Ubiquitous internet Nuove tecnologie e vecchie frontiere
di Daniela De Pasquale, Partner Studio La Scala e Associati
Nella sua relazione annuale, pubblicata il 23 giugno 2011, il Garante per la protezione dei dati personali ha attirato l’attenzione sui pericoli insiti nell’utilizzo di nuove tecnologie. E, in particolare, sugli smartphone e tablets, destinati a costituire una minaccia per la sfera della privacy degli individui in quanto facilitano la tracciabilità di ogni gesto quotidiano (suggestivo il richiamo alla favola di Pollicino fatto da Pizzetti) e la profilazione di massa degli utenti. E sui servizi basati sul cloud computing a causa del rischio di perdita di controllo sui dati affidati ai cloud service. L’allarme è fondato. Ma questa inarrestabile evoluzione tecnologica non rappresenta solo una minaccia alla nostra sfera della privacy. Essa ha un impatto visibile sulle economie mondiali, in quanto offre opportunità, crea nuovi mercati e segna il destino di altri. Ma anche la tutela dei diritti dei cittadini e delle aziende potrebbe incontrare nuovi ostacoli a causa del carattere transnazionale di Internet: le vecchie categorie di spazio e territorio sono messe a dura prova dalla nuova funzione della rete. Proviamo, infatti, a mettere in relazione i seguenti fenomeni.
1. BEHAVIOURAL ADVERTISING
I computer hanno un indirizzo Ip che può essere identificato. È comune la pratica dell’invio di un componente (cd. “cookie”) in grado di tenere traccia dei percorsi di navigazione degli utenti, inviando tali dati al soggetto che lo ha installato. Il complesso di questi dati (indirizzi e percorso di navigazione) viene utilizzato dai grandi players della pubblicità online al fine di inviare messaggi pubblicitari profilati in base ai gusti dell’utente. La profilazione riguarda anche i dati che vengono resi pubblici sui social networks (Facebook, Twitter etc.). La comunicazione pubblicitaria diventa in grado di raggiungere l’utente in base ai gusti e alle preferenze espressi da questo sulla rete: l’offerta incontra più facilmente la domanda. Di qui il boom planetario del cosiddetto “online behavioural advertising” (Oba). Dei pericoli connessi a questo business si stanno occupando i legislatori europei e statunitensi affinché gli utenti siano consapevoli che la propria identità on line è sempre più profilata e possano impedire che ciò accada e vi sono, inoltre, alcune importanti iniziative autoregolamentari. In particolare, l’Article 29 Data Protection Working Party (organismo che raggruppa tutte le authority in materia di protezione dei dati personali) nel giugno 2010 ha diffuso delle linee guida in relazione all’Oba. Inoltre, entro lo scorso 25 maggio tutti gli Stati Membri della Ue avrebbero dovuto recepire la direttiva c.d. “e- Privacy” (direttiva 2009/136/Ce), che contiene importanti novità per la pubblicità on line e per la gestione dei cookies. Tuttavia, mentre già fervono i lavori per una nuova direttiva “e-Privacy”, solo Gran Bretagna, Olanda, Estonia e Lettonia hanno al momento recepito quella vigente, mentre in Italia la legge è ancora in discussione al Senato. La direttiva prevede un meccanismo di opt-in, ossia il consenso preventivo da parte degli utenti – seppure in forma semplificata – per poter installare cookies promozionali sui loro Pc. La Commissione europea, inoltre, intende rendere dal giugno 2012 la funzione “Do not track” (Dnt) uno standard, per assicurare ai cittadini europei che i siti Web non mantengano i Log e immagazzinino informazioni sulle abitudini di navigazione. Un ruolo importante è svolto anche dall’autoregolamentazione nei due lati dell’oceano. Nel Regno Unito lo Iab (Internet Advertising Bureau) ha emanato un codice di autodisciplina, contenente principi e regole formulati dall’industria pubblicitaria basati su una maggiore trasparenza e sicurezza della gestione delle informazioni, nel quale è previsto un meccanismo di opt out. In particolare, grazie ad una funzione del browser, una volta entrati in un sito web, gli utenti attraverso un’icona vengono avvisati della presenza di Oba e cliccando sull’icona possono ricevere tutte le informazioni relative al servizio e scegliere di accettare o rifiutare i cookies. Negli Usa, seguendo le indicazioni della Federal Trade Commission, le maggiori aziende e le organizzazioni dell’industria pubblicitaria hanno emanato principi di autoregolamentazione in vista, anche qui, dell’emanazione di una legge, che attualmente è al vaglio del Congresso americano (Do not track me Act).
2. GEOLOCATION
Gli smartphone e tablets hanno a loro volta un codice (per i telefoni cellulari si chiama Imei) che può essere identificato ma hanno una caratteristica in più: sono portatili, dunque mobili. Essi consentono di tracciare la posizione dell’utente: è la cosiddetta geolocation. Una grande opportunità, sotto il profilo commerciale: l’utente può ricevere informazioni economiche in tempo reale su quanto gli sta intorno e gli interessa di più (sulla base del suo profilo). In aggiunta sono sempre più diffusi i social networks che mettono in relazione gli utenti, in tempo reale, in funzione della loro dislocazione geografica.
3. THE INTERNET OF THINGS
Le tecnologie wireless e Rfid sono sempre più utilizzate nel campo sanitario ed in quello della domotica ed aziendale: accade così che il pace-maker installato su un paziente invii dati attraverso la rete ad una struttura sanitaria in Italia, la quale li trasmette a sua volta in un centro di ricerca da qualche parte del mondo affinché vengano processati. Si potrà accendere il riscaldamento della casa in montagna da remoto. E molti processi produttivi e di controllo saranno basati su questa tecnologia. Nasce così “the internet of things”.
4. SOCIAL NETWORK
I social networks stanno soppiantando la funzione fino ad oggi esercitata dalle reti di posta elettronica e sono degli immensi contenitori di dati personali: essi racchiudono la vita privata e professionale di diverse centinaia di milioni di utenti nel mondo.
5. CLOUD COMPUTING
Come osservato dal Garante nel documento “Cloud Computing: indicazioni per l’utilizzo consapevole dei servizi” pubblicato insieme alla Relazione di quest’anno, non si tratta di una moda. Esso è il nuovo modo di utilizzo della rete internet. Molte aziende stanno cominciando a collocare i propri archivi su server al di fuori dell’azienda esternalizzando le risorse informatiche (private cloud). Sempre che non si utilizzi lo spazio messo a disposizione da fornitori specializzati per consentire l’erogazione di un software via web, servizi di elaborazione e di conservazione dei dati (public cloud).
6. NUOVE MODALITÀ DI FRUIZIONE DELLA RETE
I tablets e smartphone hanno anche cambiato la modalità di fruizione delle opere: sempre più essa avviene in modalità streaming, mediante licenze flat. I contenuti occupano molto spazio sulle memorie fisse degli apparecchi e sui server di casa ed ufficio: la possibilità di fruirne in remoto elimina ogni limite di spazio e moltiplica le possibilità di consultazione, non più vincolata ad un solo apparecchio. Insomma, il futuro appare improntato ad una offerta di servizi web based, grazie al Cloud Computing: i contenuti da beni diventano servizi. Si pensi al meccanismo dell’iCloud. Esso è concepito come un hard disk “fra le nuvole” e permette di accedere ai propri files (musica, applicazioni, foto e documenti in generale) indifferentemente da ogni dispositivo: un archivio accessibile sempre e ovunque, da qualunque smart phone, tablet o Pc in grado di tenere aggiornati anche i messaggi e-mail, i contatti e i calendari contemporaneamente su tutti i dispositivi. L’elenco potrebbe continuare all’infinito, includendo tutti i dispositivi che oggi ed in futuro si baseranno su una connessione permanente alla rete internet. Che cosa hanno tutti questi fenomeni in comune? La creazione, il trasferimento e l’archiviazione in rete (data storage) di una notevole quantità di dati personali, di informazioni aziendali e di opere protette. Una massa informe di dati che parlano di noi è custodita nella rete internet. Il loro volume si accresce proporzionalmente al tipo di funzioni vitali – il lavoro, le cure mediche, i controlli dei processi aziendali, gli hobby (musica, foto e libri), le amicizie, la vita privata – che inesorabilmente si trasferiscono sulla rete ed al numero di apparecchi che ciascun soggetto utilizza e che funzionano mediante un collegamento permanente alla rete. Il fenomeno è stato definito ubiquitous internet. Questi dati, in difetto di espressa disciplina, potrebbero restare in rete per un tempo infinito. Ed ovviamente, se non custoditi adeguatamente, potrebbero portare ad una penetrante conoscenza della vita privata di qualunque individuo. Come nelle peggiori profezie letterarie del secolo scorso, vi è la possibilità di un’intelligenza senza tempo e senza luogo delle nostre vite. Di qui le preoccupazioni espresse dal Garante nella sua ultima relazione. Con gli anni, grazie anche alle misure legislative ed autoregolamentari che verranno adottate, si svilupperà certamente un pubblico di utilizzatori più consapevole e maturo. Non è un caso che gli Stati Uniti, un paese che negli ultimi venti anni non ha sentito l’esigenza di disciplinare la materia della privacy, siano stati proposti negli ultimi mesi diversi disegni di legge atti a regolare l’Oba e la privacy . Ma vi è un altro aspetto che caratterizza il complesso quadro sopra descritto ed é la comune destinazione “nella nuvola”. Molti di questi dati, queste informazioni e queste opere protette saranno affidati a cloud services e saranno custoditi nei server di qualche Isp in qualche luogo vicino o remoto del globo, a seconda del tipo di business. L’Article 29 Data Protection Working Party nel gennaio 2010 ha stabilito che in materia di cloud computing si applicherà la legge del paese in cui ha sede il titolare del trattamento, se esso ha sede nell’ambito dell’Unione Europea, a prescindere da dove siano collocati i servers. Inoltre, in un documento del gennaio 2011 la Commissione Europea ha dichiarato di voler rivedere le disposizioni vigenti in materia di diritto applicabile al fine di garantire lo stesso livello di protezione alle persone residenti nell’Ue, a prescindere dalla localizzazione geografica dal responsabile del trattamento. Ma queste nuove modalità di fruizione della rete non pongono solo problemi di tutela della privacy. Dove tiene luogo l’eventuale intrusione in un data-base aziendale, il furto di identità elettronica o l’installazione di un “cookie” da parte di un operatore di behavioural advertsing? E dove il download illegale di opere protette? Chi vuole far valere un proprio diritto deve prima capire davanti a quale giudice ed in base a quale legge agire. In materia contrattuale la scelta della legge applicabile e del foro competente evita ogni incertezza. Viene però il dubbio che l’individuazione della legge applicabile in relazione agli atti illeciti di natura extracontrattuale non sia altrettanto facile. Il riferimento è la legge del luogo in cui tiene luogo la condotta lesiva o di quello in cui si produce il danno il problema è determinare in epoca di ubiquitous internet e di servizi cloud dove ciò avvenga. Alla difficoltà di individuare il responsabile di una condotta illecita via internet si somma oggi quindi anche l’ulteriore incertezza sul luogo in cui la condotta o l’evento dannoso sono avvenuti e le relative conseguenze sotto il profilo della legge applicabile e del giudice competente.
LA SCALA E ASSOCIATI La Scala & Associati – Studio Legale e Tributario è stato fondato a Milano nel 1991 ed ha visto, nel corso degli anni, l’apertura di ulteriori sedi a Roma, Torino, Vicenza e uffici a Padova, Verona e Mantova. Lo Studio fornisce assistenza legale – giudiziale e stragiudiziale – in materia di diritto commerciale e societario, bancario, finanziario e fallimentare, nonché di diritto industriale e della proprietà intellettuale, Information Technology, protezione dei dati personali, diritto del lavoro e diritto di famiglia, nonché nell’assistenza tributaria e fiscale. I nostri professionisti operano in team specializzati nell’assistenza alla clientela, costituita prevalentemente dalle maggiori banche italiane e da numerose imprese industriali e commerciali nazionali e straniere. Lo Studio è parte anche di Ecomlex, una associazione di studi legali europei specializzati in e-business ed Information Technology e di European Franchising Network rete che associa gli studi legali del Continente che vantano una radicata specializzazione nel settore del franchising.