Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Una recente sentenza della Corte di Giustizia Europea che gli indirizzi IP possono essere considerati come dati personali perché possono essere impiegati per individuare un utente attraverso il ricorso alle autorità o agli ISP provider.

La questione è stata posta nell’ambito di una controversia tra il sig. Patrick Breyer e la Bundesrepublik Deutschland (Repubblica federale di Germania) in merito alla registrazione e alla conservazione dell’indirizzo IP del sig. Breyer in occasione della consultazione di vari siti Internet dei servizi federali tedeschi.

Al fine di contrastare attacchi e identificare i «pirati informatici», nei siti governativi tedeschi gli accessi sono registrati e, al termine della sessione di consultazione, vengono memorizzati dati quali il nome del sito o del file consultato, le parole inserite nei campi di ricerca, la data e l’ora della consultazione, il volume dei dati trasferiti, il messaggio relativo all’esito della consultazione e l’indirizzo IP del computer a partire dal quale è stato effettuato l’accesso.

Il sig. Breyer si è rivolto ai giudici amministrativi tedeschi, chiedendo che alla Repubblica federale di Germania sia vietato conservare gli indirizzi IP. La richiesta è stata rigettata in primo grado ma il giudice di appello ha parzialmente accolto l’istanza condannando la Repubblica federale di Germania ad astenersi dal conservare gli indirizzi IP qualora essi vengano memorizzati unitamente alla data della sessione di consultazione e qualora gli utenti abbiano rivelato la propria identità durante la sessione, anche sotto forma di un indirizzo elettronico.

Secondo la Corte di appello tedesca, dunque, un indirizzo IP dinamico, associato alla data della consultazione, è da considerarsi un dato personale solo nel caso in cui l’utente abbia rivelato la propria identità durante la navigazione, mentre  se un utente non indica la propria identità durante una sessione di consultazione l’indirizzo IP non sarebbe un dato personale perché solamente l’Internet Service Provider può ricollegare l’indirizzo IP al nome di un abbonato.

Opponendosi alla decisione del giudice di appello si sono rivolti al Bundesgerichtshof (Corte federale di giustizia) sia la Repubblica federale di Germania che il sig. Breyer. Quest’ultimo puntava ad un accoglimento integrale della sua domanda inibitoria mentre lo Stato ne chiedeva il rigetto.

Il giudice del rinvio ha precisato che la qualificazione degli indirizzi IP come dati «personali» dipenderebbe dalla possibilità o meno di identificare l’utente e ha posto una controversia dottrinale riguardo alla scelta di un criterio «oggettivo» oppure di un criterio «relativo» per stabilire se una persona sia identificabile. Applicando un criterio «oggettivo», dati come gli indirizzi IP potrebbero essere considerati dati personali anche qualora solamente un terzo sia in grado di determinare l’identità della persona interessata, terzo che, in questo caso, sarebbe il fornitore di accesso a Internet. Secondo un criterio «relativo», invece, questi dati potrebbero essere qualificati come dati personali solo in relazione ad un particolare soggetto, come il fornitore di accesso a Internet, in grado di risalire alla precisa identificazione dell’utente. Di contro, non potrebbero essere considerati dati personali nei confronti di altri organismi, come i gestori di siti Internet, dato che questi non disporrebbero delle informazioni necessarie all’identificazione senza ricorrere a fonti esterne, tranne nel caso in cui l’utente non abbia rivelato la propria identità nel corso della navigazione.

La corte di Giustizia Europea ha innanzitutto rilevato che un indirizzo IP dinamico non costituisce un’informazione riferita a una «persona fisica identificata», dal momento che non rivela direttamente l’identità del proprietario del computer collegato a un sito Internet, né quella di un’altra persona che potrebbe utilizzare detto computer. Tuttavia, ha sottolineato la corte, dalla formulazione dell’articolo 2, lettera a), della direttiva 95/46 risulta che si considera identificabile una persona che può essere identificata non solo direttamente, ma anche indirettamente. Inoltre, il considerando 26 della direttiva 95/46 enuncia che, per determinare se una persona sia identificabile, è opportuno prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona.

Secondo la Corte, il fatto che le informazioni aggiuntive necessarie per identificare gli utenti non siano detenute direttamente dai gestori dei siti, ma dal fornitore di accesso a Internet, non pare sufficiente ad escludere che gli indirizzi IP dinamici possano essere considerati dati personali ai sensi dell’articolo 2, lettera a), della direttiva 95/46. Infatti, occorre determinare se la possibilità di combinare un indirizzo IP dinamico con i nominativi detenuti dai fornitori di accesso a Internet costituisca un mezzo accessibile ai gestori di siti. Un’eventualità che non sarebbe ipotizzabile se l’identificazione della persona interessata fosse vietata dalla legge o praticamente irrealizzabile, per esempio a causa del fatto che implicherebbe uno dispendio di tempo, di costo e di manodopera.

Nonostante il diritto nazionale tedesco non consenta agli ISP di trasmettere direttamente le informazioni per identificare una persona a partire da un indirizzo IP, la Corte ha rilevato che esistono strumenti giuridici che consentono ai gestori di siti, in particolare in caso di attacchi cibernetici, di rivolgersi alle autorità affinché queste ottengano tali informazioni dal fornitore di accesso a Internet e per avviare procedimenti penali. Pertanto ne deriva che esistono mezzi che possono essere ragionevolmente utilizzati per identificare, con l’aiuto di altri soggetti, una persona sulla base del suo indirizzo IP.

La Corte di Giustizia Europea ha quindi stabilito che l’articolo 2, lettera a), della direttiva 95/46 dev’essere interpretato nel senso che un indirizzo IP dinamico registrato da un sito costituisce, nei confronti del gestore del sito, un dato personale, qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata attraverso il ricorso all’Internet service provider dell’utente.

La sentenza della Corte di Giustizia è disponibile QUI.

twitter-bird-white-on-blueTwitter dovrà consentire alle autorità francesi i dati identificativi degli utenti che utlizzano la piattaforma per incitare all’odio razziale.

Questo quanto stabilito dal Tribunal de grande instance di Parigi, che ha ordinato al social network di fornire i dati utili all’identificazione degli autori anonimi di tweet ritenuti illegali per il sistema giuridico francese, come quelli con cotenenuto antisemita. I dati degli utenti che Twitter dovrà rivelare possono icludere nomi, indirizzi email e indirizzi IP. L’ingiunzione del tribunale francese impone anche alla piattaforma l’istituzione un agevole sistema per la segnalazione di tali abusi da parte dei cittadini.

La sentenza giunge a seguito di un’azione di protesta della Union des Étudiants Juifs de France (UEJF) che, nel 2012, si è rivolta alla giustizia per ottenere la rimozione di tutti i cinguettii da ritenersi “palesemente illegali”, e per chiedere a Twitter la consegna alle autorità dei dati necessari ad identificarne gli autori.

Twitter ha ora due settimane di tempo per prendere provvedimenti ed evitare una sanzione di mille euro per ogni giorno di inadempienza. Tuttavia la questione della giurisdizione territoriale potrebbe “salvare” il social network: i legali di Twitter hanno infatti comunicato al Tribunale parigino che la piattaforma adempirà all’ordine solo se sarà emesso da un tribunale statunitense.

interpolLa settima sezione del Tribunale di Roma ha recentemente pubblicato le motivazioni a sostegno della sentenza dell’11 giugno 2012 che ha assolto un professionista romano cinquantenne dall’accusa di consumo di materiale pedopornografico online.

L’accusa era stata formalizzata in seguito ad un’indagine compiuta dalla polizia lussemburghese che ha segnalato all’Interpol la presenza di un cospicuo numero di indirizzi IP provenienti dall’Italia che si sarebbero connessi ad un sito pedopornografico con sede all’estero.

Risalendo dagli indirizzi IP ai nominativi dei titolari dei contratti di connessione, l’Interpol è giunta ad identificare i sospettati di consumo e detenzione di materiale pedopornografico, tra cui l’imputato romano.

Tuttavia, proprio sulla base dell’inaffidabilità dell’identificazione attraverso l’indirizzo IP, il Tribunale di Roma ha assolto il professionista per non aver commesso il fatto. Due le principali motivazioni.  La prima riguarda la mancata corrispondenza tra titolarità di un indirizzo IP ed esclusività nell’utilizzo della connessione. Secondo la sentenza, l’indirizzo IP dell’imputato potrebbe anche essere stato utilizzato dai suoi familiari o da ignoti che si connettevano illecitamente alla connessione wi-fi. Nel dettaglio, stando a quanti hanno riportato la notizia, il Tribunale di Roma avrebbe constatato che: “non potendosi, quindi, escludere che terzi abbiano utilizzato quell’indirizzo, magari attraverso accessi abusivi o furto dei suoi dati ovvero che altri, tra i suoi familiari, abbiano potuto, quand’anche accidentalmente, nel sito pedopornografico in rassegna, si deve affermare l’impossibilità di fondare con tutte queste variabili, un verdetto di colpevolezza.”

La seconda motivazione riguarda invece un vizio genetico nel procedimento di acquisizione dei dati informatici relativi alle presunte connessioni con il sito pedopornografico per violazione degli articoli 254 e 254 bis cpp. A quanto si apprende, le prove dell’accesso ai siti incriminati, acquisite presso gli  internet service provider attraverso i cd log di connessione, sono state ritenute inutilizzabili in quanto non acquisite e conservate in conformità con la Legge 18 marzo 2008, n. 48 recante la ratifica della Convenzione del Consiglio d’Europa di Budapest sulla criminalità informatica del 23 novembre 2001, che ha introdotto significative modifiche al Codice di procedura penale e al Codice della Privacy (Decreto legislativo 30 giugno 2003, n. 196).

La sentenza del Tribunale di Roma è una delle prime in Italia a stabilire che gli indirizzi IP non identificano persone fisiche ma solo connessioni ad Internet, e pertanto non possono essere ritenuti sufficienti per l’imputazione della responsabilità.

L’identità di un qualunque utente che scarica un file attraverso BitTorrent può essere individuata dalle agenzie di controllo in sole tre ore. Questa la conclusione di un recente studio dell’Università di Birmingham che ha suscitato un diffuso interesse sulla stampa internazionale.

In this paper, we examined the current state of BitTorrent monitoring. We introduced several novel techniques for identifying peers that perform monitoring
and validated them on large datasets. We determined that copyright enforcement
agencies use indirect monitoring (con?rming the results of earlier studies) as well
as direct monitoring (a novel contribution of our work) to determine users’ activity. From our experiments, we derived a number of interesting properties of
monitoring, as it is currently performed: e.g., that monitoring is prevalent for
popular content (i.e., the most popular torrents on The Pirate Bay) but absent for less popular content, and that peers sharing popular content are likelyDirect Monitoring in BitTorrent 17
to be monitored within three hours of joining a swarm. Finally, we found that
publicly-available blocklists, used by privacy-conscious BitTorrent users to prevent contact with monitors, contain large incidences of false positives and false
negatives, and recommended that blocklists based on empirical research [18] are
used over speculative ones.

Nella ricerca tre studiosi hanno esaminato l’attuale stato dei sistemi di monitoraggio della piattaforma peer-to-peer BitTorrent da parte delle agenzie anti-pirateria che controllano l’attività degli utenti. Sebbene sia infatti risaputo che le agenzie anti-pirateria effettuano un monitoraggio costante, le tecniche di controllo che impiegano non sono note al pubblico.

I ricercatori si sono quindi concentrati sul tipo di monitoraggio utilizzato e hanno concluso che le agenzie non si limitano a monitorare dati aggregati sulla partecipazione alla condivisione di file, ma utilizzano sistemi di monitoraggio diretto sull’attività dei singoli utenti, attraverso una connessione diretta con l’utente come peer.

La ricerca ha messo in evidenza che il monitoraggio viene concentrato soprattutto sui contenuti più popolari, ad esempio sui link torrent più scaricati da The Pirate Bay, ed è invece praticamente nullo sui contenuti meno noti o di nicchia.

Sono quindi gli utenti che condividono contenuti popolari quelli che vengono controllati tramite tecniche di monitoraggio diretto, una tecnica che permette di identificare un utente, tramite il suo indirizzo IP, entro tre ore dall’inizio del download.

Sebbene l’indirizzo IP non includa dati anagrafici degli utenti, sarebbe sufficiente un controllo incrociato con i database degli Internet Provider per risalire al nominativo dell’intestatario della connessione internet.

Il sistema di monitoraggio diretto pone quindi alcuni aspetti di criticità sul rispetto della privacy degli utenti da parte dei sistemi di controllo.

Vi presentiamo, in esclusiva per Diritto&Internet, l’intervista al Cons. Giovanni Buttarelli, Garante europeo aggiunto alla protezione dei dati personali.

- “Salvare chi cerca lavoro da se stesso” questo secondo il Der Spiegel l’obiettivo della legge tedesca che regola l’utilizzo da parte dei datori di lavoro delle informazioni sugli impiegati trovate su Facebook. Cosa pensa del fatto di limitare per legge l’uso delle informazioni personali reperibili pubblicamente online?

È un punto all’ordine del giorno dell’attività delle Autorità Garanti, e anche dei legislatori. In Germania, ad esempio, c’è una particolare sensibilità, anche perché la legislazione tedesca è piuttosto dettagliata e avanzata in materia di tutela dei dati dei lavoratori, ma il problema si sta ponendo anche altrove. Come esperto designato dal Consiglio di Europa, ho redatto la nuova bozza di raccomandazione che dovrebbe sostituire la Raccomandazione (89) 2 sul trattamento dei dati nel rapporto di lavoro. Una raccomandazione del Consiglio d’Europa non è semplicemente un’esortazione, è un atto giuridico indirizzato ai circa 50 Stati membri del Consiglio che, votandolo, si impegnano ad attuarlo. In Italia le raccomandazioni del Consiglio d’Europa sono state citate nella legge-delega per l’adozione dei decreti delegati dopo la legge 675 e anche nello stesso Codice del 2003 come criteri direttivi per varare i codici di deontologia e di buona condotta. Questo mio testo, accompagnato da uno studio, fa proprio riferimento alla necessità di nuove regole specifiche su questo punto. Fino adesso si è lavorato con criteri molto generali di trasparenza e correttezza, di informazione e valutazione del principio di incompatibilità e finalità, ma questi criteri non bastano più perché le prassi possono essere molto diversificate. Certamente già oggi sono da ritenere illeciti gli accessi a social network basati su astuzie, inganni e trucchi; come, ad esempio, entrare nel social network attraverso la delega a un’altra persona, o sollecitare l’amicizia del lavoratore interessato con espedienti di vario tipo. Ma, anche qualora il datore di lavoro fosse presente in modo trasparente sul social network, il problema si porrebbe ugualmente. Il social network si usa per socializzare con una serie limitata di soggetti e per ragioni personali. Quindi, occorrerà fare una valutazione di questo tipo, magari distinguendo i social network usati per ragioni puramente di diletto da quelli riservati alle relazioni professionali, tipo Linked-In.

- Secondo il CEO di Facebook “La privacy per le nuove generazioni è un concetto superato”, in Germania però si valuta se insegnare nelle scuole come difendere i propri dati sensibili. Quale importanza viene data all’educazione alla privacy dal Garante Europeo?

La Conferenza mondiale della Autorità Garanti, che si è appena conclusa a Gerusalemme, è partita proprio dalla citazione di questa frase di FB per rovesciarla completamente e ritenerla assolutamente inadatta. Ma la stessa prassi di FB ha dimostrato il contrario di quanto affermato dal suo CEO, non a caso si sono già mossi per rimediare ad alcuni problemi seri di privacy e probabilmente troveranno un rimedio ad altri nelle prossime settimane. Il fatto che ci sia un entusiasmo nell’utilizzo dei nuovi sistemi di comunicazione non significa che sia corretto ritenere superato il concetto di privacy. Per le nuove generazioni può essere vero nel presente, ma non in un momento successivo quando ci si troverà a soffrire le conseguenze per problemi vari derivati magari da un difetto di informazione del social network.

Innanzitutto, è necessario l’uso di una comunicazione che sia comprensibile facilmente a quella generazione. Bisogna evitare l’approccio pedagogico, evitare di porsi su un piedistallo e insegnare ai giovani a utilizzare i nuovi strumenti di tecnologia. Il paternalismo non può funzionare. Quindi bisogna capire meglio i nuovi linguaggi e adattare le informative e i dispositivi per esercitare i diritti dell’interessato alle nuove esigenze. Un modulo burocratico non sarà mai utilizzato, una finestra pop-up user-friendly probabilmente sì, anche attraverso uno smartphone. Per questo motivo la nuova Comunicazione della Commissione europea sul futuro della normativa europea in materia sposta molto l’attenzione sull’educazione delle nuove generazioni – sull’ammonimento, sui rischi – ma anche sull’opportunità di avere nuovi strumenti più dinamici, più funzionali, più immediati e più facili da utilizzare per esercitare i diritti e cancellare le informazioni, per esempio nell’eventualità di una migrazione da un social network a un altro.

- La Privacy by design è considerata uno dei modi più efficaci per evitare violazioni della privacy dovute al lancio di nuovi sistemi software online. La nuova regolamentazione prescriverà alle aziende di integrare la consulenza sulla privacy al lavoro dei progettisti?

Sicuramente sì. La Comunicazione della Commissione europea che è stata resa pubblica in tutte le lingue dell’Unione il 4 novembre, annuncia l’impegno della Commissione ad inserire la privacy by design tra i principi della nuova disciplina. In questo momento si sta discutendo se debba essere un principio autonomo o una nozione, da tradurre poi in comportamenti differenziali. Quel che è certo è che, come dice la risoluzione che è stata approvata all’unanimità dalle autorità Garanti di tutto il mondo riunite a Gerusalemme, questo principio deve permettere di affrontare i problemi fin dall’inizio onde evitare la difficoltà di sviluppare la protezione dei dati in un momento successivo, quando tutte le scelte sono già state fatte. Si tratta di avere un supporto da parte della tecnologia per risolvere i problemi, quindi non solo attraverso un software pruivacy-oriented, ma anche attraverso la creazione di dispositivi che permettono di adempiere automaticamente ai requisiti della privacy, per esempio la cancellazione automatica dei dati attraverso una sovrascrittura, o l’istituzione di alert che permettano di capire quando l’uso ulteriore dei dati è incompatibile con le finalità originali, o ancora qualcosa che impedisca o renda più difficile una profilazione dell’interessato sulla base di una raccolta occulta dei dati da parte dei motori di ricerca.

- La geolocalizzazione attraverso dispositivi GPS è la causa del più recente allarme in materia di privacy online. Tuttavia, anche gli indirizzi IP contengono – da sempre – informazioni di localizzazione sul territorio. Il prossimo regolamento europeo interverrà in particolare su questi aspetti?

C’è già una normativa avanzata perché la Direttiva 2002/58, rivista recentemente attraverso la Direttiva e-privacy che deve essere recepita dagli Stati membri entro il maggio 2011, tocca questi punti e non verrà probabilmente modificata dalla nuova normativa europea. Rimarrà quindi un pilastro per i prossimi anni. Già oggi la normativa prevede il consenso dell’interessato adeguatamente informato e la possibilità di “staccare la spina” quando si utilizza un servizio a valore aggiunto che comporta la localizzazione. La questione si sta affrontando anche dal punto di vista della conservazione di questo genere di dati attraverso la cosiddetta direttiva data-retention. Oggi, per motivi di polizia e di giustizia, i dati registrati delle chiamate sono oggetto di conservazione per uno o due anni, a seconda che i dati siano telefonici o telematici, e questo porta ad una possibile schedatura eccessiva dei movimenti delle persone.

Va anche considerato che oggi la geolocalizzazione è prevalentemente gestita attraverso sistemi telefonici, ma un prossimo domani, attraverso soprattutto ai trasporti intelligenti, sarà operante a prescindere dalla telefonia mobile e sarà utilizzata nell’ambito della circolazione dei veicoli, per servizi quali il pagamento di pedaggi, l’accesso ai centri storici, e la sicurezza, con la possibilità, ad esempio, di mandare allarmi quando si hanno incidenti o si finisce in un burrone. Quindi, ci sarà di nuovo l’esigenza di bilanciare la possibilità di beneficiare di questi sistemi, per avere ad esempio messaggi informativi su blocchi del traffico, incidenti stradali, autostrade chiuse ed altro, con la garanzia che questi dati vengano utilizzati solamente one-by-one e non vengano registrati, o comunque utilizzati solo per quella finalità e non per ulteriori marketing e schedature.

-Il tema dell’accountability aziendale è stato uno degli argomenti centrali della conferenza in Israele. Come sarà integrato nella regolamentazione europea?

Non come un nuovo principio, né come un appesantimento ulteriore presso soggetti pubblici e privati. Servirà invece per responsabilizzare di più i titolari dei dati e influirà sulle stesse autorità sulla protezione dei dati, che devono essere più selettive e non possono essere caricate di tutto l’onere dell’enforcement. La linea che si sta seguendo è quella di mantenere i principi che conosciamo già dal 1995, rendendoli però più dinamici e adeguati alle nuove tecnologie. Si tratta di fare le cose più seriamente: i titolari del trattamento non devono soltanto considerare questa materia come qualcosa da rispettare nel momento in cui c’è un incidente, un reclamo o un ricorso, ma come qualcosa da tradurre in pratica. Devono assumersi l’onere di trasformare in una procedura interna tutto ciò che è necessario fare per essere effettivamente aderenti ai principi normativi, quindi distribuire ruoli e compiti, creare una policy interna e nel caso di ricorso, reclamo, ispezione, controllo da parte dell’Autorità essere in grado di poter adeguatamente, in tempo reale, dimostrare di averlo fatto. Quindi, non più un contesto in cui il titolare del trattamento sceglie di non adempiere agli obblighi della privacy e di correre il rischio di una sanzione, pensando che forse un’ispezione non arriverà mai, ma una prospettiva in cui il titolare è consapevole che la tutela della privacy è un compito quotidiano, una cosa che se non si fa, si potrebbe anche essere chiamati a rispondere per non avere tradotto in concreto gli obblighi di legge. Quindi, qualcosa di nuovo e non nuovo al tempo stesso.

Giovedì scorso presso Alma Graduate School si è tenuto l’atteso incontro tra Il Dott. Marco Pancini, European Policy Counsel and Director of institutional relations of Google Italia, e il Cons. Giovanni Buttarelli, Garante Europeo aggiunto per la tutela dei dati personali.

Nonostante i prevedibili interessi contrapposti nelle posizioni professionali dei due invitati, durante l’incontro è emerso anche un aspetto non conflittuale fra la principale multinazionale della rete e l’organo europeo a tutela dei dati dei cittadini: la condivisa necessità di una normativa unitaria in materia. A questo proposito il Cons. Buttarelli ha annunciato che in autunno sarà promulgato un regolamento comunitario su data retention e privacy.

L’intervento del responsabile di Google ha illustrato le modalità con cui i servizi di Google raccolgono informazioni sui loro utenti e ha specificato quale tipo di dati vengono archiviati.

Nelle ricerche, ad esempio, vengono raccolti log formati da queste informazioni: indirizzo IP, data e ora della ricerca, parola ricercata, tipo di browser e sistema operativo usato, identificazione del cookie dell’utente. Secondo il dott.Pancini questi dati non consentono il riconoscimento della persona.

Google, quindi, non raccoglierebbe informazioni personali sull’utente, ma solo indicazioni utili a migliorare il servizio di ricerca, come il suggerimento della parola cercata o il controllo ortografico.

Anche i cookie sono strumenti utili all’esperienza di ricerca perché permettono la profilazione dell’utente, grazie alla quale, ad esempio, viene data la preferenza a risultati sempre nella stessa lingua. Inoltre permettono di offrire un’offerta pubblicitaria che possa interessare l’utente.

Il dott. Pancini ha poi sottolineato che Google si è autoregolamentato imponendosi di conservare gli indirizzi IP massimo per 9 mesi e i cookie massimo per 18.

Naturalmente il Cons. Buttarelli non poteva che muovere qualche obiezione alla “visione in positivo” di Google sulla propria policy.

Prima di tutto, il fatto che Google non conosca il nome e cognome associato agli indirizzi IP che registra non significa che non riconosca gli utenti e i loro comportamenti. Evidentemente intorno all’indirizzo IP si possono individuare una serie di elementi di riferimento utili a costituire un profilo commerciale. Si tratta dunque di informazioni di mercato di valore inestimabile che spesso l’utente non sa di fornire.

Il Cons. Buttarelli ritiene anche sia fuorviante continuare a parlare di pubblicità “nell’interesse dell’utente”. La pubblicità basata sulla conoscenza degli interessi degli utenti porta un vantaggio prima di tutto alla società commerciale.

A questo proposito si ritiene che i cookie e i file di log  siano trattenuti da Google per un periodo ingiustificatamente lungo. Altre aziende che operano in rete, ad esempio Yahoo!, si sono autoregolamentate con tempi di molto inferiori. Sarebbe quindi opportuno che ogni società della rete spiegasse per quale motivo i dati vengono trattenuti e quali sono le informazioni realmente indispensabili.

In quest’ottica il garante aggiunto ha annunciato che la prossima regolamentazione europea rafforzerà, a livello di merito, la componente di privacy by design da parte delle case di produzione di software. Il concetto di privacy infatti deve essere tenuto in considerazione anche negli aspetti di progettazione dei sistemi, in altre parole il controllo degli utenti sui propri dati personali deve essere un’opzione insita nel software design. Questa procedura garantisce infatti la protezione dei propri dati a priori, impedendo così a repentine nuove idee di marketing di provocare danni, come è successo con il servizio Google Buzz.

posted by admin on marzo 5, 2010

Responsabilità dei provider

(No comments)

20080626_24È sempre più efficace agire sulla fonte stessa del contenuto, facendolo ritirare dagli Host provider, piuttosto che farlo bloccare dagli ISP. Un contenuto bloccato rimane comunque online ed è soltanto temporaneamente inaccessibile, dal momento che il filtro è facilmente aggirabile“, così si è espressa Carole Gay responsabile degli affari giudiziari e normativi dell’AFA,  l’ associazione francese dei fornitori di accesso e di servizi internet, protestando contro la legge LOPPSI 2, recentemente approvata dai deputati francesi.

Il provvedimento mira a rendere i siti pedopornografici irraggiungibili dai cittadini e attribuisce ai fornitori di connettività la responsabilità del loro oscuramento, tramite un sistema di filtraggio che impedisce agli utenti di raggiungere un determinato indirizzo IP. Si tratta della stessa tecnica recentemente imposta agli ISP italiani dalla Cassazione nel caso di The Pirate Bay, qui precedentemente descritta.

L’analogia con il caso di The Pirate Bay si ritrova anche nella reazione dei provider. L’associazione dei fornitori di accesso alla rete francese ha espresso infatti lo stesso parere della nostrana AIIP (associazione italiana internet provider) riguardo ad una legislatura che finisce per penalizzare gli intermediari piuttosto che i produttori di contenuti illeciti. Per di più inutilmente, visto che un utente determinato ad infrangere la legge non sarà certo ostacolato da sistema di filtraggio basilare, per aggirare il quale sono reperibili molte guide in rete, naturalmente senza contare il ricorso ai programmi di file sharing.