Introduzione alla privacy su Internet

INTRODUZIONE ALLA PRIVACY
SU INTERENT
Dr. Antonio Piva – [email protected]
2014
Dr. Antonio Piva
1
IL CONCETTO DEL CLICKSTREAM
Tramite la navigazione in internet e i servizi utilizzati, resi disponibili dai
Web, l’utente lascia tracce ed informazioni che possono essere spiate,
raccolte ed elaborate.
Facciamo un esempio …
Muovendosi, magari con l’illusione dell’anonimità, ad ogni click con il mouse
lasciamo preziose informazioni sugli interessi, propensioni e sul nostro
comportamento in quanto consumatori.
Il clickstream è un’indelebile traccia di informazioni che viene registrata
dal proprio provider e da tutti i server nei quali transitiamo.
Infatti esistono software che seguono e memorizzano il clickstream di
ciascun utente e sono così in grado di raccogliere dati ed informazioni.
2
I LOG
Quando visitiamo un sito o ci colleghiamo ad internet, i server dei provider registrano
automaticamente i collegamenti (sia degli abbonati che dei visitatori occasionali).
I LOG sono i file che contengono queste registrazioni automatiche.
Essi contengono normalmente:
- la durata del collegamento;
- ora e data di inizio e fine della connessione;
- nome del provider fornitore dell’accesso all’utente;
- tipo di Sistema Operativo, i browser, definizione dello schermo;
- indirizzo IP del PC dell’utente;
- pagine visitate e tempo impiegato, ecc …
Log molto dettagliati sono validi strumenti per ricostruire precisi profili degli utenti.
(anche se normalmente non danno modo direttamente di sapere per esempio il nome e
cognome, la residenza, il telefono ecc.. dell’utente)
3
I COOKIES - 1
Il Cookie ‘Tecnicamente’ è un piccolo pezzo di informazione, inviato dal server
Web, direttamente al Browser dell’utente (mentre sta navigando).
Il Browser dell’utente memorizza questa informazione nel disco fisso del PC in
modo automatico (l’utente spesso non si accorge di nulla).
Questo messaggio viene riletto dal sito Web che ha inviato il cookie quando
l’utente si collega nuovamente.
Questa tecnica è utilizzata per differenti scopi (non tutti sgradevoli):
- memorizzano il primo accesso tramite registrazione ad un sito ed evitano di
ripetere la procedura ad ogni accesso;
- sono utilizzati per personalizzare il sito in funzione ai gusti manifestati
dall’utente;
- possono creare dettagliati profili (quali pagine consultate, cosa compra o quali
pubblicità vede).
I cookies non rivelano direttamente l’identità anagrafica dell’utente ma la sua
identità sociale.
L’identità anagrafica è comunque agevolmente scoperta incrociando le
informazioni date dai cookies con quelle volontariamente lasciate dall’utente.
4
I COOKIES - 2
Il Garante della Privacy sta mettendo a punto un’informativa chiara, semplice e
di immediata comprensione sull’uso dei cookie per permettere a chi naviga
online di decidere liberamente e consapevolmente se far usare o no le
informazioni sui siti visitati per ricevere della pubblicità mirata.
L’ autorità spiega che, con le nuove regole europee, i cookie “tecnici” possono
essere utilizzati anche senza il consenso dell’interessato.
Mentre per i cookie “non tecnici”, ovvero quelli, che monitorando i siti visitati,
raccolgono dati personali che consentono la costruzione del profilo del
consumatore, è invece obbligatorio il consenso preventivo ed informato
dell’interessato.
Rimane comunque obbligatorio per i gestori dei siti informare gli utenti della
presenza dei cookie in modo semplice, chiaro e facilmente comprensibile.
5
IDENTIFICABILITA’
Il ‘pedinamento virtuale’ ha finalità che possono essere gradite e sgradite.
Quelle gradite o socialmente giustificate sono:
- evitare la commissione di illeciti e proteggere la legalità;
- individuare transazioni commerciali illecite;
- individuare reati commessi tramite la rete.
Quelle meno gradite o giustificate sono:
- lo studio del comportamento del consumatore;
- la costruzione di profili, senza che l’utente se ne accorga, per l’ utilizzo di
informazioni;
- commerciali, messaggi pubblicitari o magari condizionamenti politici.
Alcuni ritengono che memorizzare clickstream e i comportamenti degli utenti
possa essere un fatto positivo perché da il beneficio al consumatore di ottenere
prodotti e servizi personalizzati e permette ai produttori di comprendere le
preferenze e adattare la merce alle specifiche esigenze ed ai bisogni.
Le informazioni sui clickstream sono ambite dalle aziende ed infatti sono nate
molte imprese che ricercano e classificano queste informazioni per venderle a
terzi. L’informazione, specie sui dati personali di utenti e consumatori, è denaro.
6
ANONIMATO NEL MONDO REALE
Negli USA c’è l’idea che le informazioni personali debbano essere trattate come
beni di proprietà individuale. Ciascuno è libero di mantenerle riservate o
cederle a terzi a fronte di adeguati compensi, (è evitata l’appropriazione dei dati
personali a fini commerciali e di profitto, senza adeguato compenso per il
titolare).
L’Unione Europea ha una posizione diversa ed infatti ritiene che qualsiasi
schedatura, in particolare per fini commerciali, debba essere o impedita o
rigidamente controllata.
Notiamo comunque che anche in Usa si avverte con forza l’esigenza della tutela
della privacy. Per esempio in Texas c’è il reato di STALKING che punisce il
comportamento di chi segue taluno per fini non dichiarati ed in modo da porre
seguito ad apprensione. Ci sono stati casi di cyberstalking.
7
PETs (Privacy Enahancing Tecnologies)
Oltre agli strumenti giuridici, esistono strumenti tecnologici per proteggersi
dalla raccolta di dati effettuata tramite internet come per esempio i software
dedicati a tal fine.
La tecnologia permette la realizzazione di programmi che tendono ad
annullarsi tra di loro ovvero programmi che rivelano l’identità dell’utente
possono essere neutralizzati da altri meccanismi tecnologici.
Le tecnologie che possono costituire un mezzo efficace di protezione della vita
privata in Internet prendono il nome di PETs (Privacy Enahancing
Tecnologies):
- Anonimous Remailing
- Anonimous Surfing
8
ANONYMOUS REMAILING
Il remailing permette all’utente di inviare messaggi elettronici senza
rivelare la sua identità.
Ci sono 2 tipi di remailing:
1) lo pseudo-anonymous remailer;
2) l’anonimous remailer;
Il primo funziona in modo tale che chi vuole restare anonimo invia una
richiesta presso un server, detto rispeditore anonimo, che, cancellando
dal messaggio alcune informazioni che possono identificare l’utente
(indirizzo e-mail e nome), assicura l’anonimato.
Il secondo utilizza invece una catena di remailer associata ad un
sistema di cifratura a chiave doppia che si mette in funzione ad ogni
passaggio. In questo modo ciascun remailer conosce unicamente
l’identità del remailer successivo ma non conosce altro.
9
ANONIMOUS SURFING
Il surfing anonimo permette all’utilizzatore di evitare che i server web
possano raccogliere informazioni quali l’indirizzo IP, il suo programma
di navigazione o l’ultimo server visitato.
Ciò è possibile scaricando la pagina web visitata non direttamente
presso il proprio PC ma su un server, detto anonimizzatore, che scarica
il documento e successivamente lo invia la PC dell’utente.
Con questo sistema si può navigare in rete senza lasciare tracce
identificative.
Queste tecnologie sono riconosciute, a livello giuridico, anche dal
Gruppo per la tutela delle persone con riguardo al trattamento dei dati
personali (istituito nell’UE dall’art 29 della direttiva 95/46 ) già dalla
relazione del 1997.
10
PRIVACY e anonimato SU INTERENT
Il gruppo ha inoltre indicato alcune linee guida sul tema dell’anonimato in Internet.
Vediamo alcune considerazioni e principi sanciti dal gruppo:
- internet non deve essere trattata né più né meno favorevolmente di altre
tecnologie;
- ‘ciò che è illegale fuori dalla rete rimane illegale anche in rete’;
- il potere degli stati nel limitare i diritti fondamentali degli individui non deve
essere maggiore sulla rete di quanto lo sia nel mondo reale;
- il principio di proporzionalità, elaborato dalla Corte di giustizia europea, in sede di
applicazione della convenzione sui diritti dell’uomo, deve essere applicato anche in
Internet (ogni restrizione all’anonimato deve essere proporzionata e limitata a
quanto strettamente necessario per proteggere uno specifico interesse pubblico);
- un utente deve poter scegliere di restare anonimo in Rete;
- tale diritto deve essere assicurato in rete anche, con l’utilizzo di PETs, nell’utilizzo
dei servizi quali e-mail, navigazione, newsgroup, e-commerce;
- l’invio di messaggi di posta elettronica, la navigazione in rete o l’acquisto di beni e
servizi dovrebbero poter rimanere anonimi;
- vanno incentivati i sistemi di accesso ad internet (e sistemi di pagamento) che
garantiscano l’anonimato (chioschi pubblici, carte prepagate);
- è giustificato richiedere all’anonymous remailer, previo ordine del giudice, la
11
fornitura di dati di identificazione alla polizia.
Alcuni di questi principi si ritrovano anche nella legislazione nazionale:
Art. 7 Dlgs 196/2003 (ex art 13 della legge 675) stabilisce, tra l’altro, il diritto alla
trasformazione in forma anonima dei dati che lo riguardano
Art. 123 Dlgs 196/2003 (ex art. 4 del D.lgs 171/98) estende questo principio ai servizi
di telecomunicazione disponendo che i dati personali relativi al traffico siano cancellati o
resi anonimi al termine della chiamata
Art. 124 Dlgs 196/2003 (ex art. 5 del D.lgs 171/98) favorisce l’impiego delle tecnologie
pulite (le chiamate possono essere pagate con modalità anonime quali le carte di
pagamento prepagate)
Art. 125 Dlgs 196/2003 (ex art. 5 del D.lgs 171/98) prevede diritti riguardanti
l’eliminazione della identificazione della linea sia per il chiamante che per il chiamato
12
Negli Stati Uniti prevale l’opinione che sia il mercato e l’autoregolamentazione privata a
costituire lo strumento efficace per la tutela della privacy.
In Usa sono molto forti le Associazioni dei Consumatori e non esiste una legge federale
che tuteli la riservatezza, infatti:
- sono posti divieti di intercettazione delle comunicazioni elettroniche o divulgazione
di dati solo se chi raccoglie i dati opera per il pubblico;
- c’è l’imposizione di trattare i dati trasmessi come informazioni confidenziali ma
con numerose eccezioni.
Osserviamo che nella direttiva 95/46 l’art. 25 vieta la condivisione di dati con i paesi
terzi che non garantiscano forme di tutela alla privacy definite adeguate secondo gli
standard europei.
Siccome gli Stati Uniti non offrivano un livello di protezione pari a quello assicurato
dalla direttiva europea, le imprese americane, anche se operanti in Europa, non
potevano ottenere ed elaborare dati acquisiti in Europa.
Nel marzo 2000, dopo 2 anni di trattative, il governo USA e l’UE si sono accordati ed ora
solo le imprese americane che si impegnano a rispettare gli standard europei di difesa
della privacy sono autorizzate al trasferimento ed elaborazione dei dati.
13
Dr. Antonio Piva
[email protected]
Vicolo degli Orti n. 9 UDINE
Cell 335-7739475
14