Dopo accesso e neutralità, la Dichiarazione dei diritti in Internet parla dei dati personali, un ambito che coinvolge il consenso delle persone, lo sfruttamento commerciale dei dati che ogni singolo utente lascia navigando in rete, la tutela di quelli sensibili che alcuni servizi adottano, per diversi scopi e anche per obblighi di legge, ad esempio quelli sanitari. Il quarto punto della bozza che tra qualche mese diventerà la prima carta di Internet italiana potrebbe essere definito in una sola parola: privacy.
Il punto 4 della Dichiarazione sulla “Tutela dei dati personali” si fa notare anche per la lunghezza superiore a quella degli articoli precedenti, assai più stringati. La ragione è intuibile: si tratta di una materia estremamente complessa, che la commissione alla Camera ha elaborato tenendo presente i diversi lati della questione. I dati personali sono innanzitutto riconosciuti come tali nella loro importanza, poi si spiega che devono essere tutelati, protetti, ma non finisce qui. Il punto 4 affronta anche il loro trattamento, riconoscendo i principi di necessità, finalità, pertinenza, proporzionalità, e premettendo il consenso effettivamente informato della persona interessata.
L’avverbio non è casuale, la bozza sembra volersi rivolgere alle grandi società globali del web, che abusano del silenzio-consenso per modificare talvolta anche profondamente i contratti sul trattamento dei dati. Invece il testo italiano, anche se non ne fa un cenno diretto, promuove l’opt-in, cioè un consenso attivo e revocabile. In sintesi:
- Il dato della persona va protetto
- Il dato va trattato con proporzione
Nel consegue (nel quinto punto sull’autodeterminazione informativa) che:
- Il dato appartiene alla persona che l’ha prodotto
Così recita l’articolo:
Ogni persona ha diritto alla protezione dei dati che la riguardano, per garantire il rispetto della sua dignità, identità e riservatezza. I dati personali sono quelli che consentono di risalire all’identità di una persona e comprendono anche i dati identificativi dei dispositivi e le loro ulteriori elaborazioni, come quelle legate alla produzione di profili. I dati devono essere trattati rispettando i principi di necessità, finalità, pertinenza, proporzionalità e, in ogni caso, prevale il diritto di ogni persona all’autodeterminazione informativa.
I dati possono essere raccolti e trattati solo con il consenso effettivamente informato della persona interessata o in base a altro fondamento legittimo previsto dalla legge. Il consenso è in via di principio revocabile. Per il trattamento di dati sensibili la legge può prevedere che il consenso della persona interessata debba essere accompagnato da specifiche autorizzazioni. Il consenso non può costituire una base legale per il trattamento quando vi sia un significativo squilibrio di potere tra la persona interessata e il soggetto che effettua il trattamento. Sono vietati l’accesso e il trattamento dei dati personali con finalità anche indirettamente discriminatorie.
Intervista ad Antonello Soro
Se c’è una persona che non ha partecipato alla stesura della bozza, ma ne è direttamente coinvolta, questa è il Garante della Privacy, Antonello Soro. Ci sono almeno quattro articoli (il quarto, il quinto, il settimo e l’ottavo) che in qualche modo toccano i confini che l’authority è chiamata a difendere. Il presidente Soro ha già scritto a proposito della Dichiarazione, criticando senza tanti complimenti anonimato e oblìo. Forse inevitabile, perché si tratta dei due argomenti sui quali ci saranno le più accese discussioni ed è difficile credere non ci saranno anche modifiche, guardando la mole di osservazioni già arrivate sulla piattaforma di consultazione della Camera. Sulla tutela dei dati personali, invece, Soro rivela a Webnews di essere già più soddisfatto.
Presidente, nel suo intervento due settimane fa, appena uscita la Dichiarazione, ha criticato l’«eterogenesi dei fini» nella quale casca la bozza su anonimato e oblio, due argomenti delicatissimi; curiosamente ha appena accennato al punto 4, quello che esplicitamente parla del trattamento dei dati personali. Significa che gli interventi di correzione vanno fatti altrove?
In quell’articolo ho preferito – per limiti di spazio – affrontare solo due temi, sui quali la disciplina proposta meriterebbe un approfondimento ulteriore. Apprezzo la possibilità che mi offrite di discutere di una norma, quale l’art. 4, che più di ogni altra qualifica il diritto alla protezione dei dati personali come sintesi di libertà, eguaglianza, dignità.
Scrivere che i dati personali vanno tutelati e trattati coi guanti non è banale, purtroppo, in ogni paese; anche in Italia.
È una pietra angolare di ogni sistema democratico nell’epoca della cittadinanza digitale. Importante è la qualificazione come “dato personale” dei dati identificativi dei dispositivi, che, consentendo di ricostruire il nostro comportamento in rete, possono rivelare aspetti privatissimi della nostra vita. Importante nella bozza anche la garanzia del singolo rispetto alle attività di profilazione e sfruttamento commerciale dei dati personali, così da impedire che gli interessi economici prevalgano sulle libertà individuali, come ha chiarito la Corte di giustizia nel caso Google-Spain.
E sugli interessi politici, strategici, della conservazione dei dati?
Sotto questo profilo, la Dichiarazione esprime anche una significativa tutela rispetto ai metadati, le tracce esterne della navigazione che, proprio in quanto prive di contenuto, sono in alcuni ordinamenti meno garantiti dei dati identificativi. Per quanto riguarda gli Usa, emblematica è la vicenda Datagate.
La Dichiarazione non dovrebbe forse riunire gli articoli 4-5 e 7 in un unico testo? Il trattamento dei dati personali è vincolato dal concetto che emerge subito dopo sul diritto all’autodeterminazione informativa e sui trattamenti automatizzati…
Sono norme che vanno lette insieme perché riflettono, nella loro reciproca integrazione, le varie componenti del diritto alla protezione dei dati personali: la garanzia da ogni forma di “schedatura” e discriminazione quale condizione per potere liberamente esprimersi; il diritto al controllo sui propri dati e sull’uso che altri ne possono fare; la libertà nell’espressione del consenso, che dev’essere effettiva soprattutto nei rapporti caratterizzati da asimmetria e squilibrio di potere, rischiandosi altrimenti nuove forme di prevaricazione dei più deboli.
Renata Avila, che conduce la campagna di Berners-Lee, ha considerato la bozza italiana troppo arbitraria, sostenendo che la raccolta e la conservazione dei dati dovrebbero essere consentite «solo quando c’è una valida ragione per farlo, un ordine del giudice e un processo di revisione a posteriori». Non è eccessivo rispetto all’economia dei big data?
Va anzitutto considerato che la bozza dovrebbe, nelle intenzioni dei proponenti, applicarsi a livello internazionale: per potersi adattare a ordinamenti profondamente diversi tra loro sconta necessariamente una certa astrazione. Al netto di questo, la proposta della Avila sembrerebbe riferirsi soltanto al rapporto tra privacy e sicurezza e, anche in quest’ambito, la condizione dell’esistenza di un processo di revisione potrebbe rivelarsi eccessivamente restrittiva. Nella bozza, invece, la disciplina della conservazione ha una valenza più generale, non limitata ai soli trattamenti di dati per fini di giustizia o sicurezza, ma estesa anche a quelli svolti da soggetti privati nell’ambito di rapporti contrattuali.
Fra tre settimane il Consiglio Europeo potrebbe approvare le nuove norme armonizzate sulla privacy, oggi frammentate: il quadro futuro si divide tra un particolare focus sui pericoli derivanti dallo sfruttamento economico, e una generica garanzia sui big data. Bisogna credere nell’eccezione politico/giudiziaria in Europa?
Anche rispetto ai big data, le maggiori garanzie per l’interessato deriveranno dal rispetto dei principi di proporzionalità, non eccedenza, finalità. In ambito giudiziario, varranno poi le tradizionali garanzie della previsione legislativa espressa del trattamento e dell’autorizzazione giudiziale per esigenze di accertamento di reati sufficientemente gravi, come ha anche riaffermato la Corte di giustizia ad aprile scorso, rispetto alla data retention (la policy comunitaria sulla conservazione dei dati, nda).
Si è sempre detto preoccupato dall’ambivalenza – forse inevitabile – della Rete, che apre a straordinari processi inclusivi e allo stesso tempo “risucchia” globalmente le vecchie garanzie liberali, e ha parlato di censura e anomia come di due tentazioni opposte. Come interverrebbe nella bozza per migliorarla? E in quali punti?
Come ho già avuto modo di notare, le maggiori criticità si riscontrano, probabilmente, sulla disciplina del diritto all’oblio e dell’anonimato. Se, infatti, ogni richiesta di deindicizzazione viene resa pubblica (come sembrerebbe prevedere la bozza) si rischia di vanificare la sostanza del diritto all’oblio come libertà dalla memoria eterna della rete. Per altro verso, affidare il bilanciamento tra anonimato ed esigenze di repressione dei reati alle sole riserve di legge e giurisdizione rischia di essere una garanzia vuota in ordinamenti non democratici. Ove il potere legislativo non sia espressione della volontà popolare e l’ordine giudiziario sia privo di reale indipendenza, infatti, le deroghe all’anonimato potranno ben essere utilizzate per reprimere il dissenso e le minoranze. Si tratta di aspetti importanti, soprattutto se si vuole valorizzare la dimensione “costituzionale” che deve avere una Carta dei diritti.