Indirizzi IP, diritto alla privacy e marketing

privacyOvverosia: tra IP e marketing non mettere il dito! Questo è il titolo che hermansji, alias l’Avv. Hermans Joseph Iezzoni, ha dato al suo post, che pubblico qui di seguito. Tutto è nato da una discussione sviluppatasi nei commenti a “Che c’è dietro a Montezemolo, De Bortoli e Draghi?“, che sono scivolati sul blog di Beppe Grillo e sulla liceità di “catturare” qualsiasi tipo di informazione sui lettori, senza che questi ne vengano debitamente informati. Vi invito dunque a leggere i commenti per recuperare alcune informazioni.

Il punto era: è possibile che anche l’indirizzo IP riceva protezione dalle norme a tutela della privacy?
Io personalmente voglio sapere se i miei dati personali vengono raccolti e da chi, con quale scopo, per quanto tempo, e voglio essere in grado modificarli o cancellarli in qualsiasi momento. Stante il fatto che una vera privacy non esiste, tanto meno a livello informatico, ho il diritto di essere informata e di non lasciare che i miei dati vengano usati, a qualsiasi scopo, senza che ne sia a conoscenza.

Ma sentiamo il parere di hermansji, che traccia anche un breve ma interessantissimo excursus sul concetto stesso di privacy nel diritto anglosassone, dove è molto sentito, e quello italiano. Enjoy!
(foto)
****************

Il discorso prosegue senza pretesa di compiutezza (data la vasta natura della materia) muovendo più che altro “nuove” riflessioni sul tema e se del caso rilanciarne altre (v’invito dunque a curiosare tra quei commenti per recuperare alcune informazioni).

La “privacy” è un concetto di fede più che di sostanza.
Questa sua ambiguità era già chiara nel dibattito anglosassone. Quando fu teorizzata con un certo garbo nel 1890 da due giuristi americani Samuel D. Warren e Louis D. Brandeis (Harvard Law Review, V. IV, No. 5, December 1890), risultò esclusivamente come una risposta a quell’opinione (forse pubblica?) preoccupata di come il giornalismo, coadiuvato dalla fotografia, stesse assumendo modi invasivi (Instantaneous photographs and newspaper enterprise have invaded the sacred precincts of private and domestic life […] Gossip is no longer the resource of the idle and of the vicious, but has become a trade, which is pursued with industry as well as effrontery).

Dall’altro perché l’Italia possiede un’arte tutta sua nell’argomentare il diritto e tutta nostrana è la “riservatezza”.
Coccolata a partire dal dibattito degli anni ’40 del vecchio secolo. Smentita come reale necessità nel ’56 dalla Cassazione (sentenza n° 4487 depositata il 22/12/1956) che la inquadrava tra le mere scelte di politica legislativa. Ha mosso i suoi primi passi incerti all’ombra della Costituzione con la stessa medesima continuità. Finalmente accolta nel 1973 dalla Corte Costituzionale come la figlia smarrita dei generosi diritti inviolabili dell’uomo. Raggiunge la sua maturità qualche anno dopo per opera di un revirement della Cassazione, che con la pronuncia n°2199 depositata il 27 maggio 1975, la dichiara “autonomo diritto” su tutti i fatti che riguardino le “vicende personali”.
Ora ibrida … tutta moderna per mezzo della sua “personificazione” con l’individuazione (o deificazione?) di un referente gerarchico, il Garante, cui rimbalzare ogni patata bollente.

Non certo marginali sono poi alcuni aspetti:
1) vi è un concetto squisitamente giuridico di “bilanciamento di interessi” per il quale ogni volta che si invoca la protezione di un proprio diritto si cerca di farne salvo un altro;
2) tra le forme di tutela dei diritti prevale un’equidistanza dal danno, così si può ottenere un’utilità equivalente alla lesione subita (compensazione o riparazione) ma mai la stessa utilità e, anche quando il risarcimento superi il danno, non può mai essere eccessivamente oneroso;
3) spesso la persona, fisica o giuridica, contro la quale è mossa l’azione di risarcimento è chiamata a difendersi per mezzo di una prova a contenuto “diabolico” (occorre provare oltre ogni ragionevole dubbio di aver attuato un comportamento incensurabile con tutte le cautele, nel rispetto di qualunque obbligo predisposto e con l’ausilio della migliore scienza tecnica o tecnologica);
Quando l’Italia ha fatto fronte ai suoi obblighi comunitari, recependo le varie direttive — la European Union Data Protection Directive 95/46/EC, la Data Protection Telecommunications Directive 97/66/CE, la Directive on privacy and electronic communications 2002/58/CE — il punto nodale della discussione è passato gradatamente dalla sensibilizzazione, mediante strumenti di indagine quali l’Eurobarometro, agli imperativi categorici.

Si è fatta, così, palese la necessità di superare le vecchie tendenze anglosassoni che ricostruivano il diritto come aspetto della solitudine (right to be let alone), per rendere concreta l’uguaglianza di ciascun individuo rispetto alle procedure di trattamento dei dati, giungendo ad assimilare dalla esperienza teutonica i concetti di parsimonia ed indispensabilità (datenvermeidung und datensparsamkeit).

La chiave di volta è stata, quindi, introdurre il diritto di controllare i propri dati personali. Si è smorzata l’idea romantica dell’individuo isolato, arroccato nella sua ambigua posizione di disuguaglianza o meglio di dominus solitario con i suoi diritti nella scarsella alla continua ricerca di un anonimato o di un proxy-anonymizer, a beneficio dell’“essere sociale” che costantemente si relaziona con il mondo esterno. Operatore quindi nella e della realtà concreta. Soggetto ed oggetto di azioni che inevitabilmente lasciano segni e quindi autore/proprietario delle sue impronte fisiche, digitali o biologiche. Si è sviluppata, a margine, tutta la tematica di confine meta-giuridico e meta-filosofico con protagonisti l’io, lo spazio e la proprietà.

Il legislatore arriva e, (stranamente almeno parlando di pure statistiche) svecchia l’apparato normativo ed introduce nuove fattispecie o meglio nuovi scenari nei quali si muove l’azione degli operatori sociali. Fa capolino il concetto di tracciabilità. Così i dati debbono essere tutelati poiché appartengono ad una persona. Non sono elementi solitari — o meglio, frutto di solitudine — sono solo riservati poiché intimi e, fin tanto che restano negli interstizi di queste intimità, occorre attendere che sia la persona a tirarli fuori.

Costituisce, infatti, una forma di violenza quell’aggregazione dei dati che permetta di conoscere la persona (maschera ?) non per quello che è ma per quello che potrebbe astrattamente essere. Eco lontano di quelle altre innovazioni, estranee al nostro discorso, ma tutte legate alla “persona” come le tutele apprestate a chi vuol far coincidere la sua identità sessuale interiorizzata a livello psichico con la sua manifestazione corporea.

Violenza? Sì … poiché toglie all’individuo la sua legittima progressione. Ad esempio, l’utilizzo di questionari aziendali, allo scopo di procedere ad un restyling del personale, costituisce per questa via una saturazione del concetto di “rapporto di lavoro” dove l’individuo mette energie psicofisiche allo scopo di evolversi anche socialmente. Orbene la specializzazione del lavoratore assume una doppia personalità (maschera?) diretta a conseguire una vita libera e dignitosa mediante una retribuzione che la garantisca, ma possiede anche un diritto ad evolversi/ realizzarsi/ crescere all’interno dei gradini sociali.

La violenza diventa esasperata quando tramite la raccolta dei dati si producono ripercussioni nella vita quotidiana di un uomo o di una donna rubando anche la prospettiva del futuro. Le raccolte di dati assumono i connotati di stigmatizzazioni e come ogni ferita sanguinante se non curate tempestivamente possono causare conseguenze inaspettate. Così ad esempio viene in mente a chi scrive che mentre a un detenuto è riconosciuto il diritto alla rieducazione e al reinserimento sociale… a una persona che abbia subito la perdita della prospettiva del futuro, a causa di un’invasione negli interstizi delle intimità, purtroppo un tale diritto non è riconosciuto.

Il legislatore segue (insegue?) la “tracciabilità” rammentando però, come avevamo chiarito qualche riga sopra, che non si tratta di un diritto assoluto ma “bilanciato”. Così ad esempio, nell’ambito giudiziario, è pubblico il contenuto delle sentenze ma legittimamente può essere riservato il nome delle parti in causa.

Il legislatore, con il Codice in materia di protezione dei dati personali, è andato oltre, superando la dicotomia tra “comuni” e “sensibili”, presente nella legge 675/1996, infatti, si è mosso attraverso l’uso dei principi:

1) di semplificazione, armonizzazione ed efficacia che devono improntare il comportamento dell’interessato, del titolare del trattamento ma anche del giudice chiamato ad individuare la presenza di un interesse “vivo” all’interno di tutti i diritti fondamentali la cui aggressione determina il fondamento di una pretesa di risarcimento (articolo 2 del Codice);
2) di necessità o meglio di utilizzo minimo ed indispensabile dei dati (articolo 3 del Codice) con una apertura alla progressiva razionalizzazione di questa “necessità” connaturata con l’evoluzione degli standard tecnici, tecnologici od organizzativi del trattamento;
3) di liceità e correttezza nel trattamento (articolo 11 lettera a del Codice);
4) di determinatezza degli scopi e di utilizzo dei dati raccolti compatibilmente con essi (articolo 11 lettera b del Codice);
5) di esattezza ed aggiornamento (articolo 11 lettera c del Codice);
6) di pertinenza, completezza e non eccedenza rispetto agli scopi (articolo 11 lettera d del Codice);
7) di conservazione per il tempo necessario agli scopi (articolo 11 lettera e del Codice).

Si è spinto oltre nel momento in cui ha fornito una definizione legale, ossia il gergo comune da adottare e al quale far riferimento per l’applicazione della materia considerata.

Per le finalità di questo nostro discorrere, ossia rispondere alla domanda se vi è tutela per l’indirizzo IP, giova soffermarsi su alcune di queste definizioni.
Per “trattamento” s’intende qualunque operazione o complesso d’operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati (articolo 4 lettera a del Codice).
Si può pacificamente sostenere che quest’elencazione contenutistica non sia esaustiva e nemmeno tassativa ma anzi “aperta” a numerose esemplificazioni ed espansioni semantiche.
Peraltro, proprio in questa definizione si nota come l’intento del Legislatore sia stato quello di configurare ipotesi di trattamento in ogni operazione intrapresa. Dunque è trattamento anche il solo distruggere i dati oppure consultarli, come anche conservarli. Ognuna di queste operazioni, singolarmente intese, costituisce trattamento.
Il “dato personale” invece è qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (articolo 4 lettere b del Codice).

Si badi bene dunque alle espressioni usate:
– qualunque informazione;
– relativa a persona identificata o identificabile anche indirettamente.

La vis espansiva della norma è di tutta evidenza. Ricadono nella disciplina del Codice “tutte” le informazioni fossero anche quelle anonime se, al contrario delle apparenze, vi sia, anche potenzialmente, la possibilità di identificare tramite di esse una persona.
Questa possibilità discende, proporzionalmente, da ogni contributo aggiuntivo che i dati raccolti forniscono in termini di “identificabilità” del soggetto cui appartengono. Essa può essere sfruttata sia dal titolare del trattamento quanto dai terzi. Ad esempio il contatore statistico, presente ormai ovunque nel web, raccogliendo dati sempre più minuziosi sugli accessi giornalieri può diventare strumento per risalire alla persona fisica tramite l’IP. Quest’aspetto è stato meglio chiarito nel commento n° 89 di questo Post.

Poniamo un ulteriore caso. Ammettiamo che il soggetto “A” sia il titolare di un trattamento e che per le proprie finalità raccolga numerosi dati. Immaginiamo anche che questi dati singolarmente presi non determinino alcuna probabilità di risalire ad un’identità certa. Il fatto che i dati siano stati trattati in maniera singola e non aggregata, come anche le limitate capacità tecniche del titolare, non escludono che un terzo si comporti diversamente. Nella malaugurata ipotesi che “B” acceda ai dati disponendo di capacità tecniche superiori e con scopi ben diversi da “A”? “B” potrebbe elaborarli in forma aggregata. “B” potrebbe scoprire relazioni tra questi dati che permettano di risalire ad una persona fisica.
Va tenuto altresì presente che nel caso d’informazioni “collettive”, ossia riguardanti una molteplicità di soggetti, molteplici saranno i profili associati e quindi necessariamente vi sarà un ampliamento dei soggetti e della relativa tutela e questo si badi a livello puramente potenziale.
Per questa via è ammissibile una traslazione di genere con conseguente passaggio di grado:
dati irrilevanti > dati identificativi > dati sensibili.
Questo ogni qual volta, anche per via dell’avvento di nuove competenze tecnologiche, sia possibile l’identificazione dell’interessato, ossia della persona fisica o giuridica od associativa alla quale i dati trattati appartengono.

Chiarito questo passaggio possiamo dire che è anonimo solo e soltanto quel dato le cui caratteristiche di irrilevanza permangano oggettivamente immutate anche a seguito di una qualunque operazione di aggregazione o incrocio con altri dati.
Non può invece qualificarsi anonimo un dato che consenta l’identificazione di un’ utenza (ad esempio il servizio di Calling Line Identification) o di un’ ubicazione geografica.

Riguardo poi al trattamento del solo “traffico” (tema rilanciato tra i commenti dell’altro post) l’articolo 123 del Codice prescrive che i dati relativi devono essere cancellati o comunque resi anonimi, quando gli stessi non risultino più necessari, ai fini della trasmissione delle comunicazioni elettroniche (ad esempio per avvenuta disconnessione dalla rete) oppure, con il consenso informato dell’interessato, per il termine più lungo necessario per le finalità inerenti alla commercializzazione del servizio. La previsione va poi coordinata con il Decreto Legislativo 24 dicembre 2003 n° 354 e con il Decreto Legislativo 27 luglio 2005 n° 144 che, allo scopo di consentire l’accertamento e la repressione dei reati, così dispongono: i dati relativi al traffico voce possono essere conservati per ventiquattro mesi; i dati relativi al traffico telematico possono essere conservati per il tempo di sei mesi.

Per concludere il nostro discorso dobbiamo sommare un ultimo fattore. Il nostro discorso manca del suo orizzonte. Perché dunque si è parlato di IP e di privacy? Tenuto conto che l’IP non è altro che un numero che identifica una macchina all’interno di un universo ancora più vasto di relazioni chiamate “protocolli.”

Si è parlato di stretta relazione tra IP e privacy perché è passato pochissimo tempo da quel 1968 indicato anagraficamente come anno d’implementazione del primo commutatore a pacchetto. Solo 39 anni e sono cambiate molte cose. Si sono fatte sempre più strette le relazioni fra le varie branche del sapere. Non vi sembra curioso questo sottile dato? Siamo qui. Intendo io che scrivo e voi che leggete. Nello stesso momento eppure differiti. In un luogo pubblico e privato al tempo stesso. Siamo qui in un blog di un’Orientalista a parlare di Diritto ed il punto di unione di questi universi così distanti … in questa virtualità … è l’Informatica.

Si è parlato di stretta relazione tra IP e privacy, perché aldilà di tutto nel web esiste il marketing. Elemento collegato all’offerta stessa di servizi. L’informazione, anzi, questa informazione, è un servizio. E in questo momento voi siete utenti di questo servizio. Questo servizio è gratuito. Dunque abbiamo appena individuato gli elementi essenziali di una prestazione: i soggetti, il luogo, il prezzo. Manca un’altra condizione. L’accordo. Per individuarlo potremmo ricorrere a una intuizione. Un ragionamento astratto che ci permetta di conoscere qualcosa che al momento ignoriamo.

I dati sono importanti. Costituiscono un altro mezzo per l’attuazione del marketing. La vendita d’informazioni e di contenuti sul web è una risorsa preziosa. Ed è facile diventare sia produttori dei contenuti come anche vittime degli stessi. Il nostro IP fa parte di questo marketing poiché tramite di essi è possibile conoscere il vasto popolo di utenti. Da qui i siti migliorano ma possono anche celarsi insidie.

Qui non si vuole demonizzare il marketing. Quello che si è voluto dire è che l’IP può diventare estensione della persona e non solo di un’interfaccia. Si vuole quindi avvertire di un pericolo concreto ed informare di come gli strumenti attuali, nella loro ampia formulazione, consentano di ottenere protezione anche in situazioni come quelle che sono state ipotizzate. Quello che qui si vuole dire è che gli utenti hanno il diritto di sapere se avviene una raccolta d’informazioni. Hanno diritto di ottenere delle risposte.

Tutto questo potrebbe anche non sorprendere se, come penso, vi sia stata una certa assuefazione all’espropriazione della propria persona ormai spezzettata in dati e pacchetti. Tanto da non distinguere effettivamente più quante persone (maschere?) esistano contemporaneamente nello spazio virtuale delle comunicazioni tra protocolli.

Io credo fermamente che il ruolo del giurista nella società della troppa informazione sia di mostrare le tensioni in atto, lasciando poi liberi tutti di decidere se aderire all’offerta di tutela oppure no.



Commenti

Comments are closed.


L'autore del blog

boh

Questo è il blog di Enrica Garzilli, specialista di indologia e di studi asiatici e docente di Storia del Pakistan e dell'Afghanistan presso il Dip. di Studi Politici dell'Università degli Studi di Torino.