Tutela dei dati personali - Legge 675/96

"Spyware", qualcosa non va nel codice della privacy

23 ottobre 2003
Manlio Cammarata
In questo momento è probabile che qualcuno abbia un sottofondo musicale mentre legge questa pagina. Sottofondo che viene da un CD, inserito nel computer e riprodotto con Windows Media Player. Forse il nostro lettore non sa che le informazioni su tutto ciò che passa per il suo Windows Media Player sono o saranno inviate a un server che si trova chissà dove e saranno aggiunte a quelle relative ai dischi suonati o copiati in precedenza, in attesa di altri dati che partiranno a mano a mano che il software di Microsoft farà girare altri CD audio, DVD, MP3 e via elencando.
In quel server si sta formando un profilo completo delle sue preferenze musicali (e non solo...), grazie a un cookie depositato nella sua macchina senza che Explorer, con le impostazioni di default, lo abbia avvertito.

Tutto questo si evince con qualche sforzo dalla informativa sulla privacy che un utente curioso può scaricare dal sito di Microsoft facendo clic sull'apposita voce del menù "?" dell'applicazione. Tutto regolare, dunque?
Ci colleghiamo alla URL http://www.microsoft
com/windows/windowsmedia/it/privacy/9splayer.asp. Sono oltre 30.000 caratteri (più un'altra informativa "figlia") e a leggere tutto con attenzione non basta mezz'ora. Quello che si evince da una rapida scorsa è che il solo fatto di aprire WMP provoca la spedizione di una serie di informazioni personali a Microsoft e che per sottrarsi (del tutto?) a questo controllo è necessaria una lunga serie di operazioni non difficili, ma comunque impegnative per l'utente "domestico", magari alle prime esperienze col personal computer.

Ora leggiamo con attenzione le disposizioni del "Codice in materia di protezione dei dati personali" in materia di informativa (art. 13), consenso (art. 23) e raccolta di informazioni nei riguardi dell'abbonato o dell'utente (art. 122).
Tra parentesi: ci riferiamo al "Codice", che entra in vigore il prossimo 1. gennaio, e non alla normativa ancora vigente, perché nulla cambia nella sostanza di queste disposizioni (l'art. 122 è "nuovo" solo all'apparenza) e tanto vale abituarsi all'articolato con il quale dovremo convivere nei prossimi anni.

A prescindere da una serie di altre considerazioni che si potrebbero fare in punto di diritto, siamo probabilmente di fronte a una violazione dell'art. 23, in quanto il trattamento non inizia in seguito al "consenso espresso" dell'interessato, ma gli si offre solo l'opzione di opporsi a determinati trattamenti, dopo che essi sono stati in qualche modo iniziati. Forse è solo un dettaglio, ma significativo della tendenza di tutti i grandi produttori di software e di contenuti a "mettere sotto controllo" gli utenti, sia con la scusa di proteggere il diritto d'autore sia con il pretesto di accrescere la loro sicurezza.

E' questo il concetto del Trusted Computing che la casa di Redmond, con incredibile faccia tosta, presenta come la soluzione di tutti i problemi di sicurezza e tutela della privacy (ma nasce per la protezione dei diritti d'autore). E si aggiunge alle inutili richieste di informazioni personali, che si presentano da ogni parte, quando si cerca di installare un software, di scaricare un aggiornamento o più semplicemente di accedere a informazioni disponibili in rete. Tra le richieste illegittime (perché contrarie al fondamentale "principio di necessità" - art. 3) e i veri e propri programmi-spia (spyware), l'utente informatico è soggetto a un controllo invasivo e pervasivo contro il quale i Garanti di tutto il mondo si scagliano in ogni occasione (vedi, dalla newsletter del Garante, La direttiva UE sulla privacy si applica anche ai software spia e, molto più recenti, le due risoluzioni approvate nell'ultima conferenza internazionale dei Garanti a Sidney sugli aggiornamenti del software e sulle informazioni relative alla privacy).
Ma, a quanto pare, senza risultati concreti.

La situazione è insostenibile, perché anche quando i trattamenti sono legittimi (pensiamo ai pagamenti con le carte di credito), le azioni di tutela sono difficilissime se i trattamenti stessi sono svolti in Paesi che non fanno parte dell'Unione europea.
E dunque, chi ci garantisce che delle informazioni raccolte nell'ambito del trusted computing da Microsoft e dalle altre major dell'intrattenimento e dell'informazione venga fatto solo l'uso dichiarato? Per capire la situazione può essere utile (anzi, indispensabile) la lettura di due documenti: Puoi fidarti del tuo computer? di Richard Stallman e le Trusted Computing' Frequently Asked Questions di Ross Anderson. Il primo è di un anno fa, il secondo è recente, ed è anche lungo e pesante, ma la sostanza emerge con molta evidenza: nessun affidamento (trust) verso la congrega del trusted da parte di chi ha studiato a fondo il problema.

Ma c'è l'art. 122 del Codice della privacy: 1. Salvo quanto previsto dal comma 2, è vietato l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente. Divieto esplicito e quasi omnicomprensivo, perché il comma 2 esclude solo alcuni trattamenti necessari per finalità tecniche, sulla base di un codice di autodisciplina e comunque nei riguardi dell'abbonato e dell'utente che abbiano espresso il consenso sulla base di una previa informativa ai sensi dell'articolo 13 che indichi analiticamente, in modo chiaro e preciso, le finalità e la durata del trattamento.
Ma, è incredibile, la violazione dell'art. 122 non è penalmente sanzionata: chi fa man bassa dei nostri dati, frugando nel nostro PC, non rischia di finire davanti a un giudice.

Sul punto lascio la parola ad Andrea Monti: Codici deontologici: se chi ruba i dati può scrivere le regole. Da parte mia resto con la sgradevole sensazione che qualcuno abbia già letto questo articolo, prima ancora che sia pubblicato.

Articoli correlati

  • Combattere le minacce europee alla crittografia
    Diritto in rete
    Una panoramica dell'anno 2023

    Combattere le minacce europee alla crittografia

    L'EFF ha trascorso quest'anno a combattere duramente contro una proposta dell'UE che, se fosse diventata legge, sarebbe stata un disastro per la privacy online nell'UE e in tutto il mondo. La proposta avrebbe fatto pressione sui servizi online per abbandonare la crittografia end-to-end.
    30 dicembre 2023 - Electronic Frontier Foundation
  • "Ecco come vengono controllati i cellulari"
    CyberCultura
    Gli esperti di Nitrokey hanno segnalato una criticità del chip Qualcomm, ma l'azienda si difende

    "Ecco come vengono controllati i cellulari"

    "Durante la nostra ricerca sulla sicurezza - scrivono gli esperti - abbiamo scoperto che gli smartphone con chip Qualcomm inviano segretamente dati personali". Sulla notizia si innesta un'ulteriore notizia in quanto il chip è utilizzato anche nei Fairphone, cellulari per un uso "etico".
    27 aprile 2023 - Redazione PeaceLink
  • “Cyber mercenari” hanno spiato migliaia di utenti Facebook
    MediaWatch
    Utilizzati profili falsi per indurre le persone a rivelare dati privati

    “Cyber mercenari” hanno spiato migliaia di utenti Facebook

    Campagne di spionaggio in più di 100 nazioni per conto di agenzie governative o clienti privati hanno coinvolto anche amici e familiari degli obiettivi. Sono stati sospesi circa 1.500 account, per lo più falsi, gestiti da sette organizzazioni su Facebook, Instagram e WhatsApp.
    17 dicembre 2021 - AGI (Agenzia Giornalistica Italia)
  • La CIA ci spia (e non vuole più andare via)
    CyberCultura
    I servizi segreti americani possono ascoltare le persone tramite i microfoni delle smart TV

    La CIA ci spia (e non vuole più andare via)

    Joshua Adam Schulte è in carcere per aver passato a Wikileaks oltre 8 mila pagine di documenti top-secret che rivelano come la CIA possieda la capacità di violare la segretezza della corrispondenza non solo su WhatsApp e Telegram ma anche su Signal. Il caso Vault 7 è gravissimo.
    5 settembre 2021 - Redazione PeaceLink
PeaceLink C.P. 2009 - 74100 Taranto (Italy) - CCP 13403746 - Sito realizzato con PhPeace 2.7.26 - Informativa sulla Privacy - Informativa sui cookies - Diritto di replica - Posta elettronica certificata (PEC)