In certa modulistica contrattuale il registro elettronico vieneespressamente richiamato affinché l'utente presti la propriaspecifica adesione al suo utilizzo, in caso di controversia, qualeprova, piena e incontrovertibile degli atti compiuti dall'abbonato.

La prassi della conservazione del registro elettronico soddisfa,oltre che finalità tecniche di controllo dell'efficienzadel sistema, finalità di tutela contrattuale ed extracontrattualedel provider.

Tutela contrattuale, potendo essere utilizzato, in un eventuale giudizio, al fine didimostrare la durata degli accessi al servizio Internet e la correttezzadegli importi addebitati, anche in relazione ad eventuali superamentidei limiti d'uso mensile o annuale e alla conseguente applicazionedi tariffe diversificate.

Tutela extracontrattuale, potendo essere utilizzato, a richiesta dell'autorità giudiziaria,per verificare la commissione di eventuali illeciti civili e penalida parte degli utenti dei provider.

Sono, inoltre, evidenti le finalità dissuasive dalla commissionedi reati derivanti dalla consapevolezza dell'utente (quando informato,correttamente, di tale controllo) che i comportamenti tenuti suInternet sono registrati dal provider e possono essere valutatidall'autorità giudiziaria per sanzionare eventuali violazionidi legge

Anteriormente alla legge sulla privacy, che ha introdotto limitie regole al trattamento dei dati personali, pur essendo dubbiala legittimità di tale strumento, che costituisce una formapenetrante di violazione dell'altrui privacy, in difetto di espressadisposizione di legge che attribuisca al provider il potere-doveredi provvedere alla conservazione di detto registro, non si potevaandare oltre le affermazioni di principio per impedire eventualiabusi in assenza di un quadro normativo di riferimento che consentissedi disciplinarne e limitarne l'uso.

Successivamente all'entrata in vigore della legge 675/96 sullatutela della riservatezza, l'utilizzo e la conservazione da partedel provider del registro elettronico - peraltro non richiesta,nemmeno oggi, da alcuna disposizione di legge - ha subito fortilimitazioni a tutela dell'interessato dal trattamento dei datipersonali.

E' del tutto evidente, infatti, che un registro cosìstrutturato consente al provider di fotografare molto dettagliatamenteun profilo personale dell'utente anche con riferimento a datisensibili quali, per esempio, orientamento politico o sessuale

Per non parlare del rischio di un utilizzo illecito di tali dati,si pensi a finalità estorsive, da parte del provider stessoo da parte di terzi che riescano ad accedere al contenuto di dettoregistro

Per poter continuare ad utilizzare, successivamente alla legge675/96, detto registro occorre rispettare alcune prescrizioniintrodotte a partire dall'8 maggio 1997, data dell'entrata invigore della normativa.

In primo luogo, il provider, oltre alle informazioni che devedare all'interessato ai sensi dell'articolo 10, deve informareadeguatamente e correttamente, oralmente o per iscritto, l'interessato-utentedell'esistenza del registro, della natura dei dati registrati(precisando se, ad esempio, si tratti della mera registrazionedei tempi d'accesso o dei dati relativi ai siti visitati e/o alloro contenuto), della finalità e delle modalitàdel trattamento.

L'interessato-utente, ricevuta l'informativa, deve fornire ilsuo indispensabile consenso al trattamento che deve essere documentatoper iscritto in caso di dati non sensibili e prestato in formascritta, a pena di invalidità solo in caso di dati sensibili.

In difetto del consenso dell'interessato-utente si ritiene cheil provider non possa utilizzare il registro salvo che venga contrattualmenteprevisto per registrare esclusivamente i tempi d'accesso a Internet:non dovrebbe, infatti, essere richiesto il consenso trattandosidi trattamento necessario per l'esecuzione dell'obbligo di pagamentodel canone di accesso.

In secondo luogo, il provider dovrà notificare al Garanteil trattamento automatizzato iniziato a partire dal gennaio1998 al momento d'inizio dello stesso (la notifica del trattamentoautomatizzato dei dati iniziato prima del 1 gennaio 1998potrà, invece, essere inviata entro il 31 marzo 1998) erichiedere, entro il 30 novembre 1997, l'autorizzazione del Garanteper il trattamento dei dati personali sensibili.

In terzo luogo, il provider deve sin d'ora, anche se la legge675/96 concede sei mesi di tempo dall'emanazione del regolamentocontenente le misure minime di sicurezza da osservare, adottarele misure di sicurezza informatica necessarie per garantire, comegià adesso richiede l'articolo 15 comma 1 della legge,rispetto della riservatezza e dell'integrità dei dati contenutinel registro elettronico, anche al fine di evitare che tali dativengano utilizzati per finalità illecite.

E' quindi tenuto ad installare, seguendo le indicazionidi consulenti in sicurezza informatica, protezioni fisiche (allarmi,chiavi hardware) e virtuali (firewall, chiavi software) a tuteladel sistema informatico e dei supporti che contengono i dati.

Spetterà poi al Governo, delegato a intervenire dalla legge676/96, stabilire le modalità applicative della 675/96ai servizi di comunicazione ed informazione offerti per via telematica,individuando i titolari del trattamento di dati inerenti i serviziaccessibili al pubblico e la corrispondenza privata, nonchéi compiti del gestore, fra cui, si ritiene, anche la previsioneo meno del potere-dovere della tenuta del registro elettronico(Log), anche in rapporto alle connessioni con reti sviluppatesu base internazionale (Internet).

Nel frattempo, le associazioni di consumatori potrebbero investireil Garante della questione offrendo, così, lo spunto perchiarire quali specifiche ulteriori cautele debbano essere adottatedal provider per rendere compatibile con la normativa vigenteil registro elettronico dalle esplicite finalità di controllodei comportamenti degli utenti.