La diffusione di Internet e principalmente l’evoluzione delle linee digitali (xDSL) che sta avvenendo in Europa e che e’ avvenuta negli Stati Uniti gia’ da tempo, ha praticamente portato Internet “24 ore su 24”, in modo continuativo e fisso nelle case di molti uffici e famiglie; ma se da un lato migliorano con passi da gigante la velocita’ di connessione e la potenza dei PC, dall’altro non si assiste ad un perfezionamento dei parametri di sicurezza degli utenti, che sono sempre piu’ spiati, mettono a repentaglio la loro privacy e sono sempre piu’ vittime di hacker, virus e pirati informatici.

Ormai tutti sappiamo che quando ci si connette alla rete, il nostro provider ci assegna un indirizzo univoco (IP address) che identifica da quel momento in poi tutto cio’ che avviene durante la nostra connessione.
Tramite questo indirizzo, che rimane registrato per molto tempo nei log del provider, chiunque puo’ risalire in qualsiasi momento e in poco tempo all’username dell’utente collegato in quel momento ed eventualmente, qualora lo richieda un’indagine, anche al numero di telefono del chiamante.
Molti hanno l’impressione che la navigazione in Internet sia anonima, che si possa andare da un sito all’altro senza lasciare traccia, che si possa leggere questa o quella pagina, entrare in questo o quel sito senza il pericolo di essere identificati.
E che dire della posta? Sembra che basti aprire un account con un nome fittizio per poter spedire messaggi nella totale anonimita’. Naturalmente tutto cio’ non e’ vero. In realta’, nel momento in cui si entra in un sito, si compila una form, si spedisce una lettera, siamo immediatamente identificati. Il server del sito, e quindi il gestore del sito ma anche qualsiasi autorita’ interessata, riceve e conserva dati quali il tipo di browser, la risoluzione video, il sistema operativo, quale sito abbiamo visitato in precedenza, ma soprattutto il nostro indirizzo IP.
L’indirizzo IP, una serie di numeri tipo “194.25.65.221”, identifica con precisione il nostro computer, meglio ancora di un’indirizzo stradale, perche’ arriva fino alla nostra scrivania, alla nostra tastiera, come se fosse un’impronta digitale.  
Dall’indirizzo IP e’ possibile sapere non solo da quale rete chiamiamo (una Lan aziendale, un Isp, un Adsl…) ma il piu’ delle volte esattamente il computer che stiamo usando per navigare. E quindi la persona che e’ entrata nel sito, ha letto quella pagina, ha compilato quel modulo, ha spedito quella mail.
Ma al di la’ di questa prima considerazione, la cosa forse piu’ grave e’ che molti dei programmi installati sul nostro computer oggi sono capaci di trasmettere e rivelare molte informazioni personali sui siti dove navighiamo e tutto cio’ non viene mai detto o accennato dai produttori di software, avviene in modo invisibile, all’insaputa degli utenti ignari, che in questo modo diventano vittime inconsapevoli di spammers (coloro che inviano montagne di e-mail pubblicitarie sulle caselle di posta) e degli hackers.

Penso che nessuno di noi avrebbe installato Internet Explorer 5 se avesse saputo fin dal principio che questo browser mette a rischio la privacy e che rende il computer vulnerabile ai virus provenienti via e-mail, eppure queste cose non sono state mai dette e vengono fuori soltanto adesso dopo che la maggior parte degli utenti ha installato e usa Explorer 5.
A questo punto per evitare di essere identificati facilmente in rete con tutti i rischi conseguenti esiste la possibilita’ di navigare in modo anonimo e cioe’ mascherare l’IP.
Questo e’ possibile, innanzitutto, tramite alcuni specifici software, si pensi ad esempio a Multiproxy nato per Windows 95 e 98  che nasconde l’indirizzo IP dell’utente utilizzando una lista di server proxy pubblici; oppure Jap programma free che nasconde l’indirizzo IP dell’utente durante la navigazione, basandosi su una serie di Mix in cascata che codificano le informazioni nel passaggio tra un Mix e l’altro; o ancora Primedius Web Tunnel programma dall’uso semplicissimo, la cui configurazione e’ operata in modo automatico senza obbligare l’utente a modifiche nella configurazione di Internet Explorer.
La versione Freeware permette di navigare in modo anonimo per un traffico limitato a 4Mbyte al giorno, utile per controllare un nuovo account di posta sul web o per postare in newsgroup o forum di discussione in cui il traffico e’ molto basso.
In realta’, al di la’ di questi programmi per navigare anonimamente e’ senz’altro piu’ comodo utilizzare alcuni siti i quali offrono il servizio di navigazione anonima, cioe’ mascherata, in maniera gratuita o a pagamento.
Quello che succede, a livello tecnico, e’ che le nostre richieste di pagine Web vengono inviate al centro servizi, il quale effettua la richiesta al sito che vogliamo chiamare e ci inoltra le risposte.
Il sito piu’ famoso che offre un servizio di questo tipo e’ Anonymizer un servizio gratuito che ci “presta” un suo IP casuale, senza registrarne i dati, attraverso il quale possiamo navigare in qualsiasi sito lasciando un IP anonimo. Per usare il servizio non serve alcuna registrazione, basta andare alla url www.anonymizer.com/index.shtml e digitare la url del sito che vogliamo visitare in modo anonimo. Da quel momento navigheremo senza che nessuno possa risalire alla nostra identita’.
In effetti il server di Anonymizer si frappone fra noi ed i siti che visitiamo. Ogni volta che clicchiamo su un link, la richiesta arriva ad Anonymizer, che provvede a caricare la pagina ed a rispedircela. Il server del sito richiesto vede solamente l’IP di Anonymizer, e non puo’ sapere che fine faccia, che strada prenda la pagina richiesta.

Ma cio’ comporta anche degli inconvenienti e cioe’ innanzitutto un’effettiva lentezza nel download delle pagine e poi nel puro stile di Internet la possibilita’ di scegliere tra due opzioni: una navigazione gratuita con il vincolo, piuttosto fastidioso, della visualizzazione di banner (sponsorizzazione e pubblicita’ varie) nelle pagine che visualizziamo in maniera anonima oppure una navigazione a pagamento previa sottoscrizione di un abbonamento, diviso in tre tipologie, ma possiamo dire che per l’utenza standard il primo e’ quello piu’ indicato: per la modica cifra di 50 dollari all’anno ci viene offerto Anonymous Web Browsing con “protezione sicura”.

Possiamo quindi navigare in maniera “invisibile” per i siti che visitiamo, per indagini di marketing o nei siti dei concorrenti, per “spiarli” senza far loro sapere che li abbiamo chiamati.
Ma e’ lecito navigare anonimi? O meglio in linea di principio puo’ ritenersi corretta questa forma di navigazione?
Indubbiamente non e’ facile rispondere ad una simile domanda in quanto ci sono diversi fattori contrastanti che impediscono una risposta univoca.
Partendo dal presupposto che in qualsiasi societa’ sono necessarie delle regole affinche’ tutti abbiano gli stessi diritti e gli stessi doveri potrebbe apparire quanto meno “scorretto” navigare con modalita’ anonima distinguendosi dalla quasi totalita’ degli individui.
Si potrebbe, del resto, sostenere che chi e’ onesto non ha nulla da nascondere. D’altro canto l’anonimia potrebbe anche essere un presupposto per delinquere e sappiamo bene che non sono pochi ormai i reati che possono essere commessi in rete.
Tale problematica ha assunto una rilevanza tale che ormai in diversi casi il legislatore si e’ preoccupato di assicurare alle autorita’ competenti la possibilita’ di recuperare i dati di navigazione che potrebbero essere preziosi per l’individuazione di criminali telematici.
Queste continue preoccupazioni del legislatore hanno addirittura messo in seria difficolta’ le societa’ provider che spesso si sono trovate di fronte a situazioni davvero imbarazzanti.
Basti pensare a quanto previsto dall’art. 17 del d.lgs. n. 70 del 9 aprile 2003 che ha dato attuazione alla direttiva n. 2000/31/CE relativa a taluni aspetti giuridici dei servizi della societa’ dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico. La predetta disposizione da un lato detta un principio comune alle norme sulla responsabilita’ degli intermediari ribadendo l’assenza di un generale obbligo di sorveglianza da parte degli intermediari sulle attivita’ degli utenti che utilizzano i loro servizi, un problema molto avvertito dagli Internet providers, sui quali pero’ pende sempre il rischio di una forma di responsabilita’ oggettiva mascherata.

Dall’altro lato, pero’, considerato che nei servizi di hosting il responsabile del sistema, per la natura stessa del servizio, ha sempre la possibilita’ di controllare i contenuti dei siti anche se tale controllo, soprattutto nelle imprese di grandi dimensioni, diviene difficilmente realizzabile, il prestatore e’ sempre tenuto ad informare senza indugio l’autorita’ giudiziaria o quella amministrativa avente funzioni di vigilanza, qualora sia a conoscenza di presunte attivita’ o informazioni illecite riguardanti un suo destinatario del servizio della societa’ dell’informazione nonche’ a fornire senza indugio, a richiesta delle autorita’ competenti, le informazioni in suo possesso che consentano l’identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attivita’ illecite.
In caso contrario e’ sempre ipotizzabile la responsabilita’ civile dell’intermediario al di la’ delle conseguenze di carattere penale.

Oppure si pensi alla tanto attesa conversione in legge del decreto-legge n. 354 del 2003 che ha rinnovellato l’art. 132 del codice per la protezione dei dati personali, fissando un periodo di conservazione dei dati relativi al traffico telefonico di 24 mesi ed il 2° comma prevede una proroga di ulteriori 24 mesi per esclusive finalita’ di accertamento e repressione dei delitti di cui all’articolo 407, comma 2, lettera a), del codice di procedura penale, nonche’ dei delitti in danno di sistemi informatici o telematici.
Bisogna pero’ precisare che un aspetto particolarmente interessante e’ rappresentato dalla specifica integrazione apportata sia al 1° che al 2° comma dell’art. 132 del codice alla locuzione “dati relativi al traffico”. L’integrazione di cui si parla e’ ovviamente l’espressione “telefonico” e la precisazione e’ stata resa necessaria dalle continue discussioni in dottrina sull’effettiva natura di questi dati e se cioe’ gli stessi alla luce di quanto prescritto dall’art. 2 della direttiva 2002/58 fossero solo quelli fatturabili o anche quelli relativi alla trasmissione di una comunicazione su una rete di comunicazione elettronica (log dei servizi).
In questo modo il legislatore fa chiarezza sull’argomento restringendo il campo di applicazione della norma solo ai primi come del resto era stato giustamente osservato da attenta dottrina (MONTI) che era pervenuta alla medesima conclusione argomentando dall’espresso richiamo effettuato dal primo comma dell’art. 132 del codice per la protezione dei dati personali al comma 2 dell’art. 123 dello stesso codice secondo cui “il trattamento dei dati relativi al traffico strettamente necessari a fini di fatturazione per l’abbonato, ovvero di pagamenti in caso di interconnessione, e’ consentito al fornitore, a fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento, per un periodo non superiore a sei mesi, salva l’ulteriore specifica conservazione necessaria per effetto di una contestazione anche in sede giudiziale.”
Per quanto pero’ la nuova versione dell’art. 132 del codice fa espresso riferimento ai dati telefonici, si continua a parlare di delitti ai sistemi informatici e telematici e tutto questo per la verita’ non e’ molto chiaro.

E che dire poi della legge di conversione del decreto antipirateria, il cosiddetto “decreto Urbani” che prevede misure sanzionatorie mirate a rendere effettiva la tutela dei diritti d’autore, che colpiscano penalmente la condotta di coloro che, per fini di profitto, scambiano file protetti dal copyright?
Per rendere effettive tali disposizioni sono state introdotte alcune previsioni relative alla collaborazione tra service provider e autorita’, in rapporto di “preziosa” sinergia ed in conformita’ alle norme gia’ vigenti in materia di e-commerce.
Anche se le intenzioni in sede di revisione legislativa sono quelle di eliminare questi ulteriori balzelli a carico dei provider, ci rendiamo conto di come l’orientamento prevalente sia quello di rendere possibile l’identificazione di chi naviga specie quando ci troviamo di fronte a comportamenti contrari alla giustizia.

Questi interventi legislativi diffusi un po’ in tutta Europa hanno preoccupato non poco i garanti europei della privacy che proprio di recente hanno adottato un importante parere n. 9/2004, nel quale sostengono che imporre la conservazione preventiva a tutti i provider, in maniera indiscriminata e per un certo periodo di tutti i dati di traffico (telefonico, Internet, di posta elettronica), a prescindere dal fatto che siano stati richiesti per concrete esigenze di indagini giudiziarie e di polizia, e’ contrario ai principi fondamentali della protezione dei dati e alla Convenzione europea dei diritti umani.
D’altro canto, nel nostro paese, a livello di dati giudiziari gia’ il nuovo codice in materia di protezione dei dati personali prevede particolare cautele per il trattamento degli stessi: basti pensare agli artt. 18 e segg. oppure agli artt. 46 e segg., ma rispetto ad Internet l’art. 133 del codice prevede la sottoscrizione di un codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato da fornitori di servizi di comunicazione e informazione offerti mediante reti di comunicazione elettronica, con particolare riguardo ai criteri per assicurare ed uniformare una piu’ adeguata informazione e consapevolezza degli utenti delle reti di comunicazione elettronica gestite da soggetti pubblici e privati rispetto ai tipi di dati personali trattati e alle modalita’ del loro trattamento, in particolare attraverso informative fornite in linea in modo agevole e interattivo, per favorire una piu’ ampia trasparenza e correttezza nei confronti dei medesimi utenti e il pieno rispetto dei principi di cui all’articolo 11 del codice, anche ai fini dell’eventuale rilascio di certificazioni attestanti la qualita’ delle modalita’ prescelte e il livello di sicurezza assicurato.

Il problema e’ che questo codice di deontologia, per quanto preannunciato, tarda a vedere la luce mentre vengono gia’ predisposti provvedimenti d’urgenza, come quello in esame, che incidono profondamente nella materia creando non pochi problemi all’Ufficio del Garante.
Ma la necessita’ dell’anonimia nasce proprio dall’esigenza di tutelare la propria privacy in rete e in tale ottica si ripropone quindi quella classica contrapposizione tra tecnologia e privacy.
Il progressivo sviluppo delle comunicazioni elettroniche ha determinato la crescita esponenziale di nuovi servizi e tecnologie. Se cio’ ha comportato, da un lato, indiscutibili vantaggi in termini di semplificazione e rapidita’ nel reperimento e nello scambio di informazioni fra utenti della rete Internet, dall’altro, ha provocato un enorme incremento del numero e delle tipologie di dati personali trasmessi e scambiati, nonche’ dei pericoli connessi al loro illecito utilizzo da parte di terzi non autorizzati.
Si e’ cosi’ maggiormente diffusa l’esigenza di assicurare una forte tutela dei diritti e delle liberta’ delle persone, con particolare riferimento all’identita’ personale e alla vita privata degli individui che utilizzano le reti telematiche.
Indubbiamente in ragione delle peculiarita’ del settore e dell’estrema rapidita’ con cui la tecnologia va evolvendosi, sono opportunamente destinati a svolgere un ruolo determinante, sul piano della disciplina dei trattamenti e delle garanzie per gli interessati, i codici deontologici e di buona condotta previsti da ultimo dal d.lgs. 30 giugno 2003, n. 196.

Le diverse questioni emerse nella materia in esame confermano peraltro la necessita’ di una cooperazione internazionale, anche in ragione del recepimento in Italia del principio di stabilimento, che puo’ limitare il potere di intervento dell’Autorita’ rispetto ai trattamenti di dati personali effettuati da soggetti situati all’estero.
Anche sul fronte dell’e-government esistono indubbie difficolta’ non solo in Italia ma anche in Europa e in un documento recentemente reso pubblico i Garanti europei hanno analizzato la situazione corrente e le prospettive di sviluppo in tema di e-government, sottolineandone le implicazioni in chiave di protezione dei dati personali e richiamando l’attenzione sui possibili rischi del mancato coordinamento fra governi nazionali e autorita’ di protezione dati.

Lo sviluppo di moderne tecnologie e di nuovi servizi di comunicazione elettronica ha reso, quindi, necessario un ulteriore adeguamento della normativa sulla protezione dei dati personali in ambito italiano ed internazionale.
Sul punto, in Italia, il recente Codice per la protezione dei dati personali ha compiuto una ricognizione innovativa delle preesistenti norme sul trattamento dei dati nel settore delle telecomunicazioni (d.lgs. n. 171/1998, come modificato dal d.lgs. n. 467/2001), completando nello stesso tempo il recepimento della direttiva n. 2002/58/CE, relativa alla tutela della vita privata nel settore delle comunicazioni elettroniche.

La disciplina introdotta in materia dal Codice, riproponendo un criterio gia’ presente nella normativa comunitaria, adotta un approccio “tecnologicamente neutro”, ossia valido ed applicabile a tutte le forme di comunicazione elettronica a prescindere dal mezzo tecnico utilizzato.
Naturalmente rimane il rischio che la diffusione dei documenti elettronici come la Carta Nazionale dei Servizi e l’interconnessione di archivi informatici possano comportare una riduzione dei diritti della persona e della riservatezza dei dati personali.
Cio’ anche in considerazione del fatto che su questi profili l’Italia non e’ dotata di una legislazione in tutto idonea a contemperare le esigenze di semplificazione e razionalizzazione dell’attivita’ economica e commerciale con quelle di tutela della persona, anche in attuazione delle prescrizioni e dei principi generali gia’ contenuti nella normativa comunitaria.

Al riguardo, l’Autorita’ Garante per la tutela dei dati personali, nell’esercizio della funzione consultiva di cui e’ titolare, ha piu’ volte segnalato, negli anni precedenti, la necessita’ di individuare con maggiore attenzione e proporzionalita’ la tipologia dei dati da inserire nei documenti elettronici, i soggetti che possono eventualmente accedere alle varie categorie di dati e le garanzie per gli interessati.

Lo sviluppo della rete ha inoltre contribuito, secondo il Garante, alla concezione di un “corpo elettronico” della persona ripartito in diverse banche dati.
Oggi le potenziali aggressioni del diritto all’identita’ personale non provengono esclusivamente da atti, fisici o immateriali, che comportano un’invasione della propria sfera privata. L’evoluzione tecnologica, infatti, se da un lato ha reso sempre piu’ semplici ed accessibili i meccanismi attraverso i quali la pretesa di solitudine dell’individuo tende ad essere compressa, dall’altro ha offerto forme di protezione e di prevenzione dalle intrusioni indesiderate che consentono di risolvere o quanto meno di attenuare in radice questo fenomeno.
Cosicche’ diventa essenziale non tanto evitare che altri violino il pur diritto fondamentale di essere lasciati soli, quanto consentire che ogni individuo possa disporre di un agile diritto di controllo rispetto alle tante informazioni di carattere personale che altri possano aver assunto.
Difatti, nell’attuale era tecnologica le caratteristiche personali di un individuo possono essere tranquillamente scisse e fatte confluire in diverse banche dati, ciascuna di esse contraddistinta da una specifica finalita’. Su tale presupposto puo’ essere facilmente ricostruita la c.d. persona elettronica attraverso le tante tracce che lascia negli elaboratori che annotano e raccolgono informazioni sul suo conto.
Ma e’ necessario ed auspicabile che le giuste preoccupazioni del Garante vadano risolte sul piano istituzionale facendo tra l’altro ricorso a quegli strumenti che lo stesso Codice mette a disposizione.
Si deve ricordare innanzitutto che l’obiettivo delle nuove tecnologie e’ quello di migliorare la qualita’ della vita dei cittadini nel rispetto della sicurezza e della privacy.
Qualsiasi problematica inerente i rapporti tra nuove tecnologie e privacy va sempre risolta inquadrandola nell’ambito di una considerazione globale dei benefici socio-economici che scaturiscono dall’innovazione tecnologica.
Ad esempio non possono trascurarsi i grandi vantaggi rappresentati dalle banche dati presenti in Rete oltre che nello svolgimento dell’attivita’ amministrativa, anche nel migliorare in generale la qualita’ della vita dei cittadini e nel promuovere le attivita’ produttive ed economiche.
Come e’ stato precisato dallo stesso Ministro per l’Innovazione e le Tecnologie Lucio Stanca, le banche dati, per la loro stessa natura, non sono un male; cio’ che e’ preoccupante, ai fini della tutela dei diritti delle persone e della sicurezza delle informazioni, e’ sicuramente l’uso che delle stesse puo’ farsi.

Diventa, quindi, necessario sotto questo profilo governare i processi di sviluppo e promuovere le regole per il rispetto dei diritti.
Per questo, bisogna ammettere che il nuovo codice della privacy costituisce un avanzamento della consapevolezza civile in un’era di accelerata e pervasiva evoluzione tecnologica.
Con l’approvazione del decreto legislativo n. 196 del 30 giugno 2003, il quadro delle misure di protezione dei dati personali e’ stato profondamente modificato.

I meccanismi di adeguamento previsti renderanno il Codice meno soggetto all’obsolescenza di fronte all’avanzare delle tecnologie, restando peraltro immune da tecnicismi e mantenendo invece una sufficiente generalita’ e indipendenza da specifiche tecnologie.
In questo senso, il Codice ha fatto proprio l’obiettivo di ripristino del principio giuridico della norma a carattere generale ed astratto che sia applicabile anche alle fattispecie future che l’evoluzione tecnologica puo’ presentare.
Come si e’ gia’ accennato un altro punto qualificante l’intero approccio alla protezione dei dati personali nei settori piu’ esposti all’innovazione tecnologica e’ sicuramente rappresentato dalla promozione, che compete al Garante, dei codici deontologici di settore, il cui rispetto e’ una precondizione di liceita’ del trattamento dei dati personali.
Si pensi ai trattamenti di dati effettuati tramite Internet, ovvero per la gestione del rapporto di lavoro, per fini di direct marketing, come pure da parte delle “centrali rischi” private o, ancora, con riguardo alla videosorveglianza.

Per taluni di essi, in particolare quelli riferiti ai trattamenti effettuati nell’ambito di sistemi informativi gestiti da “centrali rischi” private, come pure per quelli concernenti l’attivita’ di investigazione privata o relativi agli scopi statistici e di ricerca scientifica perseguiti in ambito privato, i lavori sono sostanzialmente terminati o in fase di avanzata elaborazione.

Scritto da