Esaminando le cose più da vicino, notiamo innanzitutto il rischio che la difesa della privacy degli utenti si appiattisca sulla semplice applicazione della L. 675/1996, applicazione che è certamente indispensabile dal punto di vista formale e sostanziale, ma non è sufficiente: infatti la logica della L. 675 non è quella di porre limiti assoluti al trattamento dei dati personali, ma di subordinare tale trattamento al consenso dell'interessato (e, ove previsto, del Garante).

Di conseguenza chi, in biblioteca o in altri contesti, deve fornire un servizio opererebbe in conformità alla L. 675 se chiedesse e ottenesse il consenso al trattamento di una infinità di dati non necessari allo scopo (il che può avvenire non necessariamente per malafede, ma anche semplicemente per una errata valutazione di quali siano i dati effettivamente indispensabili), confidando sul fatto che gli interessati non notino l'incongruenza o, per non rinunciare al servizio, acconsentano comunque a fornire tutti i dati richiesti.

A ciò si aggiunge la massima di Bruce Schneier per cui non basta che ci difendiamo con le leggi, dobbiamo difenderci con la matematica, con riferimento alla matematica usata in crittografia, perché quando una cosa è vietata dal punto di vista giuridico, ma troppo semplice dal punto di vista tecnico, finisce per venire fatta impunemente. Sempre Bruce Schneier osserva che c'è una crittografia che serve per difendersi dalla sorellina, e una che serve per difendersi dalle grandi potenze (major governments). Non è forse inutile chiarire che per gli scopi che ci proponiamo qui serve questo secondo tipo di crittografia.