Esiste una habeas data, un diritto dei cittadini a controllare i propri dati che circolano in rete? Le proposte legali europee e americane attualmente in studio

Juan Antonio Martínez ha presentato uno studio presso la Facoltà di comunicazione istituzionale della Santa Croce a Roma, sul disegno di legge che la Commissione Europea ha inoltrato agli inizi del 2012 – la Proposta di Regolamento Generale di Protezione di Dati ⁽¹⁾ – e sul quadro di regolamentazione sulla privacy nel contesto dell’economia digitale che la Casa Bianca invece ha approvato a febbraio 2012 – la Consumer Data Privacy in a Networked World ⁽²⁾.

Che ci siano motivi di preoccupazione per i legislatori di entrambe le sponde dell’Atlantico è innegabile. E non solo per gli scandali generati dalle infiltrazioni di Wikileaks e Snowden che hanno portato a discutere, all’interno del Senato americano e nell’opinione pubblica internazionale, sulla politica della sicurezza statunitense, che si è servita della collaborazione volontaria – vagamente permessa dalle leggi antiterrorismo – delle grandi compagnie di Internet, che possiedono dati personali di milioni e milioni di utenti, vale a dire di noi cittadini.

I rappresentanti di alcune di queste compagnie (Yahoo, Facebook, Google, Microsoft, Apple, Skype, Twitter) un tempo finanziatori entusiasti delle campagne elettorali di Obama e in amicizia tale da comparire pubblicamente nei “salotti” del Presidente, hanno deciso di prendere distanza dalla Casa Bianca. Lo stesso Obama ha dovuto mandare messaggi espliciti, per il momento solo di pura opportunità politica, sulla necessità di rivedere le strategie di vigilanza e controllo dei cittadini attraverso i loro dati “immagazzinati” in enormi database.

Sorprende che l’interesse della Casa Bianca nella protezione dei dati dei consumatori, fortemente presente nel quadro di regolamentazione promosso dalla stessa Casa Bianca appena pochi mesi prima, non “si sia stato esteso” ai cittadini. Sembra come se consumatori e cittadini fossero due categorie ben distinte e separate tra di loro. In realtà, e come ben spiega Martínez nel suo lavoro, le preoccupazioni che hanno dato origine alla Consumer Data Privacy in a Networked World sono di indole esclusivamente commerciale, e non politica.

Quello che interessa è sapere a chi appartengono i dati degli utenti – alle imprese di servizi su Internet che li ottengono col consenso dei propri utenti o a questi ultimi, e fino a che punto? E come assicurare un commercio libero senza frenare l’innovazione tecnologica?

Non solo storie di spie e di infiltrazioni

Parlare di Internet è parlare di dati. E parlare di dati è, in definitiva, parlare di persone. Eric Schmidt che è stato amministratore delegato di Google fino al 2011, ha affermato “ci sono cinque exabytes di informazioni che sono stati creati dalla nascita della nostra civiltà fino al 2003. Ora, questa stessa quantita’ di informazioni viene generata appena ogni due giorni, e questo stesso ritmo di crescita si sta sempre di piu’ accellerando”. La ragione di una simile moltiplicazione del volume dei dati è l’aumento del contenuto stesso generato dagli utenti.

Per l’amministratore delegato di Google, l’informazione creata dagli utenti di Internet e lo stato attuale della tecnologia permettono di elaborare facilmente dei profili di comportamento personale: “Le persone raccontano se stesse attraverso video e fotografie. Con un dispositivo mobile si possono contattare i nostri amici ovunque. Possiamo usare la tecnologia per prevedere dove una persona puòandare. E questo è molto interessante. Possiamo prendere una foto, e se ci sono quattordici fotografie su Internet, possiamo prevedere dove stai con un 95% di affidabilità.” La società, conclude infine Schmidt, non è preparata per le questioni che sorgeranno come conseguenza del contenuto generato dagli utenti.

La figura successiva ci dà un’idea della quantità di dati che si registrano in un minuto nella rete.

Dati a parte, il fattore principale che emerge e’ che la maggior parte della nostra interazione sociale si realizza oggi attraverso lo scambio di dati che sono registrati, conservati ed elaborati. Google, per esempio, immagazzina le informazioni degli utenti attraverso cookies. Altrettanto succede con Facebook che utilizza cookies per saperne di più sull’utente offrendogli in cambio funzioni, prodotti ed annunci che possano risultare interessanti per migliorare la propria esperienza nella rete sociale.

Gli scenari descritti da film come Terminator, Matrix o Minority Réport sembrano avverarsi. In questo caso pero’ il lato oscuro non sono le macchine perverse, bensì l’uso che viene fatto dei dati personali degli utenti. Qualunque azione che si perderebbe nella vita “analogica”, nel mondo “online” rimane invece immagazzinata, archiviata ed in molti casi a disposizione del pubblico.

Una stessa sfida. Due risposte diverse

Raccolgo le principali conclusioni dello studio di Martínez relative ai due testi legali oggetti di ricerca. Il nuovo Regolamento europeo, di applicazione diretta in tutti i paesi della comunita’ europea una volta approvato, stabilisce un maggiore controllo dell’interessato sui propri dati personali. Si afferma ad esempio il diritto all’oblio digitale, inteso come la facoltà dell’interessato ad esigere dal responsabile del trattamento che faccia tutto cio’ che è nelle sue possibilità per cancellare ogni informazione che possa riguardare la sua persona (art. 17).

Un altro nuovo diritto a disposizione dell’interessato è quello della portabilità dei dati (art. 18). Un utente potrà chiedere al responsabile del trattamento una copia delle proprie informazioni personali da poter utilizzare in un altro ambito. Un’ultima novità importante del nuovo Regolamento europeo è il principio di ubicazione dell’interessato, (art. 3.1). Il contesto legale precedente prevedeva che la normativa applicabile era quella del luogo del responsabile del trattamento di dati. A partire da ora invece si applicherà la legge relativa al luogo del titolare dei dati. Ciò esigerà l’equiparazione della normativa per le imprese che operino dentro e fuori l’Unione Europea.

La statunitense Consumer Data Privacy in a Networked World è la prima norma che affronta in un modo sistematico il tema della protezione dei dati personali. Il corpo centrale di questa proposta è costituito dalla Consumer Privacy Bill of Rights, una carta dei diritti sulla privacy del consumatore nel contesto digitale. Questa carta dei diritti stabilisce una serie di principi per le imprese che operano in ambito online, come guida per stabilire meccanismi di autoregolamentazione su questioni di privacy. I principi di questa carta dei diritti sono sette: controllo individuale dell’utente, trasparenza nell’informazione al consumatore, rispetto del contesto nel trattamento dei dati, sicurezza, diritto di accesso e diritto alla correzione dell’informazione personale, raccolta di dati limitata.

In conclusione, secondo il giudizio di Martínez, il principio del rispetto per il contesto nel trattamento di informazioni personali negli Stati Uniti lascia alle imprese un ampio margine per decidere sui fini dell’uso dei dati personali. “La norma afferma che l’elemento chiave per capire il contesto di una cessione e trattamento di dati viene dato in base ai fini della relazione dell’impresa con i suoi consumatori. Questo criterio lascia nelle mani delle compagnie la possibilità di usare l’informazione personale per scopi diversi rispetto a quelli per la sua raccolta, o di cederli a terzi purché supponga un miglioramento del servizio prestato ai suoi clienti.”

Dall’altra parte, la norma europea risente invece di una certa dote di realismo. Per esempio, il diritto all’oblio non è privo di difficoltà tecniche, dal momento che una volta che un dato personale circola in rete è molto difficile controllarlo. Il criterio di ubicazione invece, pone in una posizione di svantaggio le imprese radicate nel territorio comunitario rispetto all’innovazione e non raggiunge le imprese con sede fuori dall’Europa. Bisognerà vedere, per esempio, come finiscono i processi legali iniziati dalle imprese e dai cittadini dei cinque paesi europei contro Google, il motore di ricerca più potente su Internet, per non essersi adattata alle leggi sulla privacy sui dati personali.

Conclusione: una nuova habeas data

A parte le differenze che sono riconducibili a tradizioni giuridiche e a mentalità diverse, la cosa certa è che il legislatore, spinto dai cambiamenti tecnologici e dalle sue conseguenze sociali, sta elaborando nuovi diritti che nascono dalla necessità di un potere di controllo del titolare sui dati personali. Vicino ai tradizionali diritti che hanno come obiettivo la protezione dei dati – chiamati in dottrina ARCO: accesso, rettifica, cancellazione ed opposizione -, i nuovi quadri regolatori mirano ad appoggiare le garanzie processuali che rendano effettivi questi diritti.

Come afferma Martínez,”questa garanzia non consiste unicamente nel riconoscimento del diritto di protezione dei propri dati, bensì nel potere effettivo di farlo valere davanti a terzi. È quello che si denominava actio nel Diritto Romano”.

Senza pretese retoriche, si può parlare di una nuova habeas data che risponde ad identiche esigenze e criteri di giustizia che diedero storicamente luogo ad un habeas corpus all’alba dei moderni Stati di diritto e poi ad un habeas mente quando le sfide della società dell’informazione porteranno al riconoscimento di una right to privacy simile agli altri diritti della persona.

⁽¹⁾Il nome completo della Proposta è Regolamento del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche per il trattamento di dati personali e la libera circolazione di questi dati. Trattandosi di una normativa europea con rango di Regolamento è vincolante per tutti i paesi dell’Unione, senza necessità che questi lo convertano in una legge nazionale. Il testo della proposta in italiano può trovarsi al link: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:IT:PDF.

Nonostante il testo sia ancora in fase di iter, a partire da ora gli faremo riferimento con la numerazione di registro di entrata della Commissione, Regolamento 2012/0011.

⁽²⁾ Il nome completo è Consumer Data Privacy in a Networked World: A Framework for Promoting Privacy and Promoting Innovation in the Global Digital Economy. A partire da ora gli faremo riferiremo con la sigla CODAP. Il testo può trovarsi al link: http://www.whitehouse.gov/sites/default/files/privacy-final.pdf