"Spyware", qualcosa non va nel codice della privacy

In questo momento è probabile che qualcuno abbia un sottofondo musicale mentre legge questa pagina. Sottofondo che viene da un CD, inserito nel computer e riprodotto con Windows Media Player. Forse il nostro lettore non sa che le informazioni su tutto ciò che passa per il suo Windows Media Player sono o saranno inviate a un server che si trova chissà dove e saranno aggiunte a quelle relative ai dischi suonati o copiati in precedenza, in attesa di altri dati che partiranno a mano a mano che il software di Microsoft farà girare altri CD audio, DVD, MP3 e via elencando.
In quel server si sta formando un profilo completo delle sue preferenze musicali (e non solo...), grazie a un cookie depositato nella sua macchina senza che Explorer, con le impostazioni di default, lo abbia avvertito.

Tutto questo si evince con qualche sforzo dalla informativa sulla privacy che un utente curioso può scaricare dal sito di Microsoft facendo clic sull'apposita voce del menù "?" dell'applicazione. Tutto regolare, dunque?
Ci colleghiamo alla URL http://www.microsoft
com/windows/windowsmedia/it/privacy/9splayer.asp. Sono oltre 30.000 caratteri (più un'altra informativa "figlia") e a leggere tutto con attenzione non basta mezz'ora. Quello che si evince da una rapida scorsa è che il solo fatto di aprire WMP provoca la spedizione di una serie di informazioni personali a Microsoft e che per sottrarsi (del tutto?) a questo controllo è necessaria una lunga serie di operazioni non difficili, ma comunque impegnative per l'utente "domestico", magari alle prime esperienze col personal computer.

Ora leggiamo con attenzione le disposizioni del "Codice in materia di protezione dei dati personali" in materia di informativa (art. 13), consenso (art. 23) e raccolta di informazioni nei riguardi dell'abbonato o dell'utente (art. 122).
Tra parentesi: ci riferiamo al "Codice", che entra in vigore il prossimo 1. gennaio, e non alla normativa ancora vigente, perché nulla cambia nella sostanza di queste disposizioni (l'art. 122 è "nuovo" solo all'apparenza) e tanto vale abituarsi all'articolato con il quale dovremo convivere nei prossimi anni.

A prescindere da una serie di altre considerazioni che si potrebbero fare in punto di diritto, siamo probabilmente di fronte a una violazione dell'art. 23, in quanto il trattamento non inizia in seguito al "consenso espresso" dell'interessato, ma gli si offre solo l'opzione di opporsi a determinati trattamenti, dopo che essi sono stati in qualche modo iniziati. Forse è solo un dettaglio, ma significativo della tendenza di tutti i grandi produttori di software e di contenuti a "mettere sotto controllo" gli utenti, sia con la scusa di proteggere il diritto d'autore sia con il pretesto di accrescere la loro sicurezza.

E' questo il concetto del Trusted Computing che la casa di Redmond, con incredibile faccia tosta, presenta come la soluzione di tutti i problemi di sicurezza e tutela della privacy (ma nasce per la protezione dei diritti d'autore). E si aggiunge alle inutili richieste di informazioni personali, che si presentano da ogni parte, quando si cerca di installare un software, di scaricare un aggiornamento o più semplicemente di accedere a informazioni disponibili in rete. Tra le richieste illegittime (perché contrarie al fondamentale "principio di necessità" - art. 3) e i veri e propri programmi-spia (spyware), l'utente informatico è soggetto a un controllo invasivo e pervasivo contro il quale i Garanti di tutto il mondo si scagliano in ogni occasione (vedi, dalla newsletter del Garante, La direttiva UE sulla privacy si applica anche ai software spia e, molto più recenti, le due risoluzioni approvate nell'ultima conferenza internazionale dei Garanti a Sidney sugli aggiornamenti del software e sulle informazioni relative alla privacy).
Ma, a quanto pare, senza risultati concreti.

La situazione è insostenibile, perché anche quando i trattamenti sono legittimi (pensiamo ai pagamenti con le carte di credito), le azioni di tutela sono difficilissime se i trattamenti stessi sono svolti in Paesi che non fanno parte dell'Unione europea.
E dunque, chi ci garantisce che delle informazioni raccolte nell'ambito del trusted computing da Microsoft e dalle altre major dell'intrattenimento e dell'informazione venga fatto solo l'uso dichiarato? Per capire la situazione può essere utile (anzi, indispensabile) la lettura di due documenti: Puoi fidarti del tuo computer? di Richard Stallman e le Trusted Computing' Frequently Asked Questions di Ross Anderson. Il primo è di un anno fa, il secondo è recente, ed è anche lungo e pesante, ma la sostanza emerge con molta evidenza: nessun affidamento (trust) verso la congrega del trusted da parte di chi ha studiato a fondo il problema.

Ma c'è l'art. 122 del Codice della privacy: 1. Salvo quanto previsto dal comma 2, è vietato l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente. Divieto esplicito e quasi omnicomprensivo, perché il comma 2 esclude solo alcuni trattamenti necessari per finalità tecniche, sulla base di un codice di autodisciplina e comunque nei riguardi dell'abbonato e dell'utente che abbiano espresso il consenso sulla base di una previa informativa ai sensi dell'articolo 13 che indichi analiticamente, in modo chiaro e preciso, le finalità e la durata del trattamento.
Ma, è incredibile, la violazione dell'art. 122 non è penalmente sanzionata: chi fa man bassa dei nostri dati, frugando nel nostro PC, non rischia di finire davanti a un giudice.

Sul punto lascio la parola ad Andrea Monti: Codici deontologici: se chi ruba i dati può scrivere le regole. Da parte mia resto con la sgradevole sensazione che qualcuno abbia già letto questo articolo, prima ancora che sia pubblicato.