Professor Focarelli, Lei è autore del libro La privacy. Proteggere i dati personali oggi, pubblicato per i tipi del Mulino: quali sfide pone la protezione dei dati personali nella società attuale?
La privacy. Proteggere i dati personali oggi Carlo FocarelliOgni giorno lasciamo senza saperlo un’infinità di «tracce digitali», o una «scia digitale», che rivelano le nostre abitu­di­ni, preferenze, interessi, emozioni, calcoli, interazioni sociali. Basti pensare al cellulare e a tutti i congegni «smart» (computer, TV, automobili, ecc.) oggi esistenti, all’Inter­net of Things, ai c.d. big data, termine quest’ultimo riferito a «grandi» masse di dati raccolti a «grande» velocità da una «grande» varietà di fonti (web, social media, cellulari e relative applicazioni, archivi pubblici e commerciali, ricerche statistiche, lettori RFID, strumenti di geolocalizzazione, pagamenti online, ecc.). Di solito non sappiamo chi può farne uso e a quali fi­ni.
La protezione internazionale dei dati personali è al centro del dibattito politico, economico e giuridico a livello globale soprattutto dopo le rivelazioni di E. Snowden e di Wikileaks sul «Datagate». Dal 2013 l’As­semblea generale dell’ONU ha adottato tre risoluzioni sul «diritto alla privacy nell’età digitale», il Consiglio per i diritti umani dell’ONU ha nominato un Re­latore speciale sulla privacy, l’Organizzazione per la Cooperazione e lo Sviluppo Economico (OC­SE) ha aggiornato le sue Linee guida, l’Unione Europea ha messo a punto la «riforma» generale delle sue norme sulla privacy adottando il regolamento UE/2016/679, in vigore dal 25 maggio 2016, e nuovi casi di violazio­ne dei diritti umani relativi all’uso dei dati perso­na­li sono stati sottoposti alla Corte europea dei diritti umani e alla Corte di giustizia dell’UE nonché ai giudici nazionali. Il problema è se la raccolta indiscriminata di dati personali, soprattutto online, oggi dilagante e spesso inconsapevole e automatizzata, sia o meno conforme alle norme e agli standard internazionali e dell’Unione Europea e se i rimedi giuridici esistenti siano adeguati. Al diritto internazionale e al diritto nazionale allineato agli standard internazionali si chiede di canalizzare i comportamenti in modo da massimizzare i benefici e minimizzare i rischi o i danni. Al diritto de­vono poi accompagnarsi i dispositivi elettronici di salvaguardia della privacy (privacy by design e privacy by default) in modo da operare in prima battuta e con successo nella gran parte dei casi lasciando al diritto di intervenire sia per imporli sia per sanzionare abusi. Il diritto deve imporre ai produttori una serie di requisiti incorporati nei prodotti e nei servizi a tutela sia delle persone che della collettività e sanzionare efficacemente le trasgressioni, esattamente come oggi il diritto impone requisiti di commestibilità degli alimenti o di sicurezza dei giocattoli.

Qual è il valore dei dati personali nell’economia digitale?
L’uso dei dati personali ha sempre avuto implicazioni economiche, quanto meno indirette. La dimensione economica domina la questione della protezione dei dati personali, sia sotto l’aspetto dello sfrutta­mento economico dei dati a dispetto della privacy, sia sotto l’aspetto dello sfruttamento economico della privacy stessa. Mentre il primo aspetto è quello «tradizionale» che spesso in­forma il dibattito sulla privacy, il secondo è in forte crescita. Entrambi vanno inquadrati nell’attuale economia «guidata dai dati» (data-driven economy) e più in generale nel­l’economia digitale globale.
Il fenomeno generale di gran lunga più importante per comprendere la dimensione economica dei dati personali è quello già menzionato dei big data, ricavati attraverso tecniche di data mining relativi a singole persone o per aggregato e quindi anonimi o de-identificati. Gli individui han­no bisogno di rivelare alcuni propri dati personali per ottenere migliori condizioni commerciali e anche per soddisfare un bisogno di apertura e interazione con gli altri. Per l’utente i suoi dati personali (ad es. il proprio nome o la propria data di nascita o residenza) non hanno un costo e si prestano ad essere ceduti a terzi per otte­nere vantaggi. Le imprese traggono benefici dai dati personali dei loro clienti attuali e potenziali: ad es. possono migliorare le strategie di marketing mirando a specifici segmenti di mercato o praticare prezzi differenziati a seconda delle ca­te­gorie di clienti; ven­dere i dati personali dei clienti e utenti ad altre imprese in cambio di un corrispettivo o cederle ai governi in cambio di altri vantag­gi (o per non incorrere in sanzioni). I benefici per le singole imprese possono accompagnarsi a benefici per la collettività, come nel caso di prezzi minori resi possibili da forme di pubblicità mirata ai soli interessati, o della produzio­ne di beni o servizi di frontiera o di nicchia che non verrebbe intrapresa in assenza di dati sicuri sui possibili sbocchi com­merciali. L’OCSE ha mostrato come i dati personali e la loro elaborazione possono creare un vantaggio competitivo e «guidare» l’innovazione, la crescita (sostenibile ed equa) e lo sviluppo. La migrazio­ne delle attività econo­miche e sociali su internet (attraverso servizi elettronici, co­me commercio, sanità e servizi pubblici e i social network online), con la corrispondente massa di dati generati per milioni di gigabytes al se­con­do, nonché la progressiva digitalizzazione delle attività offline e la ri­duzio­ne dei costi di rac­colta, trasferimento, immagazzina­men­to ed elaborazione dei dati, conducono oggi ad un modello socio-econo­mico «gui­dato dai dati» (data driven).
Se vi sono imprese interessate allo sfruttamento dei dati personali, ve ne sono altre interessate a vendere e/o diffondere accorgimenti elettronici diretti ad impedire lo sfruttamento dei dati. Qui è la stessa tecnologia, insieme all’econo­mia di mer­cato, a fornire l’«antidoto» ai rischi della raccolta e uso di dati personali di massa, un antidoto sistemico di solito ritenuto più efficace di qualsiasi rimedio giuridico. Si parla di «tecnologie che rafforzano la privacy» (privacy enhancing technologies, PETs) e, più in generale, di «privacy incorporata» (Privacy by Design, PbD). Tipiche tecnologie che rafforzano la privacy sono le tec­niche di criptazione, di anonimizzazione e di anti-tracciamen­to online.

Che rapporto c’è tra dati personali e sicurezza nazionale?
Se la sorveglianza si sta affermando come un vero modello di business per molte imprese, anche per gli Stati i dati personali costituiscono una risorsa strategica essenziale, come dimostrano i programmi di «sorveglianza di massa» da parte dei c.d. Five Eyes (Stati Uniti, Regno Unito, Australia, Canada e Nuova Zelanda), e di numerosi altri Stati, giustificati soprattutto in chiave anti-terro­ri­stica e venuti alla ribalta nel 2013 con le «rivelazioni» di E. Snowden e di Wikileaks. Da sempre peraltro gli Stati utilizzano le informazioni sulle persone per sorvegliare e chiunque comprende che in principio non si può violare la legge semplicemente invocando il diritto alla privacy o ad essere «lasciati in pace». Se il diritto alla privacy fosse inteso come un diritto assoluto ad essere lasciati in pace, anche per chi commette reati o evade le imposte, e se questa fosse la «regola», ci troveremmo nella giungla. Il diritto alla privacy è relativo e non può costituire, in principio, un ostacolo all’applicazione delle norme (penali, fiscali, ecc.) e alle attività preventive e coercitive necessarie a tal fine come la sorveglianza e l’intelligence. Il proble­ma quindi non riguarda la privacy in sé ma i «giusti limiti» in cui lo Stato può (anzi deve, per funzio­nare) invaderla. La novità oggi è internet, ovvero la digitalizzazione delle informazioni, la loro quantità online e la facilità di racco­glier­le in massa ed ela­borarle elettronicamente insieme alla correlativa facilità di farlo abusando dei propri poteri.

Quali sono le norme e gli standard internazionali per la protezione dei dati personali?
Il diritto è una dimensione importante quanto la tecnologia, l’economia e la strategia di sicurezza in materia di rac­colta e protezione dei dati personali. Benché la tecnologia informatica, l’economia e la sicurezza abbiano proprie «regole» operanti a prescindere dal diritto, alla fin fine è comunque al diritto che si chiede di avallare, vietare o modificare il funzionamento «naturale» di tali regole in funzione del bene comune e assicurando risultati pratici effettivi, come è una sentenza che condanna un’impresa al pagamento di una sanzione o un individuo ad una pena detentiva. Le prime norme giuridiche nazionali in Europa sulla protezione dei dati personali, talvolta istitutive di organi di controllo, sono state emanate negli anni ’70 del XX sec. (Svezia, Germania federale, Francia, Danimarca, Austria, Norvegia, Lussemburgo, Islanda), e poi ancora negli anni ’80 e ’90 (Regno Unito, Belgio, Spagna). In Italia, nel 1996 venne emanata la legge 31 dicembre 1996 n. 675 sulla «Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali», sostituita nel 2003 dal decreto legislativo 30 giugno 2003 n. 196 recante «Codice in materia di protezione dei dati personali», tuttora in vigore, il quale, tra l’altro, ha istituito il «Garante per la protezione dei dati personali».
La tendenza legislativa degli Stati fu presto seguita a livello internazionale. Nel 1980 l’OCSE, alla quale appartengono 34 Stati sviluppati, compresa l’Italia, adottò delle «Linee guida», non giuridicamente vincolanti, per regolare o quanto meno orientare il trasferimento dei dati nel settore commerciale (rivedute nel 2013). Subito dopo, nel 1981, il Consiglio d’Europa, un’organizza­zione in­ternazio­nale di cui sono membri 47 Stati europei tra i quali l’Italia, adottò una Convenzione sul trattamento automatizzato dei dati personali (c.d. «Con­venzione n. 108»), poi completata da un Protocollo addizionale, entrambi vincolanti. Nel 1990 l’Assem­blea generale dell’ONU adottò dei «Princìpi guida per la regolamentazione dei file di dati personali computerizzati». Nell’Unione Europea, con la conclusione nel 1992 del Trattato di Maastricht, la protezione dei dati, allora variamente regolata negli Stati membri, rischiando di creare una barriera «immateriale» alla libera circolazione delle informazioni al­l’interno dell’Unione fu oggetto, nel 1995, della Direttiva n. 95/46/CE, oggi sostituita dal citato regolamento UE/2016/679. Alcune «norme quadro», non vincolanti, sono state adottate nel 2004 anche nell’ambito del­l’Asia-Pacific Economic Cooperation (APEC). Negli ultimi cinque anni infine l’ONU, come ho detto, è tornata ad interessarsi della protezione della privacy e della protezione dei dati personali «nell’era digitale». Tutte queste norme e standard elaborati internazionalmente hanno mostrato una tendenziale convergenza su una serie di princìpi relativi sia al trattamento dei dati, sia ai limiti del diritto di protezione in presenza di circostanze particolari, sia alla necessità di organi nazionali indipendenti di controllo, sia alla predisposizione di meccanismi di attuazione inter­na delle norme.

Qual è il legame tra dati personali e diritti umani?
È oggi quasi un luogo comune affermare che «la privacy è un diritto fondamentale, centrale per il mantenimento di società democratiche» e che «mentre le tecnologie che facilitano la sorveglianza delle comunicazioni avanzano, gli Stati non stanno assicurando la conformità delle leggi e dei regolamenti sulla sorveglianza delle comunicazioni ai diritti umani internazionali». Tra i «Princìpi internazionali sull’applicazione dei diritti umani alla sorveglianza delle comunicazioni» adottati nel 2013 da più di 400 associazioni, troviamo i seguenti: legalità, scopo legittimo, necessità, adeguatezza, proporzionalità, competenza dell’au­torità giudiziaria, equo processo, notificazione all’utente, tra­sparenza, controllo pubblico, integrità delle comunicazioni e dei siste­mi, garanzie di cooperazione internazionale e garanzie contro l’accesso illegittimo.
In ogni caso il diritto alla privacy è regolato dai trattati sui diritti uma­ni, diritto che è stato sempre inteso nella prassi come in­clusivo del diritto alla protezione dei dati personali. Abbiamo ad es., a livello universale, l’art. 12 della Dichia­ra­zione universale dei diritti umani adottata dall’ONU nel 1948 e l’art. 17 del Patto ONU sui diritti civili e politici del 1966; e, a livello regionale, l’art. 8 della Convenzione europea sui diritti umani del 1950 e l’art. 7 della Carta dei diritti fondamentali dell’Unione Europea del 2000. Spesso se ne deduce, ma impropriamente, che ogni intru­sione nei dati personali violi i diritti umani. In realtà, le stesse norme in­ternazionali sui diritti umani prevedono la possibi­lità di essere derogate in presenza di circostanze particolari, come l’esi­genza di salvaguardare la sicurezza nazionale o di reprimere illeciti o di rispettare diritti fondamentali altrui. Il pun­to allora non è tanto quello di stabilire se vi sia stata intrusione quanto soprattutto di accertare come l’intrusione è avvenuta (su quale base legislativa, per quale scopo, secondo modalità proporzionate o meno allo scopo perseguito, ecc.). Come ha osservato l’Al­to Commissario per i diritti uma­ni dell’ONU nel 2014, tra le restrizioni di regola ammes­se nei trattati sui diritti umani al diritto alla privacy vi è sempre la si­curezza nazionale e la repressione di reati. Le intrusioni nella privacy sono comunque ammesse, in generale soltanto a certe condizioni, e precisamente: (a) se sono previste dalla legge dello Stato che le adotta, (b) se perseguono uno scopo legittimo (come appunto la repressione dei reati) in modo proporzionato e (c) se sono necessarie in una società democratica.