Un’occasione per verificare i nuovi scenari digitali e le implicazioni etiche

La Giornata della protezione dei dati è stata istituita nel 2006 dal Consiglio d’Europa, che ne ha fissato la celebrazione dall’anno successivo al 28 gennaio, data in cui la Convenzione del Consiglio d’Europa per la protezione dei dati, nota come “Convenzione 108“ (il primo strumento internazionale giuridicamente vincolante che tratta in maniera esplicita della materia), è stata aperta alla firma.

Quest’anno in Italia verrà celebrata il 29 gennaio con un Convegno, organizzato dal Garante nazionale, dal titolo: “I confini del digitale. Nuovi scenari per la protezione dei dati”; scenari che vanno “dalle smart cities allo scoring del cittadino”, si concretano nel pericolo di “minacce cibernetiche e sicurezza nazionale” fino a coinvolgere “la sovranità nell’età digitale” (questi i titoli dei talk previsti).

Perché una Giornata europea? La protezione dei dati personali è un diritto fondamentale nell’Unione: ai sensi dell’articolo 8 della Convenzione europea dei diritti dell’uomo (CEDU), il diritto alla protezione dei dati personali relativamente alla raccolta e all’utilizzo degli stessi è parte del diritto al rispetto della vita privata e familiare, del domicilio e della corrispondenza.

La giornata europea della protezione dei dati personali che si celebra il 28 gennaio di ogni anno (in Italia il Garante ha organizzato un evento che si terrà il 29 a Roma) offre lo spunto per alcune riflessioni.

Il tema della protezione dei dati personali è di estremo rilievo e non va affatto sottovalutato. Le tecnologie sono utilizzate quotidianamente soprattutto attraverso computer, smartphone, tablet e altri device. Forniamo i nostri dati personali per fruire di beni e/o servizi e il titolare del trattamento è tenuto al rispetto delle norme del GDPR e del codice privacy, così come modificato dal D.Lgs. 101/2018. Peraltro, assume ulteriore rilievo il tema del trasferimento dei dati personali all’estero o verso organizzazioni internazionali, soprattutto nell’utilizzo di servizi o tecnologie le cui infrastrutture non sono ubicate all’interno dell’Unione Europea. Le misure tecniche e organizzative così come previste nel GDPR chiariscono il principio della “accountability” e l’importanza della sicurezza dei dati.

Con l’imminente operatività del Regolamento Generale sulla Protezione dei Dati (GDPR) in ambito europeo, a decorrere dal 25 maggio 2018, si prepara una vera e propria rivoluzione nel trattamento dei dati personali e nella loro tutela.

Ma ogni rivoluzione ha un prezzo, e per le aziende il prezzo è ripensare e reimpostare, o creare per la prima volta, un modello di governance prevedendo percorsi, professionalità e competenze specialistiche al fine di rendersi conformi alla nuova legge e, soprattutto, di rendersi responsabili e consapevoli in tutte le fasi di gestione e trattamento di dati personali, al fine di evitare o limitare le violazioni di dati personali raccolti, circoscrivendone le conseguenze dannose per la sicurezza dei diritti e delle libertà fondamentali delle persone.

Il GDPR tende infatti a realizzare un bilanciamento degli interessi delle imprese, quali titolari o responsabili del trattamento, con i diritti e le libertà degli interessati, mettendo qualunque persona fisica nella condizione di compiere un consapevole esercizio dei poteri di controllo sui propri dati, garantendogli il diritto all’informazione, il diritto all’accesso, alla portabilità, alla rettifica e alla cancellazione dei dati che lo riguardano, nonché il diritto alla limitazione del trattamento e il diritto di opposizione.

A seguito del servizio messo in onda da una nota trasmissione televisiva e nel quale si mostrava come, con estrema facilità, fosse di fatto possibile spiare i profili Facebook di persone con le quali non si ha “l’amicizia”, incuriosito dall’apparente semplicità del procedimento ho deciso che la cosa miglior da fare fosse provare in prima persona. E così, ci ho provato.

Mi ci è voluta forse un'ora o poco meno per trovare il tutorial giusto (direttamente su youtube) e un documento molto utile ed allo stesso tempo inquietante in cui il motore di ricerca (non così) nascosto incorporato all'interno di Facebook è stato mostrato ai miei occhi in tutto il suo potere al contempo disarmante e preoccupante.
Nel tentativo di rimanere comunque un esperto di protezione dati degno di tale nome ho operato utilizzando l’account di un amico per tentare di visualizzare le foto di un altro mio contatto (non vi era “amicizia” tra i due ed entrambi gli account erano “chiusi”). Di fatto, dunque, ho solo simulato di guardare qualcosa che non ero autorizzato a vedere, avendo ricevuto il consenso degli interessati.

La "Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale" firmata a Strasburgo il 28 gennaio 1981 ed entrata in vigore il successivo 1° ottobre 1985 rappresenta il primo strumento internazionale obbligatorio sulla protezione dei dati che ha per scopo "quello di garantire, sul territorio di ogni Parte, ad ogni persona fisica, qualunque siano la sua cittadinanza o residenza, il rispetto dei diritti e delle libertà fondamentali, ed in particolare del diritto alla vita privata, nei confronti dell’elaborazione automatizzata dei dati di carattere personale che la riguardano ("protezione dei dati")” (art. 1).

Essa costituisce la vera e propria Grundnorm (norma fondamentale e fondante) della successiva elaborazione legislativa in materia.

La Convenzione è aperta alla firma degli Stati membri del Consiglio d’Europa – istituzione intergovernativa fondata nel 1949, con lo scopo di tutelare i diritti umani e la legalità negli Stati membri, costruire una stabilità democratica in Europa, promuovere l´identità culturale europea e l´educazione nonché la coesione sociale ed i diritti sociali – e altresì all’adesione di Stati non membri (dal 2013 la decisione di invitare uno Stato non membro a firmare e ratificare o accedere ad un trattato del Consiglio d’Europa vale fino a 5 anni dalla sua adozione); ad oggi, la stessa è stata ratificata da 53 Stati, tra cui tutti gli Stati membri dell’Unione Europea (l’Italia ha formato la Convenzione il 2 febbraio 2983, l’ha ratificata il 29 marzo 1997 e la stessa è entrata in vigore il 1° luglio 1997) ed altresì Capo Verde, Mauritius, Messico, Senegal, Tunisia ed Uruguay.

Il testo in esame adotta una definizione di dato personale che segnerà la successiva produzione in materia, definendolo come "ogni informazione relativa ad una persona fisica identificata o identificabile (persona interessata) [o data subject nel testo inglese]" (art. 2 lett. a); cfr. art. 4 n. 1 GDPR).
La Convenzione si applica "ai casellari ed alle elaborazioni automatizzate di dati a carattere personale nei settori pubblici e privati" (art. 3, par. 1); tuttavia l’Italia, facendo uso delle possibilità riconosciute dall’art. 3, par. 2, ha dichiarato che applicherà la Convenzione anche "ad informazioni relative a gruppi di persone, associazioni, fondazioni, società, corporazioni o a qualsiasi altro ente consistente direttamente o indirettamente di persone fisiche e dotato o meno di personalità giuridica” (lett. b) ed altresì “alle collezioni di dati a carattere personale che non formano oggetto di elaborazione automatica" (lett. c)).

L’art. 5 detta alcuni fondamentali criteri in ordine alla qualità dei dati (art. 5), che devono essere:

  1. ottenuti ed elaborati lealmente e legalmente (cfr. “liceità, correttezza e trasparenza” nell’art. 5, par. 1, lett. a) GDPR);
  2. registrati per fini determinati e legittimi e non devono essere utilizzati in modo incompatibile con tali fini (cfr. “limitazione delle finalità” nell’art. 5, par. 1, lett. b) GDPR);
  3. adeguati, pertinenti e non eccessivi in rapporto ai fini per i quali sono registrati (cfr. “minimizzazione dei dati” nell’art. 5, par. 1, lett. c) GDPR);
  4. esatti e, se necessario, aggiornati (cfr. “esattezza” nell’art. 5, par. 1, lett. d) GDPR);
  5. conservati sotto una forma che permetta l’identificazione delle persone interessate per un periodo non superiore a quello necessario per i fini per i quali essi sono registrati (cfr. “limitazione della conservazione” nell’art. 5, par. 1, lett. e) GDPR).

Come noto, ai predetti criteri il GDPR aggiungerà poi un focus particolare sulla sicurezza (cfr. "integrità e riservatezza" nell’art. 5, par. 1, lett. f) GDPR).