna probabilità di risalire ad un’identità certa. Il fatto che i dati siano stati trattati in maniera singola e non aggregata, come anche le limitate capacità tecniche del titolare, non escludono che un terzo si comporti diversamente. Nella malaugurata ipotesi che “B” acceda ai dati disponendo di capacità tecniche superiori e con scopi ben diversi da “A”? “B” potrebbe elaborarli in forma aggregata. “B” potrebbe scoprire relazioni tra questi dati che permettano di risalire ad una persona fisica.
Va tenuto altresì presente che nel caso d’informazioni “collettive”, ossia riguardanti una molteplicità di soggetti, molteplici saranno i profili associati e quindi necessariamente vi sarà un ampliamento dei soggetti e della relativa tutela e questo si badi a livello puramente potenziale.
Per questa via è ammissibile una traslazione di genere con conseguente passaggio di grado:
dati irrilevanti > dati identificativi > dati sensibili.
Questo ogni qual volta, anche per via dell’avvento di nuove competenze tecnologiche, sia possibile l’identificazione dell’interessato, ossia della persona fisica o giuridica od associativa alla quale i dati trattati appartengono.

Chiarito questo passaggio possiamo dire che è anonimo solo e soltanto quel dato le cui caratteristiche di irrilevanza permangano oggettivamente immutate anche a seguito di una qualunque operazione di aggregazione o incrocio con altri dati.
Non può invece qualificarsi anonimo un dato che consenta l’identificazione di un’ utenza (ad esempio il servizio di Calling Line Identification) o di un’ ubicazione geografica.

Riguardo poi al trattamento del solo “traffico” (tema rilanciato tra i commenti dell’altro post) l’articolo 123 del Codice prescrive che i dati relativi devono essere cancellati o comunque resi anonimi, quando gli stessi non risultino più necessari, ai fini della trasmissione delle comunicazioni elettroniche (ad esempio per avvenuta disconnessione dalla rete) oppure, con il consenso informato dell’interessato, per il termine più lungo necessario per le finalità inerenti alla commercializzazione del servizio. La previsione va poi coordinata con il Decreto Legislativo 24 dicembre 2003 n° 354 e con il Decreto Legislativo 27 luglio 2005 n° 144 che, allo scopo di consentire l’accertamento e la repressione dei reati, così dispongono: i dati relativi al traffico voce possono essere conservati per ventiquattro mesi; i dati relativi al traffico telematico possono essere conservati per il tempo di sei mesi.

Per concludere il nostro discorso dobbiamo sommare un ultimo fattore. Il nostro discorso manca del suo orizzonte. Perché dunque si è parlato di IP e di privacy? Tenuto conto che l’IP non è altro che un numero che identifica una macchina all’interno di un universo ancora più vasto di relazioni chiamate “protocolli.”

Si è parlato di stretta relazione tra IP e privacy perché è passato pochissimo tempo da quel 1968 indicato anagraficamente come anno d’implementazione del primo commutatore a pacchetto. Solo 39 anni e sono cambiate molte cose. Si sono fatte sempre più strette le relazioni fra le varie branche del sapere. Non vi sembra curioso questo sottile dato? Siamo qui. Intendo io che scrivo e voi che leggete. Nello stesso momento eppure differiti. In un luogo pubblico e privato al tempo stesso. Siamo qui in un blog di un’Orientalista a parlare di Diritto ed il punto di unione di questi universi così distanti … in questa virtualità … è l’Informatica.

Si è parlato di stretta relazione tra IP e privacy, perché aldilà di tutto nel web esiste il marketing. Elemento collegato all’offerta stessa di servizi. L’informazione, anzi, questa informazione, è un servizio. E in questo momento voi siete utenti di questo servizio. Questo servizio è gratuito. Dunque abbiamo appena individuato gli elementi essenziali di una prestazione: i soggetti, il luogo, il prezzo. Manca un’altra condizione. L’accordo. Per individuarlo potremmo ricorrere a una intuizione. Un ragionamento astratto che ci permetta di conoscere qualcosa che al momento ignoriamo.

I dati sono importanti. Costituiscono un altro mezzo per l’attuazione del marketing. La vendita d’informazioni e di contenuti sul web è una risorsa preziosa. Ed è facile diventare sia produttori dei contenuti come anche vittime degli stessi. Il nostro IP fa parte di questo marketing poiché tramite di essi è possibile conoscere il vasto popolo di utenti. Da qui i siti migliorano ma possono anche celarsi insidie.

Qui non si vuole demonizzare il marketing. Quello che si è voluto dire è che l’IP può diventare estensione della persona e non solo di un’interfaccia. Si vuole quindi avvertire di un pericolo concreto ed informare di come gli strumenti attuali, nella loro ampia formulazione, consentano di ottenere protezione anche in situazioni come quelle che sono state ipotizzate. Quello che qui si vuole dire è che gli utenti hanno il diritto di sapere se avviene una raccolta d’informazioni. Hanno diritto di ottenere delle risposte.

Tutto questo potrebbe anche non sorprendere se, come penso, vi sia stata una certa assuefazione all’espropriazione della propria persona ormai spezzettata in dati e pacchetti. Tanto da non distinguere effettivamente più quante persone (maschere?) esistano contemporaneamente nello spazio virtuale delle comunicazioni tra protocolli.

Io credo fermamente che il ruolo del giurista nella società della troppa informazione sia di mostrare le tensioni in atto, lasciando poi liberi tutti di decidere se aderire all’offerta di tutela oppure no.