"La privacy. Proteggere i dati personali oggi" di Carlo Focarelli

Prof. Carlo Focarelli, Lei è autore del libro La privacy. Proteggere i dati personali oggi, edito dal Mulino: quali sfide pone la protezione dei dati personali nella società attuale?

La privacy. Proteggere i dati personali oggi Carlo Focarelli

Ogni giorno lasciamo senza saperlo un’infinità di «tracce digitali», o una «scia digitale», che rivelano le nostre abitudini, preferenze, interessi, emozioni, calcoli, interazioni sociali. Basti pensare al cellulare e a tutti i congegni «smart» (computer, TV, automobili, ecc.) oggi esistenti, all’Internet of Things, ai c.d. big data, termine quest’ultimo riferito a «grandi» masse di dati raccolti a «grande» velocità da una «grande» varietà di fonti (web, social media, cellulari e relative applicazioni, archivi pubblici e commerciali, ricerche statistiche, lettori RFID, strumenti di geolocalizzazione, pagamenti online, ecc.). Di solito non sappiamo chi può farne uso e a quali fini.
La protezione internazionale dei dati personali è al centro del dibattito politico, economico e giuridico a livello globale soprattutto dopo le rivelazioni di E. Snowden e di Wikileaks sul «Datagate». Dal 2013 l’Assemblea generale dell’ONU ha adottato tre risoluzioni sul «diritto alla privacy nell’età digitale», il Consiglio per i diritti umani dell’ONU ha nominato un Relatore speciale sulla privacy, l’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) ha aggiornato le sue Linee guida, l’Unione Europea ha messo a punto la «riforma» generale delle sue norme sulla privacy adottando il regolamento UE/2016/679, in vigore dal 25 maggio 2016, e nuovi casi di violazione dei diritti umani relativi all’uso dei dati personali sono stati sottoposti alla Corte europea dei diritti umani e alla Corte di giustizia dell’UE nonché ai giudici nazionali. Il problema è se la raccolta indiscriminata di dati personali, soprattutto online, oggi dilagante e spesso inconsapevole e automatizzata, sia o meno conforme alle norme e agli standard internazionali e dell’Unione Europea e se i rimedi giuridici esistenti siano adeguati. Al diritto internazionale e al diritto nazionale allineato agli standard internazionali si chiede di canalizzare i comportamenti in modo da massimizzare i benefici e minimizzare i rischi o i danni. Al diritto devono poi accompagnarsi i dispositivi elettronici di salvaguardia della privacy (privacy by design e privacy by default) in modo da operare in prima battuta e con successo nella gran parte dei casi lasciando al diritto di intervenire sia per imporli sia per sanzionare abusi. Il diritto deve imporre ai produttori una serie di requisiti incorporati nei prodotti e nei servizi a tutela sia delle persone che della collettività e sanzionare efficacemente le trasgressioni, esattamente come oggi il diritto impone requisiti di commestibilità degli alimenti o di sicurezza dei giocattoli.

Qual è il valore dei dati personali nell’economia digitale?
L’uso dei dati personali ha sempre avuto implicazioni economiche, quanto meno indirette. La dimensione economica domina la questione della protezione dei dati personali, sia sotto l’aspetto dello sfruttamento economico dei dati a dispetto della privacy, sia sotto l’aspetto dello sfruttamento economico della privacy stessa. Mentre il primo aspetto è quello «tradizionale» che spesso informa il dibattito sulla privacy, il secondo è in forte crescita. Entrambi vanno inquadrati nell’attuale economia «guidata dai dati» (data-driven economy) e più in generale nell’economia digitale globale.
Il fenomeno generale di gran lunga più importante per comprendere la dimensione economica dei dati personali è quello già menzionato dei big data, ricavati attraverso tecniche di data mining relativi a singole persone o per aggregato e quindi anonimi o de-identificati. Gli individui hanno bisogno di rivelare alcuni propri dati personali per ottenere migliori condizioni commerciali e anche per soddisfare un bisogno di apertura e interazione con gli altri. Per l’utente i suoi dati personali (ad es. il proprio nome o la propria data di nascita o residenza) non hanno un costo e si prestano ad essere ceduti a terzi per ottenere vantaggi. Le imprese traggono benefici dai dati personali dei loro clienti attuali e potenziali: ad es. possono migliorare le strategie di marketing mirando a specifici segmenti di mercato o praticare prezzi differenziati a seconda delle categorie di clienti; vendere i dati personali dei clienti e utenti ad altre imprese in cambio di un corrispettivo o cederle ai governi in cambio di altri vantaggi (o per non incorrere in sanzioni). I benefici per le singole imprese possono accompagnarsi a benefici per la collettività, come nel caso di prezzi minori resi possibili da forme di pubblicità mirata ai soli interessati, o della produzione di beni o servizi di frontiera o di nicchia che non verrebbe intrapresa in assenza di dati sicuri sui possibili sbocchi commerciali. L’OCSE ha mostrato come i dati personali e la loro elaborazione possono creare un vantaggio competitivo e «guidare» l’innovazione, la crescita (sostenibile ed equa) e lo sviluppo. La migrazione delle attività economiche e sociali su internet (attraverso servizi elettronici, come commercio, sanità e servizi pubblici e i social network online), con la corrispondente massa di dati generati per milioni di gigabytes al secondo, nonché la progressiva digitalizzazione delle attività offline e la riduzione dei costi di raccolta, trasferimento, immagazzinamento ed elaborazione dei dati, conducono oggi ad un modello socio-economico «guidato dai dati» (data driven).
Se vi sono imprese interessate allo sfruttamento dei dati personali, ve ne sono altre interessate a vendere e/o diffondere accorgimenti elettronici diretti ad impedire lo sfruttamento dei dati. Qui è la stessa tecnologia, insieme all’economia di mercato, a fornire l’«antidoto» ai rischi della raccolta e uso di dati personali di massa, un antidoto sistemico di solito ritenuto più efficace di qualsiasi rimedio giuridico. Si parla di «tecnologie che rafforzano la privacy» (privacy enhancing technologies, PETs) e, più in generale, di «privacy incorporata» (Privacy by Design, PbD). Tipiche tecnologie che rafforzano la privacy sono le tecniche di criptazione, di anonimizzazione e di anti-tracciamento online.

Che rapporto c’è tra dati personali e sicurezza nazionale?
Se la sorveglianza si sta affermando come un vero modello di business per molte imprese, anche per gli Stati i dati personali costituiscono una risorsa strategica essenziale, come dimostrano i programmi di «sorveglianza di massa» da parte dei c.d. Five Eyes (Stati Uniti, Regno Unito, Australia, Canada e Nuova Zelanda), e di numerosi altri Stati, giustificati soprattutto in chiave anti-terroristica e venuti alla ribalta nel 2013 con le «rivelazioni» di E. Snowden e di Wikileaks. Da sempre peraltro gli Stati utilizzano le informazioni sulle persone per sorvegliare e chiunque comprende che in principio non si può violare la legge semplicemente invocando il diritto alla privacy o ad essere «lasciati in pace». Se il diritto alla privacy fosse inteso come un diritto assoluto ad essere lasciati in pace, anche per chi commette reati o evade le imposte, e se questa fosse la «regola», ci troveremmo nella giungla. Il diritto alla privacy è relativo e non può costituire, in principio, un ostacolo all’applicazione delle norme (penali, fiscali, ecc.) e alle attività preventive e coercitive necessarie a tal fine come la sorveglianza e l’intelligence. Il problema quindi non riguarda la privacy in sé ma i «giusti limiti» in cui lo Stato può (anzi deve, per funzionare) invaderla. La novità oggi è internet, ovvero la digitalizzazione delle informazioni, la loro quantità online e la facilità di raccoglierle in massa ed elaborarle elettronicamente insieme alla correlativa facilità di farlo abusando dei propri poteri.

Quali sono le norme e gli standard internazionali per la protezione dei dati personali?
Il diritto è una dimensione importante quanto la tecnologia, l’economia e la strategia di sicurezza in materia di raccolta e protezione dei dati personali. Benché la tecnologia informatica, l’economia e la sicurezza abbiano proprie «regole» operanti a prescindere dal diritto, alla fin fine è comunque al diritto che si chiede di avallare, vietare o modificare il funzionamento «naturale» di tali regole in funzione del bene comune e assicurando risultati pratici effettivi, come è una sentenza che condanna un’impresa al pagamento di una sanzione o un individuo ad una pena detentiva. Le prime norme giuridiche nazionali in Europa sulla protezione dei dati personali, talvolta istitutive di organi di controllo, sono state emanate negli anni ’70 del XX sec. (Svezia, Germania federale, Francia, Danimarca, Austria, Norvegia, Lussemburgo, Islanda), e poi ancora negli anni ’80 e ’90 (Regno Unito, Belgio, Spagna). In Italia, nel 1996 venne emanata la legge 31 dicembre 1996 n. 675 sulla «Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali», sostituita nel 2003 dal decreto legislativo 30 giugno 2003 n. 196 recante «Codice in materia di protezione dei dati personali», tuttora in vigore, il quale, tra l’altro, ha istituito il «Garante per la protezione dei dati personali».
La tendenza legislativa degli Stati fu presto seguita a livello internazionale. Nel 1980 l’OCSE, alla quale appartengono 34 Stati sviluppati, compresa l’Italia, adottò delle «Linee guida», non giuridicamente vincolanti, per regolare o quanto meno orientare il trasferimento dei dati nel settore commerciale (rivedute nel 2013). Subito dopo, nel 1981, il Consiglio d’Europa, un’organizzazione internazionale di cui sono membri 47 Stati europei tra i quali l’Italia, adottò una Convenzione sul trattamento automatizzato dei dati personali (c.d. «Convenzione n. 108»), poi completata da un Protocollo addizionale, entrambi vincolanti. Nel 1990 l’Assemblea generale dell’ONU adottò dei «Princìpi guida per la regolamentazione dei file di dati personali computerizzati». Nell’Unione Europea, con la conclusione nel 1992 del Trattato di Maastricht, la protezione dei dati, allora variamente regolata negli Stati membri, rischiando di creare una barriera «immateriale» alla libera circolazione delle informazioni all’interno dell’Unione fu oggetto, nel 1995, della Direttiva n. 95/46/CE, oggi sostituita dal citato regolamento UE/2016/679. Alcune «norme quadro», non vincolanti, sono state adottate nel 2004 anche nell’ambito dell’Asia-Pacific Economic Cooperation (APEC). Negli ultimi cinque anni infine l’ONU, come ho detto, è tornata ad interessarsi della protezione della privacy e della protezione dei dati personali «nell’era digitale». Tutte queste norme e standard elaborati internazionalmente hanno mostrato una tendenziale convergenza su una serie di princìpi relativi sia al trattamento dei dati, sia ai limiti del diritto di protezione in presenza di circostanze particolari, sia alla necessità di organi nazionali indipendenti di controllo, sia alla predisposizione di meccanismi di attuazione interna delle norme.

Qual è il legame tra dati personali e diritti umani?
È oggi quasi un luogo comune affermare che «la privacy è un diritto fondamentale, centrale per il mantenimento di società democratiche» e che «mentre le tecnologie che facilitano la sorveglianza delle comunicazioni avanzano, gli Stati non stanno assicurando la conformità delle leggi e dei regolamenti sulla sorveglianza delle comunicazioni ai diritti umani internazionali». Tra i «Princìpi internazionali sull’applicazione dei diritti umani alla sorveglianza delle comunicazioni» adottati nel 2013 da più di 400 associazioni, troviamo i seguenti: legalità, scopo legittimo, necessità, adeguatezza, proporzionalità, competenza dell’autorità giudiziaria, equo processo, notificazione all’utente, trasparenza, controllo pubblico, integrità delle comunicazioni e dei sistemi, garanzie di cooperazione internazionale e garanzie contro l’accesso illegittimo.
In ogni caso il diritto alla privacy è regolato dai trattati sui diritti umani, diritto che è stato sempre inteso nella prassi come inclusivo del diritto alla protezione dei dati personali. Abbiamo ad es., a livello universale, l’art. 12 della Dichiarazione universale dei diritti umani adottata dall’ONU nel 1948 e l’art. 17 del Patto ONU sui diritti civili e politici del 1966; e, a livello regionale, l’art. 8 della Convenzione europea sui diritti umani del 1950 e l’art. 7 della Carta dei diritti fondamentali dell’Unione Europea del 2000. Spesso se ne deduce, ma impropriamente, che ogni intrusione nei dati personali violi i diritti umani. In realtà, le stesse norme internazionali sui diritti umani prevedono la possibilità di essere derogate in presenza di circostanze particolari, come l’esigenza di salvaguardare la sicurezza nazionale o di reprimere illeciti o di rispettare diritti fondamentali altrui. Il punto allora non è tanto quello di stabilire se vi sia stata intrusione quanto soprattutto di accertare come l’intrusione è avvenuta (su quale base legislativa, per quale scopo, secondo modalità proporzionate o meno allo scopo perseguito, ecc.). Come ha osservato l’Alto Commissario per i diritti umani dell’ONU nel 2014, tra le restrizioni di regola ammesse nei trattati sui diritti umani al diritto alla privacy vi è sempre la sicurezza nazionale e la repressione di reati. Le intrusioni nella privacy sono comunque ammesse, in generale soltanto a certe condizioni, e precisamente: (a) se sono previste dalla legge dello Stato che le adotta, (b) se perseguono uno scopo legittimo (come appunto la repressione dei reati) in modo proporzionato e (c) se sono necessarie in una società democratica.

Cookie	Durata	Descrizione
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_90867531_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
u	1 year	This cookie is used by Bombora to collect information that is used either in aggregate form, to help understand how websites are being used or how effective marketing campaigns are, or to help customize the websites for visitors.
uid	1 year 1 month	This is a Google UserID cookie that tracks users across various website segments.

Cookie	Durata	Descrizione
sessionId	session	This cookie, set by Microsoft, is used by the website to store the user's session ID and is sent with each request to the ASP.NET application.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
audit	1 year	This cookie is set by Rubicon Project and is used for recording cookie consent data.
na_id	1 year 1 month	The na_id is set by AddThis to enable sharing of links on social media platforms like Facebook and Twitter.
na_rn	1 month	The na_rn cookie is used to recognize the visitor upon re-entry. It allows to record details on user behaviour and facilitate the social sharing function provided by Addthis.com.
na_sc_e	1 month	The na_sc_e cookie is used to recognize the visitor upon re-entry. It allows to record details on user behaviour and facilitate the social sharing function provided by Addthis.com.
na_sr	1 month	The na_sr cookie is used to recognize the visitor upon re-entry. It allows to record details on user behaviour and facilitate the social sharing function provided by Addthis.com.
na_srp	1 minute	The na_srp cookie is used to recognize the visitor upon re-entry. It allows to record details on user behaviour and facilitate the social sharing function provided by Addthis.com.
na_tc	1 year 1 month	The na_tc cookie is used to recognize the visitor upon re-entry. It allows to record details on user behaviour and facilitate the social sharing function provided by Addthis.com.
ouid	1 year 1 month	Associated with the AddThis widget, this cookie helps users to share content across various networking and sharing forums.
PugT	1 month	PubMatic sets this cookie to check when the cookies were updated on the browser in order to limit the number of calls to the server-side cookie store.
SPugT	1 month	PubMatic sets this cookie to track when the server-side cookie store was last updated for the browser.

Cookie	Durata	Descrizione
__aasi	session	No description available.
__aast	session	No description available.
__aavi	2 years	No description available.
__aavt	2 years	No description available.
_tracker	1 year 1 month	No description available.
A3	1 year	No description
arcki2	15 days	No description
C	1 month	No description
DPSync3	3 months	No description available.
fonce_current_user	6 months	No description available.
GoogleAdServingTest	session	No description
guid	session	No description
KRTBCOOKIE_57	1 month	No description
pxId	session	No description available.
quads_browser_width	session	No description available.
rsid	session	No description available.
suid	1 year	No description
SyncRTB3	3 months	No description available.

Cookie	Durata	Descrizione
_pubcid	never	This cookie is used to make advertisement on the website more relevant. It collects data based on the visitors behavior and optimize the website.
ab	1 year	Owned by agkn, this cookie is used for targeting and advertising purposes.
audience	1 year	SpotXchange sets this cookie as a unique ID that tracks audiences internally. The cookie is used to limit the number of repetitive ads shown to the user.
avnguid	1 year	This cookie is used to set an unique ID for the visitors which helps third party advertisers to target the visitor with relevant advertisement.
B	1 year	This Cookie is used by Yahoo to anonymously store data related to user's visits, such as the number of visits, average time spent on the website and what pages have been loaded. This data helps to customize website content to enhance user experience.
bkdc	5 months 27 days	Bluekai uses this cookie to build an anonymous user profile with data like the user's online behaviour and interests.
bkpa	5 months 27 days	Set by Bluekai, this cookie stores anonymized data about the users' web usage in an aggregate form to build a profile for targeted advertising.
bku	5 months 27 days	Bluekai uses this cookie to build an anonymous user profile with data like the user's online behaviour and interests.
chkChromeAb67Sec	3 months	PubMatic sets this cookie for testing purposes on Google Chrome browsers with a version above 67.
CMID	1 year	Casale Media sets this cookie to collect information on user behavior, for targeted advertising.
CMPRO	3 months	CMPRO cookie is set by CasaleMedia for anonymous user tracking, and for targeted advertising.
CMPS	3 months	CMPS cookie is set by CasaleMedia for anonymous user tracking based on user's website visits, for displaying targeted ads.
CMRUM3	1 year	CMRUM3 cookie is set by CasaleMedia for anonymous user tracking based on user's website visits, for displaying targeted ads.
CMST	1 day	Casale Media sets this cookie to collect information on user behavior, for targeted advertising.
id	1 year 1 month	Set by Google DoubleClick, this cookie is used to create user profiles to display relevant ads.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
IDSYNC	1 year	This cookie is set by Yahoo to store information on how users behave on multiple websites so that relevant ads can be displayed to them.
KADUSERCOOKIE	3 months	The cookie, set by PubMatic, registers a unique ID that identifies a returning user's device across websites that use the same ad network. The ID is used for targeted ads.
KCCH	1 day	PubMatic sets this cookie to ensure that a PubMatic user ID is already set and that PubMatic’s code is running properly.
khaos	1 year	Rubicon Project sets this cookie as an internal user identifier that stores user data to be used for analytics.
KRTBCOOKIE_27	1 year	This cookie, set by PubMatic, is used to build a profile of user interests and to show relevant ads.
KRTBCOOKIE_336	1 month	This cookie, set by PubMatic, is used to build a profile of user interests and to show relevant ads.
KRTBCOOKIE_377	1 month	This cookie, set by PubMatic, is used to build a profile of user interests and to show relevant ads.
KRTBCOOKIE_391	1 month	This cookie, set by PubMatic, is used to build a profile of user interests and to show relevant ads.
KRTBCOOKIE_80	3 months	This cookie, set by PubMatic, is used to build a profile of user interests and to show relevant ads.
KTPCACOOKIE	1 day	The cookie, set by PubMatic, registers a unique ID that identifies a returning user's device across websites that use the same ad network. The ID is used for targeted ads.
mc	1 year 1 month	Quantserve sets the mc cookie to anonymously track user behaviour on the website.
mdata	1 year 1 month	This cookie is used by Media Innovation group and registers a unique ID to identify a visitor on their revisit, in order to show them relevant ads.
ov	1 year 1 month	This cookie is set by the provider mookie1.com. This cookie is used for serving the user with relevant content and advertisement.
pi	1 day	The pi cookie is used by Bombora for audience targeting and advertising.
PUBMDCID	3 months	PubMatic sets this cookie to store an ID that is used to display ads in the users' browser.
pxrc	2 months	This cookie is set by pippio to provide users with relevant advertisements and limit the number of ads displayed.
rlas3	1 year	RLCDN sets this cookie to provide users with relevant advertisements and limit the number of ads displayed.
suid_legacy	1 year	Collects information on user preferences and interaction with web-campaign content which is used on CRM-campaign-platforms used by website owners for promoting events or products.
TapAd_DID	2 months	TapAd sets this cookie to offer personalized content, social media features, and traffic analysis for its retargeting of online advertising.
TapAd_TS	2 months	TapAd sets this cookie to track users across devices to enable targeted advertising.
TDCPM	1 year	TDCPM cookie is set by Cloudflare service to store a unique ID that identifies a returning user's device which is then used for targeted advertising.
TDID	1 year	TDID cookie is set by Cloudflare service to store a unique ID that identifies a returning user's device which is then used for targeted advertising.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
tuuid	3 months	The tuuid cookie, set by BidSwitch, stores an unique ID to determine what adverts the users have seen if they have visited any of the advertiser's websites. The information is used to decide when and how often users will see a certain banner.
tuuid_lu	3 months	This cookie, set by BidSwitch, stores a unique ID to determine what adverts the users have seen while visiting an advertiser's website. This information is then used to understand when and how often users will see a certain banner.
uuid	3 months	MediaMath sets this cookie to avoid the same ads from being shown repeatedly and for relevant advertising.
uuid2	3 months	The uuid2 cookie is set by AppNexus and records information that helps in differentiating between devices and browsers. This information is used to pick out ads delivered by the platform and assess the ad performance and its attribute payment.

“La privacy. Proteggere i dati personali oggi” di Carlo Focarelli

Potrebbe interessarti anche...