IN POCHE PAROLE….
Come rendere compatibili le spinte tecnologiche con i diritti e le libertà degli individui e, in particolare, con la tutela della riservatezza.
Introduzione
Nell’apertura dei lavori del Convegno della Giornata europea per la privacy, Antonello Soro, Presidente del Garante per la protezione dei dati personali, ha promosso una riflessione sul futuro della tutela della riservatezza, sulle possibilità di affiancare il progresso e l’innovazione assicurando, allo stesso tempo, la tutela dei diritti fondamentali, nel bel mezzo di un’epoca connotata da un’esponenziale crescita tecnologica che impatta, con incredibile furia, su tutta la dimensione umana.
Dallo spazio globale dell’informazione, si è saltati, in un attimo, all’ Internet di tutte le cose, con le sue molteplici applicazioni, alle città intelligenti, al concetto di identità digitale e di profilazione prima dei consumatori e d poi ei cittadini, all’esplosione dei big data e all’uso, sempre più comune, dell’intelligenza artificiale.
Non è difficile immaginare un “pianeta connesso”, uno spazio nel quale si realizza compiutamente la continuità tra la dimensione fisica e quella digitale, quasi come se fosse un aspetto immateriale dell’esistenza umana che, mentre apre orizzonti promettenti da esplorare, lascia anche pesanti incertezze sulle modalità di utilizzo dell’esorbitante quantità di informazioni scambiate vorticosamente e spesso senza alcun intervento consapevole delle persone.
Non si può che essere d’accordo, in conclusione, con quanto affermato di recente dal Garante: “La persona digitale, dematerializzata, disincarnata, è destinata a coincidere soltanto con le informazioni che la riguardano, che altri soggetti scelgono di selezionare, trattare e rivelare. In questo modo quelle informazioni diventano l´unica proiezione nel mondo dell´essere di ciascuno, non un doppio virtuale che si affianca alla persona reale ma la rappresentazione istantanea di un’intera vita, unica memoria sociale di quella vita e, come tale, capace di condizionare la memoria individuale, di orientare relazioni e destini di ogni individuo”.
In uno scenario talmente avveniristico da sovvertire qualunque coraggiosa visione futuristica, per le pubbliche amministrazioni, nasce come un’urgenza l’inderogabile necessità di ricercare nuove soluzioni che rendano compatibili le spinte tecnologiche con i diritti e le libertà degli individui, imperativo peraltro, ribadito nell’art. 24 del Regolamento UE 679/2016, (cd. General Data Protection Regulation o GDPR), laddove viene affermato che “le misure tecniche ed organizzative sono riesaminate e aggiornate qualora necessario”.
Ecco quel qualora necessario è quanto mai di attualità. Come è noto, infatti, le disposizioni previste dal CAD, mentre impongono un percorso di transizione al digitale da eseguire attraverso il Piano Triennale per l’Informatica nella Pubblica Amministrazione, richiedono, contemporaneamente di assicurare i diritti e le libertà dei cittadini mediante l’applicazione di regole che assicurino l’ incolumità dei dati personali, delineando così, un doppio binario, quello del digitale da un lato e quello della compliance alle norme in materia di trattamento dei dati personali dall’altro.
L’epoca che stiamo vivendo esprime una rivoluzione fondata sui dati, sul loro possesso, sulla liceità del loro trattamento, sul loro utilizzo e soprattutto sul profitto che ne deriva. Basti pensare che in questi ultimi anni l’umanità ha prodotto più informazioni di quante ne siano state create in tutto il pregresso periodo della civiltà umana, dando praticamente vita ad una copia digitale del nostro universo fisico.
In particolare, peserà, per il successo del Paese, la capacità delle pubbliche amministrazioni di adeguarsi agli standard in materia di trattamento e protezione dei dati e di completare contemporaneamente il passaggio al digitale; in altri termini conterà la capacità di applicare il GDPR, garantendo trasparenza e utilizzabilità dei dati nell’interesse pubblico, mentre si tutelano i diritti individuali, nell’interesse privato.
Le linee guida europee ai sensi del Regolamento europeo 679/2016
Il GDPR ha, da un lato, rafforzato i diritti riconosciuti agli interessati dalla direttiva 95/46/CE e dal Codice privacy e, dall’altro lato, ha introdotto nuovi diritti, come quello che garantisce la “portabilità dei dati”, che, insieme al cosiddetto “diritto all’oblio” rappresentano le novità più rilevanti.
L’European Data Protection Board “Edpb” (comitato europeo per la protezione dei dati) è un organo europeo indipendente, che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE.
Composto da rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo della protezione dei dati (GEPD), l’organismo ha sostituito il Gruppo di lavoro articolo 29 [1]ed è attualmente il gruppo di lavoro comune delle autorità nazionali di vigilanza e protezione dei dati.
Le linee-guida sul consenso e quelle sulla trasparenza[2] rappresentano un esempio significativo in quanto si parla di due aspetti del trattamento strettamente connessi perché, pur essendo il consenso uno dei requisiti per trattare lecitamente i dati personali il GDPR richiede uno sforzo di trasparenza maggiore da parte dei titolari del trattamento soprattutto quando vogliano ricorrere al consenso per trattare dati personali.
Quando un titolare pone in essere attività che comportano il trattamento di dati personali, deve sempre valutare attentamente la base giuridica, scegliendo quella appropriata per il trattamento previsto. Il consenso, infatti, ai sensi dell’articolo 6 c. 1 lett a) del GDPR, è una delle basi giuridiche su cui può essere basato il trattamento dei dati personali.
In generale il consenso può costituire una base lecita adeguata solo se all’interessato viene offerta una scelta autentica in merito all’accettazione o al rifiuto delle condizioni offerte. Quando richiede il consenso, il titolare del trattamento ha il dovere di valutare se soddisferà tutti i requisiti per ottenere un consenso valido. Inoltre, se ottenuto legittimamente, il consenso è uno strumento che consente agli interessati di controllare se i dati personali che li riguardano saranno trattati o meno. In caso contrario, il controllo dell’interessato diventa illusorio e il consenso non costituirà una base valida per il trattamento, rendendolo illegittimo.
Come il WP29 ha dichiarato nel parere n. 15/2011, “la decisione di un individuo di accettare un’operazione di trattamento dei dati dovrebbe essere soggetta a rigorosi criteri, soprattutto se si tiene conto del fatto che, così facendo, un individuo potrebbe rinunciare a un suo diritto fondamentale”.
Il ruolo cruciale del consenso è sottolineato anche dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea, basti pensare che ottenere il consenso non impedisce o in alcun modo riduce gli obblighi del titolare del trattamento di osservare i principi del trattamento sanciti dal GDPR, in particolare l’articolo 5 per quanto riguarda l’equità, la necessità e la proporzionalità, nonché la qualità dei dati
Non meno rilevanti appaiono le linee guida in materia di profilazione e decisioni automatizzate e in materia di data breach notification pubblicate il 13 febbraio, 2018 dal Gruppo Articolo 29 relative al Regolamento (UE) n. 679/2016, in quanto impattano direttamente su argomenti che negli ultimi tempi hanno assunto un’ importanza cruciale per il dilagare di servizi basati sulla personalizzazione, mediante la profilazione di gusti e preferenza degli interessati, sia per l’impiego crescente di tecniche di analisi basate su algoritmi quasi sempre ignoti all’interessato e sottratti in larga parte al suo controllo, anche quando generano decisioni che influiscono sulla sua sfera privata.
Per queste tipologie di trattamento è previsto dallo stesso GDPR il requisito della valutazione di impatto sulla protezione dei dati, che costituisce un’ulteriore garanzia per l’interessato oltre che uno strumento di autotutela per il titolare, cui si offre anche la possibilità di una consultazione preventiva dell’Autorità.
La pubblicazione di una valutazione d’impatto sulla protezione dei dati non è un requisito giuridico sancito dal regolamento generale sulla protezione dei dati, è una decisione del titolare del trattamento. Tuttavia, i titolari del trattamento dovrebbero prendere in considerazione la pubblicazione di almeno alcune parti, ad esempio di una sintesi o della conclusione della loro valutazione d’impatto sulla protezione dei dati, con la finalità di dimostrare la responsabilizzazione e la trasparenza e di stimolare la fiducia dei terzi interessati nei confronti dei trattamenti effettuati.
E’ sempre indispensabile, quindi, un’attenta valutazione delle situazioni giuridiche che vengono via via in considerazione, che si mostri in grado di garantire, da un lato, la difesa di un interesse giuridicamente rilevante e, dall’altro, di salvaguardare la tutela del diritto alla riservatezza, al quale la legge riconosce ugualmente una particolare garanzia.
Nuovi diritti digitali dei cittadini
Con il decreto Semplificazioni Bis[3] sono stati introdotti e rafforzati i nuovi diritti digitali dei cittadini, esemplificabili in due macro categorie: il diritto all’uso delle tecnologie, inteso quale prerogativa per chiunque di usare in modo accessibile ed efficace gli strumenti previsti dal CAD, e l’ accessibilità, vale a dire il requisito che ogni servizio progettato o acquistato dalla PA deve possedere caratteristiche di adeguamento alle linee guida di design dei servizi e di accessibilità dei documenti informatici.
In particolare, ai sensi dell’articolo 3 del CAD, ogni cittadino ha il diritto di usare le tecnologie previste dal Codice stesso nei rapporti con la Pubblica Amministrazione. Ciò, con un secolare cambio di paradigma, implica la circostanza che il cittadino deve essere libero di scegliere che canale prediligere per comunicare con la propria amministrazione e, se preferisce la modalità digitale, deve deve poterlo fare senza trovare ostacoli.
Il diritto di usare in modo accessibile ed efficace le tecnologie previste dall’articolo 3 del CAD include anche il diritto di presentare qualsiasi istanza servendosi delle tecnologie previste dal Codice stesso. Il passaggio è rivoluzionario perché, per la prima volta, una qualsiasi istanza può essere presentata in digitale tramite appositi canali dedicati che il cittadino può attivare in qualsiasi momento, direttamente da casa.
Si aggiunge poi il diritto all’identità digitale[4] per accedere ai servizi online messi a disposizione dalla pubblica amministrazione, il diritto al domicilio digitale, ovvero a un indirizzo elettronico eletto presso un servizio di posta elettronica certificata o un servizio elettronico di recapito certificato qualificato valido ai fini delle comunicazioni elettroniche aventi valore legale, il diritto ad eseguire i pagamenti verso le pubbliche amministrazioni, i gestori di pubblici servizi e le società a controllo pubblico con modalità elettroniche[5].
La tutela dei diritti digitali, nelle ipotesi di violazione, si esprime rivolgendosi al difensore civico digitale introdotto dall’articolo 17, comma 1 quater, del CAD. Il ricorrente può agire in giudizio notificando una diffida all’organo di vertice dell’amministrazione o del concessionario affinché effettui, entro il termine di novanta giorni, gli interventi utili alla soddisfazione degli interessati.
Il difensore civico digitale svolge una funzione di supporto ai cittadini e alle imprese per rendere effettivo l’esercizio dei diritti di cittadinanza digitale. Il difensore riceve da cittadini e imprese segnalazioni di presunte violazioni, da parte delle pubbliche amministrazioni, gestori di pubblici servizi e società a controllo pubblico, del CAD e delle norme di ogni altra norma in materia di digitalizzazione ed innovazione della pubblica Amministrazione.
Assicurare in maniera puntuale ed efficace l’esercizio dei diritti digitali da parte di cittadini e imprese non comporta, per le pubbliche amministrazioni, solo uno sforzo epocale lungo il sentiero della trasformazione digitale e della spinta all’innovazione, ma, altresì, la capacità di farlo rispettando la sfera privata e tutto il corredo dei diritti dei soggetti coinvolti, mediante la disciplina del trattamento dei dati personali raccolti e scambiati che ha trovato piena consacrazione all’interno di testi normativi di livello nazionale ed internazionale.
Conclusioni
L’emersione del diritto alla protezione dei dati personali discende direttamente dallo sviluppo delle tecnologie informatiche e telematiche e dal ruolo centrale assunto dall’informazione nel nuovo contesto economico e sociale.
Sicchè ogni consociato diventa, oggi, consapevole della necessità di non impedire che i propri dati circolino, ma tenendo bene in conto dei pericoli per i diritti e le libertà individuali che possono derivare da tale circolazione.
Recenti episodi di cronaca hanno già fatto emergere i rischi associati a tutto ciò, legati alla sicurezza ma anche derivanti dall’uso dei dati, non confinati nella sfera digitale ma che possono incidere sulla vita fisica delle persone.
In questo contesto assume valenza dirimente la nozione di “sovranità digitale” quale snodo della necessaria tutela statuale in ambito nazionale e internazionale. In mancanza, la sottrazione dell’ambito a una tutela ordinamentale è destinata ad esporre i diritti fondamentali di ognuno all’arbitrio di pochi, aprendo il passo al totalitarismo digitale.
Nel difficile equilibrio fra innovazione digitale, da un lato, e diritti e libertà delle persone, dall’altro, è evidente e chiaro il segnale di pericolo per quelle pubbliche amministrazioni che non hanno ancora preso sul serio la pianificazione della propria trasformazione digitale, garantendo al tempo stesso la tutela dei diritti degli interessati.
dott.ssa Enrica Cataldo – AGID, ufficio di staff
[1] Working Party article 29 o WP29, in quanto previsto dall’art. 29 della direttiva europea 95/46.
[2] Sono state pubblicate nel 2017 le traduzioni, in lingua italiana, di diverse Linee Guida adottate negli scorsi anni dal Gruppo di Lavoro 29 per la protezione dei dati (il c.d. WP29), in ottemperanza alle previsioni del regolamento (UE) 2016/679.ed aggiornate nel maggio 2020.
[3] Decreto legge 31 maggio 2021, n. 77.
[4] I 3 principali metodi di accesso che possono essere dati al cittadino sono: SPID (Sistema Pubblico di Identità Digitale), CIE (Carta di identità elettronica), CNS (Carta Nazionale dei Servizi). Qualsiasi altra modalità proprietaria non dovrebbe più essere attiva dal 28/02/2021, data dello switch off imposto dal DL semplificazioni 2020.