Esiste una habeas data, un diritto dei cittadini a controllare i propri dati che circolano in rete? Le proposte legali europee e americane attualmente in studio
Norberto González Gaitano
13 Febbraio 2014
Juan Antonio Martínez ha presentato uno studio presso la Facoltà di
comunicazione istituzionale della Santa Croce a Roma, sul disegno di legge
che la Commissione Europea ha inoltrato agli inizi del 2012 – la Proposta
di Regolamento Generale di Protezione di Dati (1) – e
sul quadro di regolamentazione sulla privacy nel contesto dell’economia
digitale che la Casa Bianca invece ha approvato a febbraio 2012 – la Consumer Data Privacy in a Networked World (2).
Che ci siano motivi di preoccupazione per i legislatori di entrambe le
sponde dell’Atlantico è innegabile. E non solo per gli scandali generati
dalle infiltrazioni di Wikileaks e Snowden che hanno portato a discutere,
all’interno del Senato americano e nell’opinione pubblica internazionale,
sulla politica della sicurezza statunitense, che si è servita della
collaborazione volontaria – vagamente permessa dalle leggi antiterrorismo –
delle grandi compagnie di Internet, che possiedono dati personali di
milioni e milioni di utenti, vale a dire di noi cittadini.
I rappresentanti di alcune di queste compagnie (Yahoo, Facebook, Google,
Microsoft, Apple, Skype, Twitter) un tempo finanziatori entusiasti delle
campagne elettorali di Obama e in amicizia tale da comparire pubblicamente
nei “salotti” del Presidente, hanno deciso di prendere distanza dalla Casa
Bianca. Lo stesso Obama ha dovuto mandare messaggi espliciti, per il
momento solo di pura opportunità politica, sulla necessità di rivedere le
strategie di vigilanza e controllo dei cittadini attraverso i loro dati
“immagazzinati” in enormi database.
Sorprende che l’interesse della Casa Bianca nella protezione dei dati dei
consumatori, fortemente presente nel quadro di regolamentazione promosso
dalla stessa Casa Bianca appena pochi mesi prima, non “si sia stato esteso”
ai cittadini. Sembra come se consumatori e cittadini fossero due categorie
ben distinte e separate tra di loro. In realtà, e come ben spiega Martínez
nel suo lavoro, le preoccupazioni che hanno dato origine alla Consumer Data Privacy in a Networked World sono di indole
esclusivamente commerciale, e non politica.
Quello che interessa è sapere a chi appartengono i dati degli utenti – alle
imprese di servizi su Internet che li ottengono col consenso dei propri
utenti o a questi ultimi, e fino a che punto? E come assicurare un
commercio libero senza frenare l’innovazione tecnologica?
Non solo storie di spie e di infiltrazioni
Parlare di Internet è parlare di dati. E parlare di dati è, in definitiva,
parlare di persone. Eric Schmidt che è stato amministratore delegato di
Google fino al 2011, ha affermato “ci sono cinque exabytes di informazioni
che sono stati creati dalla nascita della nostra civiltà fino al 2003. Ora,
questa stessa quantita’ di informazioni viene generata appena ogni due
giorni, e questo stesso ritmo di crescita si sta sempre di piu’
accellerando”. La ragione di una simile moltiplicazione del volume dei dati
è l’aumento del contenuto stesso generato dagli utenti.
Per l’amministratore delegato di Google, l’informazione creata dagli utenti
di Internet e lo stato attuale della tecnologia permettono di elaborare
facilmente dei profili di comportamento personale: “Le persone raccontano
se stesse attraverso video e fotografie. Con un dispositivo mobile si
possono contattare i nostri amici ovunque. Possiamo usare la tecnologia per
prevedere dove una persona puòandare. E questo è molto interessante.
Possiamo prendere una foto, e se ci sono quattordici fotografie su
Internet, possiamo prevedere dove stai con un 95% di affidabilità.” La
società, conclude infine Schmidt, non è preparata per le questioni che
sorgeranno come conseguenza del contenuto generato dagli utenti.
La figura successiva ci dà un’idea della quantità di dati che si registrano
in un minuto nella rete.
Dati a parte, il fattore principale che emerge e’ che la maggior parte
della nostra interazione sociale si realizza oggi attraverso lo scambio di
dati che sono registrati, conservati ed elaborati. Google, per esempio,
immagazzina le informazioni degli utenti attraverso cookies.
Altrettanto succede con Facebook che utilizza cookies per saperne
di più sull’utente offrendogli in cambio funzioni, prodotti ed annunci che
possano risultare interessanti per migliorare la propria esperienza nella
rete sociale.
Gli scenari descritti da film come Terminator, Matrix o Minority Réport sembrano avverarsi. In questo
caso pero’ il lato oscuro non sono le macchine perverse, bensì l’uso che
viene fatto dei dati personali degli utenti. Qualunque azione che si
perderebbe nella vita “analogica”, nel mondo “online” rimane invece
immagazzinata, archiviata ed in molti casi a disposizione del pubblico.
Una stessa sfida. Due risposte diverse
Raccolgo le principali conclusioni dello studio di Martínez relative ai due
testi legali oggetti di ricerca. Il nuovo Regolamento europeo, di
applicazione diretta in tutti i paesi della comunita’ europea una volta
approvato, stabilisce un maggiore controllo dell’interessato sui propri
dati personali. Si afferma ad esempio il diritto all’oblio digitale, inteso come la facoltà
dell’interessato ad esigere dal responsabile del trattamento che faccia
tutto cio’ che è nelle sue possibilità per cancellare ogni informazione che
possa riguardare la sua persona (art. 17).
Un altro nuovo diritto a disposizione dell’interessato è quello della portabilità dei dati (art. 18). Un utente potrà chiedere al
responsabile del trattamento una copia delle proprie informazioni personali
da poter utilizzare in un altro ambito. Un’ultima novità importante del
nuovo Regolamento europeo è il principio di ubicazione
dell’interessato, (art. 3.1). Il contesto legale precedente prevedeva che
la normativa applicabile era quella del luogo del responsabile del
trattamento di dati. A partire da ora invece si applicherà la legge
relativa al luogo del titolare dei dati. Ciò esigerà l’equiparazione della
normativa per le imprese che operino dentro e fuori l’Unione Europea.
La statunitense Consumer Data Privacy in a Networked World è la
prima norma che affronta in un modo sistematico il tema della protezione
dei dati personali. Il corpo centrale di questa proposta è costituito dalla Consumer Privacy Bill of Rights, una carta dei diritti sulla
privacy del consumatore nel contesto digitale. Questa carta dei diritti
stabilisce una serie di principi per le imprese che operano in ambito
online, come guida per stabilire meccanismi di autoregolamentazione su
questioni di privacy. I principi di questa carta dei diritti sono sette:
controllo individuale dell’utente, trasparenza nell’informazione al
consumatore, rispetto del contesto nel trattamento dei dati, sicurezza,
diritto di accesso e diritto alla correzione dell’informazione personale,
raccolta di dati limitata.
In conclusione, secondo il giudizio di Martínez, il principio del rispetto
per il contesto nel trattamento di informazioni personali negli Stati Uniti
lascia alle imprese un ampio margine per decidere sui fini dell’uso dei
dati personali. “La norma afferma che l’elemento chiave per capire il
contesto di una cessione e trattamento di dati viene dato in base ai fini
della relazione dell’impresa con i suoi consumatori. Questo criterio lascia
nelle mani delle compagnie la possibilità di usare l’informazione personale
per scopi diversi rispetto a quelli per la sua raccolta, o di cederli a
terzi purché supponga un miglioramento del servizio prestato ai suoi
clienti.”
Dall’altra parte, la norma europea risente invece di una certa dote di
realismo. Per esempio, il diritto all’oblio non è privo di difficoltà
tecniche, dal momento che una volta che un dato personale circola in rete è
molto difficile controllarlo. Il criterio di ubicazione invece, pone in una
posizione di svantaggio le imprese radicate nel territorio comunitario
rispetto all’innovazione e non raggiunge le imprese con sede fuori
dall’Europa. Bisognerà vedere, per esempio, come finiscono i processi
legali iniziati dalle imprese e dai cittadini dei cinque paesi europei
contro Google, il motore di ricerca più potente su Internet, per non
essersi adattata alle leggi sulla privacy sui dati personali.
Conclusione: una nuova habeas data
A parte le differenze che sono riconducibili a tradizioni giuridiche e a
mentalità diverse, la cosa certa è che il legislatore, spinto dai
cambiamenti tecnologici e dalle sue conseguenze sociali, sta elaborando
nuovi diritti che nascono dalla necessità di un potere di controllo del
titolare sui dati personali. Vicino ai tradizionali diritti che hanno come
obiettivo la protezione dei dati – chiamati in dottrina ARCO: accesso,
rettifica, cancellazione ed opposizione -, i nuovi quadri regolatori mirano
ad appoggiare le garanzie processuali che rendano effettivi questi diritti.
Come afferma Martínez,”questa garanzia non consiste unicamente nel
riconoscimento del diritto di protezione dei propri dati, bensì nel potere
effettivo di farlo valere davanti a terzi. È quello che si denominava actio nel Diritto Romano”.
Senza pretese retoriche, si può parlare di una nuova habeas data
che risponde ad identiche esigenze e criteri di giustizia che diedero
storicamente luogo ad un habeas corpus all’alba dei moderni Stati
di diritto e poi ad un habeas mente quando le sfide della società
dell’informazione porteranno al riconoscimento di una right to privacy simile agli altri diritti della persona.
(
1)
Il nome completo della Proposta è
Regolamento del Parlamento europeo e del Consiglio relativo alla
protezione delle persone fisiche per il
trattamento di dati personali e la libera circolazione di questi dati
. Trattandosi di una normativa europea con rango di Regolamento è
vincolante
per tutti i paesi dell’Unione, senza necessità che questi lo convertano in
una legge nazionale. Il testo della proposta in italiano può trovarsi
al link:
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:IT:PDF
.
Nonostante il testo sia ancora in fase di iter, a partire da ora gli faremo
riferimento con la numerazione di registro di entrata della Commissione,
Regolamento 2012/0011.
(2)
Il nome completo è
Consumer Data Privacy in a Networked World: A Framework for Promoting
Privacy and Promoting Innovation in the
Global
Digital Economy
. A partire da ora gli faremo riferiremo con la sigla CODAP. Il testo può
trovarsi al link:
http://www.whitehouse.gov/sites/default/files/privacy-final.pdf
