Regolamentazione della rete internazionale

Nel corso degli anni Novanta, molte istituzioni internazionali si posero la questione su come affrontare il tema della gestione della rete, nonostante sussistessero ancora forti ripulse sulla necessità di una governance del mondo del web. Uno dei primi documenti a cui è possibile far riferimento è la dichiarazione prodotta da Educause nel 1992, chiamata “Rights and Responsibilities of Electronic Learners”. L’atto conteneva una serie di norme relative alla produzione e all’uso delle informazioni online, destinate all’educazione e in particolare agli istituti universitari. Nei primi anni del Duemila, altre associazioni internazionali decisero di seguire le orme di Educause, contribuendo alla formazione di un sistema normativo comune. Tra questi, i progetti più rilevanti furono la realizzazione di una bozza della “Internet Rights Charter” prodotta dall’Association for Progressive Communication e la formazione di una seconda costituzione internazionale del web, promossa dall’associazione “The Web We Want” di Tim Barners-Lee. Ancora oggi il tema della governance della rete è affrontato periodicamente, nel corso di vari summit a carattere internazionale, organizzati dalle organizzazioni di settore tra cui Electronic Frontier Foundation, NETMundial Multistakeholder Statement e Internet Governance Forum (Mensi, Falletta, 2015).

Una delle svolte più rilevanti per la de inizione di una normativa internazionale fu l’intervento di Hillary Clinton a supporto di alcune organizzazioni giornalistiche statunitensi, che nel 2005 chiesero all’ONU l’universalizzazione del diritto di Free Speech a fronte dell’arresto del giornalista cinese Shi Tao. Il principio di libertà di parola invocato in quel contesto, rappresenta infatti, uno dei diritti fondamentali riconosciuto non solo nella Costituzione statunitense, ma anche nella Dichiarazione dei diritti umani delle Nazioni Unite. A riguardo, l’ordinamento ONU sui diritti umani è ancora oggi un punto di riferimento per la de inizione dei diritti di navigazione online, essendo un sistema legislativo valido in tutto il mondo, che riconosce e fa valere i diritti fondamentali anche nel contesto digitale. La normativa permette di tutelare chiunque navighi nella rete, de inendo quali sono le attività

che costituiscono pratiche scorrette, spesso realizzate allo scopo di soddisfare interessi economici opportunistici.

Il web costituisce uno spazio senza con ini, che ha dato luogo a violazioni analoghe, al di là delle legislazioni nazionali. I giudici, dovendo affrontare casi simili, posti dalle diverse attività di data retention online, fanno spesso riferimento ai diritti fondamentali riconosciuti a livello internazionale, al ine di tutelare omogeneamente tutti gli utenti. Ciò nonostante le istituzioni nazionali sono comunque chiamate a contribuire al rinnovamento e al rafforzamento delle garanzie costituzionali, intervenendo con una logica bottom-up.

Il dialogo multistakeholder e multilevel inora sviluppato tra istituzioni e grandi players è orientato alla creazione di un Internet Bill of Rights ONU, che possa essere comunemente condiviso in tutte le nazioni un cui è utilizzata la rete, al ine di armonizzare il diritto internazionale, anche per quanto riguarda lo scambio di dati tra utenti e aziende. L’obiettivo comune si basa sulla trasposizione nella sfera digitale di alcune facoltà già esistenti, garantendo che vengano mantenute le condizioni perché la rete continui adessere libera e fruibile (Rodotà, 2010).

L’armonizzazione delle normative sulla privacy e sulla gestione dei dati privati online, iniziò a esser considerata già alla ine degli anni Novanta, con la creazione delle prime norme per lo scambio di dati tra Paesi diversi. Nel 1995 ad esempio, l’Unione europea stabilı̀ delle regole per il trasferimento dei dati personali verso Paesi terzi, inserendo l’argomento all’interno del quarto capo della Direttiva 95/46. Con questo, il Parlamento af idava alla Commissione europea il ruolo di controllore sulle garanzie date dagli altri Paesi in tema di trattamento dati e di veri ica del rispetto dei principi de initi dalla stessa direttiva.

Nel 1998, Unione Europea e Stati Uniti stabilirono inoltre un accordo sul libero trasferimento di dati appartenenti a cittadini europei verso aziende statunitensi, che operano secondo un ordinamento diverso da quello europeo. Tale accordo, detto Safe Harbor, stabiliva dunque delle regole comuni, accettate da entrambe le parti, regolando de initivamente le attività di data retention e data mining svolte da oltre quattromila aziende americane in Europa. Il Safe Harbor dava luogo cosı̀ una regolamentazione omogenea e coesa della rete, de inendo cosı̀ anche i processi di data retention e data mining tra Europa e Stati Uniti. L’accordo riconosceva

l’esistenza di alcuni principi basilari tra cui la consapevolezza dell’utente sulla gestione dei dati personali, la protezione della privacy sulle informazioni trattate e la sicurezza dei dati raccolti (Weiss, Archick, 2016).

Nel 2015, la Corte di Giustizia dell’Unione Europea ha sancito la ine del Safe Harbor, dichiarandolo inadeguato alla protezione e alla tutela dei dati dei propri cittadini e dando nuovamente il dovere di vigilanza e controllo alle autorità nanzionali. In questo senso l’istituzione ha voluto riaffermare la necessità del rispetto dello stesso livello di protezione garantito dalle direttive precedenti e dai diritti fondamentali riconosciuti dall’Unione. Nell’immediato c’è stata una inevitabile lacuna normativa sul trattamento dei dati appartenenti a cittadini europei, svolto al di fuori dei territori di competenza delle istituzioni europee e in particolare negli Stati Uniti, in cui sono presenti i maggiori players di settore. Per evitare ulteriori vuoti normativi, l’Unione ha conferito alle autorità nazionali garanti della privacy il ruolo di controllare l’operato delle società statunitensi, rafforzando il potere esecutivo che già in precedenza avevano. Per ristabilire gli equilibri e rafforzare gli standard di sicurezza precedenti è stato de inito nel 2016 il “EU-US Privacy Shield” che attualmente si presenta come un accordo normativo internazionale ancora in fase di progettazione (Loidean, 2016).

Il quadro normativo internazionale per la tutela dei dati personali non è stato dunque ancora de inito del tutto. Ogni Paese ha realizzato una propria regolamentazione della rete internet e di gestione dei dati online. Allo stesso tempo, sono pochi gli accordi che uf icialmente stabiliscono le modalità di raccolta, trasferimento e trattamento dei dati in modo condiviso tra Paesi diversi. Tali fragilità rappresentano un ostacolo sia nel settore privato che in quello pubblico, a fronte della necessità di gestire grandi quantitativi di informazioni all’interno di un network mondiale. Ciò nonostante si è sviluppata una forte consapevolezza rispetto al nesso che lega la protezione dei dati personali con lo sviluppo dell'economia digitale. La de inizione delle corrette modalità di trattamento dei dati nella rete internazionale spetta inora spetta alle Corti o alle Autorità di Garanzia nazionali, che spesso sono chiamate a rispondere di casi speci ici, non direttamente trattate dalla legge. Tuttavia ci si attende una futura svolta nella politica internazionale per l’organizzazione di piani di internazionali

regolamentazione della sicurezza online e della gestione del trattamento dei dati (Soro, 2016).

2.1.2 Ordinamento europeo antecedente maggio 2018

Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento n. 2016/679 relativo alla protezione delle persone isiche, con riguardo al trattamento e alla libera circolazione di tali personali che ha abrogato la direttiva 95/46/CE. Tale intervento normativo è stato realizzato dal Parlamento Europeo e dal Consiglio con l’obiettivo di stabilire de initivamente una regolamentazione omogenea, valida a de inire in tutti i Paesi membri dell’Unione le corrette modalità di gestione delle attività di raccolta e trattamento dei dati (De Stefani, 2018).

Il nuovo regolamento rappresenta una complessa revisione degli interventi fatti dall’Unione Europea negli ultimi vent’anni in materia di trattamento dei dati personali e privacy. Il tema della gestione delle informazioni è frutto di una lunga formulazione giuridica, precedente alla diffusione della rete internet e basata sui principi fondatori dell’Unione stessa. Uno dei primi riferimenti per la tutela della privacy è costituito infatti l’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (CEDU), irmata da dodici Stati membri durante i trattati di Roma del 1950. Riprendendo il concetto dello jus solitudinis , formulato un secolo prima da Louis D. Brandeis e Samuel Warren, l’articolo tutela il diritto al rispetto della vita privata e familiare, concedendo delle deroghe solo in casi eccezionali previsti all’interno di un sistema democratico, volti a garantire la sicurezza e l’ordine pubblico (Rodotà, 2010). Sempre in ambito del Consiglio d’Europa e della Convenzione europea per la salvaguardia dei diritti dell’uomo (CEDU), esiste una una Corte dei diritti dell’uomo con sede a Strasburgo, la quale agisce per assicurare la tutela di diritti fondamentali riconosciuti dall’Unione Europea. Tra questi è riconosciuto anche il diritto alla tutela dei dati personali, sui quali è intervenuta previo ricorsi

Nel documento L’utilizzo di big data online per fini commerciali: gli effetti del datagate Facebook e Cambridge Analytica nel privacy paradox (pagine 36-39)