Si continua a parlare del delicatissimo (e difficile) rapporto tra privacy e social networks.
E’ di qualche tempo fa la notizia che una Corte della California ha stabilito che la stampa può ri-pubblicare ciò che gli utenti scrivono sulle rispettive bacheche (nella fattispecie si trattava di Myspace); anche in Italia il Garante Privacy (dopo la diffusione dell’opuscolo di cui ho parlato qui) si è espresso sulla questione relativa all’uso di immagini tratte dai social networks (in particolare Facebook), affermando il principio per cui giornali e televisioni possono diffondere le fotografie pubblicate dagli utenti, qualora ciò sia necessario per fornire informazioni riguardo a fatti di interesse pubblico e purchè venga adeguatamente verificata la correttezza e l’esattezza dei dati pubblicati (ad esempio che la foto diffusa sia davvero della persona cui si riferisce la notizia).
Per questo ritengo che sia sempre più importante creare consapevolezza su questi temi. In Rete, fortunatamente, si moltiplicano i siti che contengono consigli su come proteggere la propria privacy e EFF ha addirittura lanciato un servizio on line (utilissimo) che consente di monitorare le condizioni si servizio di tutti i più importanti siti web (da Ebay a Google); tenendolo d’occhio è possibile essere informati su tutte le modifiche delle politiche dei siti, compresi quelli di social networking, in materia di privacy.
Su “la privacy nell’era digitale” ho scritto un articolo, che vi segnalo, sul numero di giugno di BlogMagazine; fatemi sapere cosa ne pensate
La crescente diffusione del social networking ha posto fin da subito numerosi problemi in ordine alla riservatezza dei dati personali inseriti dagli utenti.
Si tratta di argomenti che, per lungo tempo, sono stati oggetto di discussione tra gli addetti ai lavori mentre sono stati quasi del tutto sottovalutati dalla generalità degli utenti: dalla titolarità dei dati alla data portability, dallo spam al dirito all’oblio.
Proprio all’inizio di questa settimana (con involontario tempismo) il Garante aveva pubblicato un opuscolo – che embeddo qui sotto – sui rischi che l’uso dei social networks può determinare per la privacy.
Finalmente, anche se con un certo ritardo, il Garante ha deciso di iniziare un’operazione di sensibilizzazione su queste tematiche nei confronti di tutti gli utenti dei social networks.
L’opuscolo, dal taglio pratico, non è un manuale ma una guida operativa che contiene molti ammonimenti e qualche “consiglio per l’uso”.
In modo consivisibile, il Garante afferma l’importanza della c.d. “autotutela”, vale a dire di una gestione attenta e consapevole che ogni utente deve curare per i propri dati personali.
Ciò significa, innanzitutto, stare attenti a quali e quante informazioni si inseriscono, al contenuto delle condizioni d’uso dei diversi siti (ad esempio in materia di proprietà dei dati, ma anche delle foto e dei video uploadati), alla possibilità di poter cancellare il proprio profilo (e non solo disattivarlo come permesso da alcuni social networks) e al fatto che la gran parte delle informazioni viene indicizzata dai motori di ricerca.
Un utente consapevole, inoltre, deve difendere anche la privacy degli altri facendo attenzione, ad esempio, ad inserire foto in cui compaiono anche altre persone che non hanno prestato il consenso alla pubblicazione.
Nell’opuscolo del Garante non mancano però aspetti che suscitano perplessità. In primo luogo l’Autorità afferma genericamente che nei confronti dei social networks aventi sede all’estero “non sempre si è tutelati dalle leggi italiane“; nell’ambito di un’operazione di sensibilizzazione di questo tipo sarebbe stato auspicabile che il Garante – oltre ai consigli di buon senso – fornisse certezze in materia di legge applicabile, precisando quali sono i diritti e doveri degli utenti.
E poi non è affatto condivisibile il consiglio (peraltro già formulato in passato dal Garante) di utilizzare nei social networks uno pseudonimo e non il nome reale (e, addirittura, pseudonimi diversi in ciascun network). Innanzitutto credo che l’uso di uno pseudonimo non sia positivo in termini di fiducia degli utenti, creando solo incertezza su chi si cela dietro lo stesso; inoltre, la tutela offerta dall’utilizzo di pseudonimi corre il rischio di non essere efficace in quanto altri potrebbero individuare chi si cela dietro.
Due ricercatori dell’Università del Texas hanno addirittura sviluppato un algoritmo che consente di identificare gli utenti anonimi dei networks (l’interessante studio è disponibile qui).
L’opuscolo del Garante rappresenta un primo ed importante tentativo delle istituzioni italiane di creare consapevolezza sull’uso dei social networks, ma molto ancora deve essere fatto. Da giurista credo sia importante illustrare con precisione il quadro di regole che si applica al social networking in modo che ciascun utente possa agevolmente sapere quali sono i propri diritti e i propri doveri.
Sto lavorando ad un progetto in tal senso, stay tuned
Come avevo anticipato in un precedente post, la Camera non ha modificato lo sciagurato emendamento telemarketing approvato al Senato nel corso dell’iter di conversione in legge del c.d. decreto “milleproroghe”.
Gli appelli del Garante Privacy, delle associazioni dei consumatori, dei giuristi non sono serviti a nulla: è legge la norma che prevede la libera utilizzabilità degli elenchi telefonici formati prima del 1° agosto 2005 per finalità promozionali anche in deroga agli articoli 13 (informativa) e 23 (consenso) del Codice Privacy (D.Lgs. n. 196/2003).
Si tratta di una scelta di politica legislativa incomprensibile (introdotta solo in sede di emendamento e non preceduta da un’adeguata istruttoria) oltre che inaccettabile dal momento che si crea un settore in cui gli operatori non sono tenuti all’applicazione delle regole previste per tutti gli altri settori.
Irragionevolezza, disparità di trattamento: il tutto in nome degli aiuti ad un settore in tempi di crisi.
Non so se essere più preoccupato per il numero di telefonate che arriveranno o per il precedente per cui, pur di aiutare un settore in crisi, si è disposti a sacrificare diritti e libertà individuali.
La legislazione in materia di diritto delle nuove tecnologie sfugge ormai a qualunque ponderazione ed approfondimento, contraddistinta sempre più da blitz che indeboliscono le garanzie dei diritti e frenano lo sviluppo delle nuove tecnologie.
Nel corso dell’iter di conversione in legge del c.d. Decreto Milleproroghe (D.L. n. 307/2008) il Governo ha posto la fiducia su un emendamento controverso, destinato ad accrescere notevolmente le attività di telemarketing per la gioia delle imprese ma a scapito dei consumatori.
Ecco il testo dell’emendamento all’art. 44 del Decreto:
«1-bis. I dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1º agosto 2005, sono lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1º agosto 2005»
Il tutto, ancora una volta, senza ponderazione e contro il parere degli esperti del settore e in contrasto con la pluriennale attività del Garante Privacy.
Purtroppo, visto che il decreto deve essere perentoriamente convertito in tempi brevi, non è possibile sperare in un momento di resipiscenza e nel ritiro dell’emendamento.
Questa settimana segnalo l’articolo scritto dai due colleghi Andrea Lisi e Graziano Garrisi dal titolo “Privacy, gli obblighi degli amministratori di sistema“.
L’approfondimentro tratta un tema di stretta attualità, ovvero il recente provvedimento con cui il Garante Privacy ha dettato “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema“. L’articolo, che ha il pregio di fornire un primo commento al suddetto provvedimento, parte dalla considerazione sulla centralità del ruolo dell’amministratore di sistema nel doveroso adempimento delle cautele imposte dalla normativa in materia di riservatezza di dati personali.
Basti pensare, infatti, che molto spesso l’amministratore di sistema è dotato di una particolare posizione a cui spetta anche la capacità di stabilire – in raccordo con il titolare e/o eventuali altri responsabili dei relativi trattamenti – chi può accedere in modo privilegiato alle risorse del sistema informativo e a tutti i dati personali aziendali (anche sensibili): per tale motivo gli amministratori di sistema devono essere scelti con particolare attenzione, poiché i rischi che possono correre le banche dati o le reti informatiche sono sempre più elevati.
Gli autori affrontano in modo snello ed efficacie le novità previste dal nuovo provvedimento del Garante:
a) maggiore attenzione nella valutazione del soggetto cui affidare l’incarico di amministratore di sistema;
b) menzione dell’elenco degli amministratori di sistema nell’ambito del documento programmatico sulla sicurezza;
c) necessaria verifica da parte dei titolari del trattamento dell’operato degli amministratori di sistema;
d) registrazione degli acessi ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori.
E’ proprio a quest’ultima novità che Lisi e Garrisi dedicano una parte importante delle loro riflessioni: il provvedimento in parola, infatti, obbliga gli amministratori di sistema ad adottare dei sistemi di registrazione degli accessi che abbiano le caratteristiche della completezza ed inalterabilità e che consentano la conservazione dei relativi dati per un periodo di tempo congruo, e comunque non inferiore a sei mesi. Si tratta di una misura di non facile applicazione, la cui introduzione ha già sollevato critiche e perplessità.
Troppo concentrato sulle tematiche relative alla privacy, ho colpevolmente trascurato una stranissima, e potenzialmente pericolosa, clausola in materia di copyright.
11. Licenza sui Contenuti concessa dall’utente
11.1 L’utente è proprietario del copyright e di qualsiasi altro diritto già posseduto sui Contenuti inviati, pubblicati o visualizzati su o tramite i Servizi. Inviando, pubblicando o visualizzando i Contenuti, l’utente concede a Google una licenza perenne, irrevocabile, internazionale, non soggetta a diritti d’autore e non esclusiva per riprodurre, adattare, modificare, tradurre, pubblicare, eseguire in pubblico, visualizzare pubblicamente e distribuire qualsiasi Contenuto inviato, pubblicato o visualizzato su o tramite i Servizi. Detta licenza ha il solo scopo di autorizzare Google a visualizzare, distribuire e promuovere i Servizi e può essere revocata per alcuni Servizi, come definito nei Termini aggiuntivi dei Servizi in oggetto.
11.2 L’utente conviene che detta licenza includa un diritto per Google di rendere tali Contenuti disponibili per altre aziende, organizzazioni o altri soggetti con cui Google abbia rapporti per la fornitura di servizi diffusi e di utilizzare tali Contenuti in relazione alla fornitura di tali servizi.
11.3 L’utente riconosce che Google, nell’esecuzione delle operazioni tecniche necessarie per fornire i Servizi ai propri utenti, può (a) trasmettere o distribuire i Contenuti dell’utente su varie reti pubbliche e con vari mezzi e (b) apportare ai Contenuti dell’utente le modifiche necessarie per renderli conformi ai requisiti tecnici delle reti, dei dispositivi, dei servizi o dei mezzi di connessione. L’utente accetta che tale licenza dovrà autorizzare Google a intraprendere tali azioni.
11.4 L’utente conferma e garantisce a Google di disporre di tutti i diritti, del potere e dell’autorità necessari per concedere la suddetta licenza.
In pratica, in base a questa clausola, l’utente mantiene il copyright e i diritti sui contenuti generati attraverso il browser (basti pensare al post di un blog) ma concede a Google il diritto di distribuire quel contenuto anche per finalità lucrative.
Questa clausola, che riproduce quella contenuta in altre licenze di servizi Google, non mi sembra trovi precedenti per un browser (che ricordi nè in Firefox nè in Internet Explorer ce n’è di simili) e rischia di frenare notevolmente la diffusione di Chrome.
Secondo Chris Mellor molti amministratori di sistema potrebbero, per questo motivo, bandire il nuovo browser dai propri network per garantire la doverosa riservatezza dei dati aziendali.
Anche alcuni bloggers sono già sul piede di guerra e minacciano di non usare Chrome, paventando il rischio che qualunque informazione e contenuto veicolato attraverso il browser, (ad esempio password e informazioni finanziarie) possa essere pubblicato da Google.
Quest’anno ho partecipato ad E-privacy il convegno che, ormai tradizionlamente, si tiene a Firenze, in primavera, sui problemi della privacy nell’era digitale.
Avevo programmato per tempo la trasferta in modo da poter seguire tutti i due giorni della manifestazione: molti gli interventi, tutti interessantissimi. Qui trovate il dettagliatissimo resoconto.
Si è trattato di uno dei convegni più riusciti a cui abbia partecipato: Palazzo Vecchio è una cornice unica, relatori di primo piano, temi di grande interese, organizzazione impeccabile per cui rinnovo i comlimenti a Marco Calamari e a tutto il Progetto Winston Smith. Qui sono già disponibili on line le slides e l’audio di tutti gli interventi.
Da programma avrei dovuto parlare dei profili della privacy sui social networks, ma d’intesa con gli organizzatori, ho dedicato il mio intervento al rapporto tra fisco e privacy dopo la pubblicazione dei redditi degli italiani.
Di seguito riporto le diapositive e l’audio del mio intervento:
Nonostante sia trascorso già qualche giorno dal provvedimento del Garante Privacy, si continua ancora a parlare della decisione dell’Agenzia delle Entrate di mettere on line i redditi degli italiani. Tuttavia mentre in Italia ci si limita ad analisi di tipo “politico”o a discutere delle iniziative di alcune associazioni di consumatori, le ossservazioni più interessanti le sto leggendo sui siti stranieri. All’indomani della pubblicazione la notizia era stata commentata con una certa ironia , oggi l’attenzione si sposta sulle ulteriori conseguenze della decisione dell’Agenzia delle Entrate: i rischi maggiori (oltre a quello di rapimenti) sono in termini di furto di identità.
La mia posizione sulla vicenda l’ho espressa nel corso del dibattito live su civile.it di qualche giorno fa. E’ stato un confronto piacevole con l’amico Carmelo Giurdanella ottimamente condotto da Valentino Spataro che ringrazio per l’entusiasmo e la la disponibilità.
Se avete lo avete perso o avete voglia di riascoltarlo lo embeddo qui sotto.
Diritto 2.0 e' curato da Ernesto Belisario, avvocato ed esperto in diritto delle nuove tecnologie.
