Il “lato oscuro” del motore di ricerca. Cosa dice la legge in merito ai dati riservati
maggio 2006 Alla fine è accaduto. Google Desktop Search, nato
con l’intento di consentire una facile ed intuitiva ricerca dei file presenti
sul proprio hard disk, ha cominciato a rivelare il proprio “lato oscuro”.
L’allarme è stato lanciato dall’Electronic Frontier Foundation
che si è scagliata contro la Search Across Computers,
funzionalità avanzata presente nella terza versione del software. Attraverso
questa “feature” sarebbe possibile memorizzare pagine web, e-mail,
documenti Office, PDF ed altri file testuali dislocati nel proprio disco fisso
sui server di proprietà di Google. Tutto questo per consentire all’utente
– secondo le dichiarazioni dei responsabili della grande G – un facile accesso
ai propri dati anche se contenuti in differenti computer.
La riservatezza dell’utente era per la verità già stata messa
a dura prova dalle precedenti versioni del software a causa dell’indicizzazione
locale e “in chiaro” di pagine web protette e file cifrati, tanto
che nella versione più recente Google Desktop Search consente finalmente
di cifrare l’indice creato per la ricerca.
La privacy secondo la legge
Sul piano giuridico, la normativa americana a tutela della riservatezza, anche
a causa degli eventi storico-politici degli ultimi anni, fornisce garanzie molto
limitate agli utenti. Con la creazione del nuovo codice sulla protezione dei
dati personali (d.lg. 196/2003), invece, l’Italia si pone in netta controtendenza:
l’art. 122 stabilisce, in via generale, il divieto d’accesso al PC di un utente
con lo scopo di archiviare informazioni o monitorarne le operazioni.
Tale limite non è tuttavia assoluto: un apposito codice deontologico,
sottoscritto dai fornitori di servizi di comunicazione elettronica, ha il compito
di determinare le modalità attraverso cui si può realizzare l’accesso
al PC dell’utente stabilendo, ad esempio, permessi di natura tecnica utili a
consentire la comunicazione o l’esecuzione di uno specifico servizio appositamente
richiesto.
La recente normativa in tema di riservatezza ha cercato di combattere l’uso
illimitato ed indiscriminato del consenso al trattamento dei dati personali.
Partendo dalla definizione di privacy quale “diritto a controllare
l’uso che altri facciano delle informazioni che ci riguardano” è
stato previsto dall’art. 7 il cosiddetto “diritto d’accesso”: l’utente
può richiedere al fornitore di servizi la conferma dell’esistenza o meno
dei dati personali che lo riguardano (anche se non ancora registrati), l’indicazione
della loro origine, finalità, modalità, nonché la logica
del trattamento.
Una volta accertata la presenza di dati sensibili, è possibile richiederne
l’aggiornamento, la rettificazione e la cancellazione.
I dati relativi al traffico trattati dal fornitore dovranno essere cancellati
o resi anonimi quando non più necessari ai fini della trasmissione della
comunicazione elettronica e, comunque, non conservati per un periodo superiore
a quello necessario agli scopi per cui sono stati raccolti. La richiesta d’accesso
va inoltrata al titolare o responsabile del trattamento per mezzo di raccomandata,
fax o posta elettronica e senza particolari formalità.
Se entro 15 giorni dalla richiesta il titolare nega una risposta o risponde
parzialmente può essere proposto ricorso al Garante della Privacy o,
in alternativa, ci si può rivolgere direttamente all’autorità
giudiziaria, che può disporre, ove richiesto, sul risarcimento danni.
Spetterà poi in questi casi al titolare del trattamento dimostrare di
avere adottato le misure idonee ad evitare il danno.
Visite poco gradite
Benché Google faccia intendere che la riservatezza dell’utente sarà
in ogni caso rispettata, non sembra sia stato ipotizzato il rischio che i suoi
server, a causa dei possibili “bachi” del software, possano ritrovarsi
in breve tempo esposti ad ogni genere d’attacco telematico finalizzato alla
razzia indiscriminata dei dati memorizzati.
Le condizioni generali d’uso del G-desktop prevedono, infatti, la totale esclusione
di responsabilità di Google per tutti i danni che potrebbero derivare
dall’utilizzo di Desktop Search, a meno che la giurisdizione d’appartenenza
dell’utente non preveda garanzie più rigide a tutela di quest’ultimo.
Questa volta la normativa italiana, confermando un orientamento consolidato
a livello comunitario, sembra aver puntato con maggiore attenzione alle esigenze
di sviluppo delle società di servizi che non all’effettiva tutela dell’utente.
Nonostante il fornitore di servizi in rete sia tenuto ad adottare misure di
sicurezza idonee a salvaguardare l’integrità dei dati da ogni forma d’utilizzazione
illecita, con il d.lg. 70/2003 è stata sancita l’assenza di un generale
obbligo di sorveglianza dei fornitori sulle informazioni trasmesse o memorizzate.
Vengono così limitate fortemente le responsabilità dei provider
in caso di un uso illecito dello spazio web da parte di terzi.
Tuttavia, qualora il fornitore venga a conoscenza di fatti potenzialmente
illeciti, scatta l’obbligo di comunicazione immediata all’autorità giudiziaria
competente che, in deroga alle norme sulla riservatezza, potrà accedere
ai dati sensibili in possesso del provider.
Attualmente, a causa della notevole “invisibilità” della
rete, attivare un’azione giudiziaria a tutela dei propri diritti d’utente rimane
comunque difficoltoso: se da un lato viene garantita l’applicazione del codice
sulla privacy anche in territorio extra-europeo, dall’altro, fino a quando non
verranno definiti criteri giurisprudenziali più solidi, occorrerà
fare i conti con l’estrema difficoltà di individuare non solo il soggetto
che ha compiuto l’illecito, ma anche il luogo preciso – situato spesso ben oltre
il territorio nazionale – in cui questo è stato commesso.
In conclusione, è bene che gli utenti e le aziende in questo periodo
siano prudenti. Le critiche sollevate dalla Electronic Frontier Foundation non
sembrano del tutto infondate, perché comunque evidenziano un rischio
che è ineliminabile.
*avvocato in Modena
