Nei giorni scorsi la Fipe – federazione italiana pubblici esercizi – ha diramato un comunicato ripreso poi dalle principali testate giornalistiche online e offline, relativo all’interpretazione ricevuta dal Garante della Privacy delle norme che regolano il settore dell’accesso pubblico a Internet in Italia. A partire dal comunicato originale, contenente informazioni inesatte, si sono moltiplicate repliche e interpretazioni successive, che hanno con ogni probabilità creato ulteriore confusione in una materia, il Wi-Fi pubblico, già di per sé di non facile analisi.
Viviamo da anni il mondo dell’accesso pubblico a Internet e degli hotspot Wi-Fi e conosciamo molto bene (quasi a memoria) tutte le norme che regolano il settore, avendo esplorato tutti i possibili scenari interpretativi di ciascuna e avendo ricevuto consulenza legale da numerosi esperti.
Ci sentiamo quindi in obbligo di fare – se possibile – un po’ di chiarezza sull’argomento.
Partiamo dal resoconto dei fatti.
Nel comunicato dell’inizio di febbraio 2013 la Fipe ha dichiarato:
“l’Autorità Garante della Protezione dei Dati Personali ha confermato che gli esercenti pubblici possono mettere liberamente a disposizione degli utenti la connessione wi-fi ed eventualmente pc e terminali di qualsiasi tipo”.
E ha precisato:
“i gestori dei locali saranno sollevati da qualsiasi responsabilità rispetto alla navigazione in Internet da parte dei loro clienti e, nel caso volessero entrare in possesso di informazioni più dettagliate riguardo all’uso della rete, dovranno richiedere al consumatore di firmare l’autorizzazione al trattamento dei dati personali”.
A detta della Fipe i punti salienti della risposta del Garante sono tre:
- Identificazione dell’utente che naviga. Secondo la Fipe non è più necessaria.
- Responsabilità del gestore del locale pubblico. A detta della Fipe, il titolare o gestore della location non risulterebbe in qualsiasi caso responsabile delle attività degli utenti tramite la connessione .
- Consenso al trattamento dei dati personali (privacy). Ovviamente per raccogliere e utilizzare i dati degli utenti va loro richiesto il consenso al trattamento.
A questo punto Wired.it – che già in passato aveva sbugiardato dichiarazioni inesatte della Fipe, fatte forse per guadagnare visibilità sui media – mette nuovamente i puntini sulle i e aggiunge alcune precisazioni grazie anche all’aiuto del giurista Fulvio Sarzana.
Riprendiamo il nostro elenco di prima e vediamo cosa risponde alla Fipe la giornalista Martina Pennisi:
- In disaccordo con la Fipe:
“L’identificazione è necessaria per poter risalire all’internauta in caso di illecito. L’abrogazione di parte del Decreto Pisanu solleva gli esercenti dall’imposizione di chiedere agli utenti il documento cartaceo di identità. Ma rimane la necessità di identificare chi naviga per poter risalire al responsabile nel caso in cui la rete venga utilizzata per compiere un’azione illecita.”
Lo ribadisce nello stesso post anche Fulvio Sarzana (che ha ha poi anche commentato la notizia sul suo blog).
- Nuovamente in contraddizione con quanto scritto dalla Fipe spiega che il Garante non ha ovviamente facoltà di intervenire sulla responsabilità degli esercenti relativa alla navigazione dei clienti. Non è infatti compito del Garante intervenire su materie che non riguardino privacy e dati personali.
- Finalmente d’accordo con la Fipe, anche Wired conviene nell’affermare che, nei casi in cui tramite il sistema di accesso a Internet vengano richiesti dati personali agli utenti, è necessario fornire a questi ultimi l’informativa relativa al trattamento e ottenere l’autorizzazione (nel comunicato di Fipe si legge la parola “firmare”: è ovvio che anche le modalità elettroniche sono valide) all’archiviazione dei dati stessi.
- Pennisi su Wired introduce inoltre un nuovo dettaglio: le autorizzazioni, spiegando che il Codice delle Comunicazioni e l’AGCOM obbligano chi mette a disposizione del pubblico un hot spot wi-fi all’iscrizione al registro degli operatori e alla gestione dei log di traffico.
Fin qui il riassunto della “telenovela”.
Nel nostro piccolo noi di WiSpot, già nel gennaio del 2011, avevamo pubblicato un dettagliato post con la spiegazione del quadro normativo successivo all’abrogazione dei commi 1, 4 e 5 dell’articolo 7 del “decreto Pisanu” del 2005.
Ecco riassunto qui di seguito il nostro punto di vista sulle questioni in campo:
- Identificazione degli utentiSono venuti meno l’obbligo di richiesta di autorizzazione alla questura (limitatamente alle attività che non abbiano come oggetto di business prevalente la fornitura al pubblico di connettività Internet), quello di identificazione dei soggetti ai quali si fornisce il servizio e quello di tracciamento delle connessioni, precedentemente contenuti nei commi 1, 4 e 5 dell’articolo 7 del “decreto Pisanu” del 2005.
- Responsabilità Il Garante, non avendone facoltà, non ha minimamente, nella risposta a FIPE, fatto cenno ai risvolti relativi alle responsabilità dei gestori (lo testimoniano i passaggi originali della comunicazione tra il Garante e Fipe, ottenuti dall’avv. Sarzana) delle attività che offrono il servizio. Questi ultimi possono infatti risultare responsabili (prevalentemente in sede civile) di eventuali attività illecite perpetrate dagli utenti tramite la connessione a loro intestata, a meno di non poter provare la propria estraneità agli atti contestatigli (senza necessariamente dover fornire l’identità dell’autore dell’illecito), prova quest’ultima che è possibile fornire disponendo di un sistema hotspot “fatto apposta”.
- Dati personaliSiamo tutti d’accordo: quando si voglia utilizzare i dati del cliente per finalità ulteriori rispetto alla mera fornitura della connessione (ad esempio se si vogliono raccogliere le email degli utenti o i loro numeri di cellulare per finalità di marketing) è necessario il trattamento dei dati. E l’unico modo per effettuarlo consiste nell’utilizzare una piattaforma per la gestione di un hotspot Wi-Fi.
- AutorizzazioniChi metta a disposizione un hot spot Wi-Fi al pubblico e non sia un soggetto che abbia quello come business prevalente non è equiparato a un Internet Service Provider. Non è quindi necessario che un bar, un albergo si iscrivano al ROC (il Registro degli Operatori di Comunicazione). Tuttavia, il Codice delle Comunicazioni impone ai soggetti che offrano connettività in ambito pubblico di dotarsi di una licenza ministeriale, licenza che non è necessario ottenere quando ci si rivolga a un operatore specializzato che gestisca il servizio all’interno della struttura.
E questo – per ora – ci sembra tutto.