Profilazione e risch
4. Promozione da parte della Commissione europea delle Privacy Enhancing Technologies
L’intensa crescita di rischi per l’identità individuale, risultato della celere diffusione e reperibilità dei dati da una moltitudine di soggetti, a volte anche non autorizzati all’accesso, hanno indirizzato la Commissione europea a incentivare l’adozione delle
Privacy Enchancing Technologies (PET), ritenendo che l’applicazione delle
disposizioni in materia di privacy debba essere connessa con l’attuazione di misure di sicurezza idonee.
328 Donini A., Profilazione reputazionale e tutela del lavoratore: la parola al Garante della Privacy, cit.,
pag. 41.
329
Un’identità digitale contiene dati che descrivono in modo univoco un soggetto, ma anche informazioni sulle relazioni tra il soggetto ed altre identità. In tal senso Windley P. J., Identità Digitali, cit., pag. 8.
330
Raffiotta E., Appunti in materia di diritto all’identità personale, Quaderni costituzionali, 2010, pag. 15, in www.forumcostituzionale.it.
331 Solove D.J., The future of reputation: gossip, rumor, and privacy on the internet, Yale University
Press, 2007, pag.11.
332
153 Quindi, al fine di ridurre al minimo il trattamento di dati personali ed utilizzare dati anonimi o pseudonimi ogni qualvolta sia possibile, potrebbero essere adoperate le tecnologie di rafforzamento della tutela della vita privata (PET), le quali apporterebbero un contributo ad assicurare che le infrazioni alle norme sulla protezione dei dati e le violazioni dei diritti individuali siano vietate e soggette a sanzioni, rendendole tecnicamente più difficili da mettere in atto.
In ambito accademico si rinvengo differenti definizioni delle PET; per esempio nel progetto PISA333 con il termine PET si intende “un sistema coerente di misure nel settore delle TCI che tutela la privacy sopprimendo o riducendo i dati personali ovvero evitando un qualunque trattamento innecessario e/o indesiderato dei dati personali, senza perdere la funzionalità del sistema di informazione”.
L’utilizzo delle PET può “contribuire all’ideazione di sistemi e servizi di informazione e comunicazione che permettono di ridurre al minimo la raccolta e l’uso di dati personali e di favorire il rispetto delle norme sulla protezione dei dati”334.
Nella prima relazione sull’attuazione della direttiva relativa alla protezione dei dati, la Commissione ha affermato che l’uso di misure tecnologiche appropriate rappresenta un compromesso essenziale agli strumenti giuridici e dovrebbe essere componente di qualsiasi sforzo finalizzato a raggiungere un adeguato livello di tutela della privacy335.
Quindi, l’adozione delle tecnologie PET può contribuire “all’ideazione di sistemi e servizi di informazione e comunicazione che permettono di ridurre al minimo la raccolta e l’uso di dati personali e di favorire il rispetto delle norme sulla protezione dei dati”336
.
Inoltre, la medesima Commissione enuncia alcuni esempi di tecnologie PET volte a garantire la tutela della privacy, quali il ripristino automatico dell’anonimato al termine degli scopi per cui i dati sono stati raccolti, l’utilizzo di strumenti di crittaggio volti a prevenire la pirateria, l’impiego di dispositivi per bloccare i cookies installati nel
333 In tal senso si veda Van Blarkom G.W., Borking J.J., Olk J.G.E., Handbook of Privacy and Privacy-
Enhancing Technologies. The case of Intelligent Software Agents, PISA Consortium, The Hague, 2003,
pag. 33.
334 Commissione delle Comunità europee, Comunicazione della Commissione al Parlamento europeo e al
Consiglio sulla promozione della protezione dei dati mediante tecnologie di rafforzamento della tutela della vita privata (PET), Bruxelles, 2 maggio 2007, COM(2007) 228 definitivo.
335 Commissione delle Comunità europee, Prima relazione sull’applicazione della direttiva sulla tutela
dei dati (95/46/EC), Bruxelles, 15 maggio 2003, COM(2003) 265 definitivo.
336
154
computer dell’utente, l’adozione dello standard P3P (Platform for Privacy Preference)337 che permette agli utenti di esaminare l’informativa sulla privacy dei siti
web in merito alle informazioni che si desiderano divulgare, perciò esso permette agli
interessati di autorizzare il trattamento dei propri dati con cognizione di causa.
Così, l’utilizzo di dati anonimi e pseudonimi rientra fra le proprietà delle tecnologie PET338.
La Commissione è comunque consapevole del fatto che la tecnologia, anche se ricopre un ruolo rilevante nell’ambito della tutela della vita privata, non è sufficiente ad assicurare la tutela della privacy. Pertanto, tali tecnologie devono essere attuate in virtù di “un quadro regolamentare composto di norme attuabili che prevedano diversi livelli negoziabili di tutela della privacy per tutti”339. È bene precisare che l’adozione delle tecnologie PET non comporta la possibilità di dispensare gli operatori dagli obblighi legali previsti, quali per esempio consentire agli utenti di accedere ai dati che li riguardano.
Tuttavia, l’utilizzo delle tecnologie PET è poco diffuso in diversi settori, seppure un maggior rispetto delle disposizioni circa la tutela della privacy comporterebbe un effetto positivo anche sulla fiducia degli utenti, specie nel settore del ciberspazio, ove svariati servizi, caratterizzati da trasferimenti di dati personali attraverso reti informatiche (per esempio i sistemi e-learning, la sanità elettronica, l’amministrazione digitale340, etc.) ne trarrebbero vantaggi in termini di sviluppo. Inoltre, tali tecnologie sono poco adoperate
337 P3P rappresenta uno standard per comunicare la politica di privacy di un sito web agli utenti Internet e
per consentire di confrontare questa politica con le preferenze degli utenti o con altri standard come le nuove indicazioni FIP della FTC o la Direttiva europea sulla Protezione dei dati. Gli utenti possono utilizzare P3P per selezionare il livello di privacy che vogliono mantenere quando interagiscono con il sito web. Lo standard P3P consente ai siti web di pubblicare politiche di privacy in un formato comprensibile dai computer. Una volta codificata secondo le regole P3P, la politica di privacy diviene parte del software delle singole pagine web. In tal senso Laudon K., Laudon J., Management dei sistemi
informativi, Pearson, Milano, 2006, pag. 193.
338
In tal senso Loesing K., Privacy-enhancing Technologies for Private Services, University of Bamberg
Press, 2009, pag. 10.
339 Commissione delle Comunità europee, ivi, COM(2007) 228 definitivo.
340 L’espressione amministrazione digitale assurge ad importanza giuridica rilevante a seguito del titolo
prescelto dal Governo nell’emanare il d.lg. n.82, riunenedo in una fonte coordinata le principali regole che spostano il riferimento giuridico formale dalla carta alla forma elettronica, si definisce il tutto come amministrazione digitale, espressione che tende oggi a soppiantare quella di e-government, ove si inclula in essa tutto quanto attiene alla gestione della cosa pubblica a mezzo delle tecnologie informatiche e telematiche o comunque con il lor ausilio. In tal senso Duni G., L’amministrazione digitale. Il diritto
155 in quanto rallentano il funzionamento della tecnologia, rendendo di conseguenza il relativo uso meno attraente341
Al fine di un utilizzo su larga scala delle tecnologie PET, la Commissione ha deciso di sostenere il progetto PRIME342, OPEN-TC343, DISCREET344 ed altre future dimostrazioni pilota volte a realizzare e promuovere “servizi di tutela della privacy che responsabilizzino gli utenti, in grado di riconciliare le disparità giuridiche e tecniche nel territorio europeo attraverso partenariati pubblico/privato”. Inoltre, la Commissione invita anche le autorità nazionali e il settore privato ad investire nello sviluppo delle tecnologie PET.
Inoltre la Commissione ha sollecitato i responsabili del trattamento dei dati ad usare le tecnologie PET disponibili, in quanto queste possono offrire un reale vantaggio soltanto se sono integrate in strumenti e software per il trattamento dati in maniera efficace. In tal senso, le tecnologie PET sono il punto di partenza del principio di privacy by design. Così, ove le tecnologie PET hanno evidenziato il potenziale positivo della tecnologia, la privacy by design prevede che la privacy sia costruita direttamente nel design e nel funzionamento, quindi non solo a livello di tecnologia, bensì a livello di sistemi operativi, processi di lavoro, strutture di gestione, spazi fisici e infrastrutture in rete. In questo senso, la privacy by design è il passo successivo nell’evoluzione del dialogo sulla privacy345.
La Commissione ha voluto altresì sensibilizzare i consumatori, favorendo una loro scelta informata, mediante un sistema comunitario di certificazione della tutela della
privacy (privacy seal) che comporterebbe altresì una valutazione d’impatto economico
e sociale. Lo scopo di detti privacy seal è quello di assicurare agli utenti la possibilità
341 Hildebrandt M., Koops B., The challenges of ambient law and legal protection in the profiling era, in
Modern Law Reviewcit., 2010, pag. 444.
342 Il progetto PRIME si focalizza sui problemi di gestione dell’identità digitale e di privacy nella società
dell’informazione. Tale progetto sorge dalla consapevolezza del sempre più ampio divario tra legislazione e prassi nella Rete circa la protezione dei dati e dalla necessità dei cittadini di detenere il controllo sulle proprie informazioni. In tal senso www.prime-project.eu.
343
Il progetto OPEN-TC permetterà una tutela della vita privata basata sul trusted computing di tipo open
source.Tale progetto ha l’intento di sviluppare sistemi informatici sicuri mediante la realizzazione di un
software open source. In tal senso www.opentc.net.
344 Il progetto DISCREET sviluppa middleware al fine di rafforzare la tutela della privacy in servizi di
rete avanzati. Lo scopo di tale progetto è didiminuire e monitorare la mole di informazioni personalizzate che sono messe a disposizione delle organizzazioni coinvolte e di sviluppare tecnologie adottabili in ambienti intelligenti, quali Radio Frequency IDentification (RFID) e reti di sensori. In tal senso www.ist- discreet.org.
345 Cavoukian A., Privacy by design: the definitive workshop. A foreword by Ann Cavoukian, Springer,
156 di riconoscere facilmente un certo prodotto che garantisce il rispetto delle norme circa la protezione dei dati durante il trattamento, poiché contiene idonee tecnologie PET.
Affinché la certificazione sia efficace devono essere rispettati i seguenti principi:
• il numero dei sistemi di certificazione dovrebbe essere ridotto al minimo, poiché un aumento dei sistemi potrebbe incrementare la confusione dei consumatori e indebolire la loro fiducia in tutti i privacy seal;
• i marchi di certificazione dovrebbero essere concessi solamente ai prodotti che sono uniformi ad una serie di norme in materia di protezione dati;
• le autorità pubbliche, specie le autorità nazionali per la protezione dei dati, dovrebbero ricoprire un ruolo primario nel sistema, partecipando attivamente alla definizione delle norme e delle procedure necessarie, ed inoltre al controllo del funzionamento del sistema di certificazione.
Tuttavia, è bene precisare che le tecnologie PET anche se sono strumenti importanti ed utili per la tutela della privacy, non risultano del tutto adeguate a garantire una protezione completa del soggetto. Pertanto, sono altresì necessarie politiche nazionali, internazionali e leggi al fine di determinare quali siano gli ambiti oggetto di tutela, in modo da garantire che le informazioni personali continuino ad essere protette dopo esser state rilasciate in transazioni online346.
346 In tal senso Tavani H. T., Moor J. H., Privacy Protection, Control of Information, and Privacy-
157
Conclusioni
La società in cui viviamo oggi è una società in continuo cambiamento, caratterizzata da numerose e ricorrenti innovazioni tecnologiche, sempre più insite in diversi settori della vita quotidiana. Appare evidente come le società maggiormente sviluppate dal punto di vista tecnologico si identifichino come società dell’informazione (le informazioni sono considerate risorse strategiche e di valore), in cui gli individui non sono soltanto circondati da un flusso incessante di dati, ma sono diventati essi stessi dei dati, esseri rilevati e monitorati da una serie di tecnologie e dispositivi, che tracciano ogni loro caratteristica sia fisica che comportamentale.
Tale sistema presenta comunque una natura piuttosto pervasiva ed invasiva, pertanto risulta necessario porre attenzione alla protezione della privacy in relazione all’attività di profilazione e di trattamento automatizzato di dati, specie se da tale trattamento scaturiscono effetti sulla sfera giuridica dell’individuo.
È opportuno che la tecnologia sia incessantemente pervasa dall’interesse di proteggere le informazioni personali, così come l’attività di profilazione e di trattamento automatizzato di dati debbano svolgersi nel rispetto dell’interessato, offrendo a quest’ultimo la possibilità di avere accesso ai propri dati al fine di constatare che non siano stati commessi errori o usi discriminatori.
In tal senso, nel GDPR il legislatore europeo ha voluto affrontare le più comuni problematiche circa la protezione dei dati personali, sorte dal susseguirsi di innovazioni tecnologiche che hanno dato vita a tecniche di raccolta ed elaborazione di dati quantitativamente rilevanti, ritenendo che fosse necessario delineare un quadro normativo compatto e coerente in materia di protezione dei dati nell’intero contesto europeo, fiancheggiato da adeguate misure di sicurezza, al fine di garantire un elevato ed effettivo livello di protezione della privacy.
Pertanto, il Regolamento europeo 679/2016 ha rafforzato gli obblighi in capo al responsabile del trattamento e ha introdotto importanti novità quali il principio della
privacy by design e privacy by default, la Privacy Impact Assessment, la data breach notification e la figura del DPO. In tal modo, il legislatore europeo ha delineato un
158 dati personali ed evitare il verificarsi di un danno in capo all’interessato; tuttavia ha altresì fissato, nelle ipotesi in cui il danno si verifichi, delle responsabilità civili e amministrative, con elevate sanzioni il cui ammontare è fissato in base al fatturato annuo dell’azienda, quindi con rilevanti incidenze nei confronti dei grandi operatori commerciali.
Sebbene il Regolamento appaia per certi aspetti parecchio innovativo, per altri sembra che non abbia dedicato la giusta attenzione al fenomeno crescente dei big data ed alla pervasività dell’attività di profilazione. Infatti, il legislatore non si sofferma ad analizzare gli effetti che la profilazione può determinare in capo all’individuo ed all’intera collettività, piuttosto rimanda alla volontà dell’individuo di rilasciare i propri dati al titolare del trattamento, al fine di delineare un profilo individuale.
Così, dinnanzi ad una società sempre più contraddistinta dall’uso degli algoritmi al fine di delineare dei profili, sia di singoli individui che di gruppi di soggetti, il quadro normativo delineato dal Regolamento non risulta essere adeguato a far fronte agli eventuali rischi e problemi connessi all’utilizzo di queste nuove tecnologie.
Risulta evidente come il Regolamento europeo, nonostante abbia dettato specifiche disposizioni, non abbia colto appieno i bisogni di una società ormai sempre più caratterizzata dall’analisi di grandi masse di dati, tant’è che risultano assenti gli strumenti per stimare e tenere in considerazione gli effetti etico-sociali del trattamento dati.
Non dovrebbero essere sottovalutati i problemi che possono scaturire dall’adozione dei
big data, poiché gli algoritmiutilizzati per svolgere l’attività di profilazione non sempre
sono corretti e di conseguenza potrebbero sorgere degli errori, ed inoltre vi è il pericolo per gli individui di essere oggetto di discriminazione da profilazione, in virtù del fatto che essi molte volte sono all’oscuro dell’esistenza del trattamento e delle relative modalità.
Certamente la profilazione è una tecnica attraente, che consente al titolare del trattamento di pervenire ad un profondo livello di conoscenza dell’interessato, che permette di intraprendere azioni mirate e di porre in essere scelte migliori; tuttavia, osservando l’altra faccia della medaglia, si nota come essa sia ricca di rischi, in grado di rappresentare una minaccia reale ai valori fondamentali dell’individuo.
159 L’attività di profilazione, che prevede la realizzazione di profili individuali dettagliati tramite l’esecuzione di un trattamento automatizzato da parte del titolare, causa delle problematiche per via della sua stessa natura, in quanto implica la produzione di una nuova informazione personale e ciò risulta essere in contrato con i valori di autonomia personale e autodeterminazione informativa, poiché l’individuo non ha la possibilità di conoscere quali siano i motivi che hanno comportato una decisione ed eventualmente contestarla, così come non è al corrente delle modalità che sono adoperate per trattare i propri dati al fine di elaborare dei profili.
In conclusione, dinnanzi a tale contesto storico l’uomo dovrebbe utilizzare sapientemente le opere del progresso tecnologico per elevare il livello culturale della popolazione, impedire il verificarsi di attività criminali e rilasciare informazioni circa l’uso corretto delle nuove tecnologie: spetta all’uomo far in modo che la disponibilità di nuove tecnologie non causi un arretramento sul piano dei valori347.
347
160
Ringraziamenti
Desidero ringraziare in particolar modo la Professoressa Poletti per avermi proposto un argomento molto interessante, che sin dal primo momento ha suscitato in me grande curiosità e voglia di conoscenza, grazie per la gentilezza, per i consigli e per il tempo dedicatomi nel corso di questi mesi.
Un ringraziamento va ai miei genitori che hanno reso possibile il raggiungimento di questo traguardo, premurosi e sempre al mio fianco hanno creduto in me, mi hanno incoraggiato a proseguire gli studi ed ad inseguire la mia passione per il marketing. Questa laurea è soprattutto vostra.
Un grazie è rivolto ai miei nonni, stelle polari nel mio cammino.
Volevo anche ringraziare i genitori di Carlo, parenti ed amici che mi hanno accompagnato in ogni fase di questa crescita e che soprattutto hanno fatto in modo di essere presenti in questo giorno così speciale.
Un ringraziamento speciale va a Carlo, mio primo sostenitore, che ha condiviso con me ogni singola vittoria ed ogni singola sconfitta. Grazie per essermi stato sempre accanto, per non aver mai smesso di credere in me, per aver sostenuto il mio sogno.
161
Bibliografia
Azzalini A., Scarpa B., Analisi dei dati e data mining, Springer, Milano, 2004.
Barraco E., Stizia A., La tutela della privacy nei rapporti di lavoro, IPSOA, Milano, 2012.
Barchiesi A., La tentazione dell'oblio. Vuoi subìre o costruire la tua identità digitale?, FrancoAngeli, Milano, 2016.
Bassan F., Diritto delle comunicazioni elettroniche, Giuffrè Editore, Milano, 2010.
Bassoli E., La sicurezza dei sistemi informativi aziendali: norme protettive, oneri e
misure minime obbligatorie, in Diritto dell’internet, Manuale operativo, CEDAM,
Padova, 2013.
Benacchio G. A., Casucci F., Temi e Istituti di diritto privato dell’Unione Europea, Giappichelli, Torino, 2017.
Biasiotti A., Il nuovo regolamento europeo sulla protezione dei dati, EPC, Roma, 2016.
Bollier D., The Promise and Peril of Big Data, The Aspen Institute, Washington, 2010.
Bolognini L., Pelino E., Bistolfi C., Il Regolamento privacy europeo: commentario alla
nuova discplina sulla protezione dei dati personali, Giuffrè Editore, Milano, 2016.
Bruno F., Nava G., Il nuovo ordinamento delle comunicazioni, Giuffrè Editore, Milano, 2006.
Buttarelli G., Banche dati e tutela della riservatezza: la privacy nella Società
dell’informazione, Milano, Giuffrè Editore, 1997.
Caggiano G., I percorsi giuridici per l’integrazione. Migranti e titolari di protezione
internazionale tra diritto dell’Unione e ordinamento italiano, Giappichelli, Torino,
2014.
Caretti P., Tarli Barbieri G., I diritti fondamentali: Libertà e diritti sociali, Giappichelli, Torino, 2017.
Caruso E., Conquistare e fidelizzare il cliente, Tecniche nuove, Milano, 2009.
Cassano G., Fadda S., Codice in materia di protezione dei dati personali, Ipsoa, Milano, 2004.
Cazzanti R., Open data e nativi digitali: Per un uso intelligente delle tecnologie, Libreriauniversitaria, Padova, 2016.
Capoluongo A., Frabboni L., Lo Jacono R., E-law: il diritto al tempo del digital -
162 Ceccherini E., La tutela della dignità dell’uomo, Editoriale Scientifica, Napoli, 2008.
Cendon P., Il quantum nel danno esistenziale: giurisprudenza e tabelle, Giuffrè Editore, Milano, 2010.
Ciccia Messina A., Bernardi N., Privacy e Regolamento Europeo 2016/679, Ipsoa, Milano, 2016.
Cieszynski J., Closed Circuit Television, Newnes, Elsevier, 2007.
Consales B., Il concorso nel Comune e nella Provincia per l’area amministrativa degli
enti locali, Maggioli Editore, Santarcangelo di Romagna, 2011.
Curcio L., Guariso A., Non discriminazione, in Bisogni G., Bronzini G., Piccone V.,
La carta dei diritti dell’Unione europea. Casi e materiali, Chimienti Editore, Taranto,
2010.
D’Acquisto G., Naldi M., Big Data e Privacy by Design. Anonimizzazione,
Pseudonimizzazione, Sicurezza, Giappichelli, Torino, 2017.
Del Ninno A., La tutela dei dati personali: guida pratica al Codice della privacy (d.lgs.
30/06/2003, n.196), CEDAM, Padova, 2006.
Ferrandina A., Web marketing, Fag Editori, Milano, 2007.
Ferrari A., Zanleone E. L., Cloud computing. Aspettative, problemi, progetti e risultati
di aziende passate al modello “as a service”, FrancoAngeli, Milano, 2011.
Ferrari A., Miniere di dati. La scoperta della conoscenza nascosta nelle grandi basi dati, FrancoAngeli, Milano, 2002.
Ferrari F. G., La tutela dei dati personali in Italia 15 anni dopo. Tempi di bilanci e di
bilanciamenti, Egea, Milano, 2012.
Fici A., Pellecchia E., Il consenso al trattamento, in R. Pardolesi, Diritto della