LA DISCIPLINA SULLA PRIVACY RELATIVAMENTE AI FILES DI LOG E AI COOKIES

I file di LOG e i COOKIES rientrano tra i dati personali sottoposti a tutela?

La raccolta di informazioni relative all'utente di di un sito Internet è sottoposta, per l'ordinamento italiano, alla disciplina normativa dettata in materia di privacy dalla Legge 31 dicembre 1996, n. 675, abrogata, a partire dal 1 gennaio 2004, dal Decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali).

Spesso tale raccolta avviene in modo palese (con l'utilizzo, ad esempio, di moduli da compilare e inviare), ma in altri casi le informazioni vengono prelevate dai gestori dei siti in modo non immediatamente percepibile dall'utente, come avviene invece nel caso dei cookies e dei file di log.

I primi (cookies) sono generalmente brevi stringhe alfanumeriche che il server invia al browser dell'utente, quando questi si connette per la prima volta, allo scopo di immagazzinare specifici dati. Successivamente, il browser invia una copia del cookie al server in occasione di ogni nuova connessione in modo da permettere al provider di ricordare i dati del visitatore. Oltre che al fine di riconoscere l'utente, i cookies possono essere utilizzati per scopi diversi, quali la contabilizzazione delle visite, la personalizzazione delle pagine, la registrazione automatica.

I log files sono invece dei documenti che risiedono sui server e nei quali, ad ogni collegamento, vengono scritte informazioni relative alla visita dell'utente (IP address, data, ora, pagina richiesta, se la pagina è stata correttamente inviata e le sue dimensioni).

Il primo problema che si pone riguarda la possibilità che tali tecniche di gestione delle informazioni possano servire per acquisire e trattare dei dati personali ai sensi della legislazione sulla privacy.

è sufficiente a riguardo muovere dal dettato normativo. L'art. 4 del D.lgs 196/03 definisce "dato personale" qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

Alla luce di tale definizione, è facile comprendere come tanto i cookies, quanto i file di log - sebbene di per se stessi non costituiscano un dato personale - possano tuttavia contenere dati sottoposti a tutela di riservatezza, e ciò in quanto (pure indirettamente, mediante riferimento ad altre informazioni) tali dati potrebbero condurre all'identificazione dei singoli utenti.

Utilizzando strumentalmente i cookie è possibile addirittura la ricostruzione di un accurato profilo personale del visitatore, con una tecnica definita "profilazione dell'utente" - che trova largo uso nel campo del marketing e del commercio elettronico - finalizzata al raccoglimento di informazioni sui consumatori per meglio indirizzare campagne promozionali e offerte di vendita. Sul problema della profilazione dell'utente è intervenuto il Garante della Privacy con provvedimento del 13 gennaio 2000, ribadendo - ove ve ne fosse stato bisogno - che i comportamenti di raccolta invisibile dei dati, in difetto di preventiva informativa e di consenso al trattamento da parte dell'interessato, rappresentano un illecito. Inoltre, chiunque compie operazione di profilazione dell'utente è obbligato ad effettuare la notifica delle informazioni relative al trattamento cui intende procedere al Garante per la protezione dei dati personali.

Come tutelare correttamente i dati degli utenti contenuti nei COOKIES e nei file di LOG?

Sorge allora il problema di individuare i mezzi più idonei al fine di gestire correttamente i cookies e le informazioni di log, nel rispetto della legislazione posta a tutela dei dati personali.

La prima operazione da compiere è quella di verificare se sia necessaria la notifica preventiva al Garante, disposta ora ai sensi dell'art. 37 del Decreto legislativo 30 giugno 2003, n. 196. Come già detto, in caso di operazioni volte alla profilazione dell'utente, tanto effettuate tramite cookies che tramite file di log, la notifica è espressamente richiesta dalla norma.

Sarà poi necessario informare il visitatore in ordine alla presenza di tali tecniche di acquisizione di dati. È pratica ormai comune l'inserimento nei siti web di una specifica pagina di "privacy policy" contenente la descrizione delle metodologie (palesi o occulte) utilizzate nella raccolta dei dati, con l'indicazione inoltre delle modalità di trattamento dei dati stessi, del nome dei titolari e dei responsabili del trattamento, del luogo dove i dati vengono conservati e di tutte le altre informazioni prescritte dalla legge.

Il Garante ha precisato che tale informativa deve essere 1) collocata on-line prima della richiesta di registrazione, 2) riferita a tutti gli aspetti del trattamento svolto dall'operatore, riepilogando in maniera chiara e sintetica le informazioni rilevanti contenute nel contratto, 3) contenere un richiamo ai diritti d'accesso attribuiti all'interessato dall'articolo 13 della L.675/96 (ora art. 7 d.lgs 196/03), con l'indicazione dell'ufficio presso cui esercitare tali diritti.

Ricevuta l'informativa, l'interessato deve fornire il suo consenso che va documentato per iscritto. è controverso se sia necessario che l'opzione per il consenso sia espressamente manifestata, magari con la pressione di un bottone, o se sia invece sufficiente la predisposizione di apposite pagine contenenti le informazioni di legge, così provando presuntivamente tale consenso sul presupposto che la normale diligenza impone la lettura delle informazioni legali presenti sui siti che si visitano.

Accogliendo tale ultima ipotesi, sorge tuttavia facile un'obiezione. I dati riferiti o riferibili al visitatore sono acquisiti dal server sin dal primo momento in cui egli ha accesso al sito, senza che lo stesso visitatore abbia avuto il tempo di prendere coscienza delle informazioni legali sulla privacy e di prestare il suo consenso, anche tacito, continuando a visitare la pagina Web.

Residuano poi dei problemi, che non trovano facile soluzione nella lettura della legge, per ciò che riguarda i dati cosiddetti "sensibili", cioè quella particolare categoria di dati personali che sono idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale di un utente. Per il trattamento di tali dati è infatti necessario che il consenso sia prestato espressamente e per iscritto, non bastando pertanto un semplice consenso tacito o fornito attraverso la modulistica on-line, che certo non può essere assimilabile ad una sottoscrizione.

Il problema non è di poco conto se si considerano i numerosi siti a contenuto sessuale, politico, filosofico o religioso presenti sul Web. Per tali siti, l'acquisizione anche dei soli dati relativi all'accesso di un utente potrebbe infatti fornire informazioni costituenti "dato sensibile", rendendo pertanto assai difficoltosa la gestione degli stessi dati. Nell'attesa che il legislatore provveda - se non a disciplinare ulteriormente una materia già affetta da ipertrofia normativa - almeno a chiarirne i limiti pratici tenendo conto di situazioni di fatto ormai imprescindibili, l'unico suggerimento possibile è quello di prescindere, ove possibile, dall'acquisizione di ogni informazione che potrebbe, anche indirettamente, rivelarsi un "dato sensibile".

Roma, 20 ottobre 2003

____________________________________________

Avv. Andrea Totò
info@studiolegale-online.net
www.StudioLegale-online.net
©COPYRIGHT Il presente articolo è liberamente utilizzabile e ne è consentita la pubblicazione su altri siti web a condizione che il testo non sia in alcun modo alterato, modificato o omesso, anche parzialmente, e a condizione che sia riportata integralmente la presente resource box con i relativi link attivi.