PRIVACY: Diritti d'autore (22/03/2005)

É indubbiamente legittimo garantire la tutela del diritto d’autore sia a priori, ossia prevenendo possibili violazioni, sia a posteriori, ossia intervenendo per punire i colpevoli. Tuttavia, anche le forme preventive di tutela, come il cosiddetto DRM (“digital rights management”), non deve tradursi in una raccolta indiscriminata di dati personali: piuttosto, bisogna cercare di sviluppare strumenti tecnici e adottare comportamenti che riducano al massimo l’utilizzazione di informazioni personali.

Questi i punti qualificanti del documento di lavoro approvato in materia di proprietà intellettuale e diritto d’autore il 18 gennaio scorso, a Bruxelles, dal Gruppo che riunisce le autorità europee per la protezione dei dati (scarica il documento .pdf  44kb). Sul documento è stata aperta una consultazione pubblica per sollecitare contributi da tutte le parti in causa, il cui termine è fissato al 31 marzo 2005 (http://www.europa.eu.int/ ).

Il documento intende richiamare l’attenzione dei soggetti che, a vari livelli, sono coinvolti nella gestione del copyright (titolari, produttori, fornitori di servizi, utenti) sulle tematiche connesse alla protezione dei dati personali. Va ricordato che la direttiva che ha recentemente disciplinato il rispetto dei diritti di proprietà intellettuale (2004/28) fa salve le norme in materia di protezione dati fissate nella direttiva 95/46, dalla quale discendono (fra l’altro) le disposizioni fissate nel Codice italiano della protezione dei dati.

Al riguardo, vi sono due ordini di problemi fondamentali:

A) quelli posti dal DRM, ossia dalle tecnologie e dai meccanismi utilizzati per prevenire possibili violazioni della proprietà intellettuale/del copyright. Può trattarsi dell’impiego di tecnologie che chiedono all’utente di identificarsi per poter accedere a determinati contenuti, e che magari associano al brano musicale scaricato da Internet un identificatore univoco che associa inscindibilmente l’utente a quello specifico brano. Oppure può trattarsi dell’impiego di tecniche di tracciamento, in particolare finalizzate a individuare gli utenti che scaricano documenti o altro materiale protetto da copyright senza averne il diritto; per farlo i legittimi titolari (che sono in genere soggetti privati) ricorrono solitamente all’indirizzo IP dell’utente, in alcuni casi imponendo ai fornitori di servizi Internet (ISP) di comunicare anche i dati in loro possesso, ovvero combinando (o tentando di combinare) tali informazioni con quelle contenute nei registri “WHOIS” (i registri contenenti informazioni su chiunque registri un nome di dominio su Internet, costituiti in via primaria per garantire la reperibilità di un contatto “tecnico” in caso di problemi). In tutti questi casi, i Garanti ricordano la necessità di rispettare alcuni principi fondamentali in materia di protezione dei dati:

• il principio di necessità , per cui non si devono trattare dati personali ulteriori rispetto a quelli assolutamente necessari per gli scopi che ci si prefigge di raggiungere. Discende da tale principio la possibilità di mantenere l’anonimato nelle operazioni che avvengono su Internet: nessuno deve essere obbligato a rivelare necessariamente la propria identità se l’operazione da svolgere può essere condotta senza utilizzare dati personali. Ricordiamo, fra l’altro, che l’impiego di identificatori univoci deve essere disciplinato da specifiche norme nazionali in base alla direttiva 95/46. Qui entrano in gioco, inoltre, le cosiddette PET (Privacy Enhancing Technologies): i Garanti sottolineano l’esigenza di sviluppare ausili tecnologici che consentano di ridurre l’ambito dei dati personali utilizzati in rapporto alle singole operazioni (alcune piattaforme, come P3P, sono allo studio da vari anni).
• L’obbligo di fornire agli interessati un’informativa adeguata e preventiva, ribadito anche dall’International Working Group on Telecommunications (http://www.datenschutz-berlin.de/doc/int/iwgdpt/co_en.htm) e più volte ricordato dai Garanti europei (v. Raccomandazione 2/2001, http://www.europa.eu.int/...pdf).
• Il principio di finalità : i dati personali raccolti perché necessari ai fini della prestazione di un determinato servizio (p. es. lo scaricamento di un file musicale da Internet) non devono essere utilizzati per altri scopi, anche alla luce del rischio che l’interconnessione di più categorie di informazioni porti ad una profilazione dettagliata dei singoli utenti con grave lesione del diritto fondamentale alla tutela della vita privata.
• Conservazione dei dati personali per un periodo limitato, e comunque non superiore a quanto necessario per le finalità perseguite attraverso la loro raccolta. Non è dunque possibile conservare indiscriminatamente tutti i dati relativi agli utenti di un determinato servizio nell’eventualità che alcuno di essi commetta in futuro violazioni delle norme sul diritto d’autore.

B) Vi sono poi i problemi sollevati dalle attività di indagine ex post finalizzate a individuare soggetti sospettati di avere violato la normativa sul diritto d’autore. Fatta salva la legittima raccolta di dati personali da parte di chiunque agisca in giudizio per far valere un diritto, vi sono comunque alcuni principi di protezione dati che devono essere rispettati:

• principio di finalità : come già sottolineato, non è consentito utilizzare per finalità diverse dati raccolti per un determinato scopo. Dunque, i dati contenuti nel registro WHOIS non devono essere utilizzati per finalità incompatibili con quelle per cui sono stati raccolti (v. anche il parere pubblicato dai Garanti europei nel 2003, scarica il documento .pdf 37kb), né gli ISP sono tenuti a fornire a soggetti privati, titolari di diritti d’autore, le informazioni in loro possesso, visto che tali informazioni sono state raccolte per la fornitura dei servizi di TLC. Diverso è il caso in cui la richiesta provenga da autorità giudiziarie o di polizia, sulla base di specifiche disposizioni di legge.
• Periodo di conservazione dei dati: la conservazione sistematica ed a priori di tutti i dati di traffico è contraria sia ai principi della direttiva 95/46 sulla protezione dei dati personali, sia a quelli della direttiva 2000/31 sul commercio elettronico. In assenza di una specifica disposizione delle autorità giudiziarie o di polizia, gli ISP non sono tenuti a conservare, a tempo indeterminato, tutti i dati di traffico relativi a informazioni tutelate dal diritto d’autore; ciò può avvenire solo in riferimento a periodi limitati e sulla base di norme di legge specifiche.
• Dati giudiziari: il trattamento di questi dati (relativi a reati, condanne pregresse, misure di sicurezza) è consentito soltanto nel rispetto di rigide disposizioni adottate dai singoli Stati membri, che devono prevedere anche adeguate garanzie per gli interessati.