L’Istituto Nazionale di Statistica è stato tra gli enti pubblici quello più coinvolto dallo sviluppo e la diffusione dei big data, in ragione delle sue finalità istituzionali. Negli ultimi anni si è dotato di tecnologie moderne ed efficaci per la raccolta e l’elaborazione dei big data, quali una database machine Oracle Exadata e l’utilizzo della tecnologia
Power Pivot per l’attività di Business intelligence, oltre ad instaurare una
collaborazione con il Dipartimento di Informatica dell’Università degli Studi di Pisa per lo studio di nuove tecniche87. Il corpus normativo che disciplina l’attività dell’ISTAT
comprende vari atti normativi, tra cui il Decreto Legislativo 6 Settembre 1989, n. 322 “Norme sul sistema statistico nazionale e sulla riorganizzazione dell’Istituto nazionale di statistica, ai sensi dell’art. 24 della Legge 23 Agosto 1988, n. 400”. Scopo di tale provvedimento era quello, come si Legge all’art. 1, primo comma, di disciplinare “le attività di rilevazione, elaborazione, analisi e diffusione e archiviazione dei dati statistici svolte dagli enti ed organismi pubblici di informazione statistica, al fine di realizzare l’unità di indirizzo, l’omogeneità organizzativa e la razionalizzazione dei flussi informativi a livello centrale e locale, nonché l’organizzazione e il funzionamento dell’Istituto nazionale di statistica”. All’art. 13 il legislatore stabilisce che le rilevazioni statistiche di interesse pubblico e gli obiettivi per il futuro siano contenuti in un piano triennale, sottoposto al parere della Commissione per la garanzia dell’informazione statistica (art. 12), approvato con Decreto del Presidente della Repubblica, su proposta del Presidente del Consiglio dei Ministri, previa deliberazione del Comitato Interministeriale per la Programmazione Economica (CIPE). Altri atti normativi di riferimento per l’attività di statistica pubblica sono il Decreto Legislativo 30 giugno
87 D. Donvito, L’opportunità Big Data: Sfide IT e prospettive per la Statistica Ufficiale, in “Newsstat”, vol. 7, Febbraio 2013, pag. 12.
97
2003, n. 196 “Codice in materia di protezione di dati personali”; ed il Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell´ambito del Sistema statistico nazionale (Provvedimentodel Garante n. 13 del 31 luglio 2002), in cui vengono fornite indicazioni definizioni importanti al fine dell’attività di indagine statistica, quali quella di identificabilità dell’interessato (art. 3), i criteri per la valutazione del rischio di identificazione (art. 4), il trattamento di dati sensibili da parte di soggetti privati, l’informativa, la comunicazione dei dati tra soggetti del Sistema statistico nazionale, il ruolo dell’Autorità di controllo, la raccolta dei dati e la loro conservazione, l’esercizio dei diritti dell’interessato e le regole di condotta. Il Decreto Legislativo 6 maggio 1999, n. 169 attuativo della Direttiva 96/9/CE relativa alla tutela giuridica delle banche di dati è un altro provvedimento su cui si fondano i principi della attività statistica pubblica, così come l’ultimo in ordine cronologico, il già analizzato Regolamento generale sulla protezione dei dati n. 2016/679.
In questi atti sono presenti numerose norme volte a definire una regolamentazione circa l’elaborazione dei big data da parte dell’ISTAT. Possiamo notare ad esempio come l’art. 4-bis del Codice etico, rubricato “Trattamento di dati personali, sensibili e giudiziari, nell´ambito del Programma statistico nazionale” esprima la necessità di illustrare nel Programma le finalità perseguite e le garanzie previste dal D.Lgs. 6 settembre 1989, n. 322 e dal D.Lgs. 30 giugno 2003, n. 196 riguardo ai dati sensibili e ai dati giudiziari (art. 4, comma 1, lett. d) ed e) del D.Lgs. 30 giugno 2003, n. 196), oppure gli artt. 123 e 126 del D.Lgs. 30 giugno 2003, n. 196 riguardanti i dati relativi al traffico nelle comunicazioni elettroniche e i dati relativi all’ubicazione. Sempre in materia di privacy nel trattamento dei Big Data l’art. 6, terzo comma, del Codice di Deontologia stabilisce che “Nella raccolta di dati per uno scopo statistico, l´informativa alla persona presso la quale i dati sono raccolti può essere differita per la parte riguardante le specifiche finalità, le modalità del trattamento cui sono destinati i dati, qualora ciò risulti necessario per il raggiungimento dell´obiettivo dell´indagine - in relazione all´argomento o alla natura della stessa - e purché il trattamento non riguardi dati sensibili. In tali casi, il completamento dell´informativa deve essere fornito
98
all´interessato non appena vengano a cessare i motivi che ne avevano ritardato la comunicazione, a meno che ciò comporti un impiego di mezzi palesemente sproporzionato”, mentre agli artt. 11 e 12, in materia di conservazione dei dati e misure di sicurezza, il Codice sostiene che “I dati personali possono essere conservati anche oltre il periodo necessario per il raggiungimento degli scopi per i quali sono stati raccolti o successivamente trattati, in conformità all´art. 6-bis del Decreto Legislativo 6 settembre 1989, n. 322 e successive modificazioni e integrazioni. In tali casi, i dati identificativi possono essere conservati fino a quando risultino necessari per: indagini continue e longitudinali, indagini di controllo, di qualità e di copertura, definizione di disegni campionari e selezione di unità di rilevazione, costituzione di archivi delle unità statistiche e di sistemi informativi e altri casi in cui ciò risulti essenziale e adeguatamente documentato per le finalità perseguite”. Riguardo alla tutela della privacy nell’ambito dei big data troviamo anche le disposizioni contenute nell’art. 13 del Codice di Deontologia riguardanti l’esercizio dei diritti dell’interessato, in particolare il diritto di accedere agli archivi statistici contenenti i dati che lo riguardano per chiederne “l´aggiornamento, la rettifica o l´integrazione, sempre che tale operazione non risulti impossibile per la natura o lo stato del trattamento, o comporti un impiego di mezzi manifestamente sproporzionati”.
Alcuni dubbi riguardo alla tutela della privacy sono stati sollevati proprio dal Garante in merito al processo di centralizzazione dei dati amministrativi. Come si Legge nel parere obbligatorio sullo schema di Programma statistico nazionale 2014-2016 - Aggiornamento 2016 - 29 ottobre 2015, il “costante aumento dell´impiego di sistemi informativi statistici nell´ambito dei lavori inseriti nel Psn che, duplicando intere banche dati amministrative e statistiche, raccolgono e conservano informazioni personali relative alla totalità dei cittadini, o rilevanti gruppi di individui” comporta un rischio per i diritti e le libertà fondamentali degli interessati, nonché la loro dignità. Il Parere evidenzia come attraverso l´utilizzo di dati amministrativi e fonti statistiche in tali sistemi vengono, infatti, “ricostruite le connessioni logiche esistenti fra le singole unità, sfruttando i codici d´identificazione univoci delle persone fisiche (codice fiscale) censite nelle diverse banche dati (individui e famiglie con relative caratteristiche socio-
99
demografiche, economiche, occupazionali e di istruzione ecc.), arrivando così a profilare l´intera cittadinanza in relazione ad ogni aspetto della vita quotidiana in prospettiva diacronica, ivi compresa la relativa posizione geografica”, oltre alla tendenza “di utilizzare per finalità amministrative i dati raccolti per finalità statistiche in contrasto con quanto previsto dal Codice e dalla normativa europea e internazionale al riguardo, come, ad esempio, nel c.d. redditometro (cfr. parere del Garante 21 novembre 2013, doc. web n. 2765110) e nella revisione anagrafica a seguito del censimento permanente”. Al centro di questo parere vi è il contestato ruolo del SIM (Sistema Integrato dei Microdati), inserito per la prima volta nel Psn 2011- 2013 come "registro statistico nazionale degli individui", cioè un sistema informativo in cui nel corso degli anni l´ISTAT ha fatto confluire circa 60 archivi di fonte amministrativa88. Il
Garante descrive nel Parere il rischio che “la conservazione degli identificativi diretti attraverso nuove acquisizioni di dati da fonti amministrative e statistiche, determini la schedatura permanente di ogni individuo nel tempo e nello spazio, conducendo ad un costante incremento delle informazioni disponibili e all´esponenziale aumento del rischio di reidentificazione degli interessati in relazione a dati in principio aggregati o anonimi”. Oltre a ciò vi è il problema della conformità ai principi di finalità e della conservazione dei dati per il tempo strettamente necessario all’indagine per cui sono stati raccolti , in considerazione del fatto che i dati identificativi diretti degli interessati, conservati nel SIM, non vengono cancellati dopo la raccolta, in quanto il SIM “non è realizzato per produrre un risultato statistico autonomo ma viene utilizzato dall´Istat quale archivio intermedio per la realizzazione di numerosi lavori statistici (tra i quali rilevano, in particolare, altri sistemi informativi, c.d. repository e il c.d. censimento permanente, cfr. punto 2. del presente parere), poiché, profilando l´intera popolazione, permette di selezionare campioni ragionati, caratterizzati da unità campionarie già ampiamente corredate di informazioni personali”.
88 Proprio nel documento “Linee strategiche del censimento permanente della popolazione e delle abitazioni, metodi, tecniche e organizzazione, Istat, 2014”, l’Istituto sottolinea l’importanza dell’integrazione fra dati amministrativi e statistici al cui fine è stato costituito il SIM.
100
4.12: Oltre il “Nomos della terra”
Alla luce delle considerazioni fatte possiamo certamente asserire che, agli enormi cambiamenti apportati dallo sviluppo delle tecnologie di big data analytics, si affiancano altrettanto grandi interrogativi sul futuro di queste innovazioni e una grande mole di lavoro affinché esse possano risultare sempre più compatibili con le norme giuridiche a tutela della riservatezza dei cittadini. Quello che appare evidente è come in internet oggi si manifesti una nuova dimensione di fenomeni sociali guidati dallo sviluppo scientifico-tecnologico che ha portato a compimento il rovesciamento epocale di valori di cui scriveva Carl Schmitt nel suo saggio “Il nomos della terra”, in cui lo Jus publicum Europaeum si trova ora a competere con un nuovo diritto che avanza
prima ancora di ricevere la necessaria legittimazione e copertura giuridica, essendone più veloce e più dilagante. Come abbiamo evidenziato, internet ha esponenzialmente incrementato l’importanza di attori non statali, basti pensare al ruolo di Wikileaks per comprendere quanto ad oggi il patrimonio informativo prodotto dai dati sia cresciuto di importanza. Quelle dimensioni territoriali come Terra e Mare che delimitavano i confini giuridici delle epoche precedenti alla nostra di cui parlava Schmitt trascendono oggi la dimensione territoriale, si pensi a come il Domain Name System (DNS) abbia i suoi server sparsi per tutto il mondo benché siano amministrati esclusivamente dal Governo Statunitense attraverso la National Telecommunications and Informations
Administration del Dipartimento del Commercio89; e come soggetti quali Facebook e
Google detengano oggi una porzione così ampia di potere informativo da aver fatto terra bruciata attorno a sé dei tradizionali canali di informazione pubblici e privati. L’impulso di dar vita ad un ordine e localizzarlo, per delineare così i confini di un ordinamento giuridico e concretizzare il diritto della terra, cerca ora una evoluzione, per meglio interpretare e regolare la nuova dimensione di fenomeni sociali emersa e le modalità per indagarli.
89 G.P. Ruotolo, The Impact of the Internet on International Law: Nomos Without Earth?, in “Informatica e Diritto”, vol. 22, n. 2, 2013, pagg. 7-18.
101
5.0: LE INTERPRETAZIONI DELLA GIURISPRUDENZA
In quanto ambiti in continua evoluzione, per i quali la normativa di riferimento non è ancora completamente esaustiva, nell’utilizzo degli strumenti propri del web 2.0 e riguardo l’analisi dei big data, assume rilevanza imprescindibile il ruolo dell’elaborazione giurisprudenziale, la quale si trova oggi di fronte alla necessità di nuove interpretazioni e di migliori strumenti di comprensione della realtà circostante.
Numerosi tra gli ambiti trattati in questo lavoro sono stati oggetto di attenzione della giurisprudenza, proprio in ragione della frequente difficoltà nel ricondurre determinate questioni ad una normativa spesso non al passo della costante evoluzione dei fenomeni tecnologici, sociali ed economici, sia nel nostro Paese che all’estero. Un ambito sicuramente da prendere in considerazione, in quanto probabilmente potremmo definirlo il motore dei grandi cambiamenti in atto nell’amministrazione, è quello di garantire ai cittadini di poter beneficiare dei servizi digitali, così come stabilito dall’art. 3 del CAD, di fronte all’inadempienza delle amministrazioni; come avvenuto nella sentenza 23 settembre 2011, n. 478, con la quale il TAR Basilicata ha accolto il ricorso per l’inefficienza delle amministrazioni ex D.Lgs. 198/2009 proposto dall’associazione “Agorà digitale” e dal movimento “Radicali Italiani”, oltre ad alcuni privati cittadini, riguardo alla violazione, da parte della Regione Basilicata, dell’obbligo di consentire la comunicazione con l’ente stesso mediante la posta elettronica certificata (art. 6, D.Lgs. n. 82/2005).
Allo stesso modo, quando si parla di accessibilità dei privati ai servizi offerti e ai dati gestiti dalle pubbliche amministrazioni, possiamo accorgerci di come l’ingente quantità di dati e la sempre maggiore necessità di tecnologie, ponga le amministrazioni stesse nella necessità di rivolgersi a privati per superare queste difficoltà; stiamo parlando dei contratti di cloud computing. Con tale espressione si intende “l’archiviazione, l’elaborazione e l’uso di dati su computer remoti e il relativo accesso via Internet”, come descritto nella Comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato Economico e Sociale e al Comitato delle Regioni, “Sfruttare il
102
potenziale del cloud computing in Europa”. I benefici in termini economici ed organizzativi di questa esternalizzazione consistono nel trasferimento di dati su server privati, rendendo però impossibile di fatto assicurare la responsabilità sui dati, non consentendo le misure contrattuali di adempiere a determinati obblighi normativi, quali, ad esempio, valutare l’adeguatezza del gestore alle norme, né effettuare la valutazione di impatto per i rischi di protezione dati90. La peculiarità dei contratti cloud
riguardo aspetti quali la riservatezza e l’asimmetria strutturale rendono difficoltoso ricondurre tali fattispecie a modalità contrattuali già esistenti, quali l’appalto di servizi, benché questo sia il suggerimento dell’Agenzia per l’Italia Digitale91; spingendo la
giurisprudenza a elaborare quelle clausole ad hoc necessarie a configurare la fattispecie in questione.
Un'altra questione che la giurisprudenza si è dovuta porre è l’opportunità di incrementare la trasparenza delle decisioni prese mediante algoritmi, sottolineando la necessità di collaborazione da parte degli operatori e delle imprese che ne hanno configurato il funzionamento. Proprio in materia di diritto di accesso all’algoritmo è importante segnalare la decisione presa dal TAR, Lazio-Roma, sez. III bis, con sentenza 22/03/2017 n. 3769, che, accogliendo il ricorso del Coordinatore Nazionale della Federazione Nazionale Gilda – Unams e della predetta Federazione, obbligava il
M.I.U.R. “al rilascio alla parte ricorrente di copia dei cd. codici sorgente del software dell’algoritmo di gestione della procedura della mobilità dei docenti per l’a.s. 2016/2017 di cui all’O.M. M.I.U.R. n. 241 del 2016”. Il Dipartimento per la programmazione e la gestione delle risorse umane, finanziarie e strumentali - Direzione Generale per le risorse umane e finanziarie - Ufficio III del M.I.U.R. aveva negato il diritto di accesso a tale algoritmo, non rinvenendo in esso la natura di atto amministrativo ai sensi dell’art. 22 della Legge 241/1990, riconoscendo invece ai
90 Agenzia per l’Italia Digitale, GDPR e Coud: le sfide per la compliance delle aziende e il futuro dell’Europa, https://www.agendadigitale.eu/sicurezza/gdpr-e-cloud-le-sfide-per-la-compliance-delle- aziende-e-il-futuro-delleuropa/, ultimo accesso: 27/01/2019.
91 Agenzia per L’Italia Digitale, Raccomandazioni e proposte sull’utilizzo del cloud computing nella pubblica amministrazione, Giugno 2012,
https://www.agid.gov.it/sites/default/files/repository_files/documenti_indirizzo/raccomandazioni_clou d_e_pa_-_2.0_0.pdf, ultimo accesso: 27/01/2019.
103
predetti codici lo status di opere dell’ingegno e in quanto tali tutelate dalla normativa in materia di proprietà intellettuale come riconosciuto anche dall’art. 6 del D.Lgs. n. 97/2016 in materia di accesso civico. Nella sentenza si Legge come l’algoritmo “in quanto predisposto al fine di consentire all’amministrazione di potere agevolmente gestire in concreto la procedura della mobilità dei docenti finisce, pertanto e in definitiva, per sostanziare esso stesso il predetto procedimento atteso che l’individuazione, in concreto, della concreta sede spettante al singolo docente nell’ambito della mobilità è individuata esclusivamente dal predetto algoritmo”. Per quanto riguarda invece la natura di opera dell’ingegno del software che gestisce l’algoritmo, il TAR sostiene che la disciplina a tutela del diritto di autore e della proprietà intellettuale preclude esclusivamente la riproduzione che consenta uno sfruttamento economico, ipotesi dunque non configurabile nella fattispecie in questione.
Anche sul campo della conservazione dei dati personali si sono concentrati importanti sforzi della giurisprudenza; un caso estremamente significativo è certamente la sentenza conosciuta come Digital Rights Ireland (dal nome dell’omonima organizzazione non governativa), che vide la Corte di Giustizia Europea invalidare la direttiva 2006/24/CE del Parlamento Europeo e del Consiglio circa la conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica, la quale legittimava la conservazione generalizzata di enormi masse di dati relativi all’ubicazione, al traffico telefonico e telematico degli abbonati92. La Corte
sosteneva come l’accesso a tali dati da parte dell’autorità pubblica comportasse una significativa ingerenza nella vita privata dei cittadini, non giustificabile secondo il principio di proporzionalità applicabile in circostanze quali la prevenzione del crimine o esigenze di pubblica sicurezza.
92 Corte di Giustizia Europea (Grande Sezione), 8 Aprile 2014, Digital Rights Ireland Ltd (C-293/12) contro Minister for Communications, Marine and Natural Resources e altri e Karntner Landesregierung (C- 594/12) e altri,
http://curia.europa.eu/juris/document/document_print.jsf?doclang=EN&text=&pageIndex=0&part=1& mode=lst&docid=150642&occ=first&dir=&cid=314051, ultimo accesso: 30/01/2019.
104
Un congruo bilanciamento fra lo sfruttamento dei big data e il diritto alla riservatezza è spesso difficoltoso in ragione della grande variabilità che ha l’intensità di tutela a seconda della finalità sottesa al trattamento. L’utilizzo dei dati è un bene strumentale a diverse finalità, ed è in base all’importanza di esse che tale bene assume rilievo e tutela. La sentenza della Corte di Giustizia dell’Unione europea del 13 maggio 2014, in relazione al caso Google Spain SL, Google Inc. vs Agencia Española de Protección de
Datos, Mario Costeja González (causa C−131/12), rileva ai punti 97 e 99 che la raccolta,
la conservazione e l’elaborazione di dati che ledono i diritti fondamentali dell’interessato non può considerarsi lecita indipendentemente, non solodall’interesse economico del gestore del motore di ricerca, ma anche dall’interesse di soggetti terzi a entrare a conoscenza di tali informazioni.
Allo stesso modo un bilanciamento è da operarsi anche in favore del titolare del trattamento. Riguardo a questo aspetto è importante citare una storica sentenza della Corte di Cassazione (Cass. 17278/18) del 2 Luglio 2018, nella quale la Corte riconosce un valore economico ai dati degli interessati. La sentenza richiama le disposizioni dell’articolo 7, comma 4 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, secondo cui: “Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”. Tali considerazioni portano la Corte a stabilire che non sia possibile “delineare una sorta di obbligo tout court, per il gestore del portale, di offrire comunque le proprie prestazioni, a prescindere dalla prestazione del consenso al trattamento dei dati personali da parte dell’utente e, in buona sostanza, obbligare così il gestore del portale a rinunciare al tornaconto economico dell’operazione che egli compie, proveniente dall’attività pubblicitaria realizzata tramite l’impiego dei dati personali acquisiti. Nulla, infatti, impedisce al gestore del sito – beninteso, si ripete, in un caso concernente un servizio né infungibile, né irrinunciabile -, di negare il servizio offerto a chi non si presti a ricevere messaggi promozionali, mentre ciò che gli è interdetto è utilizzare i dati personali per somministrare o far somministrare
105
informazioni pubblicitarie a colui che non abbia effettivamente manifestato la volontà di riceverli. Insomma, l’ordinamento non vieta lo scambio di dati personali, me esige tuttavia che tale scambio sia frutto di un consenso pieno ed in nessun modo coartato”. Queste considerazioni ci portano a comprendere come i dati personali abbiano negli ultimi anni raggiunto una dimensione estremamente diversa da quella che hanno storicamente avuto; essi sono ad oggi un bene economico che, se trattato efficacemente, può apportare benefici economici rilevanti attraverso l’immenso patrimonio informativo in grado di generare; e, al pari di una valuta, viene utilizzato in una inedita contrattazione tra gli utenti ed i gestori nel mercato virtuale.
Significativo è anche l’apporto della giurisprudenza, non solo per quanto concerne ambiti quali la raccolta e l’elaborazione dei dati generati attraverso le attività digitali e informatiche dei cittadini, ma anche riguardo all’utilizzo delle piattaforme social da parte delle amministrazioni per comunicare con i cittadini. La comunicazione tra questi due soggetti tramite i social media pone infatti significative ambiguità e difficoltà nel collocare una linea di demarcazione tra ciò che rientra nell’ambito di una amministrazione al servizio del cittadino e quei comportamenti che possono invece