Dalle schedature alla
responsabilità dei provider
di Manlio Cammarata - 05.10.2000
Verso una carta internazionale sulla protezione
della riservatezza: questo è il risultato di maggiore rilievo della conferenza
dei Garanti che si è conclusa a Venezia lo scorso 30 settembre. Non è ancora
la "convenzione", con effetti vincolanti, che molti auspicano, ma si
tratta indubbiamente di un notevole passo avanti in questa direzione.
Non è ancora definito in tutti i dettagli il testo che, per ora, si presenterà
come una "dichiarazione" comune. Ma i principi generali della futura
"Carta di Venezia" sono quelli, ormai largamente accettati, della
direttiva 96/45/CE:
- raccolta dei dati personali solo per finalità
chiare e definite
- correttezza e trasparenza della raccolta, con
divieto dei trattamenti "invisibili", cioè la raccolta dei dati
sull'internet senza il consenso degli interessati;
- rispetto del principio di proporzionalità,
cioè il rapporto tra mezzi e fini, per cui non sono ammissibili raccolte di
massa di dati personali;
- qualità dei dati raccolti, tempi limitati per
la loro conservazione, pieno diritto di accesso e correzione dei dati raccolti
da parte degli interessati;
- tutela effettiva e agevole, così che i
cittadini possano esercitare effettivamente il loro potere di controllo;
- rafforzare le garanzie in settori in cui
crescono oggi le preoccupazioni, come quelli riguardanti i dati genetici e la
sorveglianza elettronica.
Questo, per così dire, è il risultato "di
facciata" delle tre giornate di lavori, durante le quali i rappresentanti
dei quaranta Paesi intervenuti alla Conferenza hanno esaminato ogni aspetto
della protezione dei dati personali, alla luce della diffusione delle
tecnologie, dei contrapposti interessi di tutela da una parte e di libertà del
commercio dall'altra, e delle notevoli differenze tra gli ordinamenti dei
diversi Stati. Sul sito del Garante
italiano molte relazioni
sono già pubblicate, altre si aggiungeranno (si spera in tempi brevi), così da
disegnare un quadro completo dei diversi problemi della tutela della
riservatezza in moltissimi Paesi del mondo.
In ultima analisi, sembra di poter identificare
tre ordini di questioni sulle quali è necessario riflettere e agire:
1) i trattamenti a scopo commerciale, con le attività di "profilazione"
più o meno occulte e le possibilità di controllo da parte degli interessati;
2) i trattamenti in ambito pubblico, con particolare attenzione ai dati
sensibili, e con i rischi di schedature di massa;
3) l'importanza di utilizzare gli strumenti utili a fini di pubblica sicurezza e
di giustizia, nel rispetto della sfera privata dei cittadini (intercettazioni,
videosorveglianza ecc.).
E' comune a questi problemi un aspetto nuovo e sempre più preoccupante, quello
del trattamento dei dati genetici, la cui importanza è enorme, come (purtroppo)
il valore economico.
Se il primo dei punti appena citati sembra in
qualche modo risolvibile, anche per l'interesse degli operatori commerciali a
non perdere la fiducia dei clienti, il secondo e il terzo destano interrogativi
molto pesanti. Ecco, in ordine sparso, alcuni problemi che non sembrano di
facile soluzione.
In Italia, le forze dell'ordine registrano
sistematicamente le generalità dei cittadini fermati casualmente per controlli
sul territorio. Quale legge lo prevede? A quale scopo i dati vengono registrati,
dove e per quanto tempo vengono conservati, chi vi ha accesso?
Ancora, torna periodicamente alla ribalta della
cronaca la schedatura di massa che sarebbe operata sistematicamente dai
Carabinieri in tutte le stazioni. Nessuno spiega in forza di quale legge si
operi questo trattamento e perché i cittadini non possano controllare le
informazioni che li riguardano, visto che non si può considerare fatta a fini
di sicurezza pubblica o di giustizia una raccolta di dati che riguardano milioni
e milioni di "brave persone", che possono al più essere colpevoli di
qualche violazione del codice della strada.
Sempre restando in Italia, e sempre parlando di
trattamenti in ambito pubblico, non si può ignorare un "progresso
tecnologico" molto pericoloso: la struttura del circuito della carta
d'identità elettronica, che il Ministero dell'interno sembra intenzionato a
varare in tempi molto brevi.
Tutte le carte saranno "certificate" dal Ministero stesso e le
informazioni saranno custodite in un unico sistema telematico, consultabile da
una serie di soggetti abilitati. Nelle carte potranno essere registrati anche
dati sensibili.
E' evidente che l'esistenza di questa banca dati rende tecnicamente possibile il
"tracciamento" di moltissime attività dei cittadini, in particolare
di tutte quelle che comportano un contatto con la pubblica amministrazione.
Anche confidando (con qualche riserva...) che il trattamento avvenga nel
rispetto puntiglioso di tutte le norme, e che le misure di sicurezza siano ai
massimi livelli, quali garanzie abbiamo che un domani, in una situazione
politica diversa, qualcuno non decida di fare un uso illecito di queste
informazioni, magari a fini di discriminazione nell'assegnazioni di posti di
lavoro? O quali danni potrebbero derivare da alterazioni dei dati, non
immediatamente riconoscibili, operate da un pirata informatico che riuscisse a
violare le protezioni?
Spostiamoci al di là dell'Atlantico, dove si
discute di un sistema di intercettazione telematico, dal preoccupante nome di Carnivore,
che l'FBI vorrebbe installare (naturalmente con tutte le garanzie di legge -
viene da ridere!) presso gli internet provider, per spiare la posta degli
utenti.
Nel frattempo in Gran Bretagna si cerca di far passare un sistema analogo, con
l'aggravante che le intercettazioni non avverrebbero su ordine specifico della
magistratura, ma su diretta iniziativa delle forze di polizia.
Anche in Italia ci si prepara ad adottare soluzioni di questo tipo, come
dimostra l'articolo 5, comma 1,
lettera k) delle condizioni per le autorizzazioni generali alle quali sono
soggetti gli internet provider, che prevede
la collaborazione tempestiva alle competenti
Autorità giudiziarie ai fini della tutela della sicurezza delle comunicazioni e
le necessarie prestazioni a fronte di richieste di documentazione e di
intercettazioni legali, anche mediante sistemi informatici e telematici, secondo
quanto previsto dalla Risoluzione del Consiglio dell'Unione Europea del 17
gennaio 1995 sull'intercettazione legale delle comunicazioni...
Per capire la portata di questa norma è
opportuno leggere appunto questa Risoluzione
comunitaria sull'intercettazione delle comunicazioni, perché chiarisce
al di là di ogni dubbio quali poteri si vogliono attribuire alle law
enforcement agencies per mettere sotto controllo i sistemi telematici. Si
dirà che in Italia la legge non consente intercettazioni né acquisizioni di
documenti senza l'autorizzazione del magistrato, ma un dubbio rimane: che fine
fanno le registrazioni e i documenti sequestrati, soprattutto quando riguardano
soggetti che poi si rivelano estranei ai fatti oggetto di indagine, o comunque
non colpevoli di alcun reato? La nostra legge, e la direttiva europea sui dati
personali, tanto severe e dettagliate per quanto riguarda i trattamenti svolti
dai privati, sono molto evasive sulle informazioni raccolte a fini di sicurezza
nazionale o di giustizia.
Si aggiunga che recenti fatti di cronaca, come le
inchieste sulla pedofilia, hanno suscitato ancora una volta le richieste di
maggiori controlli sulla Rete e preparano il terreno per un "giro di
vite" che deve preoccupare chi crede ancora nell'internet come strumento di
libertà (vedi Il coro dei bugiardi alla
seconda crociata e Verso un
"giro di vite" contro la libertà della Rete). La
"cittadinanza elettronica" del titolo della Conferenza di Venezia
rischia di diventare la cittadinanza del controllo globale e della schedatura di
massa, con buona pace degli onesti privacy commissioner di tutto il
mondo, i cui poteri cozzano contro il muro di gomma delle (a volte pretestuose)
esigenze di law enforcement.
C'e anche la prospettiva, sempre più concreta,
dell'introduzione di qualche forma di responsabilità penale oggettiva a carico
degli internet provider. Prospettiva non lontana, se si rileggono le norme della
legge 269/98 sulla pedofilia, che oggi viene considerata
"insufficiente". Norme che già adombrano la responsabilità del
fornitore di hosting o di accesso per i contenuti pedo-pornografici (vedi
"Chiunque
distribuisce... anche per via telematica": i fornitori sono serviti)
e che potrebbero essere rese più incisive e devastanti applicando le previsioni
della direttiva 2000/31/CE, articoli 12 e
13, sul commercio elettronico. Qui si escludono esplicitamente le
responsabilità di chi fornisce il mero trasporto dei dati o non ha la
possibilità materiale di intervenire sui contenuti, con una serie di pedanti
distinzioni che non hanno altro scopo che quello di consentire l'imputabilità
in tutti i casi non esplicitamente esclusi.
Su questo punto sono pesantissime le affermazioni
del presidente della Commissione per la riforma del codice penale, Carlo
Federico Grosso, nell'intervista
alla Repubblica del 1. ottobre scorso. Alla domanda "Già
oggi i server possono rispondere penalmente?" Grosso risponde "In
teoria sì, poiché attraverso le parole e le immagini transitate sui server si
possono realizzare reati fra i quali la
divulgazione, distribuzione e pubblicizzazione di materiale pornografico
concernente i minori, ed il server può essere considerato concorrente nella
loro realizzazione. Per la loro responsabilità oggi è tuttavia necessario il
dolo e potrebbe non essere sempre agevole provare che un server era consapevole
di ciò che è transitato dalla sua porta di accesso". Sorvoliamo,
naturalmente, sulla confusione tra "server" e "provider",
perché non possiamo sapere se essa derivi dall'ignoranza dell'intervistatore o
da quella del giurista.
Che c'entra tutto questo con la protezione dei
dati personali? Il collegamento è diretto e immediato, perché l'unica misura
che può essere ragionevolmente imposta ai fornitori di accesso è
l'identificazione certa degli abbonati, proteggendo nel contempo l'anonimato di
chi lo chiede. Per ottenere questo risultato basterebbe un codice
di autodisciplina, ma i provider italiani hanno fatto orecchie da
mercante alle proposte, anche qualificate, avanzate negli anni scorsi.
Forse ci ripenseranno quando qualcuno di loro si vedrà recapitare una
comunicazione giudiziaria e sequestrare i server per un reato - magari
solo presunto - commesso da altri.
In conclusione, quella "cittadinanza
elettronica" vagheggiata a Venezia dai Garanti potrebbe essere, più che un
sogno, un incubo.
Sono le 21 del 3 ottobre 2000. Dalle 9 di questa mattina, solo navigando alla
ricerca di informazioni sull'argomento "privacy", su questo computer
si sono installati più di venti cookie. |