Le questioni aperte e gli obiettivi posti hanno richiesto una necessaria e imprescindibile configurazione iniziale del progetto di ricerca consistente nell'inquadrare come oggi possano essere concettualizzate la privacy e la protezione dei dati personali sulle quali le disruptive technologies e gli schemi di trattamento data intensive avviati con dati forniti volontariamente dall'utente, oltre ad eliminare la perimetrazione tra la sfera privata e quella pubblica hanno di fatto esercitato una sorta di evoluzione ontologica.
I requisiti della privacy e della protezione dei dati personali riflettono il differenziarsi della nozione di sfera privata, dilatatasi sotto la spinta delle nuove tecnologie e in risposta ad un mutato ruolo del soggetto interessato. Tecnologie che hanno fin dall'inizio hanno orientato le originarie coordinate legali della privacy, configurandola come diritto ad essere lasciati (da) soli (the right to be let alone)23. La figura che segue è stata prodotta per esemplificare graficamente questa contingente evoluzione.
Figura i.1: Evoluzione del concetto di Privacy e di protezione dei dati personali Procedendo in senso orario, viene evidenziato il passaggio da una privacy che:
1. riflette il requisito della riservatezza e del possesso individualistico delle proprie informazioni: un presidio esclusivo di una sfera privata ben perimetrata;
2. ad una privacy intesa come protezione dei propri dati personali: un controllo sulle proprie informazioni - nella loro dinamicità e libera circolazione; un controllo che ogni persona può esercitare24 non solo per seguire i propri dati ovunque essi si trovino25 ma anche per poterli portare ovunque. Si passa, quindi e ciclicamente, da un diritto individualistico, statico e limitato (al limite esclusivo e negativo) ad un diritto relazionale, dinamico, allargato (condiviso tra tutti i soggetti interessati e positivo); un diritto che attiene oltre la titolarità di gestione (al limite il possesso) anche il formato e le caratteristiche dei dati personali26;
3. un controllo che diventa governo delle proprie informazioni nella misura un cui ogni soggetto interessato diventa utente centrale e consapevole a concorrere – nel modo più semplice possibile e secondo un approccio orizzontale, alla configurazione dei vincoli di raccolta, di successivo trattamento e delle finalità di (ri)utilizzo;
4. infine, una forma di protezione qualitativa che sempre più intreccia le prerogative di controllo di tutti i soggetti interessati con le caratteristiche, il significato e la relazione semantica tra i dati; e che assume il significato di assicurazione e garanzia se la si considera strumento di salvaguardia della veridicità e del valore delle proprie informazioni personali.
Una forma di assurance delle informazioni personali intese come bene prezioso che l'utente espone in pubblico sotto la duplice spinta posta da un rivoluzionato modo di comunicare e condividere contenuti, e dal desiderio di riaffermare se stesso in un mondo digitale che tendenzialmente affianca alla tipizzazione degli oggetti anche quella delle persone.
In questo contesto il ripristino del possesso dei dati personali può essere attuato: i) ricorrendo ad un rilascio di informazioni (personali) sempre più sottratto di dati identificativi (e di cui l'anonimizzazione è il limite); ii) esercitando un sorta di disconnessione virtuale mediante l'esercizio congiunto dei diritti di cancellazione e portabilità dei dati personali; o iii) con una vera e propria disconnessione27.
Questo passaggio si è rivelato fondamentale per completare la finalizzazione dell'obiettivo principale al quale corrisponde un contributo di carattere concettuale consistente
24 Art. 1 del CODICE, Diritto alla protezione dei dati personali.
25 STEFANO RODOTÀ, Il mondo nella rete. Quali i diritti quali i vincoli. Editori Laterza, cap. 4, pag. 29.
26 Art. 20 del GDPR, Diritto alla Portabilità dei Dati
27 In argomento cfr: Emanuele Dagnino, ricercatore Adapt «Disconnettersi » è un diritto?, Ottobre 2016
http://job24.ilsole24ore.com/news/Articoli/2016/10/smart-working-dagnino-diritto-disconnessione-video.php? uuid=5fc9be7e-871b-11e6-a440-ad9d3e9fab97&DocRulesView=Libero, Smart working -
nel mettere a sistema, sulla base delle più importanti posizioni rintracciate in letteratura, gli elementi del contesto di riferimento al quale - oltre all'evoluzione del concetto di privacy, concorrono: a) una profonda rimodulazione della centralità dell'utente rilevabile sia in fase di disclosure delle informazioni personali, sia in fase di impostazione delle preferences di privacy; b) la caratterizzazione del dato personale tanto per la sua funzione identificativa del soggetto interessato, tanto per i requisiti di qualità, tanto per la necessità di un suo ripensamento descrittivo e di formato.
Gli ulteriori contributi della tesi possono essere distinti in uno di carattere analitico e uno di carattere applicativo.
Il primo è connesso a: a) illustrare le limitazioni delle azioni regolatorie - sia tecniche che normative, nella misura in cui le prime – distinte in misure di sicurezza, in misure basate su politiche d'uso e in Privacy Enhancing Technologies – mancano di un sistema implementativo unitario e comprensivo; e le seconde mantengono un approccio alla protezione dei dati personali di tipo top-down, in cui il rafforzamento del principio dell'accontability dei titolare e del responsabile non risulta essere stato contro-bilanciato da un parallelo empowerment del soggetto interessato; b) suggerisce nuove vulnerabilità di privacy in contesti distinti da una forte inferenza informativa (quantitativa e qualitativa) e da una pluralità titolari e di soggetti interessati. Queste sono state individuate: nell'asimmetria informativa tra chi produce le informazioni e chi le sfrutta; nella massimizzazione quantitativa dei dati utilizzati; nel mantenimento degli indicatori di qualità del consenso; nel proliferare delle incontrollate finalità di utilizzo; nella perdita di controllo sulle informazioni personali, nell'eccesso di esposizione del soggetto interessato.
Il secondo contributo propone una Proof of Concept rispetto e a supporto della validità delle argomentazioni di cui al precedente punto ii.b.: utilizza come contesto applicativo l'App WhatsApp Messenger, modella la rubrica contatti di un utente WhatsApp come un Personal Data Store a soggetti multipli (Multiple Subjects Personal Data Store), propone un modello implementativo di supporto in cui vengono intersecate le regole d'uso di ogni utente. Nello specifico viene dimostrato: a) la carenza di trasparenza e informativa in ragione di ambiguità e lacune rintracciate nel Privacy Notice regolatorio esposto da WhatsApp; b) l'effettiva ricorrenza di alcune nuove vulnerabilità (asimmetria informativa, eccesso di dei dati personali utilizzati) esemplificandone le relative implicazioni di rischio (perdita di controllo sui dati ed eccesso di esposizione dell'utente) per i dati personali rilasciati e condivise tramite l’App; c) quindi, il possibile superamento delle criticità premesse, mediante la scrittura di regole d'uso user-centric di tipo Sticky Privacy Policies. Questa scelta sfrutta la prerogativa delle Sticky Privacy Policies –
quale contenitore di regole di utilizzo definite dall'utente ed integrato ai dati controllati, di poter essere agganciate alla lista contatti di un utente, consentendo a questi di filtrare – in fase di disclosure, il rilascio di informazioni personali gestite dall'App mantenendone il controllo durante il successivo utilizzo.
In chiusura viene proposto un set di nuovi descrittori semantici associabili ad altrettante proprietà del dato personale, affinché la modellazione ricavabile supporti, in prospettiva, una ottimale definizione e esecuzione di politiche di privacy di tipo user e data centric.
Prestando coerenza con la declaratoria delle caratteristiche e delle finalità del curriculum Informatica giuridica e diritto dell’informatica del programma di Dottorato di Ricerca in Diritto e Nuove Tecnologie XXIX ciclo nell’ambito del quale è stato svolto il lavoro - il profilo della ricerca ha mantenuto una dimensione più tecnica che giuridica optando per una disamina iniziale orientata alle criticità, e assumendo come “stella polare” il ricalibrato quadro giuridico comunitario - in atto con la promulgazione e l'entrata in vigore del GDPR 2016/679.
Questo approccio ha consentito di cogliere sia le questioni sulla protezione dei dati personali ritenute ancora aperte nel GDPR e dalle quali la ricerca ha preso spunto per ragionamenti e ipotesi, sia le indicazioni innovative indirizzanti un deciso cambio di prospettiva le quali si sono rivelate utili per inquadrare e supportare le proposte formulate; tra queste indicazioni rientrano sicuramente la definizione di violazione del dato personale, la caratterizzazione del trattamento in termini di qualità dei dati per la quale si rivelano strumentali il privacy by design (intesa come misura di minimizzazione) e la portabilità dei dati (intesa come misura di interoperabilità).
Parimenti si è rivelata importantissima per indirizzo e riscontro la consultazione di alcune calls progettuali sul tema inserite nel programma Europeo Horizon 202028 e dei pareri emessi dal Gruppo di Lavoro ex. Art. 2929.
28 In argomento la pubblicazione della calls H2020 è disponibile su: https://ec.europa.eu/programmes/horizon2020/en/h2020- section/secure-societies-%E2%80%93-protecting-freedom-and-security-europe-and-its-citizens; l’aggiornamento dei progetti finanziati su: http://cordis.europa.eu/programme/rcn/664463_en.html
29 In argomento la lista dei pareri e delle raccomandazioni prodotte dal Working Party ex art. 29 (oggi Comitato Europeo per la protezione dei dati) sono pubblicati su: