Il consenso all’elaborazione dei dati inseriti dall’utente tramite form (non è necessario)

Diversi siti web offrono oggi la possibilità di effettuare calcoli (ad es., del danno biologico o degli interessi moratori), nonché di ottenere da un formulario un determinato testo personalizzato (ad es., una relata di notifica o un atto di precetto), nonché di ricavare un certo dato da un proprio file (ad es., l’impronta hash da inserire in una certificazione di conformità), e così via.

Gli esempi appena fatti riguardano in particolare la professione forense, ma il discorso interessa tutti quei siti web che, più in generale, senza salvare i dati dell’utente in un proprio database, mettono a disposizione dello stesso un software (ad es., per il calcolo on line del codice fiscale), che si limita a restituire un risultato, con l’unica precisazione che, semmai, nell’ambito giuridico i dati inseriti dall’utente sono particolarmente sensibili, potendo riguardare la sfera della salute, giudiziaria, ecc., sicché ciò che di più stringente non vale in tale ambito, a maggior ragione non vale negli altri.

Orbene, l’offerta di tali servizi web presuppone il c.d. consenso privacy?

Lasciando da parte comode semplificazioni (certamente utili nel breve periodo e per il singolo utente, ma deleterie nel lungo e per la collettività, specie allorché si consolidino in un principio generale e tralatizio che, con il tempo, perde la sua caratteristica “prudenziale” – ovvero: “nel dubbio, meglio ottenere il consenso dell’utente”- per assumere i connotati del dogma inviolabile, ovvero: “da sempre, il consenso dell’utente è ritenuto necessario”), è bene avvertire che la risposta che, da qui a breve, proveremo sinteticamente a dare non sarà prudenziale, bensì ispirata -per quanto possibile- al principio di certezza che il diritto dovrebbe tendenzialmente garantire ai cives, peraltro in un’ottica de jure condito e non de jure condendo, ovverosia -per dirla con Kant- cercando di rappresentare la realtà per come è (sein) e non per come sarebbe bene o meglio che fosse (sollen).

Ebbene, la risposta breve è: “no, il consenso privacy dell’utente non è necessario”.

La risposta lunga è appena meno breve della precedente:

1. I dati inseriti dall’utente vengono elaborati in modo automatico da un software, senza essere salvati o altrimenti registrati sul server del sito web.

2. A seconda del tipo di linguaggio informatico utilizzato (server-side, come ad esempio php; oppure client-side, come ad esempio javascript), detto software si trova ad operare: a) sul server del sito web, oppure b) direttamente sul browser dell’utente.

3. In questo secondo caso, è l’utente stesso che elabora i propri dati nel proprio computer, sicché non ha nemmeno senso parlare di consenso al “trattamento”.

4. Nel primo caso, invece, l’elaborazione viene effettuata in modo automatico sul server, il cui titolare tuttavia nulla sa dei dati inseriti dall’utente, di cui ignora persino l’esistenza (a meno che non decida di “trattarli” in qualche modo, ad esempio raccogliendoli o salvandoli, ma come detto non è questo il caso di cui ci stiamo occupando).

5. In entrambi i casi, i dati vengono elaborati dall’utente stesso per un fine suo proprio: infatti, affinché ricorra la fattispecie del “trattamento” (art. 4, lett. a, D.Lgs. n. 196/2003), occorre che l’elaborazione dei dati, anche se non registrati in una banca dati (come nella specie), rientri nell’ambito di operatività della disciplina sulla privacy, la cui ratio è appunto quella di garantire la riservatezza dei dati personali (art. 2, D.Lgs. n. 196/2003) e non quella di disciplinare una qualsivoglia “elaborazione” purché sia: nel caso che ci occupa, non è il gestore del sito che elabora, per fini propri o di terzi, i dati dell’utente, ma è quest’ultimo che effettua direttamente l’elaborazione, come se usasse un software stand alone, ad esempio Word o Excel.

In definitiva, nella specie non ricorre una “elaborazione” dei dati ai sensi del codice privacy, sicché chi offra detti servizi web non è perciostesso soggetto all’obbligo di consenso né dell’informativa ex art. 13 D.Lgs. n. 196/2003 (a meno che detti servizi non eseguano, altresì, un vero e proprio “trattamento” dei dati dell’utente), potendo egli limitarsi, tutt’al più, ad informare (rectius, rassicurare) l’utente che i dati inseriti nel form non sono salvati o conservati sul server né sono altrimenti noti al gestore del server stesso.

Meramente ad colorandum (giacché la tesi qui sostenuta si basa sulle predette ragioni sostanziali e non sull’adducere inconveniens), si  può conclusivamente notare che, diversamente ragionando, l’obbligo in parola avrebbe nella specie una conseguenza paradossale: ove ritenuto sussistente, infatti, il “trattamento” presupporrebbe una necessaria identificazione dell’utente (art. 34 D.Lgs. n. 196 cit.) ed una altrettanto necessaria conservazione del suo consenso unitamente ai relativi dati (art. 23 D.Lgs. n. 196 cit.), sicché la legge che intende tutelare la riservatezza dell’utente finirebbe per costituire il principale impedimento alla tutela stessa, vietando lo strumento all’uopo più efficace – l’anonimato- ed imponendo che identità e dati dell’utente vengano salvati su server altrui, ossia proprio ciò che nessuno degli interessati desidera.