“L’importante è far “nascere” le tecnologie con i dispositivi logici e tecnici che facciano rispettare le misure di sicurezza ma anche i criteri di tutela dei nostri dati”
Cybersecurity, terrorismo digitale, furti d’identità, diritto di cronaca, direct marketing, archiviazione digitale dei dati sanitari e accesso alla Pubblica Amministrazione con un solo click. Quante informazioni su di noi cediamo in ogni momento, anche contro la nostra volontà?
Molti sono i rischi e le opportunità per la privacy dei cittadini – e delle imprese – che derivano dalle nuove tecnologie digitali, nel settore pubblico come in quello privato. Ne abbiamo parlato con Luca Bolognini – Presidente dell’Istituto Italiano per la Privacy e curatore del volume “Next Privacy” (RCS Etas).
Qual è lo stato di salute della privacy in Italia?
Abbiamo una normativa molto buona, che andrebbe però aggiornata in alcuni punti; per esempio, servirebbe qualche regola e controllo in più in certi settori, come i motori di ricerca e i social networks che fanno behavioural ads, mentre avrebbe senso liberalizzare e bilanciare meglio ambiti come il direct marketing cartaceo o tra soggetti professionali. Partiamo dal direct marketing: perché non estendere la riforma del 2009, relativa al telemarketing, anche al cartaceo? Come molti sanno, il nostro Istituto è stato fra chi ha studiato e promosso sul piano teorico la riforma del telemarketing, ora in fase di attuazione, in Italia. Il testo di legge che è scaturito non ci ha soddisfatto pienamente, ma è stato comunque un buon passo avanti, in quanto renderà meno burocratico e chiuso il mercato del marketing telefonico, al contempo dotando gli utenti di uno strumento certo, ufficiale e chiaro per difendersi dalle chiamate indesiderate.
Una telefonata commerciale non richiesta può essere fastidiosa come una puntura di zanzara, ma ci sono altri trattamenti di dati personali “silenziosi”, che non danno molestia immediata, ma possono rivelarsi persino più pericolosi. Mi riferisco a certe profilazioni occulte dei nostri dati, effettuate da alcuni motori di ricerca o da social networks che, magari, hanno i server lontani decine di migliaia di km dall’Italia. Come proteggere il consumatore digitale in questi casi? Non basta, naturalmente, una normativa nazionale, ma non dimentichiamo che lo strumento di tutela deve comunque trovarsi vicino al cittadino, accessibile.
Vi sono rischi maggiori per i cittadini o per le imprese?
I rischi sono diversi. Le imprese dicono di non poter lavorare, strette da lacci e lacciuoli che, in nome della privacy, ne impediscono lo sviluppo e la competitività, ma spesso si tratta semplicemente di fare chiarezza, di spiegare loro come e cosa applicare per essere compliant. Altre volte, servono riforme liberali. Per questo uno slogan di IIP è “la privacy come asset”. Possiamo proporre trasformazioni della normativa che si rivelano win-win: vincenti per l’impresa che rispetta il cittadino, vincenti per il cittadino che si fa rispettare e ottiene informazioni di mercato più chiare. Non dimentichiamo che la normativa in materia di protezione dei dati personali nasce in Europa come mezzo di sviluppo equilibrato tra libertà d’impresa e tutela di diritti fondamentali, con l’obiettivo di favorire un mercato sano e non lesivo di libertà e dignità degli individui, e non quale astratto “fine assoluto in sé”.
Come nel caso del telemarketing, cui accennavo sopra: prima avevamo una severa legislazione sbilanciata a tutto favore della riservatezza, mentre ci “scordavamo” dell’elemento di mercato, del fatto che operatori dominanti (gli incumbent) potevano contattare liberamente una mole enormemente superiore di utenti (che risultavano già clienti), cosa che i nuovi operatori non potevano fare. La discriminazione, oggettiva, era evidente. Inoltre, tutti ricevevamo chiamate indesiderate da call centers spregiudicati (non tutti, va detto), e non riuscivamo a liberarcene: con il registro delle opposizioni al telemarketing, invece, gli utenti che hanno scelto di pubblicare il proprio numero sugli elenchi potranno essere contattati una prima volta, ma chi vorrà potrà dire basta una volta per tutte, ufficialmente, iscrivendosi gratuitamente al registro. Come dire: più libertà di mercato, più privacy.
Se, viceversa, mi chiedi quali rischi vi sono per i cittadini-consumatori-utenti se si mette a repentaglio la loro privacy, ti dico che ne vedo molti nella dimensione globale e digitale del trattamento di dati. Furti di identità, profilazioni, lesioni della reputazione e della dignità delle persone, utilizzi impropri dell’immagine, violazioni della proprietà intellettuale, social engineering e truffe, discriminazioni, fino a reati odiosi come la pedofilia.
Lo sviluppo sempre più veloce delle tecnologie gioca a favore o a sfavore in tema di controllo della privacy?
Entrambi gli effetti, a favore e a sfavore. Più la tecnologia avanza, più aumentano gli strumenti di invasione della nostra sfera personale, più possono aumentare le nostre difese. L’importante è fare “nascere” le tecnologie già con i dispositivi logici e tecnici che facciano rispettare le misure idonee di sicurezza ma anche i criteri di tutela dei nostri dati. E’ il concetto di “privacy by design”, sempre più seguito da produttori e sviluppatori ICT nel mondo. Poi ci sono le PET, le privacy enhancing technologies, cioè dispositivi in grado di rafforzare la protezione dei dati, ovvero le “cinture di sicurezza” e gli “airbag” che dovrebbero diventare di “serie” in ogni strumentazione elettronica. Infine, ha senso ricordare che – grazie alle modifiche applicate lo scorso anno alla direttiva 2002/58/CE – oggi i communication provider hanno l’obbligo di segnalazione delle perdite di dati personali dei loro utenti: se subisco una fuga o un furto di dati dai miei server, dovrò avvisare le autorità garanti e, in determinati casi, tutti gli utenti, affinché possano auto-tutelarsi rapidamente. Questa è stata un’evoluzione normativa comunitaria che definirei esemplare, non restrittiva a priori ma potenzialmente molto efficace.
Puoi citare qualche esempio pratico?
Potrei citarvi parecchi esempi, anche banali, come il fatto di pubblicare le informative sintetiche subito sotto la stringa dei motori di ricerca, in armonia con quanto indicato dalla nuova direttiva 2009/136/CE. Un utente informato, che sa a cosa va incontro quando cerca qualcosa on line, è un utente consapevole ed in grado di difendersi dagli abusi di chi vuole impossessarsi dei suoi dati personali per scopi commerciali. Ora come ora, certe informative piccole piccole, lunghe come romanzi, raggiungibili solo a diversi click di distanza, fanno ridere per non piangere. Ma usciamo da internet, pensiamo agli oggetti reali. I nostri cellulari possono geolocalizzarci facilmente, così come altre “cose” che ci portiamo addosso o che acquistiamo in un negozio: sarà sempre più facile, sempre più frequente. Esistono dispositivi grandi come un pacchetto di fiammiferi che servono ai genitori per controllare gli spostamenti dei loro figli: e se uno di questi dispositivi finisse in cattive mani, per esempio fosse utilizzato da un pedofilo? Certe tecnologie devono essere prodotte con sistemi di allerta, di avviso, di informazione che le facciano “parlare” verso l’interessato, non solo verso i terzi che le utilizzano.
Come si concilia la privacy del singolo utente con il diritto di controllo e in qualche caso anche di censura degli organi di stato?
Il tema è estremamente ampio e complesso. Sento di definirmi un riformatore liberale moderato, quando si parla di privacy, e non mi piacciono gli estremismi di chi vorrebbe l’anarchia o di chi, al contrario, vorrebbe tutti intercettati, profilati, controllati in nome della sicurezza e della giustizia. Per questo, malgrado contesti fortemente le regole restrittive della libertà di stampa e quelle relative ai tempi troppo stretti in essa contenute, credo che, per il resto, l’attuale riforma delle intercettazioni vada considerata come necessaria. Serviva mettere un limite, sanzionato, all’uso indiscriminato di questi mezzi di ricerca della prova, troppo spesso utilizzati come “sorveglianza a priori”.
Detto ciò, invito a rivedere urgentemente il codice deontologico privacy per i giornalisti, emanato in seno al Garante, perché risale al 1998, un’era in cui internet stava ancora nascendo in Italia e il web 2.0 distava anni luce. Sul piano dei controlli di pubblica sicurezza, credo servano evoluzioni a livello di normativa europea: c’è la direttiva 2006/24/CE, recepita anche in Italia, che impone ai communication providers di conservare a priori, per minimo 6 e massimo 24 mesi, i dati di traffico telefonico e telematico, per scopi di accertamento e repressione dei reati. Di recente, la corte costituzionale tedesca ha bocciato questa normativa, sostenendo che si tratterebbe di intercettazione vera e propria e che dunque non dovrebbe essere consentito conservare quei dati se non su ordine del magistrato caso per caso. Lo stesso Article 29 Working Party (il gruppo dei Garanti UE) ha da pochissimo criticato quella direttiva.
In compenso, se chiedete a un magistrato inquirente probabilmente vi dirà che quelle norme sono persino insufficienti per scoprire i responsabili di crimini on line, perché non si estendono ai dati di traffico che siano anche contenuti (es. gli indirizzi IP di destinazione, i domini internet visitati, ecc.), rendendo così difficile recuperare, già dopo poco tempo, informazioni cruciali per le indagini. Una soluzione intermedia, che proponiamo alla Commissione Europea, sarebbe quella di modificare la direttiva in senso più liberale e al contempo più efficace. Come? Cancellando la conservazione dei dati di traffico “a priori”, subordinandola ad un ordine generale, pro tempore, da rinnovare periodicamente, motivato dell’autorità competente (per esempio il Ministero dell’Interno) sentito il parere vincolante del Garante di ogni Paese, ma estendendo la possibilità di conservazione generale ai dati di contenuto che siano anche, ma non solo, dati di traffico. Attenzione, ripeto, non ai contenuti veri e propri delle comunicazioni (il che sarebbe intercettazione vera e propria) ma solo a dati come gli indirizzi IP di destinazione e altri analoghi.
Quanto agli scambi di dati tra Europa e USA, per la lotta al terrorismo, il nuovo accordo SWIFT non ci piace, malgrado il vaglio del Parlamento UE: avremmo preferitomaggiori garanzie da parte del Governo americano. E’ discutibile che i dati personali dei viaggiatori o quelli relativi ai conti bancari privati finiscano in maniera massiva chissà dove, sia pure per nobili finalità, senza che vi sia la totale trasparenza sui trattamenti e sul loro percorso, e l’effettiva possibilità di esercitare diritti d’accesso da parte dei cittadini europei.
L’Italia si è informatizzata con FB, gli utenti affidano le proprie info personali ai social network senza alcun problema ma quali sono i rischi?
Lo dicevo prima: come proteggere un utente di un social network che vede immagazzinati, elaborati e ceduti i propri dati personali, anche sensibili, in un altro continente e per scopi commerciali? E se questo utente neanche vedesse, neanche sapesse che i suoi dati stanno venendo “catturati” dal provider di servizi della società dell’informazione? Come estendere certi divieti e obblighi, previsti oggi esplicitamente dalla direttiva 2002/58/CE solo per i communication providers, anche ai motori di ricerca? La direttiva 2009/136/CE, che citavo prima, fa un primo passo ma molto timido in materia.
Inoltre, le informative e i diritti d’accesso, che in Italia si fanno rispettare persino a un ristorante, come si possono imporre a un operatore di altri Paesi extra-europei? Le domande sono parecchie. Servono regole globali e strumenti di tutela glocali, vicini all’interessato-cittadino ma efficaci a distanza, su più giurisdizioni. Poi ci sono questioni da affrontare per tutelare il consumatore digitale sempre e comunque, anche in casa nostra. Andrebbero considerate autentiche “pratiche sleali” quelle di certi social network che dichiarino, nelle loro privacy policy o nei terms, che la normativa rilevante è quella di qualche “paradiso legale” e non quella di residenza del consumatore. O le condizioni generali in cui si preveda la cessione della proprietà dei dati personali dell’utente al social network.
Spesso si tratta di vere e proprie “clausole vessatorie”, anche quando inserite nelle prestazioni oggetto del contratto, per le quali andrebbe richiesto come minimo uno specifico e distinto consenso del consumatore digitale, pena la loro inefficacia. C’è poi l’urgente necessità di fare formazione ed educazione sull’uso dei social networks nelle scuole medie e superiori: dovrebbe diventare materia di studio e di esame, per limitare i danni a lungo termine, spesso auto-provocati dalla “tell-all generation”. Mentre i filtri, quelli no, quelli teniamoli per i bimbi fino a 14 anni. Un’ultima cosa va detta, però, a proposito dell’approccio ai rischi privacy e al concetto di libertà di internet: chi confonde la privacy con il segreto, con l’omertà o con la censura, non ha capito niente di questa normativa o forse ha forti interessi per fingere di non comprenderla.
—-
Luca Bolognini – Presidente dell’Istituto Italiano per la Privacy, Executive board member della European Privacy Association, svolge su tutto il territorio nazionale l’attività di consulente e formatore in materia di protezione dei dati personali (D.Lgs. 196/2003) e di modelli organizzativi d’impresa per responsabilità da reato (D.Lgs. 231/2001) per diversi studi professionali, per associazioni onlus e per imprese operanti nei settori dei servizi tecnologici (webagencies, ICT, telefonici), della sanità (ospedali, cliniche, ambulatori medici, laboratori), della comunicazione (editori, tv, gestori di piattaforme web, portali), dei servizi finanziari e assicurativi, della moda e del made in italy. Autore di libri e saggi sulla privacy, scrive da anni editoriali per importanti quotidiani italiani e stranieri.