"Click-stream e spamming: la violazione della privacy del navigatore"
In ambito di commercio elettronico, il trattamento dei dati degli utenti è un processo necessario ma altrettanto delicato, considerando che pur sussistendo l’esigenza di individuare con certezza il cliente (per ovvi motivi anche solo pratici: consegna del prodotto o del servizio, dati inerenti la carta di credito, ecc…) è altrettanto necessario preservare i suoi dati da un utilizzo che vada oltre a quello prettamente necessario per la conclusione dell’operazione commerciale.
Negli ultimi anni, difatti, è andato sviluppandosi il fenomeno della cosiddetta profilazione dell’utente, consistente in una attività mediante la quale una serie complessa di dati inerenti utenti/clienti viene elaborata da specifici programmi in grado di creare una segmentazione dell’utenza ripartendola in gruppi omogenei di comportamento, al fine di conoscerne le abitudini e le necessità commerciali, rispondendo mediante la diffusione in rete dei prodotti a tale utenza necessari o di suo interesse.
Tale profilazione si è resa possibile anche mediante il cosiddetto click-stream (o click-trail), uno strumento di raccolta dei cookies da parte di un sito web visitato dal navigatore, anche definito come un flusso di informazioni accumulate relativamente al percorso nel web da parte di un utente.
Le informazioni raccolte mediante il click-stream, contengono i collegamenti seguiti dall’utente e registrati nel web server (o meglio dai computer dei fornitori di servizi Internet per coloro che non dispongono di un proprio web server) e sono in grado di documentare tutti gli “spostamenti” di un utente in rete permettendo la ricostruzione della sua personalità da un punto di vista di abitudini, passioni, prodotti e servizi di suo interesse. Così conoscendo le pagine web visitate, è possibile, nella maggior parte dei casi, acquisire un quadro piuttosto preciso della navigazione effettuata da un soggetto.
Ma da un punto di vista legale si può ritenere lecita questa attività? Soprattutto pensando alla complessa normativa sulla privacy?
L’intera procedura sopra descritta esula quasi sempre dalle conoscenze dell’utente, ma soprattutto in alcun modo allo stesso viene mai richiesto alcun assenso al trattamento dei dati relativi alla sua navigazione ed appare pertanto in contrasto con la legge 675/96.
È vero che il tracciato dei cookies non può ogni volta materialmente essere sottoposto ad un vaglio di autorizzazione da richiedere all’utente (ciò per ovvi motivi logici e tecnici), e che quindi non si può sollevare una questione di illecito utilizzo dei dati personali. Ma nel caso della profilazione, e cioè dell’utilizzo di quei dati da parte di un titolare di un sito, allora l’illecito si realizza, in quanto la privacy del navigatore è violata.
Infatti, tra i principi generali cui si ispira la normativa a tutela della riservatezza, vige il cosiddetto principio della limitazione degli scopi: i dati possono essere raccolti ed impiegati solo per scopi precisamente individuati e con l’assenso e la consapevolezza di tale utilizzo da parte del titolare degli stessi. Ne consegue che anche la profilazione operata su internet deve necessariamente essere sottoposta al consenso dell’utente potendo altrimenti incorrere il soggetto che la pone in essere, in sanzioni previste dalla legge 675/96 ed in specie di quelle prevista dagli artt. 34 e seguenti, che sanzionano il trattamento illecito dei dati personali avvenuto senza consenso del titolare e per trarne profitto. Quest’ultimo infatti è conseguenza naturale della profilazione: il titolare di un sito commerciale capace di individuare e classificare i gusti dei propri navigatori, può incrementare pubblicità e distribuzione del prodotto che risulti, dalla profilazione, come maggiormente ambito dagli utenti.
Inoltre, sempre secondo quanto stabilito dalla legge a tutela della privacy, coloro che raccolgono ed impiegano dati personali, sono tenuti a garantirne la sicurezza dalla conoscibilità degli stessi da parte di terzi: nel processo di profilazione non adottando misure di sicurezza idonee, il titolare che raccoglie illecitamente i dati rischia di esporre gli stessi all’accesso da parte di terzi, commettendo ennesimo illecito ex art 36 l. 675/96.
Il legislatore ad oggi non si è espresso sul caso in esame, che non può ritenersi tutelato dalla vigente normativa, che può valere nei casi reali ma non per la rete, dove la complessità ed unicità della navigazione ne fanno un fenomeno cui spetterebbero norme speciali.
Eppure lo spamming spesso è conseguenza della profilazione, potendo un estraneo durante la nostra navigazione, raccogliere dati ed indirizzo e-mail, associarli con relativi gusti commerciali come emersi dal click-stream, al fine di farci pervenire in modo diretto, una “pubblicità personalizzata”.
È facile concludere che spamming e profilazione appaiono strettamente connessi e che rappresentano un fenomeno tutt’oggi impunito o comunque ignorato a discapito del navigatore poco esperto che ignora di essere continuamente “spiato” ed “elaborato”!
Dott.ssa Valentina Frediani
(riproduzione riservata)