QR code per la pagina originale

La privacy tra log e cookies

I log e i cookies sono gli strumenti più utilizzati dai siti web per tracciare gusti e abitudini dei visitatori. A molti però questa pratica occulta sembra in contrasto con le regole in difesa della privacy.

,

Il commercio elettronico, i newsgroup, le mailing list e molte altre
attività che si svolgono in internet, sono caratterizzate dalla raccolta
di dati personali del navigatore, raccolta che può avvenire sia modo palese
mediante la richiesta di compilazione di formulari elettronici, ovvero occulto
come nel caso dei data log e dei cookie.

Le modalità di raccolta del primo tipo sono abbastanza semplici:
all’utente viene chiesto di compilare, in cambio di servizi gratuiti come
potrebbero essere le newsletter o le home page personalizzate, un apposito
modulo con i suoi dati personali; tali dati in una seconda fase vengono raccolti
e catalogati non tanto per consentire di fornire i servizi gratuiti dichiarati,
quanto per poter inviare messaggi commerciali privati.

Tale tipo di raccolta dati è sottoposta secondo le legislazioni
vigenti nei diversi paesi a vincoli più o meno rigidi. In Italia per esempio
le aziende sono obbligate a richiedere preventivamente ed esplicitamente
il consenso dell’utente. La tutela è però messa a repentaglio dall’assenza
di confini territoriali in internet, basti pensare che un’impresa americana
può raccogliere informazioni relative agli utenti europei senza che essi
ne vengano a conoscenza.

Spesso i dati dell’utente vengono raccolti a sua insaputa grazie
all’utilizzo del sistema dei log e dei cookie. Ogni volta che un utente visita
un sito o si collega a internet, i server dei provider registrano automaticamente
i collegamenti effettuati dai propri abbonati o dai visitatori occasionali.
Queste registrazioni automatiche si chiamano log, normalmente hanno
una funzione contabile amministrativa in quanto forniscono agli isp i dati
necessari alla fatturazione. Attraverso i log è però possibile avere accesso
ad informazioni che permettono di ricostruire profili precisi dell’utente,
si può infatti conoscere che tipo di sistema operativo utilizza, che browser,
colore e definizione dello schermo, ultimo sito visitato ecc.

Sorge quindi il problema del controllo degli utenti da parte dei
fornitori di accesso alla rete. Normalmente ogni internet provider, anche
quando consenta l’utilizzo di pseudonimi che garantiscono l’anonimato in
rete, provvede all’atto della stipula del contratto d’accesso all’identificazione
dell’utente tramite veridica di un documento di riconoscimento. In tal senso
si esprimono gli articoli 4 e 5 della bozza di Codice di autoregolamentazione
per i servizi internet adottata dall’AIIP/Telecom Italia.

Sempre su questa linea si esprime anche il Codice di deontologia e di buona condotta per i servizi telematici,
adottato dall’associazione Nazionale fornitori di Video Audio Informazione
(ANFOV) approvato nel novembre 1997 ed entrato in vigore il 1 gennaio 1998,
che all’articolo 6 sancisce che: «i fornitori di accesso di servizi […]
accertano l’identità degli utenti e degli abbonati richiedendo l’esibizione
o la riproduzione di un documento personale […] mantengono un log attraverso
il quale sia possibile risalire all’identità degli utenti o degli abbonati».

Tale articolo pone a carico del fornitore dei servizi l’onere
di mantenere un registro elettronico detto Data Log, attraverso il quale
sia possibile risalire all’identità degli utenti che hanno fatto accesso
al sistema o che hanno utilizzato il servizio. Nel caso di commissione di
reati a mezzo internet, può essere di fondamentale importanza per il provider
individuare l’autore dell’illecito, al fine di escludere o limitare eventuali
proprie responsabilità penali o civili, soprattutto nel caso in cui l’utente
abbia commesso l’illecito proprio forte dell’anonimato garantito dal provider.

Prima della data di entrata in vigore della legge sulla privacy
(675/96), tali controlli venivano effettuati all’insaputa dell’utente mediante
l’utilizzo di diverse tipologie di registri elettronici, contenenti o la
durata dei collegamenti o addirittura tutti i movimenti virtuali degli utenti.
Successivamente all’entrata in vigore della legge sulla privacy, l’utilizzo
e la conservazione da parte dei provider del registro suddetto ha subito
delle forti limitazioni, a tutela dell’interessato al trattamento dei dati
personali.

Per poter continuare ad utilizzare tale registro occorre che i provider
rispettino alcuni principi previsti dalla legge 675/96, in primo luogo oltre
alle informazioni previste dall’articolo 10 della sopraccitata legge, il
provider deve informare adeguatamente e correttamente, oralmente o per iscritto,
l’interessato-utente dell’esistenza di tale registro, della natura dei dati
ivi raccolti, delle finalità, della durata e modalità del trattamento.

L’interessato, ricevuta la informativa, deve fornire il suo consenso
al trattamento, consenso che deve essere documentato per iscritto. In difetto
di tale consenso il provider non può utilizzare il registro in parola, salvo
che venga contrattualmente previsto per registrare esclusivamente i tempi
d’accesso ad internet ed adempiere quindi a finalità di fatturazione.

Un altro strumento di internet che permette di seguire le tracce lasciate dagli utenti, è il cookie.
Il cookie può essere definito come un piccolo pezzo di informazione inviato
da un sito web al browser che si sta utilizzando per la navigazione, tale
browser a sua volta memorizza l’informazione all’interno dell’hard disk del
computer dell’utente senza che questo se ne accorga, o inserendolo all’interno
di un unico file o usando diversi file. L’informazione viene poi riletta
dal sito web che ha inviato il cookie quando l’utente effettua una nuova
connessione al medesimo sito.

I cookies possono essere utilizzati per diversi scopi, ad esempio
il gestore di un sito può riconoscere gli utenti che visitano le proprie
pagine, monitorandone la frequenza di visita, può personalizzare un sito
in funzione dei gusti manifestati dall’utente nel corso di precedenti visite,
il visitatore può evitare di registrarsi ogni volta che accede allo stesso
servizio.

La domanda che dobbiamo porci è se tale raccolta invisibile dei dati sia compatibile con la legge di tutela della privacy;
secondo alcuni bisogna fare una distinzione a secondo che il cookie permetta
o meno, attraverso i dati in esso registrati di identificare il navigatore,e
quindi di associare il profilo tracciato a un soggetto individuato, ovvero
non si limiti alla registrazione di dati di natura commerciale ma trasferisca
informazioni relative al contenuto della memoria di massa del computer di
navigazione.

Un utilizzo studiato dei cookie permette la ricostruzione di un
accurato profilo personale dell’utente. Questo fenomeno viene definito profilazione

dell’utente-consumatore virtuale. Sul problema della profilazione dell’utente
è intervenuto il Garante con provvedimento del 13 gennaio 2000, ribadendo
l’illiceità dei comportamenti di raccolta invisibile dei dati posti in essere
dall’operatore, in difetto di preventiva informativa ex articolo 10 L.675/96
e di consenso al trattamento da parte dell’interessato.

Il Garante ha precisato che l’informativa deve essere:

    Collocata on line prima della richiesta di registrazione

  • Riferita a tutti gli aspetti del trattamento svolto dall’operatore, riepilogando
    in maniera chiara e sintetica le informazioni rilevanti contenute nel contratto
  • Contenere un richiamo ai diritti d’accesso attribuiti all’interessato
    dall’articolo 13 della L.675/96, con l’indicazione dell’ufficio presso cui
    esercitare tali diritti

Viene richiesto inoltre il consenso dell’interessato
non solo per poter trattare i dati per finalità commerciali e di marketing,
ma anche per poter comunicare i dati a società terze di cui deve essere allegato
un elenco nell’informativa

Notizie su: