Capitolo 2: La privacy by design
7. Un approccio comune al DRM?
Come si è accennato nel primo capitolo della presente tesi, l’incorporazione della regola nella tecnologia è una metodologia non completamente nuova nel mondo del diritto ed è stata largamente utilizzata negli ultimi decenni per proteggere i diritti di proprietà intellettuale, o per meglio dire, per garantire che i contenuti digitali coperti dal diritto d’autore e dagli altri diritti di privativa non subiscano delle pesanti violazioni, spesso dovute all’inevitabile dinamica generalizzata di condivisione e di pirateria createsi con l’era digitale.
A questo fine, sono stati elaborati diversi strumenti tecnologici, più o meno efficaci, che sono complessivamente raccolti nella dicitura DRM, ossia Digital
developers and service providers need clear incentives to apply privacy by design methods and offer privacy-friendly and legally compliant products and services. Public services must serve as a role model by increasing the demand of privacy by design solutions. Funding agencies of member states or the EU should require a successful privacy and data protection assessment of each project and planned or achieved results”.
203
Ibidem, 50: “A revision of policy is necessary to eliminate loopholes. In particular, legal compliance of a product or service should not be possible if it is not designed under the privacy by design paradigm. Furthermore, data protection authorities should be equipped with extended mandates and funds to be able to actively search for data protection violations”.
204
Ibidem, 51: “The research community needs to further investigate in privacy engineering, especially with a multidisciplinary approach. This process should be supported by research funding agencies. The results of research need to be promoted by policy makers and media”.
205
Ibidem, 52: “Providers of software development tools and the research community need to provide tools that enable the intuitive implementation of privacy properties. Privacy engineering should become easier”.
206
Ibidem, 53.
207
KLITOU, Privacy-Invading Technologies and Privacy by Design, safeguarding privacy, liberty and security in the 21st century, cit., 328.
103
Rights Management, e previsti da vari strumenti normativi in tutto il mondo208.
DRM, dunque, sta ad indicare l’insieme dei sistemi tecnologici in grado di gestire, tutelare e accompagnare le regole di accesso e di utilizzo su contenuti digitali, tramite protezioni software o hardware209.
In generale, sembra corretto affermare che l’idea sottostante alle tecnologie DRM sia equiparabile all’approccio di privacy by design, perché, appunto, fin dalla progettazione dei contenuti digitali si tende a prevenire le violazioni e limitare gli utilizzi abusivi, impedendo, ad esempio, la copiatura dei file o la loro riproduzione illimitata e indiscriminata. Tuttavia, non si può nascondere che le misure attuate nel campo del diritto d’autore non siano state sempre ben accolte dal panorama dottrinale, suscitando alcune perplessità210. Si auspica che la privacy by design, invece, malgrado le criticità già sollevate, si affermi e rimanga circondata da un contesto dottrinale per lo più favorevole, mirando ad essere uno strumento in più per la protezione dei dati personali.
Oltre ad una metodologia comune, si può sollevare una questione che coinvolge i DRM e ha a che vedere con la pbd. Se è vero che la presenza dei sistemi tecnologici DRM tutela dei diritti, e soprattutto il diritto d’autore, si nota che al contempo ne comprime degli altri e in particolare che causa delle grandi violazioni della privacy. Si spiega per l’appunto che un sistema DRM comporta l’acquisizione e il trattamento di dati personali perché dotato delle seguenti funzioni di base: “a) controllo sull’accesso al contenuto; b) controllo sugli usi del contenuto; c) identificazione del contenuto, dei titolari del contenuto e delle condizioni generali per l’utilizzo del contenuto; d) autenticazione dei dati di identificazione elencati al punto c)”211. Vengono così raccolti e trattati i dati degli utilizzatori, spesso con una modalità non rispettosa delle norme, tanto che è stato affermato persino che l’accostamento dei termini DRM e privacy ha richiamato la figura retorica dell’ossimoro212.
Così, per evitare che un sistema posto a garanzia dei diritti finisca poi per violare altre regole giuridiche, si può pensare di introdurre, per quanto possibile, un approccio di privacy by design nei DRM, migliorando la tecnologia che
208
Per un’approfondita trattazione sui DRM si veda R. CASO (a cura di), Digital Rights
Management - Il commercio delle informazioni digitali tra contratto e diritto d'autore, Ristampa digitale, Trento, 2006.
209
Ibidem, 5-6.
210
F. CIUSA, I. VARGAS-CHAVES, Considerazioni critiche nella dottrina giuridica italiana sul DRM, in Principia Iuris, 2013, fasc. 1, 328: “In relazione alla disciplina del diritto d’autore, si precisa allora che i DRM pongono almeno quattro differenti elementi di criticità: in tema di accesso all’opera, di libere utilizzazioni, di copia privata nonché del c.d. equo compenso”.
211
CASO (a cura di), Digital Rights Management, cit., 100.
212
A. PALMIERI, DRM e disciplina europea della protezione dei dati personali in R. Caso (a cura di), Digital Rights Management: problemi teorici e prospettive applicative: atti del Convegno tenuto presso la Facoltà di Giurisprudenza di Trento il 21 ed il 22 marzo 2007, Quaderni del dipartimento di Scienze Giuridiche, n. 70, Trento, 2008, 198.
104
coinvolge l’utilizzo di dati personali e così rendendoli privacy-friendly. Design all’interno del design, si potrebbe dire.
Questa possibilità è accreditata con un sufficiente grado di fattibilità da parte degli esperti, anche se mancano i necessari incentivi per il mercato di questi prodotti213. Le essenze delle regole a tutela dei dati personali dovranno in tal modo essere incorporate in DRM architettati per minimizzare l’uso di informazioni214. Dovrà a tal fine essere operato un bilanciamento tra la privacy e l’esigenza di controllo spettante ai titolari dei diritti sui contenuti digitali protetti dai DRM: la sfida sta nello sviluppare dei sistemi che preservino abbastanza garanzie da entrambe le parti215. Lo stesso autore appena citato ritiene che siano necessari degli incentivi per i soggetti coinvolti nella progettazione, in modo da passare dalle pagine degli articoli accademici alla realtà, la quale è contraddistinta dalle regole del mercato216. Sarà compito e responsabilità del diritto assicurare che la formulazione di standard tecnici dagli attori del mercato prenda in considerazione i valori della privacy217.
D’altro canto anche il Gruppo ex articolo 29 in un working document on data
protection issues related to intellectual property rights del 2005 ha notato che lo
sviluppo delle tecnologie di digital rights management ha condotto oggigiorno ad un livello diffuso di tracciamento e di controllo degli utilizzatori dei prodotti218. L’autorità ha allora enfatizzato la necessità di preservare i dati degli utenti e di minimizzarne l’utilizzo, anche tramite la realizzazione di nuove tecnologie a loro protezione219.
Si è appena evidenziato una possibile applicazione della privacy by design, i cui ulteriori risvolti concreti verranno approfonditi nel quarto capitolo, attraverso l’indicazione di alcune aree e contesti in cui è già stato impiegato il principio.
Nel capitolo che segue verranno per completezza presentate le esperienze canadesi e statunitensi in tema, per approfondire l’argomento in prospettiva 213 Ibidem, 201. 214 Ibidem, 211. 215
J. E. COHEN, DRM and Privacy, 18 Berkeley Tech. L.J. 575 (2003), 611: “Technically, then,
the challenge lies in developing technical systems that preserve both enough privacy for users and enough control for rights owners”.
216
Ibidem, 613: “For privacy-regarding DRM technologies to move from the pages of academic articles into the drawing board and ultimately into the marketplace, those who participate in or underwrite real-world design processes need incentives to expand their frames of reference”.
217
Ibidem, 613: “Law's role in structuring DRM standard-setting processes is to ensure that the formulation of technical standards by market actors takes public values, including privacy values, into account”. In una pagina successive dello stesso contributo (617) si legge anche che: “Law can fulfill its responsibility in its usual fashion, by defining individual rights and correlative obligations, but to do so effectively it must come to terms with both the inadequacy of “markets for privacy” and the central role played by DRM standards in defining rights and obligations as a practical matter”. Ancora una volta si avverte allora la necessità che il diritto esca dai suo schemi tradizionali e si apra alle nuove dinamiche con delle soluzioni innovative.
218
Cfr. Article 29 Data Protection Working Party, Working document on data protection issues related to intellectual property rights, WP 104 05/EN.
219
105
comparatistica ed evidenziare le norme che oggi richiamano la pbd oltreoceano, essendosi concentrati al momento prevalentemente sull’articolo 25 del GDPR.
107