L’utilizzo di dati ricavati dai social media attraverso l’elaborazione dei big data, da parte delle Pubbliche amministrazioni, consente sicuramente di raggiungere un significativo margine di sicurezza in termini di affidabilità delle previsioni e di risultati di indagine. Ad ogni modo sono ancora evidenti alcuni ostacoli che si incontrano nell’affidarsi completamente a questo tipo di analisi. Oltre ai limiti rappresentativi dovuti al fatto che l’utilizzo dei social media e degli strumenti informatici e digitali sia ancora distribuito in maniera non uniforme tra le fasce di età ed i problemi organizzativi legati alle tecnologie ed alle risorse umane necessarie a questi sofisticati strumenti di indagine, troviamo anche ostacoli di natura giuridica, sia nel privato, in particolare nel settore della concorrenza, sia nell’ambito pubblico su cui ci soffermeremo maggiormente.
Molto significativo e denso di sfumature è l’aspetto del consenso dell’interessato e le modalità con cui questo consenso è ottenuto dal titolare del trattamento; si prenda ad esempio la descrizione di consenso dell’interessato contenuta nell’art. 4 del GDPR al punto 11, ossia “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. Ognuno dei requisiti elencati presenta rischi
84 http://www.csipiemonte.it/web/it/comunicazione/16-comunicati-stampa/1370-csi-piemonte-e- lepida-insieme-per-i-big-data, ultimo accesso: 08/01/2019.
89
che nell’ambito dei social media possono assumere contorni non chiaramente definiti. Il consenso presuppone che all’interessato siano fornite le necessarie informazioni affinché la decisione sia quanto più possibile consapevole, attraverso, se necessario, che le richieste di consenso siano separate tra loro in base alla materia cui si riferiscono, piuttosto che inglobate in un’unica dichiarazione. Significativa è anche la modalità di manifestazione del consenso. Si è espresso al riguardo, nel parere 15/2011, il Gruppo Articolo 29 definendo come il consenso necessiti di essere fondato su dichiarazioni o azioni “inequivocabili”, sottolineando dunque l’importanza che l’interessato adotti un comportamento attivo nella manifestazione del proprio consenso, non limitandosi a un comportamento inerziale. Ciò comporta che l’approvazione del trattamento non debba essere mai una scelta preselezionata dal sistema come scelta di default. Già questi brevi cenni fanno sorgere alcune domande sulla misura in cui nella prassi quotidiana di milioni di utenti, tali requisiti siano o meno soddisfatti. Non è immediato infatti definire come adesione completamente “libera” il consenso fornito come requisito indispensabile per poter accedere a servizi di comunicazione che ad oggi sono informalmente obbligatori in molti ambiti delle nostre attività. Allo stesso modo sorgono molti dubbi sul soddisfacimento del requisito di specificità e chiarezza dei termini di servizio delle applicazioni scaricate su smartphone. Da un’analisi svolta da 26 autorità per la privacy di tutto il mondo “Global Privacy Sweep 2014”85 su un campione di 1200 app risulta assai contenuta (15%) la
percentuale di app dotate di un´informativa privacy realmente chiara, nel 59% dei casi è stato difficile reperire un´informativa privacy prima dell´installazione e per quasi 1/3 delle app (31%) risultano problematici i termini del consenso. Allo stesso modo sorge spontaneo domandarsi se il requisito di una azione positiva e inequivocabile da parte dell’internauta per esplicitare il proprio consenso possa sostanziarsi in un semplice click su di un’icona. La finalità del trattamento in questo caso diventa l’aspetto dirimente, in quanto, qualora il trattamento stesso abbia finalità ulteriori rispetto a quelle offerte dal servizio online, il consenso potrebbe essere stato dato
85 https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3374906, ultimo accesso: 10/01/2019.
90
sottintendendo una finalità più circoscritta del trattamento e dunque necessitare un atto più specifico.
Dati personali che ricadono sotto la definizione di dati sensibili necessitano tutele ancora maggiori. Secondo l’art. 9 del GDPR, rubricato “Trattamento di categorie particolari di dati personali”, quei dati che “rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona” sono sottoposti ad un divieto generale di trattamento, salvo numerose deroghe elencate nel paragrafo 2 dell’articolo, comunque vincolate all’ottenimento di un consenso “esplicito”. Tali dati personali, come specificato dal Considerando 51, “sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali”. Da tale disposizione sono escluse le fotografie, poiché esse “rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l'identificazione univoca o l'autenticazione di una persona fisica”. Appare evidente come il rilascio del consenso per il trattamento di questa specifica categoria di dati, in quanto vincolato ad un requisito più stringente rispetto alla normale categoria dei dati personali, dovrà essere separato da ogni altra attestazione di consenso fornita.
Altro aspetto giuridicamente controverso dell’utilizzo dei big data da parte delle pubbliche amministrazioni è l’impatto sull’istruttoria del procedimento e sulla partecipazione. Possono i big data costituire il mezzo per acquisire gli interessi pubblici e privati e accertare i fatti al fine di un adeguato e sollecito svolgimento dell’istruttoria come specifica l’art. 6 della Legge sul procedimento amministrativo? Se la riduzione dell’asimmetria informativa in cui l’amministrazione si trova a operare e la legittimazione della decisione, di cui l’amministrazione ha bisogno sono due aspetti su cui indubbiamente l’utilizzo di tecnologie per l’elaborazione dei dati vanno a influire positivamente, un simile accostamento del procedimento amministrativo a un
91
procedimento scientifico potrebbe comprimere inaspettatamente il ruolo della partecipazione del cittadino, trasformando l’amministrazione pubblica in un campo privo di opinioni dove esiste esclusivamente il principio di verità materiale.
Alla luce dello sviluppo di queste tecnologie, a cambiare non è solo il rapporto tra la pubblica amministrazione ed i cittadini; l’utilizzo dei big data può riverberarsi anche nel rapporto fra il giudice e l’amministrazione, in particolar modo considerando come l’attività decisoria del giudice si fonda sulla qualità delle informazioni a sua disposizione per valutare nel migliore dei modi la questione in giudizio. Al tempo stesso diventa sempre più complesso per il giudice valutare se l’operato dell’amministrazione attraverso i big data comporti abusi, ponendolo di fronte a questioni che intrecciano profondamente l’aspetto tecnico e l’aspetto giuridico.
Come già accennato, per poter usufruire appieno delle tecniche di big data analytics è necessario per l’amministrazione dotarsi di tecnologie moderne e funzionali ad archiviare (ed anche a produrre) questa importante mole di dati. Proprio allo scopo di archiviare ingenti quantità di dati è dunque indispensabile che l’amministrazione rinnovi i propri software di archiviazione dati, oppure che si affidi a servizi di cloud
computing, forniti da providers che consentono, tramite server remoto, di usufruire di
un analogo servizio, eliminando quindi le spese associate all'acquisto di hardware e
software e alla configurazione e gestione dei data center. Tali pratiche però pongono
in essere questioni riguardo alla opportunità giuridica di affidare dati pubblici a
providers privati, usufruendo di un servizio a pagamento, il cui accesso a tali dati può
essere interrotto dall’azienda proprietaria. Queste considerazioni fanno sorgere anche domande riguardanti la compatibilità di certi servizi con la volontà di ampliare il bacino di open data che l’amministrazione mette a disposizione del cittadino, oltre ai già evidenti problemi riguardo all’accessibilità consentibile ai cittadini quando si parla di
Big Data, sia riguardo alla fase di elaborazione sia alla sensibilità di certe informazioni.
Dagli aspetti trattati (e dalle informazioni esaminate in precedenza) possiamo facilmente individuare alcuni punti deboli dell’attuale legislazione rispetto a questi ambiti. Sappiamo, ad esempio, come attraverso la big data analytics si possa risalire ai
92
dati sensibili di una persona attraverso l’elaborazione di molti altri dati riguardanti essa che non ricadono sotto un altrettanto stringente regime di tutela, basti pensare a quanto si può scoprire di una persona attraverso strumenti quali la geolocalizzazione riguardo all’appartenenza politica, sindacale o religiosa monitorando i luoghi che frequenta, così come circa il suo stato di salute o molti altri aspetti. Evidenti preoccupazioni possono sorgere anche in merito alla dignità della persona, la quale fornisce quasi obbligatoriamente informazioni a soggetti che detengono le tecnologie necessarie per predirne i comportamenti (per lo meno in alcuni ambiti), e che sono dunque in grado di sviluppare prodotti e servizi adiacenti sia al presente che al futuro dell’individuo, in una certa misura aiutandolo, ma in una certa misura, inevitabilmente, condizionandolo.
Vi sono anche dei margini di rischio e di incertezza nella tutela dell’interessato per quanto riguarda il caso in cui il legittimo interesse del titolare del trattamento ne costituisca base giuridica. La normativa precedente al GDPR prevedeva che fosse demandato al Garante della Privacy il bilanciamento necessario fra i diritti delle parti. Il Decreto Legislativo 30 Giugno 2003, n. 196, “Codice in materia di protezione dei dati personali” prevedeva infatti, all’art. 24, lettera g), che il consenso non fosse richiesto quando il trattamento fosse necessario “nei casi individuati dal Garante sulla base dei principi sanciti dalla Legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all'attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato”. Tale lavoro di bilanciamento, con gli sviluppi apportati dal Regolamento Generale Europeo, è invece trasferito alle stesse aziende titolari del trattamento, nell’ambito di un principio di responsabilizzazione. L’applicazione diventa quindi generalizzata ed eventuali verifiche da parte dell’Autorità di controllo saranno solo successive al trattamento. Si capisce come tale margine di discrezionalità, almeno a priori, possa comportare un indebolimento della tutela dell’interessato, il cui consenso non è più necessario purché gli interessi o i suoi diritti fondamentali non prevalgano “tenuto conto delle ragionevoli aspettative nutrite dall'interessato in base alla sua relazione con il titolare del trattamento”
93
(Considerando 47, GDPR). Ulteriori modifiche sono state apportate con la Legge di bilancio del 2018 (Legge 27 dicembre 2017, n. 205, in G.U. n. 302 del 29-12-2017, Suppl. Ordinario n. 62). Ai commi dal 1020 al 1024 si sottolinea infatti che “Al fine di adeguare l'ordinamento interno al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, il Garante per la protezione dei dati personali assicura la tutela dei diritti fondamentali e delle libertà dei cittadini.” Nonostante il richiamo al GDPR però il legislatore italiano, al comma 1022, prevede che “Il titolare di dati personali, individuato ai sensi dell'articolo 4, numero 7), del regolamento RGPD, ove effettui un trattamento fondato sull'interesse legittimo che prevede l'uso di nuove tecnologie o di strumenti automatizzati, deve darne tempestiva comunicazione al Garante per la protezione dei dati personali. A tale fine, prima di procedere al trattamento, il titolare dei dati invia al Garante un'informativa relativa all'oggetto, alle finalità e al contesto del trattamento, utilizzando il modello di cui al comma 1021, lettera c). Trascorsi quindici giorni lavorativi dall'invio dell'informativa, in assenza di risposta da parte del Garante, il titolare può procedere al trattamento”. Il contrasto generatosi però con il principio di accountability espresso nel Regolamento Generale Europeo verrà risolto attraverso il Decreto Legislativo 10 Agosto 2018 n. 101 di adeguamento della normativa nazionale al Regolamento europeo in materia di protezione dei dati personali, all’art. 22, quinto comma, in cui il legislatore precisa che “A decorrere dal 25 maggio 2018, le disposizioni di cui ai commi 1022 e 1023 dell'articolo 1 della Legge 27 dicembre 2017, n. 205, che stabiliscono l’obbligo di notificare previamente i trattamenti basati sui legittimi interessi al Garante, si applicano si applicano esclusivamente ai trattamenti dei dati personali funzionali all'autorizzazione del cambiamento del nome o del cognome dei minorenni”.
Differente è la disciplina per quanto concerne il trattamento da parte dei soggetti pubblici, i quali non possono infatti contare sul legittimo interesse come base giuridica del trattamento, bensì esclusivamente (tranne in ambito sanitario) sulle previsioni di Legge. Come possiamo Leggere nel Considerando 47 del Regolamento “Posto che
94
spetta al legislatore prevedere per Legge la base giuridica che autorizza le autorità pubbliche a trattare i dati personali, la base giuridica per un legittimo interesse del titolare del trattamento non dovrebbe valere per il trattamento effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti” e ancora, all’art. 9 si specifica come il trattamento debba essere adesso non solo necessario, ma anche proporzionale alla finalità perseguita, con scopi accuratamente definiti.
Importante sottolineare anche come le previsioni contenute negli artt. 5, 12, 22 e 34 riguardo ai principi applicabili al trattamento dei dati personali, alla trasparenza per l’esercizio dei diritti dell’interessato, alla tutela dell’interessato dalle decisioni basate sul trattamento automatizzato e alla comunicazione di una violazione dei dati personali all’interessato, sono suscettibili delle limitazioni previste dall’art. 23. Tali limitazioni possono essere previste dal diritto dell'Unione o dello Stato membro cui sono soggetti il titolare del trattamento o il responsabile del trattamento. Esse devono rispettare l'essenza dei diritti e delle libertà fondamentali e devono rappresentare una misura necessaria e proporzionata in una società democratica per salvaguardare la sicurezza nazionale; la difesa; la sicurezza pubblica; la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica; altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale; la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari; le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate; una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri in alcuni specifici casi previsti alle lettere da a), a e) e g); la tutela dell’interessato o dei diritti e delle libertà altrui e l’esecuzione delle azioni civili.
Come abbiamo accennato in precedenza, anche in ambito tributario possiamo rinvenire modalità di analisi che non si discostano molto da quella che possiamo
95
definire big data analytics. L’accertamento standardizzato comporta l’elaborazione di una importante mole di dati molto eterogenei fra loro e strumenti matematici e statistici portano a prendere decisioni anche molto significative sui soggetti cui sono rivolte. È importante però comprendere il valore giuridico dei risultati di tali elaborazioni. Possiamo Leggere nella Sentenza della Corte di Cassazione SS. UU. Civ., 18 Dicembre 2009, n. 26635 come “una lettura costituzionalmente orientata delle disposizioni relative alla procedura di accertamento mediante l'applicazione dei parametri impone di attribuire a quest'ultimi una natura meramente presuntiva, in quanto, a ben vedere, essi non costituiscono un fatto noto e certo, capace di rivelare con rilevante probabilità il presunto reddito del contribuente, ma solo una estrapolazione statistica di una pluralità di dati settoriali elaborati sulla base dell'analisi delle dichiarazioni di un campione di contribuenti”. Come si evince inoltre dal D.P.R. n. 600 del 1973, art. 38, comma 7, come modificato dal D.L. 31 maggio 2010, n. 78, art. 22, convertito in L. n. 122 del 2010, l’accertamento tende a determinare, attraverso l’utilizzo di presunzioni semplici, il reddito complessivo presunto del contribuente mediante i c.d. elementi indicativi di capacità contributiva, così come ribadito dalla Sentenza della Cassazione, Sezione Tributaria n. 23554 del 20/12/2012 in cui i giudici sottolineano che “Il comma 7, art. 38, già richiamato si limita a porre una presunzione semplice e non a delimitare l’ambito oggettivo dell’accertamento sintetico86”. In
quanto ricadenti nella fattispecie della presunzione semplice, disciplinata dall’art. 2729 del Codice Civile, i risultati di tali elaborazioni hanno esclusivamente un ruolo strumentale all’indagine, ma non detengono in sé alcun valore giuridico. Come espresso dalla Cass. civ. nella Sentenza n. 4241/2016, “La presunzione semplice si fonda su un fatto che dev'essere provato in giudizio ed il relativo onere grava su colui che intende trarne vantaggio”. Potremmo aggiungere inoltre che i risultati delle suddette elaborazioni ed analisi, per quanto sofisticati, non sempre si può dire riescano a soddisfare i requisiti di precisione e concordanza che l’Amministrazione finanziaria dovrà dimostrare; tali elementi hanno la sola funzione dunque di rendere
86 Cass., sez. trib., 20.12.2012, n. 23554, https://www.studiocerbone.com/cassazione-sentenza-n-23554- del-20-dicembre-2012-redditometro-natura-ed-onere-della-prova/, ultimo accesso, 12/01/2019.
96
fondata la necessità di un accertamento, nel rispetto della proporzionalità e ragionevolezza dell’azione amministrativa.