Privacy e sicurezza: contrapposizione o interconnessione? Intervista a Cosimo Comella

Il rapporto tra privacy e sicurezza è una delle questioni più dibattute all’interno della comunità degli addetti ai lavori. I due termini sono spesso presentati in contrapposizione, ma è davvero così? Diritto Mercato Tecnologia lo ha chiesto a Cosimo Comella, dirigente del Dipartimento tecnologie digitali e sicurezza informatica del Garante per la protezione dei dati personali.

Dottor Comella, esiste realmente – come viene spesso ripetuto – una contrapposizione tra privacy e sicurezza? Può aiutarci a fare chiarezza su questa apparente antitesi?

La contrapposizione tra privacy e sicurezza viene proposta e dibattuta in modo ricorrente nonostante tra questi due concetti esistano numerose interconnessioni e affinità. Il primo nodo da sciogliere riguarda il significato della parola sicurezza che nel regolamento europeo GDPR ricorre più volte con significati differenti ma che, in questo contesto, è opportuno ricondurre ai temi della sicurezza nazionale e della sicurezza di persone e beni a fronte di rischi derivanti da atti intenzionali che comprendano l’utilizzo di tecnologie dell’informazione, per loro natura produttrici e veicolo di informazioni di carattere personale riferibili ai loro utilizzatori. Ciò genera la contrapposizione fino all’apparente antitesi tra i concetti di privacy (e in senso più ampio, di protezione dei dati personali) e sicurezza.

Sostenere il diritto e il dovere di tutelare la sfera privata anche nella odierna società dell’informazione viene infatti talvolta percepito come una forma implicita di favoreggiamento di attività criminose: una stringente tutela della privacy, peraltro coerente con gli indirizzi giurisprudenziale della Corte di giustizia dell’Unione europea, impedirebbe o renderebbe difficoltosi, in particolare, metodi di indagine basati sulla raccolta di dati relativi a comunicazioni elettroniche che appaiono, soprattutto nei lori aspetti quantitativi, peculiari del nostro Paese almeno rispetto al contesto europeo occidentale (intercettazioni telefoniche e telematiche, captatori informatici, trojan, data retention…).

Si produce pertanto la falsa percezione di contrapposizione di valori: ciò è in parte comprensibile, perché il presupposto della sicurezza nei termini qui intesi è quasi sempre la conoscenza e l’acquisizione possibilmente preventiva di informazioni rispetto all’insorgere di fenomeni pregiudizievoli (per l’interesse nazionale, per la società in genere, per uno specifico individuo…), o la loro acquisizione ex post a scopo di accertamento e repressione dei reati; tale conoscenza può, e in certi casi deve,  trovare un limite nel contemperamento e nel bilanciamento degli interessi coinvolti, che sono molto rilevanti ma mai ciascuno in sé assoluto.

La negazione di questo principio fondante del nostro ordinamento (nazionale e sovranazionale) spalancherebbe le porte alla possibilità di una società del controllo – di orwelliana memoria – che è lungi dalla cultura giuridica delle moderne democrazie.

L’art. 7 della Carta dei diritti fondamentali dell’Unione europea, nel riconoscere che “ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza”, sancisce altresì che non possa esservi “ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui”.

Privacy e security (stavolta nell’accezione di computer security o cybersecurity) sono inoltre basate sullo sfruttamento di comuni strumenti tecnologici che sono d’ausilio nel dare corpo e sostanza ai valori che queste due parole sottendono. Le tecnologie dell’informazione sono infatti fondamentali per la protezione dei dati personali e la tutela della dignità, della libertà e dei diritti fondamentali delle persone e, nel contempo, strumenti privilegiati per aggredire quegli stessi valori.

Come esempio emblematico potremmo citare le tecnologie di cifratura a chiave pubblica, utilizzate per la realizzazione del commercio elettronico e dei servizi della società dell’informazione e, in contesti politici di forte compressione delle libertà individuali, fondamentali per cercare di assicurare la libertà di espressione da parte della dissidenza e la sua stessa sopravvivenza fisica. Quelle stesse tecnologie sono passibili istantaneamente di dual use, e in effetti vengono anche utilizzate, in altri contesti, per il compimento di gravi reati, come per esempio il proselitismo estremista e il terrorismo internazionale.

Se è vero che le tecnologie abilitanti la protezione dei dati sono in primis quelle crittografiche, che consentono la realizzazione di canali di comunicazione riservati, la conservazione sicura nei sistemi di storage, il riconoscimento degli utenti legittimati ad accedere a un sistema informatico, queste stesse tecnologie trovano applicazione nella realizzazione di sistemi indeboliti da backdoor, nello sviluppo di software di spionaggio informatico come gli ormai celebri trojan horse e i sistemi occulti di controllo remoto.

Non è tuttavia opportuno valutare le nuove tecnologie come un male in sé, con un giudizio a priori, anche se i loro sviluppi e la loro pervasività globale e in ogni strato sociale impongono una riflessione nuova anche in chiave etica.