Le prospettive di tutela della privacy nello scenario tecnologico del cloud e dei big data

Di seguito l’abstract dell’intervento con il quale Andrea Stazi, Ricercatore presso l’Università Europea di Roma, e Davide Mula, Dottore di ricerca in Diritto Privato nello stesso ateneo romano, parteciperanno alla winter edition dell’e-privacy 2013 intitolata “Big Data 2.0. Accesso all’informazione e privacy tra open data e Datagate“, che avrà luogo presso l’Università Bocconi di Milano il 15 e 16 novembre prossimi La prima teorizzazione del diritto alla privacy, come noto, risale al 1890, quando Samuel Warren e Louis Brandeis delinearono il diritto ad essere lasciati soli – right to be let alone – in applicazione del concetto privatistico di proprietà e del relativo sistema di tutela alla sfera privata della vita. In forza di tale concetto, recepito nel nostro ordinamento nel 1975 da parte della Corte di Cassazione, si è riconosciuto il diritto dei singoli alla riservatezza, riguardo a quelle situazioni e vicende strettamente personali e familiari che non abbiano per i terzi un interesse socialmente apprezzabile. La privacy così concepita, peraltro, si riferiva ad una realtà analogica in cui la lesione del diritto alla riservatezza era legata ad una materiale intromissione nella sfera privata ed in cui a dover essere controllata e regolamentata era, “a monte”, la stessa diffusione dell’informazione, e non anche la circolazione della stessa. In seguito, l’avvento delle tecnologie informatiche e telematiche nella gestione delle informazioni imponeva la rivisitazione dell’approccio alla privacy, giacché nel contesto digitalizzato il controllo sulla circolazione delle informazioni non poteva più essere svolto dall’interessato. La risposta normativa a tale mutato scenario è stata, quindi, quella di introdurre dei meccanismi che consentissero ai titolari dei dati di acconsentire o meno all’immissione ed alla circolazione delle informazioni a loro riferite nelle banche dati dei soggetti ai quali le informazioni venivano fornite. Si è passati, così, al concetto di protezione dei dati, c.d. data protection, in base al quale al titolare delle informazioni viene riconosciuto il diritto di limitarne la circolazione, spostando la responsabilità sul soggetto a cui l’interessato ha ceduto l’informazione stessa, ovvero il titolare del trattamento dei dati. Al giorno d’oggi, lo sviluppo di reti di comunicazione elettronica di nuova generazione, che consentono il grosso scambio di dati e l’interconnessione di banche dati di enormi dimensioni e capacità, pone la questione dell’obsolescenza di questo approccio legislativo. In concreto, la risposta al quesito dell’interessato riguardo a quali database del titolare del trattamento dei dati contengano informazioni a lui riferite diviene tecnicamente difficile. Il mero assolvimento dell’obbligo di backup dei dati, oggi effettuato sempre attraverso la rete, mostra già come un’informazione sia presente in almeno due banche dati, che per esigenze tecniche di sicurezza possono essere a loro volta copiate e salvate su diversi server. D’altro canto, nonostante le previsioni dell’Unione Europea, nella prassi risulta che le informazioni del soggetto restino comunque memorizzate nel sistema: in effetti, il diritto dell’interessato a revocare il consenso già prestato non opera retroattivamente, ma blocca solo la circolazione di un’informazione che continua ad essere memorizzata nel sistema. In questo senso, si orienta il nuovo strumento indicato nel recente pacchetto di riforma U.E., ovvero la c.d. Data Protection Impact Assessment (DPIA), una procedura di analisi dei rischi che mira a ponderare ex ante l’incidenza che una determinata soluzione tecnica avrà sulla tutela dei dati trattati, effettuata caso per caso in ragione delle specificità correlate alle modalità di gestione delle informazioni. Le regole in materia di data protection, dunque, ideate per una realtà che pur facendo uso della telematica presupponeva ancora la disponibilità materiale del dato informatico da parte del titolare del trattamento, non appaiono più adatte ad una prassi in cui anche il titolare del trattamento non ha la materiale disponibilità – e quindi il potere di controllo – sui dati. Ciò è di particolare evidenza in considerazione del fatto che la circolazione e la conservazione di essi avvengono essenzialmente in ambiente cloud. Attualmente, di fronte alla lentezza del legislatore, a cui cerca di sopperire il Gruppo dei Garanti Europei attraverso una sorta di interpretazione “quasi-autentica” del dettato normativo, il problema giuridico pare trovare soluzioni prevalentemente in ambito informatico, attraverso lo sviluppo di sistemi gestionali più sicuri, c.d. data security. In effetti, quindi, la sicurezza informatica dei dati, più che un obbligo legislativo, risulta prevalentemente un’esigenza dei soggetti che offrono i propri servizi sul mercato, i quali cercano la più efficace certificazione di qualità, non solo in termini di sicurezza ma altresì in termini di marketing. Nel medesimo senso volto a valorizzare la sicurezza dei dati, peraltro, si orientano altresì i recenti interventi legislativi dei Paesi BRICS, che stanno procedendo a regolamentare, al fine di attrarre investimenti da parte dei cloud providers, prevalentemente il profilo della data security, senza tuttavia introdurre nei loro ordinamenti una disciplina della privacy o della data protection. Le problematiche fin qui evidenziate, da ultimo, si sono acuite con lo sviluppo dei big data, ossia grandi collections di archivi che per la loro dimensione rendono impossibile una gestione realmente centralizzata delle informazioni, ma che offrono l’indubbio vantaggio di elaborazioni più precise, complete e, quindi, dotate di un maggior valore economico. L’utilizzo, ormai sempre più massiccio, della tecnologia cloud e dei big data, per definizione delocalizzati, impone peraltro di affrontare il tema della protezione e della sicurezza dei dati personali nella più ampia prospettiva di un’analisi che porti all’individuazione di procedure – condivise tra i diversi Paesi interessati – per la tutela dei dati personali dei singoli utenti, nel contemperamento delle diverse istanze che vengono avanzate. In questa prospettiva, in particolare, dovrebbero trovare contemperamento l’impostazione statunitense e quella dell’Unione Europea. La prima, come noto, è impostata essenzialmente sull’attribuzione di un valore economico ai dati personali, che possono essere ceduti, non sempre consapevolmente, dagli utenti in cambio di servizi gratuiti. Tale approccio comporta, tuttavia, notevoli rischi di lesione dei diritti fondamentali dell’individuo, vista anche la scarsa consapevolezza e conoscenza delle modalità di trattamento dei dati effettuate dagli operatori (come dimostra, da ultimo, lo scandalo Datagate). La prospettiva europea è incentrata, invece, maggiormente sulla centralità della persona e sui diritti di intervento di questa sulla circolazione dei dati, che tuttavia si dimostra spesso inefficace in ragione dell’evoluzione tecnologica ed al contempo eccessivamente onerosa per gli operatori chiamati ad applicare una disciplina assai restrittiva. In conclusione, la sfida regolamentare in materia di privacy nell’odierno senario tecnologico “cloud-oriented” appare quella di riuscire a bilanciare le esigenze tecniche ed economiche degli operatori con l’esigenza di tutela dei diritti fondamentali degli utenti. Ciò potrebbe avvenire, tra l’altro, anche attraverso una maggiore educazione di questi ultimi, facendo ad esempio comprendere loro  come possano tornare ad essere loro i primi custodi della propria privacy adottando comportamenti più oculati in internet. In questo senso, potrebbero essere posti in essere non solo interventi volti all’educazione degli utenti in tema di privacy e sicurezza, ma altresì strumenti informativi e tecnologici sempre aggiornati, al fine di garantire l’efficacia della trasparenza e della sicurezza nelle operazioni di trattamento. Riguardo alle modalità per l’adozione di simili interventi e strumenti, infine, in linea con le problematiche giuridiche poste dallo sviluppo del digitale, potrebbe delinearsi un “doppio binario” di azione che preveda: a) interventi legislativi per definire il quadro delle norme di base, anche attraverso il contemperamento dei diritti fondamentali rilevanti; b) meccanismi di autoregolamentazione, o meglio di coregolamentazione tra stakeholders e autorità garanti che consentano di adottare regole up-to-date e di monitorarne costantemente l’efficacia e le eventuali necessità di modifica. Foto: digitaltrends.com 7 novembre 2013