Premesso che la norma in materia mi pare ancora "in divenire" e la
giurisprudenza ancora non consistente:

pubblicamente scrive che è basato su uno scambio di informazioni. Chi si
connette si sta presentando col suo IP, in sostanza. Non sono io a
"rubarglielo".

i dati che stanno dietro) è fatto altrettanto pubblico e dichiarato. Chi
si connette ad un sito non può davanti al giudice sostenere che la cosa è
fatta a sua insaputa e ciò è fondamentale per la determinazione delle
responsabilità.

registrasse il nome di chi entra. Che c'è di strano? migliaia di aziende e
Pubblica Amministrazione lo fanno!

un dato pubblico come il fatto di andare alla Camera di Commercio e
chiedere una visura camerale. Fatto ordinario e consentito.

Molto diverso sarebbe se io registrassi e soprattutto facessi uso dei
profili delle visite, che è una cosa completamente diversa....

Francesco de Francesco
Sys&Org - Fidelizzazione Clienti e Project Management
http://crm.sysandorg.it

Ciao,

secondo me tutte le tue osservazioni sono sensatissime,
ma ritengo che l'IP non sia un dato personale ai sensi della 675/96, e
come tale non sia sottoposto alle prescrizioni della legge stessa.

Le tue obiezioni in proposito sono le benvenute.
Ciao
Enrico

Ciao Giuseppe,

4) L'IP non è un numero di identificazione personale ma è certamente un

numero di identificazione (a volte temporaneo) di una macchina ed
indirettamente di chi c'è dietro.

questo non e' sempre detto: io direi che e' un numero identificativo di
una macchina in una data precisa ad un'ora precisa. Senza queste due
ultime informazioni riusciremmo a risalire solamente al proprietario
dell'indirizzo e non all'utilizzatore reale. Ma non e' del tutto vero
neanche questo poiche' scuole, universita', internet-cafe' etc non
riescono (sempre) ad identificare univocamente l'utente della macchina in
un determinato istante.

6) Tutte le volte in cui rileviamo e trattiamo (conserviamo, stampiamo,

gestiamo...)un IP di un'azienda (e molte ormai hanno un IP statico)non
acquisiamo un dato personale?

Imho dovremmo definire il concetto di "dato personale", qualsiasi
aggettivo che descriva una caratteristica e' allora un dato personale o,
peggio ancora, sensibile?

Nel caso di un IP dinamico non siamo in grado di identificare

lúitilizzatore del PC ma solo l ISP.

Allo stesso modo e' possibile identificare una persona tramite il suo
numero telefonico o viceversa.

L'utilizzo di file log (che inevitabilmente tracciano gli IP di
aziende

associazioni, enti) pone tutti i siti in una condizione di illegalità? E
perchè nessuno solleva il problema? (Questo lo capisco anche da solo )

Eheh. Se non ricordo male i Provider sono tenuti a memorizzare per un
numero X di mesi i file di log generati dai loro Web Server, anche perche'
in caso di richiesta di autorita' giudiziaria sono tenuti a mostrarli.

mArLeNeK @ newbie.it (ICQ #7653970)
[ www.NEWBIE.IT , www.E-CORSI.NET, www.GLOSSARIO.NET ]
950 manuali, corsi online, glossario, articoli su Internet e PC...
Newbie.it presenta oggi la NUOVA GRAFICA e la nuova struttura
---

4) L'IP non è un numero di identificazione personale ma è certamente
un numero di identificazione (a volte temporaneo) di una macchina ed
indirettamente di chi c'è dietro.

questo non e' sempre detto: io direi che e' un numero identificativo di
una macchina in una data precisa ad un'ora precisa. Senza queste due
ultime informazioni riusciremmo a risalire solamente al proprietario
dell'indirizzo e non all'utilizzatore reale.

L'I.P. è sicuramente un dato personale.

Vedasi definizione art. 1 comma 2 lettera c) 675/96:

c) per "dato personale", qualunque informazione relativa a persona fisica,
persona giuridica, ente od associazione, identificati o identificabili,
anche indirettamente, mediante riferimento a qualsiasi altra informazione,
ivi compreso un numero di identificazione personale

Scusate l'auto- citazione, ma .......
...........omissis...........
Infatti, l'utilizzazione delle parole "identificati o identificabili,
anche indirettamente, mediante riferimento a qualsiasi altra informazione"
con riferimento a qualunque soggetto giuridico porta a poter considerare
"dato personale" non solo quello immediatamente percepibile come tale, ma
anche il dato che, in prima battuta, difficilmente possa essere
considerato come dato personale.

Con specifico riferimento ad Internet, a parere di chi scrive, appaiono
quindi facilmente catalogabili tra i dati personali vari elementi, quali,
a mero titolo di esempio: "cookies", "domain name", indirizzo I.P.,
account di posta elettronica, nickname, numero di identificazione in
programmi come ICQ, Microsoft Messenger , anche i semplici dati desumibili
dalla sola navigazione attraverso un sito web ecc. ecc.

Caratteristica comune a tutti questi "dati" è quella di poter individuare
il soggetto al quale tali dati fanno riferimento, certamente non da soli,
ma con sufficiente certezza nel momento in cui tali dati vengono
"incrociati", ovvero messi a confronto con altri dati, spesso e volentieri
facilmente desumibili dalla rete Internet stessa.

...........omissis...........
Da Trattato breve delle nuove tecnologie, Maggio 2002, Privacy e
Sicurezza nei contratti on line

Ma non e' del tutto vero
neanche questo poiche' scuole, universita', internet-cafe' etc non
riescono (sempre) ad identificare univocamente l'utente della macchina
in un determinato istante.

Tutti questi soggetti sono tenuti per legge ad indentificare con certezza
il soggetto che utilizzi il mezzo Internet.
Se volete cerco gli estremi della legge, ma ne sono sicuro.

6) Tutte le volte in cui rileviamo e trattiamo (conserviamo,

stampiamo, gestiamo...)un IP di un'azienda (e molte ormai hanno un IP
statico) non acquisiamo un dato personale?

Si

Imho dovremmo definire il concetto di "dato personale", qualsiasi
aggettivo che descriva una caratteristica e' allora un dato personale o,
peggio ancora, sensibile?

E' definito dalla legge in maniera - purtroppo - molto chiara ed esaustiva.

Nel caso di un IP dinamico non siamo in grado di identificare

l'utilizzatore del PC ma solo l ISP.

No, attraverso il contratto con l'ISP si arriva anche all'accoppiata User
ID - Ip e quindi al titolare del contratto
Quello che vi è a valle si presume sino a prova contraria compiuto dal
titolare del contratto; è eventualmetne suo l'onere di provare di NON
ESSERE STATO lui a compiere determinate azioni, non il contrario.

Allo stesso modo e' possibile identificare una persona tramite il suo
numero telefonico o viceversa.

Esatto

L'utilizzo di file log (che inevitabilmente tracciano gli IP di
aziende

associazioni, enti) pone tutti i siti in una condizione di illegalità? E
perchè nessuno solleva il problema? (Questo lo capisco anche da solo
)

E' stato sollevato eccome e vi sono anche cause in corso

Eheh. Se non ricordo male i Provider sono tenuti a memorizzare per un
numero X di mesi i file di log generati dai loro Web Server, anche
perche' in caso di richiesta di autorita' giudiziaria sono tenuti a
mostrarli.

Non esiste attualmente alcuna legge che "obblighi" in senso giuridico i
provider a mantenere i log.

Sta di fatto che anche a fini di auto tutela è meglio conservare qualcosa
) Sono all'esame del parlamento dei DDL che porterebbero tale obbligo a
10 anni per la tutela dei minori e per le violazioni connesse alle lesioni
del diritto d'autore.

Saluti

Avv.Luca-M. de Grazia

Luca De Grazia:

[LOGS]

Sta di fatto che anche a fini di auto tutela è meglio conservare qualcosa
) Sono all'esame del parlamento dei DDL che porterebbero tale obbligo
a
10 anni per la tutela dei minori e per le violazioni connesse alle
lesioni del diritto d'autore.

che in Parlamento molte volte si facciano leggi senza cognizione di causa
mi pare un dato di fatto.
ma una legge del genere sarebbe molto pericolosa, perchè in un paio di
mesi di logs fai 2-3 GB senza problemi, fate un po' il conto in 10 anni.
mi vengono i brividi... e pure il mio portafogli comincia a tremare.

Saluti.db

Daniele Bochicchio

Content Manager di http://www.aspitalia.com
http://www.dev2dev.it La rete ha connesso nuove particelle!

Saluti a tutti,

vorrei rispondere a Giuseppe Fragola.

In assenza di giurisprudenza e dottrina in merito alla questione posta,
direi che non resta che affidarci al nostro buon senso piuttosto che a
quello degli altri.

Risolvere un IP ed associarlo ad altri dati personali è facile, direi
quindi che possiamo considerare l'IP alla stregua di un dato personale
comune.

Partendo dal presupposto che i siti web devono essere in regola con la
legge sulla tutela dei dati personali ed avere dunque anche un informativa
on-line, basterebbe a mio parere integrare tale informativa.

Avvertite i vostri visitatori che tra i dati che raccogliete ci sono anche
gli IP e informateli circa l'uso che di tali dati fate.

In materia di privacy e siti web al momento non ci resta che immedesimarci
nel visitatore, cercando di concretizzare un principio che il Garante ha
citato circa l'obbligo di notificare: quello della natura di per sé lesiva
o meno del trattamento.

Io mi chiederei quali trattamenti sono per natura lesivi del diritto alla
riservatezza dell'utente.

Il trattamento dell'indirizzo IP lo è? Dipende dall'uso che viene fatto

Attendo commenti,

Chiara Serra

Un cordiale saluto a tutti e ad Elena ns. ospite.

Ringrazio Chiara Serra per l'attenta e lucida analisi e, a Lei e a chi
volesse intervenire, pongo, sotto veste diversa, il mio dubbio iniziale,
appellandomi al Vs. buon senso e a soluzioni tecniche praticabili.

Premessa: Oggi ogni sito utilizza per il monitoraggio del proprio traffico
i log file (e non solo).
I log file acquisiscono tra i molti dati anche il mio IP (statico o
dinamico) e lo pongono in relazione con altre informazioni relative alla
mia navigazione (durata, sistema operativo, ecc.).
Tutti i siti, Garante compreso, ma anche banche, carte di credito,
istituzioni, si limitano ad indicare nella Privacy Policy del sito, la
natura e la modalità del trattamento dei dati rilevati mediante IP e
cookie.

DOMANDA: Indicare nella Privacy Policy del proprio sito (pagina che
raramente i navigatori visitano), come tratteremo i tuoi dati (cookie ed
IP, che peraltro abbiamo già acquisito) può ritenersi consenso espresso
dal navigatore?

Per la L.675/96 il titolare dovrebbe esprimere il proprio consenso
informato e libero preventivamente all'acquisizione e al trattamento dei
propri dati personali (o di informazioni che anche indirettamente possano
ricondurre ad essi), e non è considerato legittimo il consenso tacito o
implicito.

Considerazioni:A mio parere, vige un regime di diffusa illegalità (finchè
tutti tacciono), perchè alcuni dati relativi ai navigatore sono acquisiti
senza espresso consenso nel momento stesso in cui egli digita l'URL del
sito, ma lo si informa solo dopo (se si reca a leggere la privacy policy)
dell'avvenuta acquisizione degli stessi.

Sarebbe assai più corretto, ma a mio parere difficilmente realizzabile,
adottare l'orientamento proposto dal parlamento europeo, ossia quello di
chiedere preventivamente all'accesso al sito, il consenso al
navigatore(magari con una spot window e un check box da cliccare) al
trattamento dei propri dati, ma NON subordinando l'accesso al consenso
dato o rifiutato.

Non so se sia giustificato/le porsi tutte queste domande nella speranza di
trovare una soluzione legale al trattamento di questi dati acquisiti
automaticamente da i ns sistemi o, se invece, sarebbe meglio adeguarsi al
(mal) uso comune, nella speranza che nessuno sollevi lo spinoso problema.

Rinnovo i miei saluti a tutta la lista e attendo contributi chiarificatori

Giuseppe Fragola

"Giuseppe Fragola":

Per la L.675/96 il titolare dovrebbe esprimere il proprio consenso
informato e libero preventivamente all'acquisizione e al trattamento dei
propri dati personali (o di informazioni che anche indirettamente
possano ricondurre ad essi), e non è considerato legittimo il consenso
tacito o implicito.

quando entri in un supermercato con le telecamere a circuito chiuso ti
fanno firmare/leggere qualcosa su come tratteranno i tuoi dati?
l'immagine ripresa da una telecamera equivale al tuo IP: solo una persona
può sapere con una certa precisione chi sei e questo è il tuo provider.

Sarebbe assai più corretto, ma a mio parere difficilmente realizzabile,
adottare l'orientamento proposto dal parlamento europeo, ossia quello di
chiedere preventivamente all'accesso al sito, il consenso al
navigatore(magari con una spot window e un check box da cliccare) al
trattamento dei propri dati, ma NON subordinando l'accesso al consenso
dato o rifiutato.

come dire, non usiamo la rete perchè abbiamo un IP.
ad ogni modo, anche con un first screen del genere, l'IP va sempre e
comunque registrato nell'esatto momento in cui arrivi sul sito, quindi mi
domando: "perchè farsi tutte queste segne mentali?"
tracciare un IP è tutt'altro che facile ed avere IP, sistema operativo e
qualche altro dato non lede per nulla la privacy dell'utente.

per capirci: c'è già tanta confusione e tante leggi assurde, c'è davvero
bisogno di un'oscenità del genere?

Saluti.db

Daniele Bochicchio

Content Manager di http://www.aspitalia.com
http://www.dev2dev.it La rete ha connesso nuove particelle!

DOMANDA: Indicare nella Privacy Policy del proprio sito (pagina che
raramente i navigatori visitano), come tratteremo i tuoi dati (cookie ed
IP, che peraltro abbiamo già acquisito) può ritenersi consenso espresso
dal navigatore?

No. In vari punti la legge lo dice e il Garante ha più volte precisato e
rincarato, il consenso deve essere "esplicito". Tu poni una domanda e lui
deve rispondere.

Sarebbe assai più corretto, ma a mio parere difficilmente realizzabile,
adottare l'orientamento proposto dal parlamento europeo, ossia quello di
chiedere preventivamente all'accesso al sito, il consenso al
navigatore(magari con una spot window e un check box da cliccare) al
trattamento dei propri dati, ma NON subordinando l'accesso al consenso
dato o rifiutato.

Attenzione. Non confondiamo la necessità aziendale di tenere la
registrazione degli IP che visitano i siti con la necessità o
obbligatorietà tecnica che la cosa sia fatta.

E' semplicissimo non registrare gli IP, registrare solo parte dei dati o
registrare solo gli accessi ad una certa pagina e dopo il consenso, non
prima.

Il punto è, come tu sospetti, che le aziende non desiderano implementare
queste possibilità.

Francesco de Francesco
Sys&Org - Project Management, Crm, Erp ed eBusiness
http://www.sysandorg.it e http://crm.sysandorg.it