A causa del continuo accavallarsi di normative in tema di privacy e firma elettronica (pesante, leggera, accreditata, digitale e così via…) anche il semplice trattamento/registrazione elettronica dei propri dati personali sul web rischia di essere manifestato illegittimamente, con rischi di pesanti sanzioni a carico dei siti web titolari di tali dati… Internet, come noto, ha sempre imposto il rispetto delle sue regole e delle sue consuetudini spesso avulse da ogni “stringente” sistema di diritto positivo, sia nazionale, sia europeo, sia, infine, internazionale. In tal modo i giuristi esperti del settore continuano a doversi confrontare con non poche questioni interpretative oltre che pratiche. Un tema al quale la dottrina in realtà ha dedicato ben poca attenzione, ma che è certamente destinato a diventare presto di scottante attualità, fa riferimento a quella prassi, molto diffusa tra i titolari dei siti web, di permettere ai propri utenti la registrazione, attraverso il noto meccanismo del “point&click”, ad un’area riservata fornendo i propri dati personali (nome, cognome, codice fiscale, indirizzo mail…) e ricevendo così uno o più codici di identificazione personale grazie ai quali fruire successivamente di numerosi servizi on-line. Per la compilazione di un form elettronico è necessario non solo fornire i propri dati personali – alcuni richiesti obbligatoriamente altri facoltativamente – ma occorre anche prestare il consenso espresso al trattamento dei medesimi dati. Quest’ultimo aspetto rappresenta il punto dolente dell’intera procedura ora descritta e merita di essere meglio approfondito. La questione dal punto di vista giuridico si pone in questi termini: al momento dell’avvenuta registrazione, il consenso al trattamento dei dati personali è prestato validamente? Oppure gli adempimenti previsti dalla legge sono disattesi? Il nostro argomentare va correttamente ricondotto nell’alveo delle norme di cui agli artt. 11, 20 e 22 della Legge 675/1996 (ovvero dell’art. 23 del Decreto Legislativo n. 196/2003 che prenderà il posto della legge n. 675 dal primo gennaio 2004) la cui corretta interpretazione fornirà la chiave di lettura per risolvere i nostri dubbi interpretativi. Perché il consenso possa dirsi validamente prestato occorre che esso sia espresso liberamente, sia riferito ad uno specifico trattamento, sia documentato per iscritto (o manifestato in forma scritta in caso di dati sensibili) e sia informato. Vediamo ora se nel caso della registrazione da parte di un utente ad un’area riservata di un sito sono integrati tutti i menzionati requisiti previsti dalla legge. Non sorgono, in realtà, dubbi in ordine alla sussistenza del consenso espresso. Sul punto, infatti, c’è concordia tra la dottrina più accreditata e, peraltro, la Direttiva n. 58/2002/CE ha contribuito a fare chiarezza equiparando il sistema del point&click al consenso espresso. Qualche ragionevole dubbio sorge invece con riferimento al requisito della documentazione per iscritto. In altre parole, la registrazione elettronica ad una “personal zone” soddisfa il requisito della forma scritta? Sul punto occorre riferirsi alle norme dettate in tema di firma elettronica, ovvero al Decreto Legislativo n. 10/2002 (art. 6) e al D.P.R. n. 445/2000 (art. 10). Il combinato disposto di tali prescrizioni ci porta a dire, per quanto più da vicino ci interessa, che il documento informatico privo di qualsiasi sottoscrizione è equiparabile ad una mera riproduzione meccanica i cui effetti sono quelli previsti dall’art. 2712 c.c., mentre il documento informatico provvisto della firma elettronica cd. “leggera” soddisfa il requisito legale della forma scritta. È facile arguire a questo punto come la prassi di cui si discute si potrebbe ritenere legittima solo ove si equiparasse l’anzidetta registrazione al documento elettronico provvisto di firma elettronica almeno leggera. Ma sul punto non è possibile rispondere positivamente. Infatti, per aversi un documento informatico con firma elettronica leggera occorre che un insieme di dati in forma elettronica siano connessi logicamente ad altri dati elettronici sì da permettere l’individuazione precisa del singolo utente connesso in rete. Occorre, cioè, una corrispondenza biunivoca tra le parti (nel caso di specie: tra il gestore e l’utente del sito web) che si riconoscano vicendevolmente. E ciò può accadere per mezzo di un sistema di autenticazione informatica che ricorre non al momento della registrazione, giacché in questa fase chiunque può fornire dati immaginari o non veritieri, bensì in quello successivo che coincide con l’accesso all’area riservata per mezzo dei codici di identificazione personali (strumenti che permettono un’individuazione univoca del soggetto che li sta utilizzando) e che sono stati forniti presso l’indirizzo di posta elettronica fornito dall’interessato all’atto delle registrazione. È quindi nel momento in cui l’utente registrato accede per la prima volta alla “personal zone” che deve richiedersi il consenso al trattamento dei dati personali; consenso che potrà così ritenersi legalmente anche documentato per iscritto e dirsi, così, validamente prestato. La prassi oggi ampiamente diffusa in rete e sopra descritta deve essere disattesa giacché erronea e possibile fucina, pertanto, di gravi sanzioni. A questo punto appare opportuno evidenziare ancora un altro profilo di questa prassi che può ritenersi quanto meno opinabile. Moltissimi titolari di siti web chiedono ai propri utenti, al momento della registrazione, il consenso al trattamento dei propri dati personali non solo ai fini della registrazione stessa ma anche per molte altre operazioni (quali, ad es. l’eventuale invio di materiale pubblicitario, la cessione dei dati a terze società per fini di statistiche, etc.). Tali termini vanno invece tenuti distinti. Per la sola registrazione, infatti, può anche non chiedersi il consenso al trattamento dei dati dal momento che si è in una fase precontrattuale rispetto alla conclusione di un contratto (che può definirsi di fornitura di servizi) e, pertanto, vige la regola dell’art. art. 12, comma 1, lett. b), Legge n. 675 cit. norma di fatto riprodotta dall’art. 24 del menzionato Decreto n. 196. Per tutte le operazioni successive, invece, deve essere senza dubbio richiesto il consenso il quale (come già ampiamente riferito) per dirsi anche documentato per iscritto deve essere prestato per il tramite di un documento informatico provvisto di firma elettronica almeno leggera. Come si è cercato di chiarire, ciò potrà realizzarsi solo con l’utilizzo di un sistema di autenticazione informatica che ricorre quando l’utente utilizzando i propri codici personali accede all’area riservata di un sito. Proprio in questo momento – rectius proprio al primo accesso nell’area protetta – l’utente deve prestare il proprio consenso che potrà finalmente dirsi anche documentato per iscritto. Con questa breve riflessione si spera di aver suscitato l’interesse dei giuristi al fine di ricercare sempre nuove e più corrette soluzioni ai diversi problemi tecnico-giuridici con cui gli operatori della rete sono chiamati quotidianamente a confrontarsi evitando, così, che questi ultimi si vedano applicate le pesanti sanzioni previste dal legislatore in tema di illecito trattamento dei dati personali.
Andrea Lisi e Maurizio De Giorgi