L'analisi

La privacy e la protezione dei dati personali nella società dell’informazione tra mito e realtà

di Emilio Tosi, Professore Aggregato di Diritto Privato e Diritto delle Nuove Tecnologie Università di Milano Bicocca Managing Partner Tosi & Partners High Tech Legal |

La privacy e la protezione dei dati personali possono dirsi effettive nella società dell’informazione o piuttosto si tratta di un singolare ossimoro dei tempi moderni?

La privacy e la protezione dei dati personali possono dirsi effettive nella società dell’informazione o piuttosto si tratta di un singolare ossimoro dei tempi moderni?

Tre recenti fatti segnalati dalla stampa colgono il segno dei tempi e la tensione esistente tra privacy e tecnologie digitali.

Key4Biz del 20 aprile 2017 segnala che dai sensori alle soluzioni Machine-to-Machine, entro le fine dell’anno in corso l’Internet delle cose applicata in progetti di sviluppo urbano supererà i 202 milioni di unità (Aggiornamento Report Markit del 2016).

Privacy Italia segnala in data 11 aprile 2017 che da uno studio diffuso dal Ranking Digital Rights 2017 Corporate Accountability Index – che valuta lo stato di una serie di indicatori legati alla privacy di internet e delle telecomunicazioni, dal controllo dell’utente sui propri dati sino all’ambito di diffusione degli stessi – emerge una “tensione intrinseca” tra profitti e privacy dei consumatori in relazione alle aziende che adottano modelli di business basati sulla raccolta e rivendita dati utente.

Il Center on Privacy and Technology di Washington segnala il 12 aprile 2017 l’abrogazione delle regole federali disciplinanti gli obblighi privacy degli ISP e precisamente:
“The now-defunct rules, which were promulgated by the Federal Communications Commission last October, would have required ISPs to (among other things): 1) provide clear notice to their customers about what information they collect, how they use it, and with whom they share it; 2) get permission before using or sharing information about their customers’ browsing and app usage history for purposes other than to provide service, and 3) adopt reasonable security practices to protect their customers’ data”.

Mai come oggi potremmo dire, a ragione, che la tutela della privacy e la protezione dei dati personali sono una vera e propria sfida regolatoria: Social Network, IoT e Big Data sono solo alcune delle principali “temibili” variabili socio-economiche e tecnologiche che occorre disciplinare in modo equilibrato, bilanciando contrapposti interessi.

Temi fondamentali regolati nello scenario globale secondo differenti modelli di tutela e prospettiva: quello europea rafforzato e basato su diritti fondamentali della persona costituzionalmente protetti, quello USA più flessibile e basata su un approccio settoriale, case by case, spesso soccombente rispetto alle non sempre evidenti esigenze di sicurezza nazionale e talvolta semplicemente mercatorie, come pare nel recente caso dell’abrogazione degli obblighi privacy degli ISP.

La Commissione UE pare aver raccolto la sfida della tutela della privacy e della protezione dei dati personali con l’approvazione del nuovo Regolamento Ue 679/2016 (c.d. General Data Protection Regulation) – in sostituzione dell’ormai storica Direttiva CE 95/46 – anche se ancora resta da scrivere il fondamentale tassello della privacy digitale.

La Commissione UE ha, infatti, recentemente avviato anche il processo di riforma della Direttiva 2002/58/CE (c.d. “Direttiva ePrivacy“), che dovrebbe uniformare l’attuale quadro normativo continentale in materia di circolazione dei dati personali nelle comunicazioni elettroniche – con un tentativo di disciplinare anche le comunicazioni Machine to Machine del nuovo fenomeno IoT – con l’introduzione, anche in questo caso, di un Regolamento direttamente applicabile nei 27 Paesi rimasti nella UE dopo Brexit.

Nella ben nota “COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE EUROPEAN ECONOMICS AND SOCIAL COMMITEE AND THE COMMITTEE OF THE REGIONS A DIGITAL SINGLE MARKET STRATEGY FOR EUROPE” (COM(2015) 192 final, contenente le linee di azione per lo sviluppo di un mercato unico digitale, il c.d. Digital Single Market (DSM).

The Digital Single Market Strategy will be built on three pillars:

  • Better access for consumers and businesses to online goods and services across Europe – this requires the rapid removal of key differences between the online and offline worlds to break down barriers to cross-border online activity.
  • Creating the right conditions for digital networks and services to flourish – this requires high-speed, secure and trustworthy infrastuctures and content services, supported by the right regulatory conditions for innovation, investment, fair competition and a level playing field (…) reinforce trust and security in digital services, notably concerning the handling of personal data. Building on the new EU data protection rules, due to be adopted by the end of 2015, the Commission will review the e-Privacy Directive.
  • Maximising the growth potential of our European Digital Economy – this requires investment in ICT infrastuctures and technologies such as Cloud computing and Big Data, and research and innovation to boost industrial competiveness as well as better public services, inclusiveness and skills”.

L’economia globale diventa digitale: le tecnologie dell’informazione e della comunicazione non costituiscono più un settore a sé stante, bensì il fondamento stesso di tutti i sistemi economici innovativi moderni.

Si afferma un nuovo paradigma industriale – è la quarta rivoluzione denominata Industria 4.0 – in cui tutte le fasi produttive sono gestite e condizionate dalle informazioni raccolte dalla progettazione sino al post-vendita da eterogenee tecnologie abilitanti digitali che interconnettono sistemi produttivi, prodotti e consumatori.

Il DSM è un mercato in cui è garantita la libera circolazione delle merci, delle persone, dei servizi, dei capitali – oltre che dei dati – in condizioni di concorrenza leale, livello elevato di protezione dei consumatori e dei dati personali.

La realizzazione del DSM consentirà all’UE di mantenersi tra i leader mondiali dell’economia digitale, sostenendo la crescita delle imprese europee su scala globale.

Il DSM potrebbe arrichire nei prossimi anni – secondo le previsioni della Commissione UE – il PIL europeo di 415 miliardi di euro, creare opportunità per nuove start up e permettere alle imprese esistenti di crescere e di beneficiare della scala offerta da un mercato di oltre 500 milioni di persone.

Un pilastro fondamentale del DSM è proprio quello costituito dalla costruzione europea di un nuovo quadro regolatorio armonizzato in materia di protezione di dati personali in attuazione del generale precetto contenuto nell’articolo 16, paragrafo 1, del Trattato sul funzionamento dell’Unione europea («TFUE») degli artt. 7 (Diritto al rispetto della vita privata e familiare) e  art.8 Protezione dei dati di carattere personale della Carta dei diritti fondamentali dell’Unione Europea.

In particolare l’art.8 della Carta statuisce:

  1. Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
  2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica.
  3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente”.

Il nuovo Regolamento 679/2016 – che, come noto, sarà vincolante a decorrere dal 25 maggio 2018 – si propone, quindi, di assicurare un “livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri”.

La protezione prevista dal Regolamento Generale – a differenza dell’e-privacy che si applicherà anche alle persone giuridiche – si applica esclusivamente alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali.

Fra le tante novità del nuovo Regolamento – Valutazione Impatto Privacy, Data Protection Officer, Diritto all’oblio, Diritto alla portabilità dei dati e il robusto apparato sanzionatorio solo per fare alcuni cenni ex multis senza pretese di esaustivitàsi segnala l’art. 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita, rafforzamento di princìpi già noti anche mediante meccanismi di certificazione indipendente, che testimonia lo sforzo di arginare la potenziale pervasività tecnologica digitale ab origine  e non solo ex post. Precisamente l’art.25 del Regolamento stabilisce che:

  1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonomizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
  2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
  3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo”.

La percezione evidente che la tutela della privacy e della protezione dei dati personali – nonostante le importanti novità segnalate e in corso di definizione – siano ancora una pagina da scrivere, ben lontana dall’aver raggiunto un saldo approdo definitivo condiviso dai principali attori dei mercati globali, richiede approfondimento costante e discussione.

Da qui l’iniziativa dello scrivente – Direttore della Collana di Studi “Diritto delle Nuove Tecnologie”  – di promuovere – Lunedì 8 maggio p.v. ore 15.30 nell’Aula Magna dell’Università di Milano Bicocca – il Convegno-Tavola Rotonda “Oltre vent’anni dal primo intervento normativo in materia di privacy: la riforma della protezione dei dati personali alla luce del nuovo Regolamento UE 679/2016che vedrà la partecipazione – oltre al keynote speaker Cons. Buttarelli EDPS – di autorevoli Relatori che interverranno sui principali aspetti dell’importante riforma ad un anno dalla sua piena applicazione.

Link progamma