L’Economist di questa settimana segnala intensi movimenti, in tutto il mondo, intorno al tema della tutela della riservatezza dei dati personali in Rete. Fino a oggi abbiamo osservato un evidente dualismo fra l’approccio europeo e quello USA. I regolatori americani hanno dimostrato fin qui un atteggiamento più rilassato in materia. Nel Vecchio Continente, invece, si sono moltiplicati richiami e atti sanzionatori per l’uso che i nuovi gatekeepers (Facebook, Google e Apple) tendono a fare dei dati degli utenti, in ossequio al riferimento normativo vigente (la direttiva europea sulla privacy del 1995).
Tuttavia le cose potrebbero evolvere rapidamente. La crescente capacità di alcuni attori di raccogliere e incrociare dati personali di natura sensibile sta suscitando un rinnovato interesse anche da parte delle autorità americane. Lo dimostra la recente decisione di trenta stati dell’Unione, coordinati dal procuratore generale del Connecticut Richard Blumenthal, di avviare un’inchiesta sugli episodi di snooping di cui si è resta protagonista Google. La vicenda riguarda l’intercettazione (effettuata per errore, sostiene l’azienda di Mountain View) di informazioni sulla navigazione degli utenti di Internet attraverso reti Wi-Fi non criptate. Google non si sarebbe limitata a raccogliere tali informazioni, ma le avrebbe integrate nel servizio Street View. Sullo stesso caso, peraltro, era già intervenuta l’autorità per la tutela della privacy tedesca, in aprile. Google aveva fornito una prima risposta il 27 aprile attraverso un post sul suo European Public Policy Blog. Risposta poco convincente e imprecisa, tanto da giustificare un successivo intervento della stessa Google sul proprio blog ufficiale il 9 giugno. In sostanza Google ha ammesso l’errore e confermato di avervi posto rimedio. Ma ciò non ha impedito che altre autorità nazionali (fra cui quelle di Italia, Repubblica Ceca, Spagna, Regno Unito, Australia e Francia) avviassero a propria volta specifiche indagini. L’istruttoria della CNIL francese, in particolare, si è conclusa con la conferma che Google ha carpito password e messaggi di posta elettronica attraverso le reti Wi-Fi.
L’obiettivo dell’azienda era comunque lo stesso perseguito da altri operatori: identificare la posizione geografica dell’utente utilizzando le reti Wi-Fi. Si tratta di una metodologia sviluppata dalla start-up americana Skyhook Wireless, la quale ha messo insieme un gigantesco database dei punti di accesso Wi-Fi. La mappa è stata disegnata e viene costantemente aggiornata sguinzagliando per le strade di America, Asia ed Europa centinaia di conducenti assunti a tale scopo. Ogni conducente porta a bordo della propria auto un laptop, equipaggiato con antenna e software in grado di registrare la presenza di ripetitori di telefonia cellulare e spot Wi-Fi. Il database di Skyhook contiene le informazioni relative a 100 milioni di reti wireless e circa 700 mila ripetitori radiomobili. I 27 milioni di iPhone e iPod venduti finora da Apple nel mondo sono tutti equipaggiati con un’applicazione fornita da Skyhook, che consente di determinare la posizione del telefono – in alternativa al GPS – ogni volta che l’utente intende fruire di un servizio location based.
Nel frattempo il Congresso degli Stati Uniti ha avviato l’iter parlamentare che dovrebbe portare a una nuova legge sulla privacy. Come si comporterà il legislatore americano? Molti ritengono che, rispetto a quello attuale, il futuro quadro normativo USA sarà meno distante dalla disciplina europea. Ci si può quindi aspettare un giro di vite a sfavore dei grandi mediatori della Rete, i quali stanno perdendo molti dei loro supporter anche dall’altra parte dell’Atlantico. Al momento è disponibile il testo della bozza di legge (discussion draft) depositata dai deputati Rick Boucher (democratico) e Cliff Stearns (repubblicano). La bozza introduce il divieto di utilizzare dati sensibili – come quelli relativi alla razza, al credo religioso, all’orientamento sessuale e alla posizione geografica rilevata tramite il telefono cellulare – senza esplicito consenso del diretto interessato. In sostanza, se questa linea fosse confermata, gli Stati Uniti si doterebbero di una legislazione molto vicina a quella oggi in vigore nei paesi della UE.
La proposta Boucher-Sterns (il testo è disponibile qui) definisce due elenchi. Il primo include tutte le informazioni che il titolare di un servizio online può raccogliere senza il consenso degli utenti, salvo offrire un meccanismo di opt-out. Tale elenco include:
- Nome proprio e iniziale del cognome
- Indirizzo fisico
- Numero di telefono e fax
- Indirizzo di posta elettronica
- Dati biometrici univoci, come le impronte digitali o la scansione della retina
- Codice fiscale, numero di passaporto o patente ecc.
- Numero di carta di credito, conto corrente e relative password necessarie per la gestione di pagamenti online
- Nome utente, numero IP o altro identificativo univoco
La seconda lista include invece i dati che possono essere raccolti solo previo consenso del diretto interessato (modalità opt-in). Essa include:
- Dati medici
- Razza o gruppo etnico
- Credo religioso
- Orientamento sessuale
- Reddito, disponibilità economica personale e altri dati finanziari
- Geolocalizzazione
La proposta dei due deputati americani ha suscitato reazioni diverse. Secondo gruppi di pressione come la Progress & Freedom Foundation e il Technology Liberation Front, le norme contenute nel discussion draft mettono a repentaglio la libertà di Internet, in quanto l’economia digitale si nutre di pubblicità e dei dati dei navigatori (vedi qui). Al contrario, il Center for Democracy & Technology ha salutato l’iniziativa parlamentare come il primo passo per porre rimedio a un vuoto legislativo che dura da dieci anni (vedi qui). Un punto di vista condiviso dal Future of Privacy Forum (vedi qui).