M.P. Berlingieri: I rischi della navigazione in Internet

I rischi della navigazione in Internet

a cura di

Mariapaola Berlingieri

L’avvento e la diffusione di Internet nelle nostre case, fenomeno divenuto macroscopico nel nostro paese negli ultimi anni, comporta in alcuni casi dei pericoli piuttosto gravi per i dati personali del singolo consumatore, quasi sempre inconsapevole dei trabocchetti che talvolta si nascondono dietro le continue novità imposte dal progresso tecnologico.

Internet, invero, offre agli operatori commerciali possibilità più allettanti rispetto al passato di fare pubblicità diretta a costi molto bassi.

I casi in cui la sfera della riservatezza dell’individuo può dirsi violata, dunque, sono statisticamente più frequenti che tramite i lenti e macchinosi strumenti di sollecitazione commerciale prima disponibili.

Anche perché, oltre alla possibilità i produrre, a costi bassissimi, pubblicità diretta e mirata, praticamente ad personam, Internet offre anche i mezzi per concludere direttamente on line il contratto, ed, in alcuni casi, per eseguirlo. Inoltre, la peculiarità principale di Internet sta nel fatto che è particolarmente semplice ed economico reperire indirizzi di posta elettronica di potenziali destinatari, nonché tracciare una mappa dettagliata dei gusti e delle preferenze degli utenti.

Proprio con riguardo ad uno degli aspetti più scottanti attinenti al rapporto tra strumenti telematici e diritto alla riservatezza, il Garante per la protezione dei dati personali ha avuto modo di pronunciarsi, ormai diversi mesi fa, in particolare sulla nota vicenda degli abbonamenti con accesso gratuito ad Internet.

La vicenda ebbe inizio nei primi mesi del 1999 con la novità dell’offerta di accesso gratuito da parte un noto provider, che proponeva, presentando dei conti preventivi che avrebbero dovuto giustificare l’operazione commerciale, un contratto che venne subito battezzato dagli operatori come "contratto-capestro", in quanto collegato ad un’informativa sul trattamento dei dati personali poco chiara se non addirittura (alla luce delle successive pronunce) ingannevole.

L’utente, in pratica, prestava il proprio consenso al trattamento dei dati personali nell’ambito del contratto sottoscritto e si vedeva automaticamente incluso in un elenco di persone cui sarebbero stati recapitati messaggi pubblicitari.

In pochi mesi le offerte di accesso gratuito si moltiplicarono: le varie società proposero contratti dal contenuto più o meno differente da quell’archetipo, ma tutte chiedevano, in cambio della connessione senza canone, un nutrito elenco di informazioni riguardanti i singoli navigatori.

Il Garante intervenne per esigenze di chiarezza e trasparenza con un comunicato stampa in cui rammentava, una volta per tutte, la necessità di una informativa completa, che permettesse l’espressione, da parte del consumatore, di un consenso libero e consapevole. Il presupposto logico della decisione consisteva nella convinzione che ciascuno avesse il diritto di cedere i propri dati personali in cambio di un accesso gratuito alla Rete, trattandosi di un diritto pienamente disponibile, sempre che fosse stato preventivamente informato su ogni conseguenza di una simile accettazione.

In quella stessa circostanza, il Garante ebbe modo di ricordare anche il complesso problema attinente al fenomeno dei logs, registri elettronici delle connessioni in rete, spesso utilizzati al fine occulto di raccogliere informazioni sugli utenti interessanti dal punto di vista commerciale.

Il problema dei logs, infatti, consiste essenzialmente nel fatto che, consentendo di tenere memoria dei collegamenti in rete di ciascun abbonato, offrono la possibilità di scoprire, ancora una volta, gusti, tendenze, preferenze degli utenti, vittime inconsapevoli di un commercio di dati dal carattere potenzialmente planetario; ciononostante, essi sono ritenuti necessari per tutelare la sicurezza dei gestori dei vari servizi, essendo in grado di registrare (e dunque teoricamente scoraggiare, se non scongiurare) tentativi di intrusioni non autorizzate.

La questione dei logs resta, perciò, ancora aperta, malgrado il legislatore sia già a suo tempo intervenuto con la previsione dell’art. 4 d. lgs. 13 maggio 1998 n.171 che dispone, quanto ai dati personali relativi al traffico, trattati per inoltrare chiamate e memorizzati dal fornitore di un servizio di telecomunicazioni accessibile al pubblico o dal fornitore della rete pubblica di telecomunicazione, che siano cancellati o resi anonimi al termine della chiamata, salve le eccezioni previste ai commi seguenti per fini di fatturazione e commercializzazione di servizi. Sarebbe questo, perciò, l’unico caso in cui è possibile tenere i registri elettronici dei dati, sempre previo consenso espresso dell’interessato, e, comunque, limitatamente "a quanto è strettamente necessario per lo svolgimento di tali attività". Qualunque altra utilizzazione, dunque, sarebbe illecita.

La violazione di questa norma comporta la sanzione penale piuttosto grave di cui all’art. 35 della l. 675/1996, pari alla reclusione sino a due anni o addirittura sino a tre quando dal trattamento derivi nocumento per la persona interessata.

E’ appena il caso di aggiungere che, attualmente, la quasi totalità di contratti di accesso ad Internet sono forfettari e non prevedono dunque alcuna fatturazione dettagliata; ciò, pertanto, dovrebbe portare a escludere in tutti questi casi la liceità di un’eventuale conservazione dei dati relativi al traffico da parte del provider. Si tenga presente, tuttavia, che attualmente, a livello europeo, da più parti si sollecita l’adozione di disposizioni di legge che impongano ai providers di conservare tali informazioni per motivi di sicurezza, in quanto probabilmente utili ad indagini dell’autorità giudiziaria. Tale orientamento ha trovato ulteriore rinvigorimento nel nuovo clima di tensione creatosi dopo gli avvenimenti dell’11 settembre 2001.

Oltretutto, pur a prescindere dalla tenuta dei logs, è spesso relativamente semplice, basandosi sul metodo dell’analisi del traffico, riuscire a scoprire che c’è stata una corrispondenza in Rete tra due soggetti; questa informazione può, secondo i casi, essere interessante di per se stessa, anche qualora non si possa venire a conoscenza del contenuto dei messaggi. Ciò può accadere perché i pacchetti IP contengono sempre l’indirizzo, in chiaro (anche quando il contenuto è crittografato), di mittente e destinatario. E’ sufficiente, dunque, esaminare il traffico fra due sistemi per accertare l’effettivo collegamento tra due soggetti; oppure, in modo ancora più fruttuoso, si potrà esaminare il traffico sul nodo di un provider, così da ottenere informazioni praticamente illimitate su un numero non definito di soggetti.

Addirittura, sarebbero inutili a tutelare la privacy, in questo caso, anche i cd. anonymous remailer, nati proprio per garantire la riservatezza di chi spedisce i messaggi, attribuendo a ciascun mittente un indirizzo fittizio: nonostante questo strumento, infatti, sarebbe possibile l’analisi del traffico del remailer per stabilire, senza troppe difficoltà, una connessione tra i messaggi in entrata e in uscita.

Analogamente, possono rappresentare dei seri pericoli per la privacy dei navigatori i cd. cookies. Dietro il nome innocuo e familiare (letteralmente "biscottini"), sono nascosti degli strumenti che consentono al server di conservare frammenti di ogni documento scaricato dal client sul web (diversamente da quanto accadeva prima dell’invenzione degli stessi, quando veniva usata, per ogni frammento di documento scaricato, una connessione differente, che impediva di associare fra loro le varie connessioni e di ricondurle al medesimo client).

I cookies offrono, perciò, la possibilità di raccogliere informazioni sui siti visitati da un determinato soggetto, permettendo in questo modo di fabbricare una mappa dei gusti e delle preferenze dell’utente. Si tratta del processo definito, in gergo commerciale, di "profilazione".

Sono facilmente immaginabili, anche in questa ipotesi, le conseguenze di un uso distorto di tali strumenti, nati in origine per semplificare i compiti dell’utente che si connette, cui viene evitato di ridigitare ID e password ad ogni collegamento, cui potrebbe invece capitare di veder recapitare direttamente al proprio indirizzo (reale o virtuale che sia) proposte commerciali ad hoc, modellate sui suoi propri gusti e inclinazioni.

Tutto ciò, anche a voler tralasciare il fatto che ogni sito che viene visitato è interconnesso agli altri, per cui ciascun sito sa da quale l’utente proviene e verso quale si sposta. A ciò si aggiunga che è possibile (anzi, ormai probabile) che i vari siti siano affiliati ad una terza parte, per esempio un motore di ricerca; ed, anche, che quando l’utente si collega ad un motore di ricerca, esso ha spesso dei legami automatici con delle società di marketing, che ricevono una serie di informazioni il cui contenuto non rientra forse tra i "dati personali" in senso tecnico, ma sicuramente contribuisce a meglio definire il profilo dell’utente X.

E’ vero che di questo soggetto la società potrebbe non conoscere mai il vero nome ed altri dati sulla sua esistenza reale, come l’indirizzo; ma è anche vero che l’utente X assume, alla fine, connotati estremamente precisi ed interessanti per una società di marketing e che egli stesso continuerà, più o meno inconsapevolmente, ad incrementarli ad ogni collegamento, aggiungendo giorno per giorno l’ennesima pennellata al proprio profilo socio - economico.

Infine, una condotta che assume notevole rilevanza ai fini della verifica imposta dalla l. 675/1996 è quella del cd. spamming, consistente nell’inviare messaggi di posta elettronica generalmente a carattere pubblicitario e commerciale, senza alcuna preventiva richiesta da parte del destinatario.

I problemi derivanti da un’attività di questo tipo sono di diversa natura, ma in particolare ricordiamo che, per ricevere un e-mail, il destinatario sopporta un costo; che, spesso, l’invio in quantità massiccia di questi messaggi causa l’intasamento della casella postale di chi li riceve e, talvolta, delle stesse linee; che la lettura e l’eliminazione dei messaggi comportano un costo anche in termini di perdita di tempo.

Si noti, come curiosità, l’etimologia del termine: "Spam" era, in origine, la marca della carne in scatola distribuita durante la seconda guerra mondiale ai soldati americani, nota per la sua pessima qualità. In breve, il termine entrò nel linguaggio quotidiano per indicare tutto ciò che fosse molto economico e di scarsa qualità; infine, "spam" divenne, da nome proprio, nome comune sinonimo di "spazzatura".

Si osserva da parte di alcuni che, in fondo, lo spamming sarebbe equiparabile all’attività di volantinaggio nelle cassette postali "materiali", a proposito della quale nessuno ha mai sollevato questioni di lesione della privacy. Ma, a parte l’osservazione che anche il fatto di immettere puntualmente e sistematicamente messaggi pubblicitari nelle cassette postali costituisce un’intrusione nella sfera giuridica altrui, è stato giustamente osservato che ricevere e-mail non richiesti equivarrebbe all’assurda ipotesi in cui qualcuno ci chiedesse di pagare una somma di danaro (sia pure irrisoria) per ogni volantino ricevuto. Siamo sicuri che ciò susciterebbe l’irritazione di chiunque.

Una volta chiarite, dunque, le stranezze e le anomalie del fenomeno ed il fatto che non si tratta di una presa di posizioni solo teorica, passiamo ad esaminare il dettato normativo richiamando il d.lgs.n°185/1999, recante disposizioni per la protezione dei consumatori in materia di contratti a distanza (in attuazione della dir. 97/7/CE), con cui il legislatore ha finalmente sancito l’illegittimità di tale prassi in mancanza del consenso preventivo del destinatario.

Ovviamente, il decreto di cui trattasi si occupa solo della tutela del consumatore, in quanto soggetto "debole". E per "consumatore" deve intendersi, ai sensi del suddetto decreto (art. 1, lett.b), la persona fisica (e solo fisica, si badi) che agisce per scopi non riferibili all’attività professionale da lui eventualmente svolta: restano dunque fuori dalla previsione normativa, oltre ad associazioni e società, anche imprese e aziende e tutti coloro che, a titolo personale, abbiano stipulato un contratto (o siano comunque in contatto "a distanza" con un commerciante) per scopi attinenti all’attività professionale.

Rimangono perciò in vita gli aspetti forse più deleteri del fenomeno dello spamming, e cioè i danni — in termini di danaro, ma anche in termini di tempo lavorativo sottratto — alle imprese.

Le sanzioni previste per la violazione del divieto di cui all’art. 10 d.lgs. n°185/1999 è quella amministrativa pecuniaria dell’ammenda compresa tra uno e dieci milioni di lire, passibile di aumento sino al raddoppio in caso di recidiva (e nel caso di commercianti che adoperano lo spamming come strumento per pervenire alla conclusione di un contratto, la recidiva rappresenta la norma).

Negli Stati Uniti lo spamming è ormai configurato come un autentico "furto di servizi", e le relative sentenze hanno inflitto pene molto gravi agli spammer. Si veda, a questo proposito, il caso emblematico Ciberpromo Vs. America On Line, in cui la seconda adottò una drastica soluzione per proteggere i propri utenti dalla Ciberpromo, società dedita esclusivamente all’attività di spamming: bloccò, senza distinzione di sorta, tutto il traffico da quest’ultima proveniente. Fu proprio Ciberpromo, paradossalmente, ad adire il tribunale per proibire questo tipo di attività (si noti che, anche nell’intestazione della causa, Ciberpromo è parte attrice), ottenendo però l’affermazione dell’opposto principio: non esiste obbligo alcuno, in rete, di accettare o veicolare il traffico altrui.

La giurisprudenza italiana, invece, non ha ancora avuto modo di pronunciarsi sullo scottante argomento.

Dal canto suo, il Garante ha confermato l’avvio di un monitoraggio sui siti italiani, per capire quali sono gli strumenti di profilazione messi in atto (nel gergo commerciale, il termine indica l’attività di delineazione del profilo del singolo utente, sulla base proprio delle informazioni raccolte con mezzi più o meno leciti, di cui si discute) e fino a che punto gli utenti vengono messi in condizione di sapere di essere monitorati da un "grande occhio elettronico". La decisione del Garante fa riferimento, soprattutto, a quell’attività di raccolta dei dati di cui si parlava all’inizio del nostro discorso; ma ciò non toglie che il monitoraggio possa giovare (o ledere, a seconda dei punti di vista, considerato il diffuso disappunto che ha scatenato la dichiarazione negli ambienti informatici) anche all’utilizzo degli altri strumenti adoperati dai commercianti on-line per introdursi nella vita privata degli utenti: strumenti tutti strettamente collegati tra loro. Non dimentichiamo, infatti, in attesa delle sicure future evoluzioni che la vicenda subirà, che la ricezione di messaggi pubblicitari e di proposte commerciali era prevista inizialmente come una delle condizioni cui il navigatore doveva sottostare per poter accettare l’offerta di abbonamento gratuito alla rete.

Oggi, quantomeno, l’utente sa di scambiare un bene economicamente valutabile (i propri dati personali) con un accesso "gratuito" ad internet che non può più definirsi tale, proprio perché egli stipula, al contrario, un contratto a prestazioni corrispettive ed oneroso a tutti gli effetti.

Roma, Settembre 2002