Italia
Sei Autorità Garanti europee della privacy all’attacco di Google per difendere i diritti fondamentali dei cittadini europei.
C’è materia da far tremare le vene dei polsi e la notizia non ha precedenti. Può rappresentare un punto di svolta capace di orientare in modo differente la crescita di internet: rispettosa dei diritti fondamentali o asservita alle esigenze di questa o quella azienda multinazionale che sui dati personali fonda magari il proprio modello di business?
Di questo e della prospettiva che la circostanza apre abbiamo parlato con il prof. Franco Pizzetti, costituzionalista, già Garante della privacy dal 2005 al 2012 e appassionato osservatore della rete e del suo futuro, che da qualche mese è presidente di Alleanza per Internet, l’associazione nata per sostenere l’affermazione di internet e lo sviluppo dell’economia digitale nel nostro Paese.
Ne è venuta fuori una lunga quanto dettagliata intervista che vi proponiamo: un importante contributo per orientare il lettore su una materia delicata che ci tocca tutti da vicino.
Key4biz. I Garanti europei uniti e all’attacco contro le violazioni di Google. Sta cambiando il clima in Europa. Quali le ragioni?
Franco Pizzetti. Per la verità non è affatto la prima volta che i Garanti europei si occupano di Google.
Già alcuni anni fa i Garanti dedicarono molti sforzi a cercare di capire per quanto tempo Google tenesse i dati relativi all’attività svolta dai suoi utenti e solo dopo molto lavoro e ripetuti incontri, che coinvolsero anche il Parlamento europeo, si giunse a una prima decisione del WP29 dedicata proprio ai limiti di accettabilità per la legislazione europea, dei tempi di conservazione dei dati degli utenti raccolti e utilizzati da Google e dagli altri fornitori di servizi in rete.
In tempi successivi i Garanti dovettero tornare a occuparsi di Google in relazione al servizio Google Street View, che interessò, sotto diversi profili, molte Autorità, da quella spagnola a quella francese e a quella tedesca, per citare solo alcune tra le più importanti.
Il servizio Google Street View, infatti, presentava numerosi elementi di criticità, diversamente valutati (allora si era intorno al 2010) dalle diverse Autorità, anche in rapporto alle differenti leggi nazionali attuative della Direttiva 46/95 e ai differenti sistemi giuridici nazionali.
Anche l’Autorità italiana si occupò a più riprese di Google Street View, avviando una apposita istruttoria il 19 maggio del 2010, all’esito della quale verificò, tra l’altro, che il sistema di raccolta delle immagini comportava anche la possibilità di captare l’esistenza di reti wi-fi e di raccogliere frammenti di comunicazione elettronica. Attività questa assolutamente contraria alla normativa italiana e tale da configurare anche ipotesi di reato.
Continuando in questo quadro, relativamente al servizio Google Street View, inoltre, l’Autorità italiana il 9 settembre 2010 ordinò il blocco dei dati raccolti e inviò gli atti alla magistratura per quanto di sua competenza.
Inoltre l’Autorità italiana adottò anche specifiche prescrizioni circa la riconoscibilità per il pubblico delle auto usate per realizzare il servizio e la possibilità per i cittadini di essere informati adeguatamente della loro attività, per decidere i comportamenti da tenere in ordine all’eventualità di essere comunque oggetto di ripresa.
E’ ben noto, inoltre, che l’Autorità italiana ha sviluppato anche a più riprese azioni significative con Google, volte a garantire nei limiti del possibile, l’esercizio di forme ragionevoli di diritto all’oblio, con la conseguente cancellazione dei dati dal motore di ricerca in casi assolutamente significativi.
Un’attività, questa, che vide anche un atteggiamento collaborativo di Google, del quale l’Autorità italiana dette atto in numerose occasioni e di cui io stesso, all’epoca Garante, riferii nella Relazione annuale.
Dunque, possiamo ben dire che Google è all’attenzione delle Autorità europee e anche di quella italiana da molto temo. Tuttavia l’azione comune intrapresa ora dalle Autorità europee, e finalizzata a verificare la conformità alle regole europee della policy privacy praticata da Google, rappresenta certamente un salto di qualità importante.
Key4biz. In che senso dice che rappresenta un salto di qualità?
Franco Pizzetti. I Garanti hanno visto da tempo con grande preoccupazione lo svilupparsi di una policy privacy di Google che ha raggiunto il suo punto terminale con la previsione della possibilità di un’unica informativa, un unico consenso e un’unica password di accesso per tutti i servizi forniti dal gruppo.
Questa nuova policy privacy, lanciata da Google il 1 marzo 2012, ha infatti immediatamente spinto il WP29, il gruppo europeo delle Autorità di protezione dati, a avviare una attenta analisi di questa iniziativa.
Analisi che, come riporta anche il comunicato stampa del Garante italiano in data 3 aprile 2013, si è svolta tra marzo e settembre 2012.
Essa è dunque iniziata quando ancora io avevo la guida dell’Autorità italiana, e continua con ancora più forza ora sotto la guida del Presidente Antonello Soro.
Nell’ambito di quella iniziativa la CNIL, Autorità francese leader di questa attività di approfondimento, decise di presentare al WP29, per la riunione di settembre scorso, un corposo documento contenente, tra l’altro, domande specifiche da rivolgere a Google e prescrizioni da impartire.
Come dice anche il comunicato del Garante del 3 aprile scorso, nella riunione del 26 settembre 2013 il WP29 approvò la proposta della CNIL e stabilì che dovessero essere comunicate a Google le richieste e le prescrizioni previste, dando tempo quattro mesi per rispondere in modo esaustivo.
A questo fine, incaricò il Presidente Konstam di trasmettere sia le raccomandazioni che le domande a Google, per avere nel tempo previsto i chiarimenti ritenuti necessari.
Allo scadere della data fissata, continua sempre il comunicato del Garante, Google ha chiesto un incontro con le Autorità, che si è tenuto il 19 marzo, ma neppure a seguito di questo incontro Google, pur avendo dato ampie assicurazioni, ha poi adottato, a giudizio delle Autorità, le misure richieste.
Di qui la decisione, assunta in una riunione ad hoc a Parigi alla fine dello scorso mese di marzo, di avviare questa azione congiunta che vede impegnate ben sei Autorità importanti, fra le quali la nostra.
Le Autorità coinvolte, oltre a quelle italiana, sono come è noto la francese, l’inglese, la tedesca, l’olandese e la spagnola.
Key4biz. Visto che Google era stata invitata lo scorso anno a una modifica entro quattro mesi della propria policy privacy perché secondo lei ha disatteso così vistosamente la richiesta?
Franco Pizzetti. Ovviamente mi è difficile rispondere perché, non facendo parte dell’Autorità italiana né, di conseguenza del WP29, non ho informazioni e conoscenze adeguate a dare una risposta informata.
Posso solo immaginare che Google abbia deliberatamente scelto di tastare la resistenza delle Autorità europee, anche allo scopo di aprire in via indiretta un confronto duro.
So bene che Google sostiene di essere perfettamente compliant con le regole europee, ma mi fido dei miei colleghi e ritengo che se le Autorità hanno deciso un’azione così forte, come una attività ispettiva comune da svolgersi contemporaneamente in sei diversi Paesi, è perché hanno ottime ragioni per dichiararsi, almeno allo stato, insoddisfatte del comportamento di Google.
Key4biz. Il riferimento normativo usato dai Garanti è quello della Direttiva europea sulla protezione dei dati personali. E’ una direttiva di molti anni fa. Perché non si è intervenuti prima?
Franco Pizzetti. Potrei dirle semplicemente perché la decisone di Google relativa a questa nuova policy privacy è solo del 1 marzo 2012, ma sarebbe una risposta troppo sbrigativa.
Voglio essere più completo.
Credo che le ragioni siano due.
La prima, che ovviamente la scelta fatta da Google con la nuova policy privacy rappresenta un fortissimo salto di qualità nella possibilità di acquisire dati relativi agli utenti.
La novità sta nel fatto che una sola password di accesso a tutti i servizi consente di ricondurre tutti i dati usati nell’accesso ai diversi servizi, e indipendentemente dal device utilizzato, a un unico utente, quello appunto che ha adottato la password usata.
Non è difficile capire come questo costituisce un enorme salto di qualità nella pericolosità della ritenzione dei dati e dei loro trattamenti.
Una pericolosità tanto più preoccupante se si tiene conto che molti dei servizi offerti ai quali si può accedere con una sola password implicano anche possibilità di geolocalizzazione e di controllo degli spostamenti sul territorio.
In secondo luogo va detto che il 1 gennaio 2012 è stato presentata la bozza del nuovo Regolamento europeo sulla protezione dei dati personali.
Questo regolamento è ora in corso di esame e dovrebbe essere approvato entro l’anno. Contiene norme molto precise in materia di protezione dei dati da parte dei gestori di servizi in rete e prevede anche forme normali di collaborazione tra gruppi di Autorità per assicurarne il rispetto.
Contro questo Regolamento è in atto una resistenza fortissima da parte di molti grandi gestori di servizi, finalizzata se possibile a bloccarne l’adozione, e se non è possibile almeno ad annacquarne molto gli effetti.
E’ possibile che lo scontro in atto tra Google e le Autorità trovi una qualche, anche indiretta, ragione in questo contesto, che segna una svolta epocale nella effettività della protezione dei dati personali in Europa.
Key4biz. Ora i Garanti opereranno singolarmente alla luce della Direttiva europea. Cosa accadrà esattamente? Google tratterà con i Garanti singolarmente e ci potranno essere esiti differenti o addirittura contrastanti da un Paese all’altro o si arriverà a determinazioni comuni?
Franco Pizzetti. Vedremo. Per ora lasciamo lavorare le Autorità. Credo comunque che la decisione di svolgere un’indagine comune e coordinata in tutti e sei i Paesi sia orientata a arrivare a determinazioni comuni, anticipando ulteriormente, nei limiti della attuale normativa, gli effetti unificanti che avrà il futuro Regolamento europeo.
Poi certamente potranno anche esserci determinazioni specifiche, ma solo se le singole leggi nazionali o i singoli ordinamenti nazionali li giustificheranno. In ogni caso si tratta di una vicenda importantissima per noi europei e alla quale dobbiamo guardare con sostegno e grande partecipazione.
Key4biz. Non solo violazione di Privacy, manipolando i dati degli utenti Google intercetta i consumi di pubblicità, altera in un certo senso le regole, dal momento che gode di asimmetrie di mercato che svantaggiano le aziende concorrenti europee. Non rileva un danno generale nell’economia digitale europea?
Franco Pizzetti. Ovviamente a me, come ex Garante, sta innanzitutto a cuore la protezione dei dati, e in particolare dei dati personali.
E credo che ogni comportamento di utilizzo dei dati personali, per qualunque scopo, che avvenga in violazione delle norme europee e nazionali vada perseguito e impedito.
Comprendo però anche il suo punto di vista. Certo vi è del vero nell’osservare che i comportamenti di Google nel trattare i dati personali possono avere come effetto, oltre che la violazione della privacy ove questa si verifichi, anche una rilevantissima incidenza economica a danno di altri concorrenti che perseguono finalità e abbiano attività concorrenti con quelle di Google o incidenti negli stessi settori.
Tuttavia, ripeto, il problema di fondo è la pericolosità per i cittadini e, in fondo, per le nostre società di trattamenti illeciti di dati o comunque di trattamenti troppo invasivi e sostanzialmente non adeguatamente dichiarati.
Key4biz. Dopo le dimissioni della responsabile privacy a seguito dell’iniziativa dei Garanti, l’incarico è stato assunto dal direttore della Divisone Engineering di Google. Appare evidente che per l’Azienda di Mountain View il trattamento dei dati personali sia un problema di funzionamento del sistema operativo piuttosto che un problema di natura giuridica.
Franco Pizzetti. Non so, ma non giungerei subito a conclusioni così forti. Certamene le dimissioni della responsabile della privacy sono un fatto molto importante e significativo. Che ora sia stata sostituita dal responsabile della Divisione Enginnering può dipendere da motivi interni che sarebbe forse inopportuno giudicare subito come simbolicamente e concretamente indicativi.
Key4biz. I dati hanno enorme potenziale valore commerciale. Come valorizzarli senza incorrere nelle maglie delle violazioni previste dalla normativa? Quale economia si potrà sprigionare sui dati manipolabili? E quali sono?
Franco Pizzetti. Sappiamo con certezza quali sono i dati che la nostra visone europea considera oggetto di protezione alla stregua della protezione dovuta a un diritto fondamentale. Sono i dati personali, e cioè le informazioni riferite o riferibili a persone identificate o identificabili. Questi vanno protetti perché la loro protezione è un diritto fondamentale riconosciuto dall’Unione e dunque non può esserci alcun motivo economico o di natura economica che ne giustifichi la compressione.
Per gli altri tipi di dati la discussione è in corso.
E ben nota la spinta fortissima, ora oggetto anche di previsioni normative specifiche italiane, allo sviluppo dell’Open Data e alla messa a disposizione di tutti dei dati della Pubblica Amministrazione che non debbano essere protetti per ragioni specifiche e specificamente previste dalle leggi, o che siano di carattere personale.
Io da tempo segnalo la pericolosità potenziale e attuale di una visione troppo ottimistica degli Open Data, tutta finalizzata a rendere massima la trasparenza e massimo il loro sfruttamento economico, ma troppo poco attenta al valore che i dati hanno e ai potenziali pericoli che la loro utilizzabilità senza limiti può avere per le nostre società, specie in un’epoca che vede dilatarsi le tecniche di trattamento sempre più massivo chiamate Big Data.
Credo che sia una discussione ancora tutta da fare e che certamente negli anni futuri coinvolgerà tutti e tutta la nostra società.
Ora è quasi impossibile, perché è la fase in cui molti vedono nell’Open Data lo strumento essenziale per garantire la trasparenza, il controllo e la partecipazione attiva di tutti alle istituzioni e all’attività dell’amministrazione. Il che è certamente vero e anche molto positivo, ma fa tropo trascurare gli altri aspetti ai quali ho fatto cenno.
Key4biz. Quali differenze tra i dati personali e i dati “socialmente sensibili”?
Franco Pizzetti. La ringrazio molto per avermi fatto questa domanda. Cosa sono i dati personali, almeno come concetto e come definizione giuridica, lo sappiamo bene.
Così come sappiamo bene cosa sono i dati personali sensibili e quelli ipersensibili in quanto riferiti alla salute.
A quasi tutti invece sembrerà una novità incomprensibile sentir parlare di dati “socialmente sensibili”, ed effettivamente è una espressione che io cerco di utilizzare proprio per segnalare che anche dati non riferiti a persone fisiche, ma a persone giuridiche, enti, comportamenti collettivi, dati geografici, mappe relative a servizi essenziali e ad alto potenziale di pericolosità possono essere dati “socialmente sensibili” (si pensi alla mappa dei sottoservizi di una città) o di elevato interesse collettivo (si pensi al funzionamento tecnico e organizzativo della rete dei trasporti pubblici). Dati, cioè, che è necessario chiedersi se possano essere indiscriminatamente esposti alla conoscenza di tutti, nell’ambito di un Open Data senza limiti, o debbano invece essere protetti.
Si badi, il fatto di stabilire che debbano essere protetti non significa che non debbano essere conoscibili e accessibili anche per finalità economiche o di sfruttamento delle opportunità che la loro conoscenza dal punto di vista economico.
Significa soltanto disciplinarne la conoscibilità, ponendo in essere misure che consentano di conoscere e riconoscere chi ad essi faccia accesso e per quali scopi.
Mi rendo conto di andare nettamente contro corrente, ma pazienza. Credo che siano temi importanti dei quali, sono certo, tutti riconosceranno quanto prima l’importanza anche dal punto di vista della protezione delle nostre società.
Key4biz. Quale è il peso dell’Autorità garante italiana in Europa? E quali le opportunità per l’Italia nell’epoca dei Big data e del lancio dell’Agenda digitale e dell’Agenzia che dovrà curarne lo sviluppo?
Franco Pizzetti. L’Autorità italiana ha una struttura di funzionari e dirigenti competenti e riconosciuti come tali in tutta Europa. Negli scorsi anni ha anche molto incrementato le sue strutture selettive e le sue strutture tecnologiche. Molte volte inoltre ha svolto un importante lavoro di supplenza anche rispetto ad altre strutture del Paese.
Dunque io penso che possiamo esserne orgogliosi e che possiamo contare molto su questa Autorità.
Sull’Agenda digitale europea abbiamo accumulato gravi ritardi e anche la Agenda digitale italiana, che finalmente ha visto la luce, segnala non pochi limiti, soprattutto per quanto riguarda la formazione e le misure di sicurezza. I continui provvedimenti finalizzati a incentivare trasparenza e digitalizzazione nella Pubblica amministrazione sono spesso all’avanguardia, ma altrettanto spesso lasciano un poco la sensazione di voler gettare il cuore oltre l’ostacolo, indipendentemente da ogni vera analisi di fattibilità.
Dunque luci, ma anche non poche ombre.
Per fortuna all’Agenzia digitale è stato chiamata una persona competente e appassionata come l’ing. Agostino Ragosa, che pur tra mille difficoltà, sta impostando un lavoro egregio e nella pubblica amministrazione, specie regionale e periferica, ci sono molte professionalità e competenze autentiche.
Nell’insieme io sono ottimista, e penso che proprio questo settore possa costituire una molla vera per lo sviluppo del Paese.
Key4biz. E’ appena uscito presso l’editore Giappichelli il suo ultimo libro “Il caso del diritto all’oblio“, il secondo di una collana da lei diretta intitolata emblematicamente “I diritti nella rete della rete“. Come si fa a rivendicare tale diritto e sentirsi veramente persone libere di assumere le proprie decisioni?
Franco Pizzetti. Grazie della domanda. Sì, sono molto contento di questo libro, che raccoglie anche molti saggi di colleghi e amici, dell’Autorità garante e dell’Università, molto preparati e competenti sull’argomento.
Il diritto all’oblio è un tema affascinante perché coinvolge mille aspetti, dal diritto di una società a conservare la propria memoria storica al diritto di raccogliere e usare i dati a fini statistici o scientifici e, per contro, il diritto dell’individuo a “rifarsi una vita” o comunque a chiedere e ottenere che informazioni a lui riferite e molto risalenti nel tempo, o poi dimostrate non vere da eventi successivi, siano cancellate o corrette.
Un tema di sempre ma che la rete e la sua sconfinata capacità di conservazione e diffusione delle informazioni rendono oggi di particolarissima attualità.
Spero che questo volume aiuti a comprendere meglio le diverse sfaccettature, giuridiche, filosofiche, tecniche e culturali che questi temi mettono in gioco.
