Introduzione
generale su norme vigenti e sul prossimo regolamento UE.
“Proteggere
i dati e le informazioni personali significa proteggere le persone
cui queste informazioni si riferiscono da condizionamenti che possono
essere esercitati tanto da autorità pubbliche che da privati
cittadini. Queste interferenze sono tanto più probabili quanto più
ampio è il volume delle informazioni raccolte, trattate, conservate
e comunque accessibili e maggiori sono gli interessi economici
coinvolti.”
Con questa definizione, la Commissione per i diritti e i doveri di Internet spiega in modo esplicito l’obiettivo con il quale l’art. 4 della bozza “Dichiarazione dei diritti in Internet” è stato pensato e redatto. Lo stesso si occupa di tutela dei dati personali, argomento decisamente sensibile e degno di una maggiore attenzione da parte degli organi statali competenti. E’ proprio qui, vista la grande portata dell’argomento, che si riscontra l’utilizzo di maggiori locuzioni da parte della Commissione. La ragione è intuibile: si tratta di una materia estremamente complessa, che la commissione alla Camera ha elaborato tenendo presente i diversi aspetti e le tante sfaccettature della questione. Innanzitutto si assegna grande importanza ai dati personali, assegnando loro tutela e protezione. Il punto 4 affronta anche il loro trattamento, riconoscendo i principi di necessità, finalità, pertinenza, proporzionalità, e premettendo il consenso effettivamente informato della persona interessata.
Con questa definizione, la Commissione per i diritti e i doveri di Internet spiega in modo esplicito l’obiettivo con il quale l’art. 4 della bozza “Dichiarazione dei diritti in Internet” è stato pensato e redatto. Lo stesso si occupa di tutela dei dati personali, argomento decisamente sensibile e degno di una maggiore attenzione da parte degli organi statali competenti. E’ proprio qui, vista la grande portata dell’argomento, che si riscontra l’utilizzo di maggiori locuzioni da parte della Commissione. La ragione è intuibile: si tratta di una materia estremamente complessa, che la commissione alla Camera ha elaborato tenendo presente i diversi aspetti e le tante sfaccettature della questione. Innanzitutto si assegna grande importanza ai dati personali, assegnando loro tutela e protezione. Il punto 4 affronta anche il loro trattamento, riconoscendo i principi di necessità, finalità, pertinenza, proporzionalità, e premettendo il consenso effettivamente informato della persona interessata.
In
Italia il Codice in materia di protezione dei dati personali
(D.L.196/2003) è entrato in vigore il 1 Gennaio 2004. E' stato
emanato in sostituzione della vecchia legge 675/1996, che è stata
abrogata, e determina l'obbligo da parte di tutti coloro che
detengano banche dati di adeguarsi a misure minime di sicurezza.
L’obiettivo
perseguito dal legislatore con questa prossima legge è assegnare
tutela e protezione a tutte le informazioni riguardanti sia il
singolo cittadino che la persona giuridica, definendo in modo più
dettagliato tutto ciò che occorre fare quando si trattano dati e
prevedendo in caso di infrazione sanzioni molto pesanti dovute al
mancato adeguamento alla normativa. Questo determina da parte di chi
raccoglie dati sensibili l’adempimento di alcuni obblighi di
comportamento e informazione.
I testi costituzionali vigenti in materia di tutela li possiamo trovare in particolare nell’articolo 8 de La Carta Europea dei diritti dell’uomo dove si afferma il diritto al rispetto della vita privata e familiare, ribadito anche nell’art. 7 de La Carta diritti fondamentali UE, che all’art.8 aggiunge la “protezione dei dati di carattere personale”. Nel prossimo paragrafo si andranno ad approfondire questi due testi costituzionali, mettendoli a confronto con l’articolo 4 (tutela dei dati personali) della bozza di Dichiarazione dei diritti in Internet.
I testi costituzionali vigenti in materia di tutela li possiamo trovare in particolare nell’articolo 8 de La Carta Europea dei diritti dell’uomo dove si afferma il diritto al rispetto della vita privata e familiare, ribadito anche nell’art. 7 de La Carta diritti fondamentali UE, che all’art.8 aggiunge la “protezione dei dati di carattere personale”. Nel prossimo paragrafo si andranno ad approfondire questi due testi costituzionali, mettendoli a confronto con l’articolo 4 (tutela dei dati personali) della bozza di Dichiarazione dei diritti in Internet.
A
livello europeo, è in corso di approvazione il nuovo regolamento
sulla privacy che cerca di apportare novità importanti per poter
stare “al passo” con il progresso e la legislazione americana. Ma
non solo. L’esigenza di un nuovo regolamento è necessaria
soprattutto per quanto riguarda l’avanzamento tecnologico avvenuto
in questi ultimi anni e che ha coinvolto la vita di tutti gli
individui. La globalizzazione ha difatti portato nuove sfide per la
protezione dei dati in rete. Con i siti di social network e di cloud
computing, si lasciano tracce dei nostri dati con ogni piccola mossa
che compiamo. Per questo si ha bisogno di una nuova regolamentazione
che possa far sentir protetto e tutelato ogni fruitore della rete.
I principali obiettivi della nuova riforma UE sono:
I principali obiettivi della nuova riforma UE sono:
- Rafforzare i diritti delle persone;
- Potenziare il mercato interno dell’UE;
- Garantire un’elevata protezione dei dati in ogni settore, comprese le forze di Polizia e la cooperazione giudiziaria penale;
- Assicurare una corretta applicazione delle regole;
- Impostazione degli standard globali della protezione dei dati.1
Le
modifiche proposte daranno maggiore controllo sui dati personali
rendendo più facile l’accesso, migliorando la qualità delle
informazioni ottenute una volta condivisi i dati personali. Queste
proposte sono nate appositamente per far si che le informazioni
personali siano protette allo stesso modo anche al di fuori
dell’Unione Europea. Ciò significa che un utente sarebbe
altrettanto tutelato dalla norma europea anche aderendo e
acconsentendo così al trattamento dei propri dati, ad un sito che
non rientra nel nostro continente. Questo è utile alle aziende che
intendono espandersi, permettendo loro di poter servire i consumatori
di tutta Europa con adeguate garanzie in materia di protezione dei
dati personali. Aspetto rilevante che si trae da questo regolamento è
la piena accessibilità a tali informazioni. Infatti si ha il diritto
a conoscere quale uso facciano le imprese e le autorità pubbliche
delle nostre informazioni raccolte per i fini più svariati. Un unico
blocco di regole a livello europeo avrà un impatto significativo per
le imprese e servirà a migliorare l’attrattiva consentendo
l’allargamento del giro d’affari in Europa e, allo stesso tempo,
come rafforzamento dell’ UE nella sua promozione globale di
standard elevati di protezione dei dati. Su questo regolamento, però,
non sono mancate alcune critiche da parte degli addetti ai lavori:
una in particolare pervenuta dalla bocca del Garante per la
protezione dei dati personali Antonello Soro
che con testuali parole critica questo quadro normativo sotto un
aspetto : “La
direttiva europea attuale sulla protezione dei dati personali era
stata pensata per garantire la libertà di movimento dei cittadini,
mentre
oggi rischiamo di produrre un quadro normativo che sia troppo
sbilanciato verso i diritti delle imprese.
Mi riferisco soprattutto all’istituto del one
stop shop.
Occorre senza dubbio apportare dei miglioramenti”.2
Questa
affermazione del Garante mi trova totalmente d’accordo in quanto
non è possibile pensare come primo punto alle imprese, ma dovrebbero
essere messe in primo piano le esigenze dei cittadini che devono
sentirsi tutelati riguardo la circolazione delle proprie informazioni
personali.
L’organizzazione
del diritto europeo deve così porsi come avanguardia, e la
protezione dei dati è il primo nuovo e fondamentale diritto della
società digitale.
Se poi mettiamo a confronto il prossimo regolamento UE con l’articolo 4 della “Dichiarazione dei diritti di Internet”, notiamo come l’ultimo comma dell’art. 7 della prossima normativa europea faccia riferimento all’impossibilità di una costituzione di base giuridica se tra il soggetto interessato e la persona che tratta i dati ci sia uno squilibrio di potere. Infatti, stesso argomento è trattato anche dall’ art. 4 che riporta il medesimo concetto apportando così, se questa norma dovesse venire approvata, una novità per il panorama legislativo italiano.
Se poi mettiamo a confronto il prossimo regolamento UE con l’articolo 4 della “Dichiarazione dei diritti di Internet”, notiamo come l’ultimo comma dell’art. 7 della prossima normativa europea faccia riferimento all’impossibilità di una costituzione di base giuridica se tra il soggetto interessato e la persona che tratta i dati ci sia uno squilibrio di potere. Infatti, stesso argomento è trattato anche dall’ art. 4 che riporta il medesimo concetto apportando così, se questa norma dovesse venire approvata, una novità per il panorama legislativo italiano.
1.
Le novità che introduce la dichiarazione dei diritti in Internet
riguardanti la tutela dei dati personali (articolo 4): confronto con
la Carta Europea dei diritti dell’uomo e la
Carta dei diritti fondamentali UE;
Il
testo cui fa riferimento l’articolo 4, è contenuto nella
“Dichiarazione dei diritti in Internet” creata appositamente per
regolare un sistema, quello di Internet, che inarrestabilmente si sta
espandendo sempre più. Tutela dei dati personali, quindi, al centro
della consultazione di questo articolo, un tema certamente molto
sensibile e importante dato che ormai le nostre informazioni
personali sono presenti sul web (basta pensare ai social network o a
qualunque sito richieda iscrizione). Un
ambito molto ampio che vede protagonisti il consenso delle persone,
lo sfruttamento commerciale dei dati che ogni singolo utente lascia
navigando in rete, la tutela di quelli sensibili che alcuni servizi
adottano, per diversi scopi e anche per obblighi di legge, ad esempio
quelli sanitari. Il quarto punto della bozza che tra qualche mese
diventerà la prima carta di Internet italiana potrebbe essere
definito in una sola parola: privacy.
Per
capire meglio se l’intervento della commissione internet del
Parlamento possa funzionare e soprattutto se essa apporterà nuovi
contenuti alla causa, c’è il bisogno di confrontare l’articolo 4
con testi costituzionali già vigenti come la Carta
Europea dei diritti dell’uomo e
la
Carta dei diritti fondamentali UE.
Un
diritto alla privacy digitale che, seppure mai esplicitamente, i
giudici di Lussemburgo evidenziano fondandolo sulle due colonne
portanti costituite dal rispetto della vita privata ed al trattamento
dei propri dati personali, previsti, rispettivamente, dagli artt. 7
ed 8 della Carta dei diritti fondamentali dell’Unione europea.
Di seguito i tre testi che andrò a confrontare:
Di seguito i tre testi che andrò a confrontare:
Art.
4
“Dichiarazione
dei diritti in Internet”
|
Art.
8
“Carta
Europea dei diritti dell’uomo”
|
Artt.
7 e 8 “Carta dei diritti fondamentali dell’Unione europea”
|
TUTELA
DEI DATI PERSONALI
Ogni
persona ha diritto alla protezione dei dati che la riguardano, per
garantire il rispetto della sua dignità, identità e
riservatezza.
I
dati personali sono quelli che consentono di risalire all’identità
di una persona e comprendono anche i dati identificativi dei
dispositivi e le loro ulteriori elaborazioni, come quelle legate
alla produzione di profili.
I
dati devono essere trattati rispettando i principi di necessità,
finalità, pertinenza, proporzionalità e, in ogni caso, prevale
il diritto di ogni persona all’autodeterminazione informativa.
I
dati possono essere raccolti e trattati solo con il consenso
effettivamente informato della persona interessata o in base a
altro fondamento legittimo previsto dalla legge. Il consenso è in
via di principio revocabile. Per il trattamento di dati sensibili
la legge può prevedere che il consenso della persona interessata
debba essere accompagnato da specifiche autorizzazioni.
Il
consenso non può costituire una base legale per il trattamento
quando vi sia un significativo squilibrio di potere tra la persona
interessata e il soggetto che effettua il trattamento.
Sono
vietati l’accesso e il trattamento dei dati personali con
finalità anche indirettamente discriminatorie.
|
DIRITTO
AL RISPETTO DELLA VITA FAMILIARE E PRIVATA
1.
Ogni persona ha diritto al rispetto della propria vita privata e
familiare, del proprio domicilio e della propria corrispondenza.
2.
Non può esservi ingerenza di una autorità pubblica
nell’esercizio di tale diritto a meno che tale ingerenza sia
prevista dalla legge e costituisca una misura che, in una società
democratica, è necessaria alla sicurezza nazionale, alla pubblica
sicurezza, al benessere economico del paese, alla difesa
dell’ordine e alla prevenzione dei reati, alla protezione della
salute o della morale, o alla protezione dei diritti e delle
libertà altrui.
|
RISPETTO
DELLA VITA PRIVATA E DELLA VITA FAMILIARE
Ogni
persona ha diritto al rispetto della propria vita privata e
familiare, del proprio domicilio e delle proprie comunicazioni.
PROTEZIONE
DEI DATI DI CARATTERE PERSONALE
1. Ogni
persona ha diritto alla protezione dei dati di carattere personale
che la riguardano.
2. Tali
dati devono essere trattati secondo il principio di lealtà, per
finalità determinate e in base al consenso della persona
interessata o a un altro fondamento legittimo previsto dalla
legge. Ogni persona ha il diritto di accedere ai dati raccolti che
la riguardano e di ottenerne la rettifica.
3. Il
rispetto di tali regole è soggetto al controllo di un'autorità
indipendente.
|
Partendo
dalla Carta
Europea dei diritti dell’uomo,
in particolare dall’articolo 8 di essa, possiamo notare come il
confronto con l’articolo 4 della dichiarazione dei diritti in
Internet non apporti alcun cambiamento sostanziale. Innanzitutto
l’incipit dei due articoli è similare in quanto esplicitano
entrambi il fondamento del diritto alla riservatezza. Il resto del
testo dell’articolo 8 Carta Europea dei diritti dell’uomo, fa
riferimento all’autorità pubblica che non può interferire
nell’esercizio di tale diritto se non per specifica legge e che
costituisca misura necessaria “alla
sicurezza nazionale, alla pubblica sicurezza, al benessere economico
del paese, alla difesa dell’ordine e alla prevenzione dei reati,
alla protezione della salute o della morale, o alla protezione dei
diritti e delle libertà altrui.”
Questo è presente in parte anche nell’articolo 4 che recita: “I
dati possono essere raccolti e trattati solo con il consenso
effettivamente informato della persona interessata o in base a altro
fondamento legittimo previsto dalla legge.”
Quindi si può benissimo dire che da una parte (art. 8) è presente
un’ingerenza delle autorità pubbliche, giustificata dalla lesione
di quel determinato diritto, e solo in presenza di legge con
determinate condizioni. L’art. 4, invece, fa riferimento alle
informazioni personali che possono essere raccolte solo in presenza
di un esplicito consenso della persona interessata. Si
prevede comunque che il consenso generale sia poi accompagnato da
specifiche autorizzazioni, per esempio su modalità più esplicite di
trattamento, anche qui a imitazione di quanto prevedono le normative
sulla privacy.
Confrontando
invece il testo dell’articolo 4 con la
Carta dei diritti fondamentali UE,
vediamo che gli
articoli 7 e 8 considerano il rispetto della vita privata e la
protezione dei dati personali diritti fondamentali strettamente
correlati ma distinti e ci
accorgiamo di come il testo della dichiarazione dei diritti in
Internet apporti novità dovute all’avanzamento dell’era
digitale. Difatti
si
nota, su tutte, il riferimento ai dispositivi elettronici che vengono
equiparati a tutti gli altri dati personali sensibili, in quanto
possono essere elaborati e usati per la definizione di profili.
Questo punto saliente, aggiunto dalla Commissione Internet, manca nel
testo dell’articolo 8 de la Carta dei diritti fondamentali UE, che
fa riferimento alla sola dicitura: “Ogni
persona ha diritto alla protezione dei dati di carattere personale
che la riguardano”, non facendo riferimento quindi ad alcun
dispositivo elettronico e digitale.
Altro richiamo importante alla protezione dei dati esiste per quanto riguarda i comma 2 e 3 dell’articolo 8, il quale specificano che i dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica ove richiesta. Il rispetto di tali regole è soggetto al controllo di un'autorità indipendente. L’articolo 4 è molto simile in questo in quanto specifica che “i dati devono essere trattati rispettando i principi di necessità, finalità, pertinenza, proporzionalità e, in ogni caso, prevale il diritto di ogni persona all’autodeterminazione informativa.
Altro richiamo importante alla protezione dei dati esiste per quanto riguarda i comma 2 e 3 dell’articolo 8, il quale specificano che i dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica ove richiesta. Il rispetto di tali regole è soggetto al controllo di un'autorità indipendente. L’articolo 4 è molto simile in questo in quanto specifica che “i dati devono essere trattati rispettando i principi di necessità, finalità, pertinenza, proporzionalità e, in ogni caso, prevale il diritto di ogni persona all’autodeterminazione informativa.
I
dati possono essere raccolti e trattati solo con il consenso
effettivamente informato della persona interessata o in base a altro
fondamento legittimo previsto dalla legge.”
Le due definizioni sono molto similari e deducono alla medesima cosa su questo punto. L’articolo 4 della dichiarazione dei diritti in Internet, introduce altri due concetti finora assenti negli articoli fin qui comparati. Si fa riferimento a “squilibrio di potere” tra la persona interessata e chi effettua il trattamento, con riferimento evidente a certi colossi del web che possono raccogliere dati in maniera non sempre esplicita anche attraverso le ricerche in internet. Difatti nel caso di una asimmetria di potere il soggetto forte deve fare un passo indietro. Lo sbilanciamento delle posizioni attenua il potere del singolo di autorizzare il trattamento dei dati su Internet e la richiesta del consenso diventa un atto rituale, non in grado di garantire tutele effettive. Un po’ come quando la grossa impresa sottopone al cliente un modulo contrattuale di parecchie pagine con clausole scritte in caratteri minuscoli. Nell’ipotesi del rapporto non paritetico, la dichiarazione dei diritti in internet parte dal presupposto che il consenso, anche se espresso, non si sia formato in tutta libertà. In sostanza chi ha maggiore potere in rete (per esempio una multinazionale) non può approfittare contrattualmente del singolo consumatore utente.
Le due definizioni sono molto similari e deducono alla medesima cosa su questo punto. L’articolo 4 della dichiarazione dei diritti in Internet, introduce altri due concetti finora assenti negli articoli fin qui comparati. Si fa riferimento a “squilibrio di potere” tra la persona interessata e chi effettua il trattamento, con riferimento evidente a certi colossi del web che possono raccogliere dati in maniera non sempre esplicita anche attraverso le ricerche in internet. Difatti nel caso di una asimmetria di potere il soggetto forte deve fare un passo indietro. Lo sbilanciamento delle posizioni attenua il potere del singolo di autorizzare il trattamento dei dati su Internet e la richiesta del consenso diventa un atto rituale, non in grado di garantire tutele effettive. Un po’ come quando la grossa impresa sottopone al cliente un modulo contrattuale di parecchie pagine con clausole scritte in caratteri minuscoli. Nell’ipotesi del rapporto non paritetico, la dichiarazione dei diritti in internet parte dal presupposto che il consenso, anche se espresso, non si sia formato in tutta libertà. In sostanza chi ha maggiore potere in rete (per esempio una multinazionale) non può approfittare contrattualmente del singolo consumatore utente.
Altro,
ed ultimo punto di cui si occupa l’articolo 4 e non gli articoli 7
e 8 della carta dei diritti fondamentali UE è legato al divieto ad
usare e accedere a dati personali per finalità anche indirettamente
discriminatorie. Degno
di nota è quindi questo comma che recupera quella dimensione
antidiscriminatoria che è alle origini della legislazione sulla
protezione dati, in Italia affermatasi addirittura con lo Statuto dei
lavoratori del 1970.
2. Condivisione e utilità dell’articolo 4 della “Dichiarazione dei diritti in Internet”.
In
linea generale si può dunque affermare che la bozza emanata dalla
Commissione Internet del Parlamento porta alcune innovazioni per
quanto riguarda l’area tecnologica e quella prettamente inerente
alla tutela dei dati se esistono fini discriminatori, ma dimentica
alcuni punti che, a mio parere, sono fondamentali per la tutela del
consumatore in rete. Andiamo per ordine. Per quanto concerne quelle
novità trascritte nel testo, leggendole si ha la sensazione che si
voglia allargare la tutela anche ai dati identificativi dei
dispositivi. Con l’introduzione nel testo costituzionale di
quest’ultimi si fa un passo avanti nell’area della tecnologia,
potendo oggi risalire all’identità di una persona attraverso un
profilo da questa creato su di essi. Così, il Garante della Privacy,
Antonello Soro interviene su questo tema: “Importante
è la qualificazione come “dato personale” dei dati
identificativi dei dispositivi, che, consentendo di ricostruire il
nostro comportamento in rete, possono rivelare aspetti privatissimi
della nostra vita.”
Passando
ad alcune problematiche a cui ho fatto fronte leggendo il testo della
bozza, un commento all’articolo 43
che mi trova d’accordo è quello pubblicato da un cittadino che,
sul sito della Camera, dichiara: “forse bisognerebbe prevedere
nell'articolo un richiamo a particolari cautele e attenzioni
nell'informativa rivolta ai minori (pensiamo ad esempio ai giovani
utenti dei social network) in modo che possano prestare il proprio
consenso in modo davvero consapevole”. Infatti la massiccia
presenza di minori soprattutto sui social dovrebbe essere considerata
in maniera più esplicita da parte della Commissione che ha emanato
questa bozza. Un’altra problematica che andrebbe affrontata di
petto è la mancanza nel testo di un riferimento alla tutela dei dati
per fini commerciali. Andrebbe infatti inserito un divieto o una
tutela per ciò che riguarda la commercializzazione dei dati.
In
definitiva:
Quello
che trovo di condivisibile è l’inserimento dell’accezione “dati
identificativi dei dispositivi” per quanto riguarda il risalire
all’identità di una persona, in tal modo si può attuare una seria
politica di controllo. La modalità con cui gli attori del Web –
che si tratti di provider, siti o fornitori di servizi – gestisce i
dati dei singoli utenti è un territorio molto delicato e in cui i
confini tra lecito e illecito, tra opportuno e inopportuno, è labile
e ancora oggetto di discussione.
Di
importanza capitale è anche il principio dell'autodeterminazione
informativa, cioè la decisione di quali aspetti della propria vita
rendere conoscibili a terzi.
Quello
che non
trovo condivisibile è invece la mancanza di definizione per ciò che
attiene alla commercializzazione dei dati. Manca, a mio parere, un
comma su questo tema che appare di larga importanza. Inoltre andrebbe
approfondita e meglio delineata la questione dello “squilibrio di
potere” per garantire maggior comprensione della bozza di
regolamento. Occorre, a questo punto, una specificazione per rendere
operativa la regola. Bisogna spiegare quando si verifica uno
squilibrio, magari con una esemplificazione dettagliata di fatti
sintomatici dello squilibrio. Ma occorre, anche, una indicazione in
positivo di ciò che, in caso di squilibrio, possa costituire la base
legale del trattamento. Se bisogna compensare il vizio del consenso,
sarà necessaria individuare quelle condotte a carico delle imprese,
in grado di riequilibrare il rapporto con il consumatore-utente.
Questo per non costringere il consumatore utente a fare a meno di un
servizio in rete.
Alessandro
Palamara
1
Obiettivi presenti nel documento
“Why
do we need an EU data protection reform?”
inserito nel sito della
Commissione Europea.
2
Intervento del 14/11/2014
all’Accademia Italiana del Codice Internet
(http://www.dimt.it/2014/11/14/verso-il-nuovo-regolamento-europeo-sulla-privacy-report-del-convegno-dellaccademia-italiana-del-codice-di-internet/)
3
Presente all’indirizzo
http://camera.civi.ci/discussion/proposals/partecipa_alla_consultazione_pubblica_bill_of_rights