#Tecnolaw è una rubrica settimanale promossa da Key4biz e DIMT – Diritto, Mercato, Tecnologia. Per consultare gli articoli precedenti, clicca qui.
Italia
#Tecnolaw è una rubrica settimanale promossa da Key4biz e DIMT – Diritto, Mercato, Tecnologia. Per consultare gli articoli precedenti, clicca qui.
Di seguito l’abstract dell’intervento con il quale Andrea Stazi, Ricercatore presso l’Università Europea di Roma, e Davide Mula, Dottore di ricerca in Diritto Privato nello stesso ateneo romano, parteciperanno alla winter edition dell’e-privacy 2013 intitolata “Big Data 2.0. Accesso all’informazione e privacy tra open data e Datagate“, che avrà luogo presso l’Università Bocconi di Milano il 15 e 16 novembre prossimi.
***
La prima teorizzazione del diritto alla privacy, come noto, risale al 1890, quando Samuel Warren e Louis Brandeis delinearono il diritto ad essere lasciati soli – right to be let alone – in applicazione del concetto privatistico di proprietà e del relativo sistema di tutela alla sfera privata della vita. In forza di tale concetto, recepito nel nostro ordinamento nel 1975 da parte della Corte di Cassazione, si è riconosciuto il diritto dei singoli alla riservatezza, riguardo a quelle situazioni e vicende strettamente personali e familiari che non abbiano per i terzi un interesse socialmente apprezzabile.
La privacy così concepita, peraltro, si riferiva a una realtà analogica in cui la lesione del diritto alla riservatezza era legata a una materiale intromissione nella sfera privata ed in cui a dover essere controllata e regolamentata era, “a monte”, la stessa diffusione dell’informazione, e non anche la circolazione della stessa.
In seguito, l’avvento delle tecnologie informatiche e telematiche nella gestione delle informazioni imponeva la rivisitazione dell’approccio alla privacy, giacché nel contesto digitalizzato il controllo sulla circolazione delle informazioni non poteva più essere svolto dall’interessato. La risposta normativa a tale mutato scenario è stata, quindi, quella di introdurre dei meccanismi che consentissero ai titolari dei dati di acconsentire o meno all’immissione ed alla circolazione delle informazioni a loro riferite nelle banche dati dei soggetti ai quali le informazioni venivano fornite. Si è passati, così, al concetto di protezione dei dati, c.d. data protection, in base al quale al titolare delle informazioni viene riconosciuto il diritto di limitarne la circolazione, spostando la responsabilità sul soggetto a cui l’interessato ha ceduto l’informazione stessa, ovvero il titolare del trattamento dei dati.
Le regole in materia di data protection, dunque, ideate per una realtà che pur facendo uso della telematica presupponeva ancora la disponibilità materiale del dato informatico da parte del titolare del trattamento, non appaiono più adatte ad una prassi in cui anche il titolare del trattamento non ha la materiale disponibilità – e quindi il potere di controllo – sui dati.
Ciò è di particolare evidenza in considerazione del fatto che la circolazione e la conservazione di essi avvengono essenzialmente in ambiente cloud.
Attualmente, di fronte alla lentezza del legislatore, a cui cerca di sopperire il Gruppo dei Garanti Europei attraverso una sorta di interpretazione “quasi-autentica” del dettato normativo, il problema giuridico pare trovare soluzioni prevalentemente in ambito informatico, attraverso lo sviluppo di sistemi gestionali più sicuri, c.d. data security.
Le problematiche fin qui evidenziate, da ultimo, si sono acuite con lo sviluppo dei big data, ossia grandi collections di archivi che per la loro dimensione rendono impossibile una gestione realmente centralizzata delle informazioni, ma che offrono l’indubbio vantaggio di elaborazioni più precise, complete e, quindi, dotate di un maggior valore economico.
L’utilizzo, ormai sempre più massiccio, della tecnologia cloud e dei big data, per definizione delocalizzati, impone peraltro di affrontare il tema della protezione e della sicurezza dei dati personali nella più ampia prospettiva di un’analisi che porti all’individuazione di procedure – condivise tra i diversi Paesi interessati – per la tutela dei dati personali dei singoli utenti, nel contemperamento delle diverse istanze che vengono avanzate.
In questa prospettiva, in particolare, dovrebbero trovare contemperamento l’impostazione statunitense e quella dell’Unione Europea. La prima, come noto, è impostata essenzialmente sull’attribuzione di un valore economico ai dati personali, che possono essere ceduti, non sempre consapevolmente, dagli utenti in cambio di servizi gratuiti. Tale approccio comporta, tuttavia, notevoli rischi di lesione dei diritti fondamentali dell’individuo, vista anche la scarsa consapevolezza e conoscenza delle modalità di trattamento dei dati effettuate dagli operatori (come dimostra, da ultimo, lo scandalo Datagate).
La prospettiva europea è incentrata, invece, maggiormente sulla centralità della persona e sui diritti di intervento di questa sulla circolazione dei dati, che tuttavia si dimostra spesso inefficace in ragione dell’evoluzione tecnologica ed al contempo eccessivamente onerosa per gli operatori chiamati ad applicare una disciplina assai restrittiva.
In conclusione, la sfida regolamentare in materia di privacy nell’odierno senario tecnologico “cloud-oriented” appare quella di riuscire a bilanciare le esigenze tecniche ed economiche degli operatori con l’esigenza di tutela dei diritti fondamentali degli utenti. Ciò potrebbe avvenire, tra l’altro, anche attraverso una maggiore educazione di questi ultimi, facendo ad esempio comprendere loro come possano tornare ad essere loro i primi custodi della propria privacy adottando comportamenti più oculati in internet.
In questo senso, potrebbero essere posti in essere non solo interventi volti all’educazione degli utenti in tema di privacy e sicurezza, ma altresì strumenti informativi e tecnologici sempre aggiornati, al fine di garantire l’efficacia della trasparenza e della sicurezza nelle operazioni di trattamento.
Riguardo alle modalità per l’adozione di simili interventi e strumenti, infine, in linea con le problematiche giuridiche poste dallo sviluppo del digitale, potrebbe delinearsi un “doppio binario” di azione che preveda: a) interventi legislativi per definire il quadro delle norme di base, anche attraverso il contemperamento dei diritti fondamentali rilevanti; b) meccanismi di autoregolamentazione, o meglio di coregolamentazione tra stakeholders e autorità garanti che consentano di adottare regole up-to-date e di monitorarne costantemente l’efficacia e le eventuali necessità di modifica.