Alla fine è accaduto. Google Desktop Search, nato con l’intento di consentire una facile ed intuitiva ricerca dei file presenti sul proprio hard disk, ha cominciato a rivelare il proprio “lato oscuro”. L’allarme è stato lanciato dall’Electronic Frontier Foundation (http://www.eff.org) che si è scagliata contro la Search Across Computers, funzionalità avanzata presente nella terza ed ultima versione del software. Attraverso questa “feature” sarebbe possibile memorizzare pagine web, e-mail, documenti Office, PDF ed altri file testuali dislocati nel proprio disco fisso sui server di proprietà di Google. Tutto questo per consentire all’utente – secondo le dichiarazioni dei responsabili della grande G – un facile accesso ai propri dati anche se contenuti in differenti computer. La riservatezza dell’utente era per la verità già stata messa a dura prova dalle precedenti versioni del software a causa dell’indicizzazione locale e “in chiaro” di pagine web protette e file criptati, tanto che nella versione più recente Google Desktop Search consente finalmente di crittare l’indice creato per la ricerca.
La privacy secondo la legge. Sul piano giuridico, la normativa americana a tutela della riservatezza, anche a causa degli eventi storico-politici degli ultimi anni, fornisce garanzie molto limitate agli utenti. Con la creazione del nuovo codice sulla protezione dei dati personali (d.lg. 196/2003), invece, l’Italia si pone in netta controtendenza: l’art. 122 stabilisce, in via generale, il divieto d’accesso al pc di un utente con lo scopo di archiviare informazioni o monitorarne le operazioni. Tale limite non è tuttavia assoluto: un apposito codice deontologico, sottoscritto dai fornitori di servizi di comunicazione elettronica, ha il compito di determinare le modalità attraverso cui si può realizzare l’accesso al pc dell’utente stabilendo, ad esempio, permessi di natura tecnica utili a consentire la comunicazione o l’esecuzione di uno specifico servizio appositamente richiesto.
La recente normativa in tema di riservatezza ha cercato di combattere l’uso illimitato ed indiscriminato del consenso al trattamento dei dati personali. Partendo dalla definizione di privacy quale “diritto a controllare l’uso che altri facciano delle informazioni che ci riguardano” è stato previsto dall’art. 7 il cosiddetto “diritto d’accesso”: l’utente può richiedere al fornitore di servizi la conferma dell’esistenza o meno dei dati personali che lo riguardano (anche se non ancora registrati), l’indicazione della loro origine, finalità, modalità, nonché la logica del trattamento.
Una volta accertata la presenza di dati sensibili, è possibile richiederne l’aggiornamento, la rettificazione e la cancellazione. I dati relativi al traffico trattati dal fornitore dovranno essere cancellati o resi anonimi quando non più necessari ai fini della trasmissione della comunicazione elettronica e, comunque, non conservati per un periodo superiore a quello necessario agli scopi per cui sono stati raccolti. La richiesta d’accesso va inoltrata al titolare o responsabile del trattamento per mezzo di raccomandata, fax o posta elettronica e senza particolari formalità. Se entro 15 giorni dalla richiesta il titolare nega una risposta o risponde parzialmente può essere proposto ricorso al Garante della Privacy o, in alternativa, ci si può rivolgere direttamente all’autorità giudiziaria, che può disporre, ove richiesto, sul risarcimento danni. Spetterà poi in questi casi al titolare del trattamento dimostrare di avere adottato le misure idonee ad evitare il danno.
Visite poco gradite. Benché Google faccia intendere che la riservatezza dell’utente sarà in ogni caso rispettata, non sembra sia stato ipotizzato il rischio che i suoi server, a causa dei possibili “bachi” del software, possano ritrovarsi in breve tempo esposti ad ogni genere d’attacco telematico finalizzato alla razzia indiscriminata dei dati memorizzati.
Le condizioni generali d’uso del G-desktop prevedono, infatti, la totale esclusione di responsabilità di Google per tutti i danni che potrebbero derivare dall’utilizzo di Desktop Search, a meno che la giurisdizione d’appartenenza dell’utente non preveda garanzie più rigide a tutela di quest’ultimo.
Questa volta la normativa italiana, confermando un orientamento consolidato a livello comunitario, sembra aver puntato con maggiore attenzione alle esigenze di sviluppo delle società di servizi che non all’effettiva tutela dell’utente. Nonostante il fornitore di servizi in rete sia tenuto ad adottare misure di sicurezza idonee a salvaguardare l’integrità dei dati da ogni forma d’utilizzazione illecita, con il d.lg. 70/2003 è stata sancita l’assenza di un generale obbligo di sorveglianza dei fornitori sulle informazioni trasmesse o memorizzate. Vengono così limitate fortemente le responsabilità dei provider in caso di un uso illecito dello spazio web da parte di terzi.
Tuttavia, qualora il fornitore venga a conoscenza di fatti potenzialmente illeciti, scatta l’obbligo di comunicazione immediata all’autorità giudiziaria competente che, in deroga alle norme sulla riservatezza, potrà accedere ai dati sensibili in possesso del provider. Attualmente, a causa della notevole “invisibilità” della rete, attivare un’azione giudiziaria a tutela dei propri diritti d’utente rimane comunque difficoltoso: se da un lato viene garantita l’applicazione del codice sulla privacy anche in territorio extra-europeo, dall’altro, fino a quando non verranno definiti criteri giurisprudenziali più solidi, occorrerà fare i conti con l’estrema difficoltà di individuare non solo il soggetto che ha compiuto l’illecito, ma anche il luogo preciso – situato spesso ben oltre il territorio nazionale – in cui questo è stato commesso.
In conclusione, è bene che gli utenti e le aziende in questo periodo siano prudenti. Le critiche sollevate dalla Electronic Frontier Foundation non sembrano del tutto infondate, perchè comunque evidenziano un rischio che è ineliminabile.
