REGOLE PER GLI ISP SU DATA LOG E PRIVACY
(Italia Oggi) Milano, 26 marzo 2001 - Il Codice di deontologia e di buona condotta per i servizi telematici adottato dall'Associazione Nazionale Fornitori di Video Audio Informazione (ANFOV) approvato nel novembre 1997 ed entrato in vigore il 1° gennaio 1998 all'art.6 stabilisce che:
"I fornitori di accesso e di servizi (...) accertano l'identità degli utenti e degli abbonati richiedendo l'esibizione o la produzione di un documento personale (...) mantengono un log attraverso il quale sia possibile risalire all'identità degli utenti o degli abbonati (...)".
L'art.6 del Codice di deontologia ANFOV pone, quindi, a carico del fornitore di accesso o di servizi l'onere di mantenere un registro elettronico c.d. Data Log attraverso cui sia possibile:
- risalire alla identità degli utenti o degli abbonati che hanno fatto accesso o concesso a terzi la facoltà di accedere al sistema o alla rete telematica, in via temporanea o permanente;
- risalire all'identità degli utenti o degli abbonati che hanno utilizzato il servizio o concesso a terzi la facoltà di utilizzarlo per diffondere o distribuire contenuti.
Nel caso di commissione di reati a mezzo Internet può essere, infatti, di fondamentale importanza per l'internet service provider individuare l'autore dell'illecito al fine di escludere o limitare eventuali proprie responsabilità penali o civili.
Sino all'8 maggio 1997, data dell'entrata in vigore della legge sulla "privacy" (L.675/96), tali controlli venivano effettuati - in assenza di un preciso quadro normativo di riferimento - mediante l'utilizzo di diverse tipologie di registri elettronici contenenti ora la semplice durata dei collegamenti alla rete Internet ora il tracciamento completo dei movimenti virtuali degli utenti.
Solo raramente la modulistica contrattuale richiamava espressamente l'utilizzo di detto registro elettronico; non certo per informare l'utente ma solo per ottenere la specifica adesione al suo utilizzo, in caso di controversia, quale prova, piena ed incontrovertibile, dei fatti e degli atti compiuti dall'abbonato medesimo in relazione all'Internet provider fornitore dei servizi.
Successivamente all'entrata in vigore della legge 675/96 sulla tutela dei dati personali, l'utilizzo e la conservazione - non richiesta, nemmeno oggi, da alcuna disposizione di legge - da parte del provider del registro elettronico in parola, ha subito forti limitazioni a tutela dell'interessato dal trattamento dei dati personali.
E' del tutto evidente, infatti, che un registro in cui sia possibile immagazzinare dati relativi alla navigazione dell'utente, consente al provider di creare un dettagliato profilo personale del navigatore virtuale, anche con riferimento a dati sensibili quali, per esempio, orientamento politico o sessuale.
Per non parlare del rischio di un utilizzo illecito di tali dati; si pensi a finalità estorsive, da parte del provider stesso o da parte di terzi che riescano ad accedere al contenuto di detto registro.
Per poter continuare ad utilizzare detto registro, che può anche contenere, come si è visto, dati sensibili occorre, pertanto, rispettare alcuni principi generali introdotti dalla legge sulla privacy a partire dall'8 maggio 1997.
In primo luogo, il provider, deve rendere all'interessato opportuna Informativa ai sensi dell'art.10, L.675/96, informando adeguatamente e correttamente, oralmente o per iscritto, l'interessato-utente dell'esistenza di tale registro, della natura dei dati ivi registrati (precisando se ad esempio si tratti della mera registrazione dei tempi d'accesso o dei dati relativi ai siti visitati e/o al loro contenuto), della finalità (finalità di fatturazione, finalità commerciali, finalità di controllo), della durata e delle modalità del trattamento.
L'interessato-utente, ricevuta l'informativa, deve fornire il suo indispensabile consenso al trattamento che deve essere documentato per iscritto (ad probationem, quindi) in caso di dati comuni e prestato in forma scritta, a pena di invalidità (ad substantiam, quindi), solo in caso di dati sensibili.
In difetto del consenso dell'interessato-utente si ritiene che il provider non possa utilizzare il registro elettronico in parola salvo che venga contrattualmente previsto per registrare esclusivamente i tempi d'accesso ad Internet: trattandosi di trattamento necessario per l'esecuzione dell'obbligo di pagamento del canone di accesso da parte dell'interessato-utente - finalità di fatturazione - non è, infatti, richiesto il consenso ex art.12.1 lett.a) L.695/96.
Nello stesso senso depone l'art.4 del Dlgs.13 maggio 1998, n.171 - recante norme in materia di tutela della riservatezza nel settore delle telecomunicazioni. Nulla dice, invece, il Dlgs.171/98 in relazione al trattamento dei dati personali per finalità di controllo dell'utente da parte del fornitore del servizio di telecomunicazioni che dovrà, quindi, essere oggetto di specifica pattuizione contrattuale - con riguardo anche alla durata del trattamento - e di consenso informato in forma scritta a pena di nullità, potendo l'attività di controllo interessare anche il trattamento di dati sensibili.
Le violazioni dell'art.4 del Dlgs.171/98 comportano l'applicazione delle sanzioni penali di cui all'art.35 della L.675/96 previste per il trattamento illecito dei dati personali (reclusione sino a due anni e in caso di danno sino a 3 anni).
In secondo luogo, il provider dovrà notificare al Garante il trattamento automatizzato iniziato a partire dal 1° gennaio 1998 preventivamente all'inizio dello stesso e richiedere l'autorizzazione del Garante per il trattamento dei dati personali sensibili qualora non risultino applicabili le Autorizzazioni generali per categorie di trattamento predisposte dal Garante.
In terzo luogo, il provider deve, adottare le misure minime di sicurezza informatica necessarie per garantire, come richiede l'art.15 comma 1 della legge citata e il D.P.R. 318/99 attuativo, il rispetto della riservatezza e dell'integrità dei dati contenuti nel registro elettronico, anche al fine di evitare che tali dati vengano utilizzati per finalità illecite.
E' quindi tenuto ad installare, seguendo le indicazioni di consulenti in sicurezza informatica, protezioni fisiche (allarmi, chiavi hardware, sistemi biometrici) e virtuali (firewall, sistemi crittografici, password e codici utente) a tutela del sistema informatico e dei supporti che contengono tali dati.
Si ricorda, in proposito, che l'art.2.3 del Dlgs.171/98 pone a carico del fornitore di un servizio di telecomunicazioni accessibile al pubblico, l'obbligo informativo di rendere edotto l'utilizzatore del servizio dell'esistenza di particolari rischi di violazione della sicurezza della rete, indicando i possibili rimedi e i relativi costi.
Si osservi, infine, che l'art.15 della recente Direttiva CE 31/2000 sul commercio elettronico esclude espressamente - salve espresse richieste formulate dalla pubblica autorità competente all'interno di ogni Stato membro - qualsiasi obbligo generale di sorveglianza dell'attività degli utenti e di ricerca delle attività illecite da parte del provider e più in generale del prestatore di servizi della società dell'informazione.
Prof. Avv. Emilio Tosi
Professore Aggregato di Diritto Privato e Diritto delle Nuove Tecnologie
Università di Milano Bicocca
© 2001 TOSI & PARTNERS HIGH TECH LEGAL
