x

x

Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

28 gennaio 2022: Giornata europea della protezione dei dati personali

Privacy
Privacy

Altri articoli dell'autore

Diritto /

Nuovi codici di condotta: migliorare la dignità online tramite l’educazione digitale

Diritto /

Decisioni algoritmiche e ermeneutica giudiziale

Diritto /

ChatGpt sulla maternità surrogata

La privacy digitale è una illusione

Il 28 gennaio si celebra la Giornata europea della protezione dei dati personali, ricorrenza istituita nel 2006 dal Consiglio d’Europa. Questa giornata viene celebrata a livello mondiale e, al di fuori dell’Europa, viene chiamata “Giornata della privacy”.

In tale data, governi, parlamenti, organismi nazionali per la protezione dei dati e altri attori svolgono attività di sensibilizzazione sui diritti alla protezione dei dati personali e alla privacy.

I dati personali delle persone vengono elaborati ogni secondo: sul lavoro, nei rapporti con le autorità pubbliche, in campo sanitario, quando acquistiamo beni o servizi, o navigando in Internet. Gli individui normalmente non hanno familiarità con i rischi connessi alla protezione dei propri dati personali. Raramente sono consapevoli di cosa possono fare se ritengono che i loro diritti siano stati violati o del ruolo delle agenzie nazionali per la protezione dei dati.

 

Protezione dei dati personali o diritto alla privacy?

La relazione fra protezione dei dati personali e tutela della privacy non è immediatamente chiara. I due aspetti si sovrappongono e la seconda è solitamente invocata come l’interesse che sostiene la prima. Più spesso però la protezione dei dati personali è confusa con la tutela della privacy: si tratta di concetti complementari e non di sinonimi. Non sempre è la privacy ad essere violata dalla raccolta, dall’uso, dalla conservazione o dal trasferimento di dati personali. Il concetto di dato personale ha uno spettro così ampio che può includere informazioni non necessariamente private. Le regolamentazioni sulla protezione dei dati personali non sono costruite in modo da consentire una tutela completa della privacy individuale.

In verità in nessuna parte del GDPR (Regolamento generale per la protezione dei dati personali), esclusa una nota a piè di pagina, viene usato il termine privacy, per la semplice ragione che si tratta di un diritto alla riservatezza che non può dipendere da alcuna norma, quanto piuttosto dalla personale volontà del singolo di non rivelare informazioni relative alla propria vita privata. Viceversa si possono porre limiti all’intrusione di terzi nella vita delle singole persone, ma in questo contesto ci sono le costituzioni, le leggi e le disposizioni che regolamentano rigorosamente attività come le intercettazioni telefoniche, i pedinamenti e via discorrendo.

L’art. 1 del GDPR stabilisce così che il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali: cioè quanto avviene dopo che l’individuo ha rinunciato alla sua privacy.

In poche parole, la protezione dei dati riguarda la protezione dei dati da accessi non autorizzati. La privacy dei dati riguarda l’accesso autorizzato. Un altro modo per cogliere questa differenza è la seguente: la protezione dei dati è essenzialmente un problema tecnico, mentre la privacy dei dati è un problema autenticamente giuridico.

Ciò che è importante capire quando si confronta la privacy dei dati con la protezione dei dati è che non si può garantire la riservatezza dei dati a meno che i dati personali siano protetti dalla tecnologia.

 

Privacy digitale

Il nostro rapporto con la privacy digitale non è mai stato così complicato come di questi tempi. Siamo ossessionati dal modo in cui le corporations di Internet e dei social media come Facebook, Instagram, Twitter, Google e YouTube utilizzano i nostri dati personali. Tuttavia, condividiamo costantemente nuove informazioni sui social media.

Siamo convinti che i nostri dispositivi smart ascoltino conversazioni private e condividano informazioni preziose con gli inserzionisti. Eppure spediamo volentieri la nostra saliva alle società di test del DNA.

Siamo profondamente diffidenti nei confronti della maggior parte delle aziende tecnologiche. Eppure portiamo con noi i nostri smartphone di localizzazione ovunque andiamo.

E in qualunque luogo andiamo, ci sono telecamere che ci osservano.

Siamo nel bel mezzo di un tiro alla fune tra il nostro bisogno di privacy e il desiderio di connessione personale. Forse i prossimi cambiamenti epocali nelle regole sulla privacy digitale aiuteranno a spostare l’equilibrio.

 

Dalla privacy alla contrattazione dei dati

Di recente, un’ondata di aggiornamenti sulle modifiche ai Termini di servizio ha invaso la nostra casella di posta. Praticamente ogni servizio online ci avvisa delle modifiche significative alla politica sulla privacy che sono entrate in vigore con la promulgazione del GDPR. Facebook, Google, LinkedIn, Twitter, qualsiasi abbonamento a newsletter, stanno tutti aggiornando le politiche sulla privacy e richiedendo il diritto di continuare la fornitura di servizi e contenuti. Queste aziende non stanno cambiando perché è la cosa giusta da fare, lo stanno facendo per conformarsi al Regolamento generale sulla protezione dei dati (GDPR) aggiornato dell'Unione Europea.

Il GDPR include alcune delle più rigorose politiche sulla privacy degli utenti e sul controllo dei dati personali e riguarda praticamente tutte le aziende tecnologiche che contattano i consumatori all’interno dell’UE.

Secondo EUGDPR.org:

Il GPDR … si applicherà al trattamento dei dati personali da parte di titolari e responsabili del trattamento nell’UE, indipendentemente dal fatto che il trattamento avvenga o meno nell’UE.

Le aziende non potranno più utilizzare termini e condizioni illeggibili, in quanto la richiesta di consenso deve essere formulata in forma intellegibile e facilmente accessibile, con la finalità del trattamento dei dati allegata a tale consenso.

Il GDPR ha regole altrettanto rigide in merito al diritto all’oblio, alla rinuncia, alla fine delle iscrizioni e all’accesso ai dati.

Questi sono cambiamenti incredibili che aiuteranno le persone a sentirsi più sicure rispetto al loro coinvolgimento con Facebook, con Google e con i più importanti attori del mondo digitale. Ma di sicuro la nostra riservatezza sarà perduta per sempre.

 

Privacy: una china scivolosa

Innanzitutto, il treno della privacy ha lasciato la stazione ormai un secolo fa. A meno che si sia ancora neonati, i nostri dati personali sono disseminati sul web come piume di un cuscino rotto. Sono presenti in ogni ricerca, nei tweet, nelle nostre abbuffate di Netflix, negli acquisti su Amazon, nelle ricerche su Google, nelle caselle di posta elettronica intasate e nei navigatori stradali abilitati al GPS. Ovviamente, gran parte di questi dati sono anonimizzati, ma certamente non tutti lo sono.

Eliminare l’impronta dei nostri dati personali da Internet richiederebbe uno sforzo erculeo.

Ammettiamo, per amor di discussione, che incredibilmente siamo riusciti a ripulire ogni più nascosto interstizio del Web che ci riguardasse. Abbiamo scaricato i nostri dati e cancellato il nostro account Facebook. Abbiamo smesso di usare Google, siamo usciti da Twitter e abbiamo cancellato la cronologia del browser. Inoltre, in qualche modo, abbiamo convinto il nostro ISP a cancellare tutti i record delle nostre attività in rete. Abbiamo cancellato i vecchi messaggi e ci siamo rassicurati che lo stesso abbiano fatto i nostri contatti (sic!). Abbiamo bloccato tutti i tipi di cookies e tutti gli annunci su ogni sito web.

Tutte le informazioni che i social media, le società di ricerca e Internet hanno su di noi ora sono svanite. Il nostro sforzo erculeo è riuscito: dovremmo aver garantito la nostra privacy digitale, giusto?

Purtroppo la risposta è negativa: dileguarci volontariamente dal web non ci garantisce di non lasciare più tracce digitali.

Anche se smettiamo di fare acquisti su Amazon e spendiamo tutti i nostri soldi presso rivenditori fisici, la maggior parte di questi terrà traccia di ciò che abbiamo acquistato da loro.

Abbiamo deciso di dimenticare per sempre lo smartphone, ma le nostre auto se equipaggiate con GPS integrato terranno traccia dei nostri spostamenti.

E poi ci sono le telecamere. Sono in ogni dispositivo, fuori dalle case e sui campanelli, sui cruscotti delle auto, a ogni angolo delle strade e nella maggior parte degli edifici. Nel 2010, le telecamere a circuito chiuso del Regno Unito hanno contribuito a risolvere quasi sei crimini al giorno. In Cina, stiamo assistendo alla logica conclusione di questa sorveglianza di massa: la capacità di creare un punteggio sociale basato, almeno in parte, sulle attività e sui comportamenti tenuti sotto il diretto controllo delle telecamere di sorveglianza.

Anche senza questa tecnologia di sorveglianza, gli esseri umani hanno l’abitudine di fornire con entusiasmo i propri dati privati, quando percepiscono di ottenere un vantaggio personale o un guadagno. La proliferazione relativamente recente di servizi di test del DNA personali come 23andMe, Helix e Ancestry.com è guidata dalla disponibilità di tecnologie appropriate per il test del DNA e da un profondo bisogno di capire il nostro posto in questo mondo.

Questi siti garantiscono di non condividere i nostri dati, ma alcuni ci incoraggiano a farlo con la promessa di rintracciare parenti spariti da tempo.

 

Violazione della privacy e tutele illusorie

Suppongo che tutti ritengano che la privacy dei dati, o per meglio dire, il diritto alla privacy dei dati sia qualcosa che vale la pena perseguire. Ma è proprio qui che scatta la trappola. Mentre siamo tutti d’accordo sul fatto che qualcosa deve essere fatto, come farlo in modo efficace rimane un problema insoluto. L’UE ha emanato il GDPR, il primo grande tentativo da parte di un organismo politico di legiferare su regole per definire il modo in cui i player informatici gestiscono i dati per i cittadini dell’UE. Almeno questa è la premessa, ma la legge dei costi delle conseguenze non intenzionali si è manifestata ancora una volta. La ratio del GDPR è stata minata dalla amara realtà della inefficacia delle tutele.

La privacy dei dati è apparentemente semplice da tutelare: proteggere il diritto alla privacy (dei dati) a tutti gli individui sovrani. Intendo dire, dovremmo sapere esattamente cosa si sta raccogliendo e per quale scopo. Meglio ancora, se vogliamo che i nostri dati ci vengano restituiti, dovremmo poterlo facilmente richiedere con la ragionevole certezza che il gestore e il responsabile dei dati non ne terranno copia e che non hanno ripreso a raccoglierli di nuovo. Più facile a dirsi che a farsi. Ahimè, come rimettere lo spirito maligno nella bottiglia quando è stato libero per tanto tempo? Non una risposta facile. Affatto.

Per anni, noi utenti abbiamo volontariamente e allegramente fatto point and click sul tasto virtuale accettando di cedere grandi quantità di informazioni personali in cambio di qualche vantaggio, spesso banale. Chiunque abbia scaricato, abbonato, acquistato qualcosa online, utilizzato carte fedeltà, ecc. ha “accettato” un lungo documento legale che in pratica affermava che l’azienda con cui stavamo effettuando transazioni può utilizzare i nostri dati per qualsiasi scopo.

Diciamo la verità, chi ha mai letto, da cima a fondo, l’intero disclaimer legale su un’accettazione click-through?

Tuttavia, la consapevolezza dei consumatori è ora salita a un livello in cui sappiamo (anche se vagamente per la maggior parte) che le aziende online vendono e generano entrate dalle enormi quantità dei nostri dati personali. Ad esempio, non è difficile percepire il valore dei big data per i marketer. Una migliore informazione sui target dei consumatori significa campagne di marketing più efficaci. Una spesa di marketing più efficace produce maggiori entrate e profitti. Ma poi le aziende che conservano tutti i nostri dati non sono riuscite a proteggerli. Il consumatore ha iniziato a tenere un atteggiamento scettico sul fatto che ci si possa fidare o meno delle aziende con tutto il potere sulle nostre vite che abbiamo dato loro.

All’inizio, le società che hanno subito un data breach hanno cercato di uscirne con espressioni formali di preoccupazione e sgomento per come la violazione sofferta abbia condizionato negativamente i loro clienti.

Certo, le aziende spendono centinaia di migliaia di euro all’anno per la sicurezza informatica, ma ciò che conta per esse è mitigare il rischio di contenzioso legale e proteggere il valore per gli azionisti. Lo scopo non è proteggere principalmente il diritto alla privacy di un individuo. Qualsiasi vantaggio per il singolo consumatore sarebbe un sottoprodotto dell’attenuazione del rischio legale.

Il che ci porta dritti al cuore della questione: profitto vs. protezione.

Mettiamo da parte per un momento etica e moralità, così possiamo concentrarci sulla realtà della situazione.

Viviamo in una società capitalista in cui le imprese competono ferocemente per aumentare i ricavi e i profitti. Le aziende, pubbliche e private allo stesso modo, traggono profitto dalle nostre informazioni personali raccolte da anni. Chiedere a queste organizzazioni di sorvegliarsi da sole, sebbene idealista, è un po’ forzato.

Ci sono solo due leve principali nel business per generare profitto: aumentare i ricavi e/o diminuire i costi. Quindi, in che modo esattamente si può proteggere le nostre informazioni personali che generano profitto? Proteggere la privacy non aumenta direttamente le entrate e aggiunge solo costi. Il risultato, prevedibilmente, è una soluzione minima praticabile al problema. Le aziende generalmente spenderanno solo un importo minimo per soddisfare la strategia di mitigazione del rischio legale come prescritto dai loro team legali.

Dopotutto, dal momento che ci assumiamo la maggior parte del rischio (costo) se i nostri dati personali identificativi vengono rubati, non dovremmo avere diritto a un risarcimento pecuniario?

Purtroppo, le tutele del diritto alla privacy si rivelano illusorie. Il GDPR, il Consumer Privacy Act della California e altri che sicuramente seguiranno sono tutti ben pensati. Tuttavia, molto probabilmente non riusciranno a fornire il livello che noi, singoli consumatori, speravamo. Sebbene l’attuale legislazione implichi draconiane sanzioni per la violazione della privacy digitale, le aziende semplicemente trasferiranno quel costo sul consumatore. È così che funziona nel mondo reale.

 

In conclusione

Il mio suggerimento è di non provare a cancellare tutti i nostri dati personali da Internet (sarebbe una inutile fatica di Sisifo!), ma assicurarci che ciò che è là fuori sia almeno una descrizione accurata del nostro ruolo nel colosseo elettronico.

E mostriamoci felici (come il Sisifo di Camus) davanti a tutte le telecamere che sempre più spesso incontreremo sulla nostra strada.

Articoli più letti su questo argomento

Diritto /

Attacco hacker ai sistemi informatici della regione Lazio: arrivano le sanzioni del Garante Privacy

Diritto /

Videosorveglianza e servitù: legittima anche senza il permesso di chi ha la servitù di passaggio

Diritto /

La tecnica del bilanciamento nel difficile equilibrio tra accesso agli atti amministrativi e tutela della privacy

Newsletter Abbonamenti