Dott.ssa Valentina Frediani
Il Consulente Legale Informatico
vfrediani@consulentelegaleinformatico.it
E' legittima la registrazione al personal zone?
A causa del continuo accavallarsi di
normative in tema di privacy e firma elettronica (pesante, leggera,
accreditata, digitale e così via…) anche il semplice trattamento/registrazione
elettronica dei propri dati personali sul web rischia di essere manifestato
illegittimamente, con rischi di pesanti sanzioni a carico dei siti web titolari
di tali dati… Internet, come noto, ha
sempre imposto il rispetto delle sue regole e delle sue consuetudini spesso
avulse da ogni “stringente” sistema di diritto positivo, sia nazionale, sia
europeo, sia, infine, internazionale. In tal modo i giuristi esperti del
settore continuano a doversi confrontare con non poche questioni interpretative
oltre che pratiche. Un tema al quale la dottrina in realtà ha dedicato ben poca
attenzione, ma che è certamente destinato a diventare presto di scottante
attualità, fa riferimento a quella prassi, molto diffusa tra i titolari dei
siti web, di permettere ai propri utenti la registrazione, attraverso il noto
meccanismo del “point&click”,
ad un’area riservata fornendo i propri dati personali (nome, cognome, codice
fiscale, indirizzo mail…) e ricevendo così uno o più codici di identificazione
personale grazie ai quali fruire successivamente di numerosi servizi on-line. Per la compilazione di un form elettronico è necessario non
solo fornire i propri dati personali – alcuni richiesti obbligatoriamente altri
facoltativamente – ma occorre anche prestare il consenso espresso al
trattamento dei medesimi dati. Quest’ultimo aspetto rappresenta il punto
dolente dell’intera procedura ora descritta e merita di essere meglio
approfondito. La questione dal punto di vista giuridico si pone in questi
termini: al momento dell’avvenuta registrazione, il consenso al trattamento dei
dati personali è prestato validamente? Oppure gli adempimenti previsti dalla
legge sono disattesi? Il nostro argomentare va correttamente ricondotto
nell’alveo delle norme di cui agli artt. 11, 20 e 22 della Legge 675/1996
(ovvero dell’art. 23 del Decreto Legislativo n. 196/2003 che prenderà il posto
della legge n. 675 dal primo gennaio 2004) la cui corretta interpretazione
fornirà la chiave di lettura per risolvere i nostri dubbi interpretativi.
Perché il consenso possa dirsi validamente prestato occorre che esso sia
espresso liberamente, sia riferito ad uno specifico trattamento, sia
documentato per iscritto (o manifestato in forma scritta in caso di dati
sensibili) e sia informato. Vediamo ora se nel caso della registrazione da parte
di un utente ad un’area riservata di un sito sono integrati tutti i menzionati
requisiti previsti dalla legge. Non sorgono, in realtà, dubbi in ordine alla
sussistenza del consenso espresso. Sul punto, infatti, c’è concordia tra la
dottrina più accreditata e, peraltro, la Direttiva n. 58/2002/CE ha contribuito
a fare chiarezza equiparando il sistema del point&click al consenso espresso. Qualche ragionevole dubbio
sorge invece con riferimento al requisito della documentazione per iscritto. In
altre parole, la registrazione elettronica ad una “personal zone” soddisfa il
requisito della forma scritta? Sul punto occorre riferirsi alle norme dettate
in tema di firma elettronica, ovvero al Decreto Legislativo n. 10/2002 (art. 6)
e al D.P.R. n. 445/2000 (art. 10). Il combinato disposto di tali prescrizioni
ci porta a dire, per quanto più da vicino ci interessa, che il documento
informatico privo di qualsiasi sottoscrizione è equiparabile ad una mera
riproduzione meccanica i cui effetti sono quelli previsti dall’art. 2712 c.c.,
mentre il documento informatico provvisto della firma elettronica cd.
“leggera” soddisfa il requisito legale della forma scritta. È facile
arguire a questo punto come la prassi di cui si discute si potrebbe ritenere
legittima solo ove si equiparasse l’anzidetta registrazione al documento
elettronico provvisto di firma elettronica almeno leggera. Ma sul punto non è
possibile rispondere positivamente. Infatti, per aversi un documento
informatico con firma elettronica leggera occorre che un insieme di dati in forma elettronica siano connessi logicamente ad
altri dati elettronici sì da permettere l’individuazione precisa del singolo
utente connesso in rete. Occorre, cioè, una corrispondenza biunivoca tra
le parti (nel caso di specie: tra il gestore e l’utente del sito web) che si riconoscano vicendevolmente. E ciò
può accadere per mezzo di un sistema di
autenticazione informatica che ricorre non al momento della registrazione,
giacché in questa fase chiunque può fornire dati immaginari o non veritieri,
bensì in quello successivo che coincide con l’accesso all’area riservata per
mezzo dei codici di identificazione personali (strumenti che permettono
un’individuazione univoca del soggetto che li sta utilizzando) e che sono stati
forniti presso l’indirizzo di posta elettronica fornito dall’interessato
all’atto delle registrazione. È quindi nel momento in cui l’utente registrato
accede per la prima volta alla “personal zone” che deve richiedersi il consenso
al trattamento dei dati personali; consenso che potrà così ritenersi legalmente
anche documentato per iscritto e dirsi, così, validamente prestato. La prassi
oggi ampiamente diffusa in rete e sopra descritta deve essere disattesa giacché
erronea e possibile fucina, pertanto, di gravi sanzioni. A questo punto appare opportuno evidenziare
ancora un altro profilo di questa prassi che può ritenersi quanto meno
opinabile. Moltissimi titolari di siti
web chiedono ai propri utenti, al momento della registrazione, il consenso al
trattamento dei propri dati personali non solo ai fini della registrazione
stessa ma anche per molte altre operazioni (quali, ad es. l’eventuale invio di materiale
pubblicitario, la cessione dei dati a terze società per fini di statistiche,
etc.). Tali termini vanno invece tenuti distinti. Per la sola registrazione,
infatti, può anche non chiedersi il consenso al trattamento dei dati dal
momento che si è in una fase precontrattuale rispetto alla conclusione di un
contratto (che può definirsi di fornitura di servizi) e, pertanto, vige la
regola dell’art. art. 12, comma 1, lett. b), Legge n. 675 cit. norma di fatto
riprodotta dall’art. 24 del menzionato Decreto n. 196. Per tutte le operazioni successive, invece,
deve essere senza dubbio richiesto il consenso il quale (come già ampiamente
riferito) per dirsi anche documentato per iscritto deve essere prestato per il
tramite di un documento informatico provvisto di firma elettronica almeno
leggera. Come si è cercato di chiarire, ciò potrà realizzarsi solo con
l’utilizzo di un sistema di autenticazione informatica che ricorre quando
l’utente utilizzando i propri codici personali accede all’area riservata di un
sito. Proprio in questo momento – rectius
proprio al primo accesso nell’area protetta – l’utente deve prestare il proprio
consenso che potrà finalmente dirsi anche documentato per iscritto. Con questa
breve riflessione si spera di aver suscitato l’interesse dei giuristi al fine
di ricercare sempre nuove e più corrette soluzioni ai diversi problemi
tecnico-giuridici con cui gli operatori della rete sono chiamati
quotidianamente a confrontarsi evitando, così, che questi ultimi si vedano
applicate le pesanti sanzioni previste dal legislatore in tema di illecito
trattamento dei dati personali.
Andrea Lisi e
Maurizio De Giorgi
www.consulentelegaleinformatico.it
www.consulentelegaleinformatico.it