• Non ci sono risultati.

L A PERDITA DI CONTROLLO E DI FIDUCIA

3. I L QUADRO NORMATIVO ITALIANO

1.2 L A PERDITA DI CONTROLLO E DI FIDUCIA

Come confermato da una indagine Eurobarometro2, la profilazione, il

data mining e gli sviluppi tecnologici hanno mostrato le potenzialità dei dati personali, rendendo ancora più importante per gli individui la possibilità di avere il controllo dei propri dati personali. Infatti, i moderni sistemi di elaborazione riducono drasticamente la capacità dell’utente di comprenderne il funzionamento, ovvero essere a conoscenza del trattamento e quindi di poterlo rifiutare.

In relazione alla profilazione, la Direttiva 95/46/CE conferisce agli individui il diritto di non essere oggetto di una decisione basata unicamente su un trattamento automatizzato di dati destinati a

2 Commissione Europea, SPECIAL EUROBAROMETER 359. Attitudes on Data Protection and Electronic Identity in the European Union, Report, Bruxelles

CAPITOLO III

55

valutare gli aspetti personali della persona interessata3. Questa

salvaguardia si applica solo alle decisioni basate "esclusivamente" su un trattamento automatizzato, di modo che vi è il rischio che il limite sia facilmente aggirato inserendo un intervento umano meramente formale nel processo decisionale non avente alcuna influenza sul relativo esito.4

Con le tecnologie attuali, è possibile raccogliere ed elaborare dati personali ovunque, in qualsiasi momento e in molte forme differenti.5

L’utilizzo dei dati personali così generati comporta indubbi benefici per l’individuo, ma contrasta con la preoccupazione del medesimo di

3 Art. 15, Direttiva 95/46/CE.

4 Esempi di tali procedure comprendono le condizioni di un contratto di

servizio telefonico o di assicurazione, nei quali le condizioni e le tariffe sono regolate sulla base di un punteggio del potenziale cliente sulla base di dati generali ed individuali, legati al medesimo. Mentre la decisione di fare una specifica offerta è formalmente fatta con il personale di vendita, la cui decisione è predefinita dal risultato del sistema automatizzato, in modo che non vi sia effettivamente alcun margine di decisione da parte del personale. Ciò si rispecchia anche nelle pratiche di marketing che prevedono la creazione di profili target per un uso più mirato della pubblicità.

5 Per esempio, al giorno d'oggi i dispositivi mobili possono facilmente

ottenere informazioni sulla posizione geografica degli individui in tempo reale da molti mezzi tecnologici diversi. I servizi basati sulla geolocalizzazione sono considerati una delle aree più dinamiche nell'innovazione. I servizi basati sulla localizzazione sono in grado di fornire notevoli benefici agli individui, per mezzo di ottimi algoritmi di navigazione in tempo reale, possono considerare la densità di traffico e la congestione, fornendo velocemente più rotte con un consumo di carburante ridotto rispetto ai sistemi statici, e all’evenienza la possibilità di una più reattiva segnalazione ai servizi di emergenza in base a precise informazioni sulla posizione in tempo reale, fino ai servizi pubblicitari nelle immediate vicinanze del singolo destinatario. Sempre in relazione all’utilizzo dei dati relativi alla geolocalizzazione, essi vengono sfruttati anche dai motori di ricerca e dai social network, al fine di poter dare risposte più precise agli utenti delle piattaforme, con ricerche più funzionali e mirate in relazione alla richiesta. D'altra parte, le informazioni sulla posizione possono essere conservate per creare profili di movimento degli individui contenenti informazioni su ogni loro mossa, ad un livello di dettaglio e per un periodo più lungo di quello che l’individuo stesso potrebbe ricordare.

CAPITOLO III

56

essere oggetto di monitoraggio costante della propria vita.

Durante l’utilizzo dei servizi online, gli individui sono associati ad identificatori tecnici forniti dai loro dispositivi, dalle applicazioni, dagli strumenti e dai protocolli6 utilizzati, lasciando tracce della loro

attività a ciascun server con il quale comunicano. Questo registro di interazione connesso ad altre informazioni ricevute dai server (ad esempio tempo e tipologia di interazione, dati di posizione ecc.), possono essere utilizzati per costruire una traccia molto dettagliata dell'attività online di un individuo. Anche senza un nome o altro tradizionale attributo di identificazione, è spesso possibile identificare in modo efficace la persona cui si riferiscono i dati.

Il fatto che importanti titolari del trattamento che operano nel mercato digitale siano stabiliti al di fuori dell'UE rende ancora più difficile per le persone a mantenere il controllo sui propri dati ed esercitare efficacemente i loro diritti.

Gli Stati Membri applicano diverse interpretazioni riguardanti l’uso di “strumenti” 7 sul territorio degli stati, a cui si aggiunge

l’interpretazione in merito all’identificazione del titolare effettivo e la distinzione tra titolari e responsabili. Inoltre, anche nei casi in cui sia stabilita l'applicabilità della normativa UE, l'applicazione delle leggi sulla protezione dei dati, le misure amministrative e le decisioni rimangono problematiche. Anche quando parti delle apparecchiature

6 Come ad esempio gli indirizzi IP o MAC, i cookies, i device fingerprint, IMEIs

ecc.

7Article 29 Data Protection Working Party, Opinion 8/2014 on the on Recent Developments on the Internet of Things, WP n. 223, 16 settembre 2014.

CAPITOLO III

57

utilizzate per il trattamento si trovano all'interno dell'UE, le autorità con sede nell’UE di solito non hanno i mezzi per far rispettare le decisioni o le sanzioni contro entità il cui stabilimento principale è al di fuori del territorio di loro competenza. Esse possono anche incontrare difficoltà nel far rispettare il requisito di base per l’istituzione di un rappresentante UE per i titolari del trattamento non stabiliti nella UE, ma soggetti alla legislazione UE. In particolare nei casi in cui i servizi sono chiaramente personalizzati in relazione ai cittadini di un determinato Stato membro dell'UE, utilizzando la lingua di quello Stato e l'adattamento alle relative preferenze culturali, al fine di ottenere ricavi dalla pubblicità su marchi, prodotti e servizi locali, di solito non è nemmeno possibile per il cittadino riconoscere che colui che svolge il trattamento possa essere sottoposto ad una legislazione con un’adeguata protezione dei dati personali8.

Nel caso in cui vengano raccolti da un soggetto stabilito nella UE che fa parte di un gruppo internazionale o che agisce per conto di un fornitore di servizi principale al di fuori dell'UE, la prestazione di servizi è spesso basata sul trasferimento di alcuni o di tutti i dati personali raccolti presso centri di trattamento al di fuori dell'UE. In linea di principio, tali trasferimenti verso paesi terzi sono subordinati al rispetto di condizioni che richiedono l’osservanza di adeguati

8 Art. 25 Direttiva 95/46/CE: “1. Gli Stati membri dispongono che il

trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva”.

CAPITOLO III

58

livelli di protezione dei dati dal soggetto che riceve in un paese terzo. Dal punto di vista di un individuo, è importante sapere se il responsabile – ad esempio come fornitore di un servizio sul web – si attenga alle condizioni e ai requisiti di legge, e, se del caso, come ottenere supporto in caso di sospetta violazione delle norme.

Documenti correlati