LA DISCIPLINA SULLA PRIVACY: I FILES DI LOG E I COOKIES

I dati personali

I file di LOG e i COOKIES rientrano tra i dati personali sottoposti a tutela?

La raccolta di informazioni relative all'utente di un sito Internet è sottoposta, per l'ordinamento italiano, alla disciplina normativa dettata in materia di privacy dalla Legge 31 dicembre 1996, n. 675, abrogata, a partire dal 1 gennaio 2004, dal Decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali).

Spesso tale raccolta avviene in modo chiaro (con l'utilizzo, ad esempio, di moduli da compilare e inviare), ma in altri casi le informazioni vengono prelevate dai gestori dei siti in modo non immediatamente visibile dall'utente, proprio come avviene nel caso dei cookies e dei file di log.

              cookies

I cookies sono generalmente brevi stringhe alfanumeriche che il server invia al browser dell'utente, quando questi si connette per la prima volta, allo scopo di immagazzinare specifici dati.

Successivamente, il browser invia una copia del cookie al server in occasione di ogni nuova connessione in modo da permettere al provider di ricordare i dati del visitatore.

Oltre che al fine di riconoscere l'utente, i cookies possono essere utilizzati per scopi diversi, quali la contabilizzazione delle visite, la personalizzazione delle pagine, la registrazione automatica.

         log files   

I log files sono invece dei documenti che risiedono sui server e nei quali, ad ogni collegamento, vengono scritte informazioni relative alla visita dell'utente (IP address, data, ora, pagina richiesta, se la pagina è stata correttamente inviata e le sue dimensioni). 

            Privacy

Il primo problema che si pone riguarda la possibilità che tali tecniche di gestione delle informazioni possano servire per acquisire e trattare dei dati personali ai sensi della legislazione sulla privacy.

L'art. 4 del D.lgs 196/03 definisce "dato personale":

qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

 Alla luce di tale definizione, tanto i cookies, quanto i file di log - sebbene di per se stessi non costituiscano un dato personale - possono contenere dati sottoposti a tutela di riservatezza! E - indirettamente, mediante riferimento ad altre informazioni - tali dati potrebbero portare all'identificazione dei singoli utenti.

PROFILAZIONE DELL'UTENTE

Utilizzando strumentalmente i cookie è possibile addirittura la ricostruzione di un accurato profilo personale del visitatore, con una tecnica definita "profilazione dell'utente" - che trova largo uso nel campo del marketing e del commercio elettronico - finalizzata al raccoglimento di informazioni sui consumatori per meglio indirizzare campagne promozionali e offerte di vendita.

Sul problema della profilazione dell'utente è intervenuto il Garante della Privacy con il provvedimento del 13 gennaio 2000, ribadendo - ove ve ne fosse stato bisogno – che:

i comportamenti di raccolta invisibile dei dati, in difetto di preventiva informativa e di consenso al trattamento da parte dell'interessato, rappresentano un illecito.

 

Come tutelare LA PRIVACY

Sorge allora il problema di individuare i mezzi più idonei al fine di gestire correttamente i cookies e le informazioni di log, nel rispetto della legislazione posta a tutela dei dati personali.

Privacy Policy

È pratica ormai comune l'inserimento nei siti web di una specifica pagina di "privacy policy" contenente la descrizione delle metodologie, palesi o occulte,utilizzate nella raccolta dei dati, con l'indicazione inoltre delle modalità di trattamento dei dati stessi, del nome dei titolari e dei responsabili del trattamento, del luogo dove i dati vengono conservati e di tutte le altre informazioni prescritte dalla legge.

Il Garante ha precisato che tale informativa deve essere

1) collocata on-line prima della richiesta di registrazione

2) riferita a tutti gli aspetti del trattamento svolto dall'operatore, riepilogando in maniera chiara e sintetica le informazioni rilevanti contenute nel contratto

3) contenere un richiamo ai diritti d'accesso attribuiti all'interessato dall'articolo 13 della L.675/96 (ora art. 7 d.lgs 196/03), con l'indicazione dell'ufficio presso cui esercitare tali diritti

Ricevuta l'informativa, l'interessato deve fornire il suo consenso che va documentato per iscritto.

Sorge tuttavia facile un'obiezione:

I dati riferiti o riferibili al visitatore sono acquisiti dal server sin dal primo momento in cui egli ha accesso al sito, senza che lo stesso visitatore abbia avuto il tempo di prendere coscienza delle informazioni legali sulla privacy e di prestare il suo consenso, anche tacito, continuando a visitare la pagina Web.