• Non ci sono risultati.

A SIMMETRIE E C ONTROLLO

Potremmo dunque sostenere che il diritto al controllo dei propri dati personali sia un sistema di bilanciamento di poteri tra gli interessati e gli attori del trattamento.

Infatti, l’incremento delle capacità di stoccaggio ed elaborazione dei

137 “Le nostre vite online attualmente si svolgono in un sistema provider-

centrico, dove le politiche sulla privacy tendono a servire gli interessi dei provider o dei terzi, piuttosto che degli individui. Usando i dati da loro raccolti, le reti pubblicitarie, i fornitori di social network e altre aziende, questi attori sono sempre più in grado di costruire i profili individuali completi. Ciò rende difficile per gli individui esercitare i propri diritti o gestire le proprie informazioni personali online. Serve un approccio più umano-centrico che consenta gli individui il controllo su come i loro dati vengono raccolti e condivisi.” European Data Protection Supervisor, Towards

a new reality: Taking back control of our online identities, PRESS RELEASE -

CAPITOLO IV

125

dati, permettono ai soggetti che svolgono tale funzione di poter concentrare il loro potere informativo ed essere così definiti “signori dei dati”138, i quali detengono un’importante capacità di analisi

predittiva del comportamento. In questo senso, il diritto al controllo dell’individuo si pone in contrasto all’asimmetria informativa derivante dalla gestione di grandi moli di dati, ponendo l’interessato nella possibilità prendere una decisione rilevante sulla sorte dei propri dati personali. Tale rilievo, sostenuto anche dalla logica del legislatore, considera l’individuo un soggetto razionale ed autonomo, capace di prendere decisioni consapevoli riguardo la gestione dei propri dati. Questo assunto viene smentito anche da recenti dissertazioni139, le quali sostengo che per l’individuo non sia possibile

avere consapevolezza completa del fenomeno della condivisione dei propri dati. È stato infatti rilevato, che la maggioranza delle persone interessate non leggono l’informativa sul trattamento dei dati personali e allo stesso tempo, rilasciano il conseguente consenso nella speranza di un trattamento lecito e corretto. Ma liceità e correttezza, come si è visto, si estrinsecano anche nella trasparenza ed è evidente che in questo senso, l’aver reso edotto l’interessato delle finalità

138Così vengono definiti i detentori delle capacità informative e di calcolo,

capaci di poter elaborare le quantità di dati prodotte, tanto da poter traslare la nozione di signoria in relazione al controllo sulla gestione dei dati. Mantelero, A., Big Data: I Rischi della Concentrazione del Potere Informativo

Digitale e Gli Strumenti di Controllo, in Diritto dell'Informazione e dell'Informatica, Giuffrè, Milano, 2012, p. 135.

139 Solove, D. J., Privacy Self-Management and the Consent Dilemma, in Harvard Law Review, Vol. 126, n. 6, 2013, pp. 1880 e ss.; Brandimarte, L., Acquisti, A.,

Loewenstein, G., Misplaced Confidences: Privacy and the Control Paradox, in

CAPITOLO IV

126

riguardanti l’uso dati personali, risolve il problema dal lato del titolare, il quale potrà (e dovrà) dare prova di aver ricevuto il consenso, ossia lo strumento utile a superare anche determini limiti imposti dalla normativa. Infatti sarà l’utente a conferire e autorizzare il trattamento dei dati in base ad una personale scelta.

A ciò si aggiunge un altro problema: la quantità delle interazioni tra i diversi titolari e gli interessati. Se da un lato abbiamo una capacità computazionale e gestionale in grado di dirigere contemporaneamente migliaia di relazioni e condivisioni, dall’altro abbiamo un individuo che si interfaccia con loro senza una tale strumentazione, con tutte le conseguenti difficoltà nella gestione dei dati trasmessi. Di conseguenza si avrà una moltitudine di identità dell’interessato allocate nei diversi database, ognuno dei quali avrà una sua informativa sulla protezione dei dati, con le relative clausole.140

In questo senso, il concetto di controllo come gestione autonoma dei propri dati personali, risulta inadeguata, come inadeguato è il sistema di informativa e consenso sviluppato dal legislatore, che riprende il modello giuridico relativo alle clausole cd. vessatorie.141

Il singolo individuo non può valutare concretamente le conseguenze a lungo termine della divulgazione delle proprie informazioni

140 Solove, D. J., Privacy Self-Management and the Consent Dilemma, in Harvard Law Review, Vol. 126, n. 6, 2013, pp. 1880 e ss.

141 Sul punto Scorza, G., intervento in Atti del Convegno del 29 gennaio 2016, La società sorvegliata. I nuovi confini della libertà, 2016, p. 120. Disponibile su

CAPITOLO IV

127

personali, sia con riguardo alla propria sfera personale, sia con riguardo alla collettività.

Va considerato, tra l’altro, che la libertà di trattamento apprestata dal Regolamento ai dati anonimi, crea notevoli problemi in relazione alla capacità analisi resa possibile dall’innovazione tecnologica, in particolare alla possibilità di de-anonimizzare i dati resi anonimi, mediante l’uso inferenziale dei dati presenti sulla Rete.142

142 Sul punto si è espresso anche Mantelero, A., The future of consumer data protection in the E.U. Rethinking the “notice and consent” paradigm in the new era of predictive analytics, in Computer Law & Security Report, vol. 30, n. 6, 2014,

128

CAPITOLOV

C

ONCLUSIONI

La nozione di controllo, come si è visto, gioca un ruolo molto importante quando si analizzano i principi in materia di protezione dei dati personali.

Nelle pagine precedenti è stata affrontata la nozione di controllo da diversi punti di vista, sia teorici che applicativi e in entrambi i casi è risultato che essa svolge un ruolo chiave all’interno del concetto di protezione dei dati personali.

Il controllo si è quindi mosso da un concetto di semplice esclusione- inclusione, ad una forma più complessa, capace di regolare i flussi e gli scambi di dati personali. In questo senso il nuovo Regolamento europeo ha optato per un approccio diversificato, incidendo sia sul rafforzamento dei diritti del singolo (la dimensione individuale del controllo) che sulle qualità ambientali del “mercato” dei dati, cercando di creare un luogo sicuro per la condivisione (la dimensione strutturale del controllo)1, cui non deve essere messo in secondo

1Non va in ogni caso dimenticato un aspetto molto importante della

CAPITOLO V

129

piano il ruolo delle Autorità Garanti del controllo e della vigilanza sul rispetto della normativa. In ogni caso, l’assunto principale risiede nel concetto di individuo quale soggetto razionale e autonomo, capace di poter gestire in modo corretto e cosciente le informazioni ad esso riferite, ossia una concezione individualista dell’interessato.

Si è però fatto riferimento anche alle difficoltà derivanti sia dalla complessità dei trattamenti che dallo sviluppo incessante delle nuove tecnologie, che comportano una drastica diminuzione del potere di controllo dei dati personali da parte della persona interessata.

Il legislatore europeo, da questa prospettiva, non sembra aver elaborato gli strumenti, infatti se da un lato enfatizza il ruolo della trasparenza all’interno del procedimento informativo, allo stesso tempo pare perda di vista la pericolosità delle tecniche di profilazione e delle possibilità di utilizzo dei cd. Big Data. A ciò devono aggiungersi le criticità derivanti dall’uso “incontrollato”2 dei dati

anonimi o anonimizzati (anche aggregati): infatti, la pervasività delle tecnologie che giornalmente vengono utilizzate dagli individui permette di avere una quantità di dati tale per cui, anche senza che l’individuo venga identificato, gli stessi possano essere utilizzati in modo proficuo, ed in ogni caso risulta comunque possibile, ove

della normativa a tutti i soggetti che rientrano nell’ambito di applicazione materiale, anche se stabiliti al di fuori dell’Unione, laddove gli stessi offrano beni o servizi alle persone fisiche ivi residenti ovvero ne controllino il comportamento. Sul punto Stanzione, M.G., Il nuovo Regolamento europeo

sulla protezione dei dati personali: genesi e ambito di applicazione, su

Comparazione Diritto Civile, Salerno, 2016.

2 In realtà non si tratta di un uso incontrollato, quanto più di una

CAPITOLO V

130 necessaria, la de-anonimizzazione del dato.

In questo frangente, pare che il legislatore abbia cercato un difficile bilanciamento tra legittimi interessi. Da un lato la tutela dei dati personali e dell’individuo, dall’altro la ricerca e lo sviluppo delle potenzialità dei dati ad opera dei titolari. Il Regolamento sembra però privilegiare quest’ultimo interesse; infatti, il grado con cui include gli interessi diversi è così importante che le regole sul trattamento spostano l’ago della bilancia lontano dal principio di autodeterminazione come basilare diritto dell'individuo, a favore dei concorrenti interessi (commerciali) e del relativo diritto di effettuare il trattamento. In questo modo si rischia così di compromettere la funzione di protezione dei dati come strumento di tutela dei diritti umani, rendendolo un mero insieme di modalità del trattamento.3 Il

tutto celato dall’invitante retorica sui benefici individuali e collettivi derivanti dall’utilizzo dei dati resi disponibili e quindi condivisi. A questo deve essere aggiunta la criticità derivante dall’agente stesso del controllo: l’individuo. Quest’ultimo sembra mostrare una sorta di disinteresse al controllo dei propri dati personali, a cui si aggiunge, inesorabilmente, la difficoltà nella comprensione delle conseguenze sul medio-lungo periodo del proprio operato in termini di uso dei propri dati personali. In altre parole, sembra che il soggetto razionale ed autonomo, presupposto fondamentale della normativa sulla

3 Purtova, N.N., Default entitlements in personal data in the proposed regulation: informational self-determination off the table ... and back on again?, in Computer Law and Security Review, vol. 30, issue 1, 2013, p. 18.

CAPITOLO V

131

protezione dei dati personali, sia anche il principale responsabile di quella che può essere identificata causa della “perdita di controllo”. A questo punto, anche in relazione alle considerazioni fin qui svolte, il concetto di controllo non può essere quello di dominio sui dati personali, poiché il semplice conferimento e/o condivisione degli stessi comporta automaticamente una necessaria e strutturale perdita di controllo, determinando per l’individuo la necessaria assunzione del rischio e della responsabilità del fatto appena compiuto. Indubbiamente, i diritti concessi alla persona interessata per la gestione dei propri dati permette un ampio margine di manovra e di controllo, ma contestualmente il conferimento dei dati personali costituisce in capo al titolare del trattamento il consequenziale diritto all’elaborazione degli stessi. Per questo motivo il concetto di controllo sui dati personali non potrà avere i connotati di dominio o di controllo totale, in particolare nel mondo digitale, ove le caratteristiche dell’informazione trasmessa assumono aspetti che rendono il controllo una mera illusione. 4

Il controllo dell’individuo deve essere visto pertanto come il portato di un bilanciamento, creato mediante l’attribuzione di specifici diritti in relazione ai dati personali, che permette alla persona interessata di prendere delle decisioni specifiche sulla sorte dei propri dati, ma tutto ciò deve essere assunto nella consapevolezza del rischio

4 Si pensi alla facilità con cui il dato può essere replicato infinite volte,

mantenendo inalterate le qualità originarie, ovvero la caratteristica intrinseca del dato digitale.

CAPITOLO V

132

connesso alla condivisione degli stessi. Rischio che non può essere esclusivamente ridotto con “accorgimenti” legislativi, quanto piuttosto dagli attori contemplati dalla normativa.

Infatti, se da un lato la posizione dei titolari è impostata sulla proattività degli adempimenti, dall’altro l’interessato deve percorrere questa linea guida, cercando lui stesso di responsabilizzarsi, per non lasciare che i principi cardine del trattamento, tra i quali si esalta il consenso informato, siano ridotti a meri strumenti autorizzativi per una lecita invasione nella vita personale e per lo sfruttamento della propria identità.

Il punto di equilibrio che l’interessato deve trovare con il titolare è quello che si pone tra la trasparenza e la consapevolezza, tenendo a mente soprattutto che i dati personali sono un valore e come tale devono essere valorizzati, prima dal titolare degli stessi (l’interessato), poi dal titolare del trattamento e, infine, dalla collettività. Quest’ultima potrà infatti trarre i benefici derivanti dal trattamento svolto per migliorare le proprie condizioni, perché “[s]e le informazioni sono il petrolio del XXI secolo, questo petrolio per la prima volta non è una risorsa scarsa”5 e ogni individuo deve poterne

beneficiare.

5 Russo, M., intervento in Atti del convegno del 28 gennaio 2015, Il pianeta connesso. La nuova dimensione della privacy, 2015, pp. 44 e ss. Disponibile su

133

BIBLIOGRAFIA

Alpa, G., La disciplina dei dati personali. Note esegetiche sulla legge 31 dicembre 1996 n. 675 e successive modifiche, Formello SEAM, Roma, 1998, p. 90.

Alpa, G., Raccolta di informazioni, protezione dei dati e controllo degli elaboratori elettronici (in margine ad un progetto di convenzione del Consiglio d'Europa), in Il Foro Italiano, Vol. 104, 2, 1981, pp. 27 e ss.

Borea Odrìa, A., Las garantìas constitucionales: habeas corpus y amparo, Libros Peruanos, Lima, 1992.

Borruso, R. & Russo, S., Tiberi, C., L’informatica per il giurista. Dal Bit a Internet, Giuffrè, Ed. III, Milano, 2009.

Brandeis, L., Warren, S., The right to privacy, in Harward Law Review, Vol. IV n. 5, 15 Dicembre 1890. Consultabile in lingua originale sul sito:

<https://groups.csail.mit.edu/mac/classes/6.805/articles/privacy/ Privacy_brand_warr2.html>.

Brandimarte, L., Acquisti, A., Loewenstein, G., Misplaced Confidences: Privacy and the Control Paradox, in Social Psychological and Personality Science, Vol. 4, 2013, pp. 340 e ss.

Carbone, V., Il consenso, anzi i consensi, nel trattamento informatico dei dati personali, in Danno e responsabilità, 1998, pp. 23 e ss.

Cavoikian, A., Taylor, S., Abrams, M. E., Privacy by Design: essential for organizational accountability and strong business practices, in Identity in the Information Society, Vol. 3, Issue 2, Springerlink.com, 2010, pp. 405 e ss.

Ceraolo, N., Informativa all’interessato, in Libera circolazione e protezione dei dati personali, Panetta, R. (a cura di), Giuffrè, Milano 2006, pp. 917 e ss.

BIBL IOGRAFIA

134

Cipolla, P., "Social network", furto di identità e reati contro il patrimonio, in Giurisprudenza di merito, fasc. 12, 2012, pp. 2672 e ss.

Clarke, R., The Digital Persona and its Application to Data Surveillance, in The Information Society, Vol. 10, issue 2, 1994, pp. 77 e ss.

Corriero, V., Privacy del minore e potestà dei genitori, in Rassegna di diritto civile, ESI, Napoli, 2004, pp. 998 e ss.

D’Acquisto, G. & Naldi, M., Big Data e Privacy by Design. Anonimizzazione Pseudonimizzazione Sicurezza, 5, Giappichelli, Torino, 2017.

De Cupis, A., I diritti della personalità, Giuffrè, Milano, s.d.

De Giacomo, C., Diritto, libertà e Privacy nel mondo della comunicazione globale, Giuffrè, Milano, 1999.

Di Cimmo, F. & Pardolesi, R., Dal diritto all’oblio in internet alla tutela dell’identità dinamica. È la rete, bellezza!, in Danno e responsabilità, VII, 2012, pp. 701 e ss.

Falco, G., voce Identità personale, in Nuovo Digesto Italiano, VI, Torino, 1938, pp. 649 e ss.

Finocchiaro, G., Identità personale (diritto alla), in Digesto delle Discipline Privatistiche, Sezione Civile, Torino, Utet, 2010, pp. 721 e ss.

Finocchiaro, G., Identità personale su Internet: il diritto alla contestualizzazione dell'informazione, in Diritto dell’Informazione e dell’Informatica, 3, 2012, pp. 383 e ss.

Finocchiaro, G., Il quadro del diritto all’oblio nel quadro dei diritti della personalità, in Diritto dell’Informazione e dell’Informatica, 4-5, 2014, pp. 591 e ss.

Focarelli, C., La privacy. Proteggere i nostri dati oggi, Il Mulino, Bologna, 2015.

BIBL IOGRAFIA

135

Frosini, T. E., Il diritto all’oblio e la libertà informatica, in Diritto dell’Informazione e dell’Informatica, 2012, 910 ss.

Frosini, T.E., Google e il diritto all’oblio preso sul serio, in G. Resta e V. Zeno Zenovich (a cura di), Il diritto all’oblio su Internet dopo la sentenza Google Spain, RomaTre-Press, Roma, 2015, pp. 1-5.

Frosini, V., Il giurista e le tecnologie dell’informazione, Bulzoni, Roma, 1998.

Gandy Jr, O., Exploring identity and identification in cyberspace, in Notre Dame J.L. Ethics & Public Policy, vol. 14, issue 2, 2000, pp. 1085 e ss.

Giampiccolo, G., La tutela giuridica della persona umana e il cd. diritto alla riservatezza, in Riv. Trim. dir. Proc. Civ., 1958.

Iaselli, M., Gorla, S., Storia della Privacy, Lex Et Ars, Roma, 2015.

Iaselli, M., Privacy e Nuove Tecnologie, III ed., Altalex - Wolters Kluwer Italia, Milano, 2015.

Kokott, J., Sobotta, C., The distinction between privacy and data protection in the jurisprudence of the CJEU and the ECtHR, in International Data Privacy Law, Vol. 3, No. 4, 2013, pp. 222 e ss.

Lessing, L., Code: Version 2.0, Basic Book, New York, 2006.

Maalej, W., Robillard, M. P., Patterns of Knowledge in API Reference Documentation, in IEEE Transactions on Software Engineering, Vol. 39, Issue 9, 2013.

Mantelero, A., Big Data: I Rischi della Concentrazione del Potere Informativo Digitale e Gli Strumenti di Controllo, in Diritto dell'Informazione e dell'Informatica, Giuffrè, Milano, 2012, pp. 135 e ss.

Mantelero, A., Competitive value of data protection: the impact of data protection regulation on online behaviour, in International Data Privacy Law, vol. 3, 2013, pp. 229 e ss.

BIBL IOGRAFIA

136

Mantelero, A., Il costo della privacy tra valore della persona e ragione d’impresa, Giuffré, Milano, 2007, pp. 69 ss.

Mantelero, A., Personal data for decisional purposes in the age of analytics: From an individual to a collective dimension of data protection, in Computer Law & Security Review, Vol. 32, Issue 2, 2016, pp. 238 e ss.

Mantelero, A., Privacy, in Contratto e Impresa, n. 3, Cedam, Milano, 2008, pp. 757 e ss.

Mantelero, A., Riforma della direttiva comunitaria sulla data protection e privacy impact assessment, verso una maggiore responsabilità dell'autore del trattamento, in Diritto dell’Informazione e dell’Informatica, Giuffrè, Milano, 2012, pp. 153 e ss.

Mantelero, A., Si Rafforza la Tutela Dei Dati Personali: Data Breach Notification e Limiti Alla Profilazione Mediante Cookies, in Diritto dell'informazione e dell'Informatica, Vol. XXVIII, 2012, pp. 781 e ss.

Mantelero, A., The future of consumer data protection in the E.U. Rethinking the “notice and consent” paradigm in the new era of predictive analytics, in Computer Law & Security Report, vol. 30, n. 6, 2014, pp. 643 e ss.

Nervi, A., I diritti dell’interessato, in Cuffaro, V., D’Orazio, R., Ricciuto, V. (a cura di), Il codice del trattamento dei dati personali, Giappichelli, Torino, 2007, pp. 61 e ss.

Niger, S., Le nuove dimensioni della privacy: dal diritto alla riservatezza alla protezione dei dati personali, Cedam, Padova, 2006

Novario, F., Computer forensics. Tra giudizio e business, Cortina, Torino, 2012.

Novario, F., Prove Penali Informatiche, Cortina, Torino, 2011.

Pagano, R., Introduzione alla legistica. L’arte di preparare le leggi, III ed., Giuffrè, Milano, 2004, pp. 89 e ss.

BIBL IOGRAFIA

137

Passaglia, P., Internet nella Costituzione italiana: considerazioni introduttive, in Nisticò M. e Passaglia P. (a cura di), Internet e Costituzione, Atti del Convegno. Pisa, 21-22 novembre 2013, Torino, Giappichelli, 2014.

Pelino, E., I diritti dell’interessato, in Bolognini, L., Pelino, E. & Bistolfi, C., Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Giuffré, Milano, 2016, pp. 171 e ss.

Pettigiani, M. G & Sica, S., La comunicazione interumana, Franco Angeli, Milano, 2002.

Pino, G., Il diritto all’identità personale ieri e oggi. Informazione, mercato, dati personali, in Panetta, R.(a cura di), Libera circolazione e protezione dei dati personali, t. 1, Giuffrè, Milano, 2006.

Pino, G., L’identità personale, in Rodotà, S. & Tallacchini, M. (a cura di), Trattato di biodiritto, vol. I, Ambito e fonti del biodiritto, Giuffrè, Milano, 2010, pp. 297 e ss.

Pizzetti, F., Privacy e il diritto europeo alla protezione dei dati personali. Dalla Direttiva 95/46 al nuovo Regolamento europeo, 4/I, Giappichelli, Torino, 2016.

Pizzetti, F., Privacy e il diritto europeo alla protezione dei dati personali. Il Regolamento europeo 2016/679, 4/II, Giappichelli, Torino 2016.

Pugliese, G., Il diritto alla riservatezza nel quadro dei diritti della personalità, in Riv. dir. civ., I, 1963.

Pugliese, G., Il preteso diritto alla riservatezza e le indiscrezioni cinematografiche, nota a Trib. Roma, 14 settembre 1953, in Foro Italiano, I, 1954.

Purtova, N.N., Default entitlements in personal data in the proposed regulation: informational self-determination off the table ... and back on again?, in Computer Law and Security Review, vol. 30, issue 1, 2013.

BIBL IOGRAFIA

138

Ravà, A., Istituzioni di diritto privato, ed. 2 riveduta, Cedam, Padova 1938.

Reese, G., Cloud Computing. Architettura, infrastrutture, applicazioni, Tecniche Nuove, Milano, 2010, pp. 1 e ss.

Resta, G., Identità personale e identità digitale, in Il diritto dell’informazione e dell’informatica, Anno XXIII, Fasc. 3, Giuffrè, 2007.

Resta, G., Revoca del consenso ed interesse al trattamento nella disciplina del trattamento dei dati personali, in Riv. crit. dir. priv., 2000, pp. 299 e ss.

Resta, G., Revoca del consenso ed interesse al trattamento nella legge sulla protezione dei dati personali, in Breccia, U., Bruscuglia, L., Busnelli, F.D., Il diritto privato nel prisma dell’interesse legittimo, Torino, 2001, pp. 34 e ss.

Rodotà, S., Il mondo nella rete. Quali i diritti, quali i vincoli, Laterza, Roma – Bari, 2014.

Rodotà, S., Intervista su privacy e libertà, Conti, P. (a cura di), Laterza, Roma-Bari, 2005.

Rodotà, S., Protezione dei dati e circolazione delle informazioni, in Riv. crit. dir. priv., 1984, pp. 740 e ss.

Rodotà, S., Tecnologie e diritti, Il Mulino, Bologna, 1995.

Roosendaal, A., Digital Personae and Profiles in Law. Protecting Individuals’ Rights in Online Contexts, Wolf Legal Publishers, 2013, pp. 29 e ss.

Sandywell, B., On the globalization of crime: the Internet and new criminality, in Jewkes, Y., Yar, M., Handbook of Internet Crime, Willan Publishing, 2010, pp. 39 e ss.

BIBL IOGRAFIA

139

Sica, S., Il consenso al trattamento dei dati personali: metodi e modelli di qualificazione giuridica, in Riv. Dir. Civ., 2001, II, pp. 621 e ss.

Documenti correlati