Con i termini Era digitale o Rivoluzione digitale si fa solitamente riferimento al processo evolutivo iniziato nel secondo dopoguerra e che ha portato al passaggio dalla tecnologia meccanica ed analogica alla tecnologia digitale, con una forte accelerazione sul finire del XX secolo. In particolare, “sono due i fattori che in tale torno di anni
hanno determinato un cambiamento radicale nel nostro modo di vivere. Il primo è rappresentato dalla semplificazione delle modalità di utilizzazione delle risorse informatiche; il secondo dalla diffusione capillare che la rete Internet e le tecnologie digitali hanno avuto in tutto il mondo progredito” . 66
Questa che a tutti gli effetti è da considerarsi una rivoluzione, ha cambiato non solo la vita quotidiana delle persone, introducendo nuove abitudini e nuovi passatempi oltre che nuovi strumenti di lavoro e di studio, ma ha anche introdotto nuovi vocaboli divenuti di uso più o meno comune, ha portato benefici così come nuovi fattori di rischio, ma soprattutto nuovi modi di concepire la privacy e nuove forme di tutela in funzione delle nuove possibilità di violazione.
Nel 1997 Roger Clarke definì la privacy come “l'interesse che gli
individui hanno nel mantenere lo "spazio personale", libero da interferenze da parte di altre persone e organizzazioni” . Egli però 67
ebbe soprattutto il merito di scomporre la privacy in quattro
E. ZUANELLI, Comunicazione digitale e comunicazione in rete. Nozioni,
66
competenze applicazioni, Aracne, Roma, 2012, pag. 45.
R. CLARKE, Introduction to Dataveillance and Information Privacy, and
67
Definitions of Terms, Xamax Consultancy Pty Ltd, 1997 - 2016, in http:// www.rogerclarke.com/DV/Intro.html .
sottocategorie diverse sulla scia di quanto fatto da Prosser anni prima, ritenendo anch’egli che la privacy fosse non un unico interesse unitario, bensì complessa e composta da molteplici dimensioni: la
privacy della persona, intesa dal punto di vista fisico; la privacy dei
comportamenti personali, comprendente molti aspetti diversi della personalità dell’individuo come le opinioni politiche, le abitudini, l’orientamento sessuale, la famiglia; privacy delle comunicazioni in tutte le forme, telematiche e non; privacy dei dati personali, consistente cioè nella pretesa legittima del soggetto che i propri dati personali non vadano automaticamente a finire nella disponibilità di altri individui od organizzazioni, e che se anche lo fossero, egli possa esercitare forme di controllo efficaci su tali dati.
Molto più recente e minuziosa è un’altra scomposizione del diritto alla
privacy, stavolta in sette diverse dimensioni, elaborata da Rachel L.
Finn, David Wright e Michael Friedewald nel 2013 nell’articolo Seven
Types of Privacy : privacy della persona; privacy del comportamento 68
e dell’azione; privacy della comunicazione; privacy dei dati e dell’immagine; privacy dei pensieri e dei sentimenti; privacy della collocazione e dello spazio; privacy dell’associazione (compresa la
privacy del gruppo).
Ciò che risulta immediatamente evidente è che la protezione dei dati viene inclusa nel più ampio concetto di privacy. In realtà, come vedremo, si è arrivati negli ultimi anni a considerarli separatamente.
R. L. FINN, D. WRIGHT, M. FRIEDEWALD, Seven types of privacy, Fraunhofer
68
Institute for Systems and Innovation Research, from he SelectedWorks of Michael Friedewald, 2013.
1.8.1. Privacy e protezione dei dati personali
Uno degli effetti comuni della Rivoluzione digitale, quantomeno a livello terminologico, è l’utilizzo dei concetti di privacy e di protezione dei dati personali come sinonimi, o comunque come facce della stessa medaglia. In realtà, non è del tutto così.
La privacy, come abbiamo visto, è un concetto relativamente recente seppur frutto di una lunga evoluzione storica caratterizzata da mutamenti progressivi nella vita e nella consapevolezza dei soggetti. Proprio il termine evoluzione costituisce il punto di partenza per capire le ragione della non correttezza di un utilizzo perfettamente alternativo di privacy e protezione dei dati personali. Possiamo infatti ritenere che il concetto di protezione dei dati personali sia frutto di un’evoluzione di quel concetto di privacy nato come diritto borghese a escludere soggetti esterni dalla propria sfera privata, diventato col tempo diritto a mantenere il controllo sui propri dati personali.
L’evoluzione dall’originario concetto di privacy all’odierno concetto di protezione dei dati personali non è ovviamente casuale, bensì, come ha osservato Rodotà, “corrisponde a un mutamento profondo delle
modalità di invasione della sfera privata” . 69
Oggi infatti dobbiamo far fronte a forme totalmente diverse di violazione che sono frutto della rivoluzione digitale, della diffusione di internet, dei motori di ricerca e soprattutto, in tempi recenti, dei social
media, forme assai distanti dalle invasioni denunciate da Warren e
Brandeis, dagli autori successivi, così come dalla prima giurisprudenza statunitense in materia. Si tratta cioè della diretta conseguenza di una vita umana a contatto con la tecnologia, in una società con possibilità e rischi non molto distanti da quelli previsti da George Orwell nel 1949
S. RODOTÀ, Il mondo nella rete. Quali i diritti, quali i vincoli, Laterza, 2014, pag
69
seppur con le dovute proporzioni. Ogni giorno, senza impiegare più di qualche minuto, lasciamo in rete un’infinità di informazioni personali senza sapere con assoluta certezza da chi e come saranno trattate o a chi verranno trasferite.
La protezione dei dati personali non coincide perfettamente con il diritto alla privacy, seppure vi siano dei punti d’incontro. Da un lato, la
privacy è un concetto più ampio perché riguarda anche, ma non solo, i
dati personali. Dall’altro, la protezione dei dati personali è più ampia perché i dati personali sono protetti anche quando non violano la
privacy . Ad esempio, se una persona rivelasse ad un terzo un segreto 70
confidatogli da un amico, violerebbe la sua privacy ma non si tratterebbe di un problema relativo ai dati personali. Al contrario, se un’organizzazione o una società dovessero avviare una raccolta di una quantità cospicua di dati relativi a un determinato soggetto, si presenterebbe un problema di protezione dei dati che non necessariamente andrebbe a coincidere con la difesa della privacy dell’individuo interessato, ma eventualmente con esigenze di interesse collettivo. Entrambe possono coesistere, ma possono anche prendere direzioni diverse.
A tal proposito possiamo citare - riservando l’approfondimento al capitolo successivo - la Carta dei diritti fondamentali dell’Unione Europea , la quale dedica due articoli distinti alla privacy e alla 71
protezione dei dati, rispettivamente previste agli artt. 7 e 8, andando da un lato a tenerli distinti seppur entrambi meritevoli di tutela, e dall’altro lato a qualificare la protezione dei dati personali quale diritto fondamentale.
C. FOCARELLI, La privacy. Proteggere i dati personali oggi, Il Mulino, Bologna,
70
2015, pag. 36 - 37.
Carta dei diritti fondamentali dell’Unione Europea (2000/C 364/01), in https://
71
1.8.2. I dati personali e i nuovi concetti dell’Era digitale
Come ogni grande cambiamento che negli anni ha interessato la storia del diritto con nuovi istituti, nuovi diritti e nuove forme di protezione, il vocabolario dei giuristi e delle corti si è arricchito di nuovi termini e nuovi concetti entrati col tempo nell’uso comune del mondo giuridico. Chiaramente ciò vale anche e soprattutto per la Rivoluzione digitale, che ha inaugurato una serie di nuovi termini e nuovi concetti per descrivere operazioni bisognose di discipline aggiornate e al passo con la mutevolezza del diritto dei nostri tempi. Si tratta cioè di termini indispensabili per comprendere le nuove sfide del diritto in relazione alla protezione dei dati personali, ed ai quali accenneremo brevemente di seguito per quanto è di interesse alla trattazione. Analizzeremo in particolare due concetti essenziali quanto complessi per affrontare la materia: big data e cloud computing.
1.8.2.1. I Big Data
Il termine big data rientra fra quei termini di recente coniazione che non può ancora essere ricondotto ad un’unica definizione, poiché ogni tentativo di racchiudere il concetto entro confini ben definiti si scontra con l’evoluzione rapida delle tecnologie e delle forme di raccolta, con il rischio che ogni tentativo di definizione diventi obsoleto.
Tuttavia, cercando di dare una definizione sufficientemente esaustiva in relazione al nostro interesse, possiamo affermare che con il termine
big data si intende far riferimento alla raccolta, alla detenzione ed alla
elaborazione di grandissimi quantitativi di dati attraverso le nuove tecnologie a disposizione, che non necessariamente sono dati sensibili
sugli individui ma anche dati anonimi che non influiscono direttamente sulla privacy, poiché oramai il novero dei dati oggetto del fenomeno è difficilmente delimitabile. In particolare, l’aggettivo big fa riferimento alle c.d. “3 Vs” che caratterizzano il fenomeno: il volume senza 72
precedenti dei dati personali raccolti ed elaborati; la velocità della raccolta e dell’elaborazione dei dati; la varietà delle fonti dei dati. I rischi connessi alla raccolta ed alla elaborazione dei big data sono molteplici. Innanzi tutto, la possibilità di raccogliere ed elaborare grandi masse di dati rischia di svuotare il significato del consenso alla raccolta ed al trattamento degli stessi, anche perché raramente chi acconsente è davvero consapevole di ciò per cui concede il proprio consenso. Altri fattori di rischio derivano dalla “vita” effettiva dei dati in rete, in particolare per quanto concerne i social network. A tal proposito venne pubblicato il 19 marzo 2018 sul The Guardian un 73
articolo a seguito dello scandalo Cambridge Analytica sull’uso, da parte di tale società di consulenza, delle informazioni personali acquisite su 50 milioni di utenti statunitensi da Facebook senza autorizzazione. In questo articolo veniva affrontato il tema dei tempi per la cancellazione da Facebook, evidenziando come la semplice disattivazione dell’account non producesse alcuna eliminazione di dati, ma che il processo realmente efficace consisteva e consiste tutt’ora in una prima fase di due settimane per la cancellazione del solo profilo, e in seguito un processo di ben 90 giorni per ottenere la cancellazione dei propri dati dal sito.
Altro problema ancora riguarda la non coincidenza tra l’essere e il
Big data: seizing opportunities, preserving values, Executive Office of the
72
President, May 2014 in https://obamawhitehouse.archives.gov/sites/default/files/ docs/big_data_privacy_report_may_1_2014.pdf , pag. 4.
Alex Hern, How to protect your Facebook privacy…or delete yourself completely,
73
The Guardian, Monday 19 March 2018, consultabile su https://
www.theguardian.com/technology/2018/mar/19/how-to-protect-your-facebook- privacy-or-delete-yourself-completely?CMP=Share_iOSApp_Other .
dover essere dell’uso dei dati personali. In particolare ed in linea teorica, secondo gli standard del diritto internazionale in materia, i dati dovrebbero essere utilizzati solo per le finalità per le quali sono stati raccolti, tuttavia ciò si scontra con la realtà che invece parla di utilizzi a volte molto distanti da quelli originariamente previsti o dichiarati, portando a volte a risultati inattesi. Ciò dimostra l’inadeguatezza di alcuni degli standard previsti e la necessità di nuove regole al passo con i tempi, pur tenendo conto delle estreme difficoltà.
1.8.2.2. Il Cloud computing
Il cloud computing consiste nella conservazione dei dati, personali e non, in una “nuvola” online, ossia dei server gestiti da società private che si trovano in uno o nell’altro Stato, e comunque accessibili online da ogni angolo del pianeta. Gli utenti possono così memorizzare e conservare i loro dati, nonché il software che fa funzionare i loro computer, in un server remoto in qualsiasi momento e ovunque si trovino . Il vantaggio del cloud computing è abbastanza immediato, e 74
consiste cioè nel rendere possibile accedere ai propri dati senza il bisogno del proprio computer. I rischi, tuttavia, sono altrettanto immediati. Una volta che i dati sono archiviati nel cloud, il controllo su di essi sfugge al titolare, e i fornitori dei servizi di cloud computing possono trasferire i dati da uno stato all’altro, da una giurisdizione all’altra, senza alcun avviso al soggetto titolare, andando in un certo senso a modellare caso per caso le condizioni d’uso e le politiche di
privacy. In molte situazioni, i provider di cloud computing sono
vulnerabili alle decisioni prese dagli intermediari di Internet.
C. FOCARELLI, La privacy. Proteggere i dati personali oggi, cit., pag. 18.
Indipendentemente dal grado di protezione promesso dal fornitore di servizi cloud, la sicurezza e la riservatezza delle informazioni personali sono determinate in ultima analisi dall'anello più debole della catena. Poiché sono diversi gli intermediari di fatto coinvolti nel trasferimento e nell'archiviazione di informazioni personali nel cloud, è sufficiente che anche soltanto uno di essi commetta un errore per avere una incontrollata divulgazione di informazioni private. Allo stesso tempo i fornitori di servizi cloud sono anche vulnerabili ai programmi di sorveglianza governativa. Questo perché trasferiscono grandi quantità di dati personali sull’internet pubblico per archiviarli nel cloud e in molti casi possono continuare a trasferirli sull’internet pubblico tra diverse parti del cloud.
Queste procedure rendono quasi impossibile per un utente finale dire con assoluta certezza in quali giurisdizioni verranno instradati i dati personali. Di conseguenza diventa anche molto difficile per gli utenti del cloud computing accertare a quali programmi di sorveglianza governativa potrebbero essere soggetti ai loro dati . 75
Come avvertimento ed esempio circa i potenziali rischi del cloud
computing si pensi allo scandalo avvenuto a metà 2011 e che ha
riguardato i cittadini della Repubblica di Corea, i quali hanno subito la più grande perdita di dati personali nella storia del paese. Fu la SK Communications Co. ad informare il pubblico che le informazioni personali di 35 milioni di clienti erano state violate principalmente attraverso il social network Cyworld, uno dei più grandi siti web della Repubblica di Corea, aprendo la strada al furto di una quantità enorme di informazioni personali che includevano nomi utente, password, numeri di previdenza sociale, numeri di cellulare, indirizzi e-mail e
Toby Mendel, Andrew Puddephatt, Ben Wagner, Dixie Hawtin, Natalia Torres,
75
Internet privacy and freedom of expressIon, UNESCO SERIES ON INTERNET FREEDOM, in https://unesdoc.unesco.org/ark:/48223/pf0000218273, pag. 31.
fotografie personali.
1.8.3. Il web 2.0: i social network
Con il termine web 2.0 si suole fare riferimento alla seconda fase di sviluppo e diffusione di internet, caratterizzata da un forte incremento delle interazioni e del ruolo e della partecipazione dell’utente che spesso diventa anche autore, e non soltanto semplice fruitore, in virtù della maggiore facilità di condivisione e scambio di informazioni. Ciò che notoriamente ha permesso alla maggioranza degli utenti di internet di poter essere parte integrante del web 2.0 è la diffusione dei social network. Questo soprattutto perché l’utilizzo di un social network non richiede particolari competenze, i meccanismi sono particolarmente intuitivi e la forbice di utenti ormai si è allargata al punto da comprendere persone di ogni età.
Facebook è l’esempio più eclatante e più rappresentativo nella categoria, che per l’appunto deve il suo successo soprattutto alla semplicità di utilizzo unitamente alla gratuità del servizio, e rimane ancora oggi il social network con il maggior numero di utenti.
Un altro elemento essenziale per la diffusione dei social è certamente quello del “costo sociale” del non esserne parte, che si collega al fattore della dipendenza. Il fatto di non far parte di un social network viene da molti percepito come un fatto escludente in senso negativo, una condizione degradante: “se tutti sono lì, allora per esistere bisogna esserci” . Non è raro che utenti attivi decidano in un primo 76 momento di disattivare i propri account - soprattutto alla luce dei recenti scandali - per poi riattivarli a distanza di poco tempo. Ciò fa sì
C. FOCARELLI, La privacy. Proteggere i dati personali oggi, cit., pag. 22.
che, dato il prezzo da pagare a livello sociale per l’uscita da un social network, molti utenti vi rinunciano, al punto di accettare politiche di privacy che non condividono o semplicemente ignorandole ed accettandole ad occhi chiusi. La dipendenza da social network accresce il potere dei gestori che possono permettersi di modellare le politiche di privacy perfettamente consapevoli del fatto che difficilmente gli utenti diminuiranno sensibilmente.
Questi fattori sono determinanti in relazione all’aspetto economico dei social network, che permette di spiegare le ragioni della gratuità dei servizi. Ciò è spiegato in modo semplice in un vademecum del nostro Garante per la protezione dei dati personali: “le aziende che gestiscono i social network generalmente si finanziano vendendo pubblicità mirate. Il valore di queste imprese è strettamente legato anche alla loro capacità di analizzare in dettaglio il profilo degli utenti, le abitudini e i loro hobby, ma anche le condizioni di salute e l’orientamento politico o sessuale, le reti di contatti, per poi rivendere le informazioni a chi se ne servirà per promuovere offerte commerciali specifiche o per sostenere campagne di vario genere. Le informazioni raccolte su di te sono infatti usate per monitorare e prevedere i tuoi acquisti, le tue scelte, i tuoi comportamenti. E ricorda: anche nel web, dietro l’offerta di un servizio “gratuito”, si nasconde lo sfruttamento per molteplici scopi dei tuoi dati” . Cosa significa questo? Significa 77 che gli utenti, per l’utilizzo dei servizi dei social network, non pagano un corrispettivo in denaro, bensì in dati, e il rapporto economico è soltanto tra il gestore del social network e i pubblicitari o gli acquirenti di dati personali in generale. Di conseguenza, il sistema incentiva gli utenti a inserire sempre più dati e sempre più personali, ossia il più
"Social Privacy. Come tutelarsi nell’era dei social network”, Garante per la
77
protezione dei dati personali, consultabile in https://www.garanteprivacy.it/ documents/10160/2416443/Social+privacy.
possibile attinenti alla persona. Senza i dati personali e questo complesso meccanismo il social network non è finanziariamente sostenibile, di conseguenza sarebbe costretto a chiudere, oppure, in alternativa, ad imporre il pagamento di abbonamenti.
Un tema centrale, poi, è quello del consenso degli utenti alla raccolta ed al trattamento dei propri dati sui social. Spesso si sostiene che i social non creino problemi di privacy in virtù della possibilità concessa agli utenti di esprimere il loro consenso, il che presupporrebbe però che essi conoscano le politiche di privacy dei gestori, che si impegnino a leggerle e che abbiano le capacità per capirle. In realtà, in virtù della complessità della materia, spesso non solo la maggior parte degli utenti non ha le conoscenze adeguate per capire ciò a cui dovrebbero prestare il proprio consenso, ma nemmeno si soffermano sulla lettura. Va da sé che, tenendo anche conto del fatto che non è permesso decidere quali condizioni accettare e quali no, bensì si possono o accettare o rifiutare in blocco, il tema del consenso diventa essenzialmente illusorio se consideriamo l’informazione adeguata come requisito essenziale. Inoltre, come nota Focarelli, “va aggiunto che anche ad ammettere che i suddetti presupposti siano soddisfatti, rimane possibile ai social network cambiare le politiche di privacy unilateralmente e senza avviso” . 78
I rischi, tuttavia, si estendono anche al di fuori del social network, considerando che anche per i non iscritti è possibile, tramite una semplice digitazione sui motori di ricerca, entrare in possesso delle fotografie pubblicate da un utente sul proprio profilo social, così come accedere alla lista dei contatti e ad alcune informazioni personali quali il luogo di residenza o la data di nascita.
Lo scenario che si apre è certamente preoccupante, gli scandali degli
C. FOCARELLI, La privacy. Proteggere i dati personali oggi, cit., pag. 23.
ultimi anni in tema di trattamento dei dati personali hanno molto accentuato le pretese degli utenti per una protezione più efficace, ed hanno dato una scossa alle istituzioni soprattutto comunitarie, si pensi soltanto all’audizione del CEO di Facebook Mark Zuckerberg alla Conferenza dei Capigruppo del Parlamento Europeo a poche 79
settimane dallo scandalo Cambridge Analytica.
L’Unione europea, più attenta al tema, ha cercato di far fronte ai rischi del mondo dei social network cercando di dar vita a soluzioni normative adeguate. Avremo modo a tal proposito di affrontare l’evoluzione del diritto comunitario in materia di privacy e di protezione dei dati personali e delle risposte che le istituzioni sono riuscite a dare a quegli elementi preoccupanti che abbiamo visto.