Prosegue la publicazione delle rispote dell’avvocato in collaborazione con il settimanale Linea Edp. Questa settimane software open source e privacy
Per installarci un server Linux, un fornitore voleva farci pagare
quasi ottocento euro all’anno. Ma il software libero non dovrebbe essere gratis,
più eventualmente il costo del supporto e di spedizione?
Che il software libero debba per forza essere ceduto gratis è un mito, così come il fatto che esso si contrapponga al software commerciale. Il software libero è, infatti,
software commerciale e non necessariamente è gratis. é software commerciale in
due sensi: è possibile utilizzarlo per scopi commerciali, perché non ne può
essere limitato alcun utilizzo, ma è anche commerciale nel senso che può essere
tranquillamente oggetto di una transazione, ovvero fornito per il prezzo che
cedente e cessionario ritengono di voler pretendere e pagare.
A condizione che vengano garantite le quattro libertà (di usare, studiare, modificare e distribuire il codice), ovvero che vengano rispettate le condizioni della Gnu Gpl (la principale licenza di software libero) o di un’altra a scelta, la transazione che interviene con la società menzionata è perfettamente legittima e rispetta le condizioni di licenza dei programmi che verranno installati. In realtà, potrebbe essere possibile ottenere gratis lo stesso programma da un altro utente, infatti la redistribuzione è libera. La risposta della sua controparte potrebbe essere “bene, lo faccia”. La giustificazione economica per
richiedere un pagamento è ad esempio che la società fornisce servizi di
configurazione, di aggiornamento, di assistenza, manuali d’uso, o più
genericamente un comodo pacchetto preparato, evitando all’utente l’incomodo di
andarsi a cercare lo stesso prodotto. Attenzione però, ci sono cose che non si
possono fare e su cui qualcuno cerca di lucrare ingiustamente.
Una di queste è farsi pagare separatamente per il codice sorgente o per una versione che includa codice sorgente. Se è vero che non è necessario allegare fisicamente il codice sorgente al prodotto ceduto, è anche vero che in quel caso è obbligatorio offrire un comodo mezzo di reperimento dello stesso, ad esempio scaricandolo gratuitamente da Internet o con l’invio postale di un supporto fisico. Perché quest’ultimo sia equivalente alla distribuzione con il codice compilato, però, il sistema di distribuzione non deve costare più di quanto sia ragionevolmente collegabile alle spese di invio e a quelle del supporto materiale. Condizionare la fornitura del codice sorgente a un pagamento più elevato (o all’acquisto di una versione diversa del programma, a un costo superiore) non rispetterebbe il requisito di distribuirlo “assieme” al programma.
Consiglio di segnalare tutti gli abusi di questo tipo alla Free Software Foundation, o alla sua “gemella” Free Software Foundation Europe, nonché alla persona o società indicata come titolare del copyright (normalmente ogni singolo file riporta il nome dell’autore originale).
Abbiamo iniziato a redigere il documento programmatico sulla sicurezza per la privacy. Molti dei dati personali ci vengono dalla posta elettronica e da un form che i nostri utenti compilano sul web. Dobbiamo svolgere procedure particolari per quest’ultimo aspetto o ci deve pensare il nostro provider?
Innanzitutto è lodevole che vi
stiate occupando del problema, perché sembra che molti lo stiano ignorando,
confidando (forse non a torto) nell’ennesimo rinvio del termine per l’adozione
delle misure minime di sicurezza, previste dal codice sulla privacy. Vi sono
vari adempimenti a cui bisogna pensare nel caso descritto. Sicuramente dovete
indicare nel vostro documento programmatico che alcuni dati personali risiedono,
almeno temporaneamente, su un server non nel vostro controllo. Le misure di
sicurezza attivate, inoltre, debbono riferirsi anche a quella parte del
trattamento. Vi possono essere però non pochi problemi nel caso di trattamento
di dati tramite posta elettronica, a seconda delle concrete modalità di
utilizzo.
Ad esempio, se avete un account di posta
elettronica centralizzato (del tipo info@nomeazienda.com), cui accedono più
persone tramite l’utente info, è ben difficile utilizzare meccanismi di
autenticazione/autorizzazione propri di ciascun singolo utente/incaricato del
trattamento, cosa che invece è prevista dal disciplinare tecnico (allegato B al
Codice della privacy, che contiene le misure minime di sicurezza). Occorre
dunque implementare procedure che garantiscano la “separazione degli accessi”,
ad esempio mediante strumenti di recupero automatico della posta e conservazione
locale della stessa per il successivo trattamento. Vi saranno poi altre misure
di sicurezza correttamente adottate dal vostro provider, come l’antivirus o
sistemi di protezione da intrusioni eccetera.
Tecnicamente ciò ricade nella regola numero
25 del disciplinare tecnico, per cui il vostro provider dovrebbe rilasciarvi una dichiarazione sul tipo di intervento tecnico e sulle misure che vengono rispettate con tale intervento. é evidente che tale tipo di documento ben difficilmente potrà essere ottenuto da provider “generici”, che comunque, normalmente, non sono idonei per veri e propri servizi aziendali. Pertanto sarebbe consigliabile scegliere servizi a costo maggiore, ma che garantiscano livelli contrattualmente migliori. In ogni caso, la posta elettronica non certificata non è uno strumento idoneo per il trattamento di dati personali.
Un’alternativa, ancora meno praticabile e che difficilmente verrebbe accettata dal provider, anche professionale, è quella di nominarlo responsabile del trattamento. In tal modo, lo incarichereste del rispetto della parte di sicurezza rientrante nel suo dominio di responsabilità. Questa nomina può essere indicata anche tutte le volte in cui alcuni servizi informatici vengano affidati in outsourcing, soprattutto se il gestore di tali servizi ha accesso ai dati per operazioni non di semplice manutenzione “esterna”, caso nel quale la nomina diviene praticamente obbligatoria. Non è comunque possibile offrire una risposta univoca, perché ogni situazione varia anche a seconda dell’interpretazione data dall’azienda dei propri ruoli e in virtù delle procedure scelte, perché il principio fondamentale è la coerenza nelle scelte operate. Per questo, dubito fortemente dell’utilità di ricorrere a soluzioni preconfezionate, a meno che non siano accompagnate da un servizio di valutazione reso da chi ha una preparazione professionale adeguata.
L’esperto
Lo studio Tamos Piana & Partners si occupa di campi innovativi del diritto civile e amministrativo, tra i quali l’Information technology law e il diritto del software, ma anche di appalti pubblici di servizi, di privacy e di diritto sanitario. Attraverso un sistema a rete garantisce assistenza e consulenza nei campi di interesse delle aziende e degli enti pubblici.
Carlo Piana è socio fondatore dello studio, membro italiano
e fondatore di euroITcounsel, circolo europeo di qualità di avvocati
specializzati in It&Tlc law, nonché parte del team legale della Free
Software Foundation Europe. Vanta un’esperienza più che decennale nel settore
della tutela del software. www.avvocatinteam.com
