La Resolution of Jerusalem e il riconoscimento internazionale del principio

Ogni anno dal 1979 si svolge una Conferenza Internazionale che vede come protagonisti i garanti della privacy e le autorità che si occupano della protezione dei dati in tutto il mondo: L’International Conference of Data

Protection and Privacy Commissioners. Ad oggi si contano 76 membri

accreditati, tra i quali il Consiglio d’Europa, l’Unione Europea, gli Stati Uniti d’America e l’Italia. Lo scopo perseguito è di dedicare uno spazio in cui le varie autorità possono collaborare in concerto, grazie ad una maggiore diffusione della conoscenza e al supporto delle altre realtà sparse nel mondo. La Conferenza mira ad essere un eccezionale forum globale, che crei nuova conoscenza, attraverso risoluzioni e dichiarazioni, che provveda all’assistenza pratica alle autorità, fornisca una direzione internazionale sulle questioni, connetta e supporti gli sforzi delle varie organizzazioni locali e regionali, in

10

Nel 2010 a New York durante la conferenza “The Last Hope” l’investigatore privato Steve Rambam disse nel suo intervento: “privacy is dead, get over it”. Questo discorso fu molto diretto e provocatorio perché aveva il fine di dimostrare che l’utilizzo dei vari database per cercare le informazioni sugli individui non è un’attività così complessa come potrebbe apparire, anzi, a partire da un numero di telefono è possibile risalire facilmente ad ogni più dettagliata notizia che riguarda quella persona. Insomma, questo trend sarebbe impossibile da fermare, allora tanto vale smettere di pensarci.

11

Nel Dizionario Cambridge inglese-italiano della Cambridge University Press edizione del 2016 si intende freedom come il diritto a vivere nel modo in cui si vuole senza essere controllati da chiunque altro (“the right to live in the way you want without being controlled by anyone else”) e per liberty la libertà di vivere, lavorare e viaggiare come si desidera (“the freedom to live, work, and travel as you want to”).

45

modo da aumentare la protezione dei dati e della privacy e aumentarne la promozione12.

La trentaduesima Conferenza Internazionale ha segnato un punto di svolta per la pbd. Nell’ottobre del 2010 in Israele, a Gerusalemme, i commissari hanno riflettuto sulle problematiche presenti nell’era digitale e hanno elaborato la Resolution on privacy by design, ossia un testo condiviso che prende posizione sul tema e che definisce il carattere fondamentale della pbd, elevandola a principio di diritto internazionale. All’inizio del documento si affermano delle considerazioni preliminari: si ammette che il progresso tecnologico porta con sé dei cambiamenti per la privacy e per la capacità degli individui di esercitare effettivamente i loro diritti informativi, si accetta che la regolazione esistente non è sufficiente per salvaguardarli completamente e si intuisce che è necessario un approccio più robusto per rispondere ai crescenti e sistematici effetti delle tecnologie dell’informazione e della comunicazione e delle infrastrutture di rete (d’ora in avanti ICT)13. In aggiunta, si dichiara che l’incorporazione della privacy all’interno del design, delle operazioni e della gestione dei sistemi tecnologici per tutto il “ciclo di vita” delle informazioni è necessaria per proteggere pienamente la riservatezza e la protezione dei dati personali14.

Il testo nella sua parte risolutiva statuisce tre punti condivisi dalle varie autorità. In primo luogo, è riconosciuto che la privacy by design è una componente essenziale della protezione della privacy. Poi è stabilito che le autorità intendono favorirne l’adozione attraverso i sette principi fondativi in modo che sia assunta generalmente come modello organizzativo e operazionale per impostazione predefinita; a questo fine vengono riproposti nel

12

La missione è indicata sul documento ICDPPC Rules and Procedures - Consolidated version (November 2016) sul sito di riferimento della Conferenza <https://icdppc.org/document- archive/rules-procedures/>: “1.1. The purposes of the Conference are: a. To promote and enhance internationally personal data protection and privacy rights; b. To improve data protection and privacy by providing a forum that encourages dialogue, cooperation and information sharing; c. To draft and adopt joint resolutions and declarations on subjects that warrant the common interest or concern of the accredited members, and promote their implementation; d. To be a meeting point between accredited members and other international fora or organisations that share common objectives; e. To encourage and facilitate cooperation and the exchange of information among accredited members, in particular regarding enforcement actions; f. To promote the development of international standards in the field of protection of personal data”.

13

Le tecnologie dell’informazione e della comunicazione (ICT) sono l’insieme degli strumenti che consentono l’elaborazione, la trasmissione e la gestione delle informazioni nell’era digitale.

14

Cfr. 32nd International Conference of Data Protection and Privacy Commissioners, Resolution on Privacy by Design, Jerusalem, Israel 27-29 October, 2010: “Recognizing that embedding privacy as the default into the design, operation and management of ICT and systems, across the entire information life cycle, is necessary to fully protect privacy; Offering Privacy by Design as a holistic concept that may be applied to operations throughout an organization, end-to-end, including its information technology, business practices, processes, physical design and networked infrastructure”.

46

testo i principi così come definiti dal Commissario Ann Cavoukian15. In terza posizione si invitano le autorità e i commissari stessi a promuovere la pbd per quanto possibile e a incoraggiarne l’incorporazione nelle privacy policies e, ancor più importante, nelle legislazioni degli ordinamenti di appartenenza, aumentando la ricerca proattiva sul principio e considerandolo nell’agenda per l’International Data Privacy Day16. Infine, si rimanda alla conferenza successiva,

nella quale dovranno essere condivisi i risultati ottenuti e le pratiche implementate17.

Questa risoluzione è stata proposta dalla stessa Cavoukian, ma ha riscosso molto successo alla Conferenza ed è stata sottoscritta all’unanimità da parte del resto dei commissari e delle autorità presenti. L’inserimento in una risoluzione del principio di privacy by design fa sì che l’attenzione mondiale delle autorità sia rivolta sul tema e che le stesse autorità si facciano sue promotrici. Si può dire che nel 2010 la riflessione si è trasferita da un livello dottrinale e programmatico ad un piano più organizzativo e legislativo. Insomma, la pbd non è rimasta un’intuizione innovativa di una commissaria d’oltreoceano, ma è diventata l’oggetto principale di una risoluzione vincolante in tutto il mondo, seppur limitata ai membri accreditati che l’hanno sottoscritta. È vero che la Conferenza Internazionale non è dotata di uno status legale definito, perché non è né un’organizzazione internazionale né uno luogo dedicato alla predisposizione di trattati vincolanti18. È innegabile però che si tratti di uno

15

Cfr. Resolution: “The Foundational Principles: Proactive not Reactive; Preventative not Remedial; Privacy as the Default; Privacy Embedded into Design; Full Functionality: Positive- Sum, not Zero-Sum; End-to-End Lifecycle Protection; Visibility and Transparency; Respect for User Privacy”.

16

Il Consiglio d’Europa nel 2006 ha designato una data per celebrare la protezione della privacy, ossia l’International Data Protection Day, che si tiene ogni anno il 28 gennaio. La scelta è dovuta all’anniversario dell’apertura delle firme per la Convenzione del 28 gennaio 1981, n. 108, sulla protezione degli individui con riguardo al trattamento automatico dei dati personali,

come si può leggere sul sito di riferimento dell’organismo interazionale

<http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day_en.asp>: “On 26 April 2006, the Committee of Ministers of the Council of Europe decided to launch a Data Protection Day, to be celebrated each year on 28 January. Why the 28 January? This date corresponds to the anniversary of the opening for signature of the Council of Europe's Convention 108 for the Protection of individuals with regard to automatic processing of personal data which has been for over 30 years a cornerstone of data protection, in Europe and beyond. Data Protection Day is now celebrated globally and is called the “Privacy Day” outside Europe”.

17

Cfr. Resolution: “3. Invite Data Protection and Privacy Commissioners/Authorities to: a. promote Privacy by Design, as widely as possible through distribution of materials, education and personal advocacy; b. foster the incorporation of the Privacy by Design Foundational Principles in the formulation of privacy policy and legislation within their respective jurisdictions; c. proactively encourage research on Privacy by Design; d. consider adding Privacy by Design to the agendas of events taking place on International Data Privacy Day (January 28); e. report back to the 33rd International Data Protection and Privacy Commissioners Conference, where appropriate, on Privacy by Design activities and initiatives undertaken within their jurisdictions with a view to sharing best practices”.

18

Cfr. ICDPPC Rules and Procedures: “1. The Status of the Conference: The International Conference of Data Protection and Privacy Commissioners (the “Conference”) is an entity in its

47

strumento importante e propulsivo per lo sviluppo di approcci nuovi e metodologie alternative in materia di privacy. La Conferenza di Gerusalemme, infatti, è stata considerata una pietra miliare per l’inizio di un processo di condivisione del principio, tanto da condurre ad un suo successivo riconoscimento da parte della Federal Trade Commission degli Stati Uniti nel 2012, definendola una pratica fondamentale per proteggere oggi la privacy e da spingere la Commissione Europea ad inserirla nella Proposta del GDPR. Nel prossimo paragrafo si tratterà del Report Protecting Consumer Privacy in an

Era of Rapid Change della Commissione statunitense e si proseguirà poi con la

presenza del principio nella normativa europea.

1.3 Il Report della Federal Trade Commission per la protezione dei