La notizia sul wi-fi si è subito propagata grazie al deputato Stefano Quintarelli, uno dei più attivi sul fronte dell’emendamento collettivo al noto articolo 10 del decreto del fare, conversione in legge che sta dando alcuni problemi sollevati anche dal Garante della privacy. I primi due commi dell’articolo riguardante l’offerta di accesso a Internet sono stati oggetto di tre diversi emendamenti, l’ultimo dei quali, approvato il 18 luglio, recita così:
1. Quando non costituisce l’attività commerciale prevalente del gestore del servizio, l’offerta di accesso ad internet al pubblico tramite tecnologia WIFI non richiede la identificazione personale degli utilizzatori. Non trovano applicazione l’articolo 25 del decreto legislativo 1o agosto 2003, n. 259 e l’articolo 7 del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155. Resta fermo l’obbligo del gestore di garantire la tracciabilità del collegamento attraverso l’assegnazione temporanea di un indirizzo IP e il mantenimento di un registro informatico dell’associazione temporanea di tale indirizzo IP al MAC address del terminale utilizzato per l’accesso alla rete internet.
2. Il trattamento dei dati personali necessari per garantire la tracciabilità del collegamento di cui al comma 1 è effettuato senza consenso dell’interessato, previa informativa resa con le modalità semplificate di cui all’articolo 13, comma 3, del decreto legislativo 30 giugno 2003, n. 196, e non comporta l’obbligo di notificazione del trattamento al Garante per la protezione dei dati personali.
L’emendamento da un lato risolve formalmente la questione dell’installazione facilitata esentando gli esercizi dall’obbligo di registrazione – ma è solo prendere atto della fine della Pisanu – ma dall’altro rivede la tracciabilità in senso peggiorativo: siccome era stato fatto notare che i MAC address sono facilmente mascherabili, si immagina l’associazione di un Ip all’address tramite registro. La reazione di Quintarelli è giustamente scioccata:
Se venisse confermato dall’aula, chiunque voglia dare wifi al pubblico dovrebbe installare e mantenere un server syslog, opportunamente sicurizzato (essendovi dati personali). Vedo anche un altro pericolo non da poco: essendo ovvio che l’IP address della rete interna sarà (praticamente sempre) una cosa tipo 192.168.0.X, che non fornisce alcuna informazione e tantomeno consente la “tracciabilità del collegamento”, quella frase ha senso solo se si pensa che ogni utente connesso riceva un IP address pubblico. Che, nel mondo, sono praticamente esauriti. Ma ve lo vedete il bar che per mettere il wifi deve mettere un syslog server e si fa routare un pool di indirizzi?
Così fatto, l’articolo è inservibile, tanto che si pensa ad un maxi-emendamento in Aula (come peraltro accadde anche a dicembre con la legge 221) che tolga questa assurda combinazione tra un mac address e un Ip personale – insomma: tra il dispositivo e l’Ip associato durante la connessione singola – che alla fine riesuma lo spirito della legge Pisanu.