Si riaccende l’allarme per la protezione dei dati personali dopo la Relazione annuale dell’Autorità Garante, presentata al Parlamento lo scorso 6 giugno dal presidente Antonello Soro. Le cifre del 2016 parlano chiaro, prima fra tutti i 3.289.896 di euro di sanzioni riscosse. L’intelligenza artificiale avanza e l’algoritmo è in mano all’oligopolio degli “Over the top”.
I dati personali rappresentano il petrolio della nostra era: Google, Apple, Facebook e Microsoft, insieme, hanno una capitalizzazione di Borsa equivalente al Pil della Francia. Costruiscono immense ricchezze col valore dei nostri dati, indagano sulla nostra sfera privata e violano, in termini di prossemica, il nostro intimate space: ormai sono più potenti dei governi.
L’informatica sta trasformando le nostre esistenze e servono una nuova cultura giuridica e una nuova logica delle norme per fronteggiare gli eccessi della rete. I dati personali sono i dati della nazione intera e la loro appropriazione indebita equivale ad una dichiarazione di guerra: per questo lo stato deve difendere i dati dei propri cittadini allo stesso modo in cui difende i confini nazionali o le proprietà pubbliche.
Vent’anni fa: la prima legge sulla Privacy
A venti anni dall’entrata in vigore della prima legge sulla privacy (L. 675/1996), il Presidente della Camera dei Deputati Laura Boldrini, riconosce l’importanza che, con il tempo, ha acquisito la tutela dei dati personali, affermando quanto la straordinaria dimensione digitale abbia dei risvolti oscuri che necessitano di un potere istituzionale che li reprima. Il 28 luglio 2014 la Camera ha istituito la Commissione per i diritti e i doveri relativi a internet con l’idea di considerare la rete una dimensione essenziale per il presente e il futuro delle nostre società; una dimensione diventata, in poco tempo, un immenso spazio di libertà, crescita, scambio e conoscenza. Ad un anno dalla sua istituzione, la Commissione ha approvato “La dichiarazione dei diritti in internet” fondata sul pieno riconoscimento di libertà, eguaglianza, dignità e diversità di ogni persona all’interno di una realtà, come quella digitale, che si configura come uno spazio sempre più importante per l’autorganizzazione delle persone e dei gruppi e come uno strumento essenziale per promuovere la partecipazione individuale e collettiva ai processi democratici e l’eguaglianza sostanziale e in cui, i principi riguardanti Internet, tengono conto anche del suo configurarsi come uno spazio economico che rende possibili innovazione, corretta competizione e crescita in un contesto democratico.
Antonello Soro, presidente in carica dell’Autorità Garante per la protezione dei dati personali, definisce la privacy come il nome della libertà, un prezioso fattore di garanzia, capace di correggere quelle asimmetrie informative e disparità di forza contrattuale che caratterizzano, sempre di più, i rapporti tra i cittadini e i detentori del potere pubblico e privato. Il diritto alla protezione dei dati personali rappresenta la bussola per riportare la persona al centro di uno sviluppo tecnologico che sempre più spesso ci disorienta. Internet è divenuto lo spazio pubblico più ampio e frequentato che l’umanità abbia mai conosciuto, dove si svolge buona parte della vita di un individuo. Citando l’art. 2 della Costituzione potremmo dire che in Internet si svolge la personalità di ciascuno di noi.
Garantire il diritto alla protezione dei dati personali significa coniugare tecnologia ed umanità, libertà e sicurezza, trasparenza del pubblico e riservatezza del privato, informazione e dignità, iniziativa economica e autonomia individuale, scienza e libertà dal determinismo. Se l’assenza di limiti ha concesso innumerevoli opportunità di crescita e conoscenza, anche la violenza non conosce limiti: la violenza verbale trincerata dietro l’anonimato, la recente Blue Whale, l’esibizione di atti omicidi e molte altre aberrazioni.
Dati, commercio e garanzie: l’impatto della GDPR
Il volume dei dati trattati in assenza delle adeguate garanzie è in aumento e lo sfruttamento commerciale delle informazioni personali condiziona le scelte individuali e collettive.
L’identità di ciascuno di noi rischia di ridursi ad un profilo costruito da un algoritmo, sbriciolando l’unicità della persona e il suo valore.
In questo scenario, caratterizzato da forti implicazioni antropologiche, sociali e politiche, interviene il nuovo quadro giuridico europeo. Il nuovo regolamento generale sulla protezione dei dati (GDPR), in vigore in tutti gli Stati Membro dal maggio 2018, traccia una disciplina uniforme e direttamente applicabile nel territorio dell’Unione Europea, superando le differenze tra i vari ordinamenti nazionali e pone sotto la propria egida anche i soggetti stabiliti al di fuori dell’Unione, superando lo schermo dei confini nazionali.
Il nuovo regolamento 679/2016 punta a considerare la protezione dei dati come un investimento economico, istituzionale, politico e culturale in quanto rappresenta una risorsa strategica di sviluppo e sicurezza del Paese nell’interesse di tutti i cittadini: essa non deve più apparire come un costo, ma la risorsa essenziale di una società interconnessa. Il fatto che ciascuno di noi sia conosciuto quasi esclusivamente sulla base dei dati che lo riguardano conferisce importanza all’esattezza, all’aggiornamento e alla pertinenza dei dati trattati. Per questo si è decretata l’illegittimità della costituzione di una banca dati per la misurazione del “rating reputazionale”: affidare ad un algoritmo la recensione di una persona ha implicazioni davvero pericolose, prima fra tutte l’attribuzione agli interessati di profili discordanti con la loro reale identità con danni irreparabili.
L’attività del Garante nel 2016
Nel corso del 2016 l’Autorità Garante ha investito molto impegno in relazione al governo delle banche dati pubbliche e private, in ragione dell’importanza che assumono la sicurezza e la qualità dei dati per evitare inefficienze e procedure decisionali viziate, pregiudizievoli per l’affidabilità di enti pubblici e privati e per la stessa funzionalità della pubblica amministrazione e del mercato. E’ il caso dell’Agenzia delle Entrate, cui l’Autorità Garante ha prescritto un incremento dei livelli di sicurezza rispetto all’anagrafe tributaria o della prescrizione di utilizzare dati effettivi e non presuntivi ai fini della riscossione del canone Rai.
Calda anche la tematica relativa agli attacchi informatici. Secondo i dati, solo nel 2016, gli attacchi informatici avrebbero causato alle imprese italiane danni per 9 miliardi di euro, ma meno del 20% delle aziende investe per la protezione del proprio patrimonio informativo e la situazione delle pubbliche amministrazioni non si discosta da questa tendenza. Per questi motivi la sicurezza dei dati dovrebbe rappresentare un fattore abilitante per gli operatori, da perseguire fin dalla progettazione.
Per il settore telemarketing, le segnalazioni nel corso del 2016 sono state circa 6000. L’Autorità Garante, di concerto con il Nucleo speciale privacy della Guardia di Finanza, ha messo in luce rilevanti illeciti commessi da società di telefonia ed ha emesso importanti provvedimenti prescrittivi e sanzionatori.
Rispetto alla cronaca giudiziaria si è registrata, anche quest’anno, la diffusione di atti di indagine in violazione del relativo regime di pubblicità e spesso anche del principio di essenzialità dell’informazione. Occorre utilizzare maggiore cautela nel coniugare esigenze di giustizia e di privacy, tanto più rispetto al potenziale distorsivo del processo mediatico. Significativa la sanzione irrogata ad un consulente tecnico dell’autorità giudiziaria che aveva conservato un archivio di dati personali di notevoli dimensioni costituito a fini di giustizia e poi messo, illegittimamente, a disposizione di diversi soggetti compresi giornalisti.
Il diritto all’oblio continua ad essere un importante argomento di confronto nel rapporto tra protezione dati e informazione e i cittadini promuovono le relative istanze con maggiore consapevolezza e frequenza. Il Garante per la protezione dei dati personali ha tracciato alcuni criteri per coniugare memoria collettiva e dignità della persona, chiarendo come una rilevante distanza temporale non possa, da sola, legittimare la deindicizzazione, e che il diritto alla rimozione sussiste quando le notizie, superate da eventi successivi, non possano più considerarsi esatte.
In molti casi è stata posta particolare attenzione al contesto dei social network, giungendo fino al blocco della diffusione dei dati.
Step importante relativo alla diffusività e alla propagazione di notizie lesive della dignità di minori in rete è stato sicuramente la legge sul cyberbullismo insieme alla scelta di unire un approccio preventivo e riparatorio promuovendo l’educazione digitale. Due milioni nel 2016 le immagini pedopornografiche censite: fonte involontaria i social network in cui i genitori postano le immagini dei proprio figli.
E’ chiaro che ci troviamo in un contesto di grande cambiamento sul versante normativo, che incide significativamente sul ruolo della nostra Autorità Garante per la protezione dei dati personali. La mission più importante è quella di accompagnare la transizione verso le nuove regole in un’ottica di certezza del diritto e di consapevolezza.
Il Garante ha tracciato la prima Guida al fine di illustrare le principali novità del regolamento e di indicare le prassi da seguire.
Ma i compiti sono tanti e l’Autorità Garante ha bisogno di un potenziamento, esattamente come tutte le Autorità a livello europeo.
Sarebbe un controsenso voler competere nell’economia dei dati senza investire sulla loro protezione.
Fonte: Simona Cerone 21 giugno 2017 in Privacy e tutela delle informazioni