Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

gdpr

Il “bene comune” della tutela privacy: un nuovo approccio è necessario

Andare oltre l’impostazione individualistica della protezione dei dati personali per superare i molti problemi sistemici che incidono su “beni comuni” e interessi collettivi. Vediamo quale può essere il ruolo del GDPR e perché serve un nuovo approccio alla regolazione dei dati

10 Set 2018

Alessandro Spina

Data Protection Officer dell’Agenzia Europea dei Medicinali (Londra)


Le rivelazioni sulle operazioni di microtargeting psicologico nel caso Cambridge Analytica/Facebook hanno drammaticamente portato alla ribalta i limiti di un approccio regolatorio fondato meramente sulla tutela giuridica dei singoli individui, o per usare l’espressione del regolamento sulla protezione dei dati personali (GDPR), dei soggetti interessati.

In merito alla complessa vicenda delle operazioni di persuasione e manipolazione sociale a fini politici, lo scorso 29 luglio, il Parlamento britannico ha reso pubblico un rapporto preliminare[1] in cui vengono delineati i pericoli per le istituzioni democratiche della sostanziale mancanza di regolazione delle piattaforme e social media. Il rapporto ha inoltre investigato a fondo l’opaco intreccio tra ricercatori e società di data analytics al fine di sviluppare modelli psicometrici e l’uso dei dati degli utenti di Facebook utilizzati per la profilazione a fine di persuasione politica non solo degli utenti stessi ma anche dei loro più estesi ambienti sociali (familiari, amici).

Le conseguenze sociali del trattamento dei dati

Questi sviluppi fanno luce sulla questione latente delle effettive conseguenze sociali o per meglio dire del complesso delle esternalità negative, per usare un termine economico, del trattamento dei dati personali. Infatti, l’accettazione delle modalità di raccolta e uso dei dati per il servizio offerto da parte dei soggetti interessati, in questo caso gli utenti di Facebook, non esaurisce la questione dell’accettabilità da un punto di vista sociale degli usi che dei dati in questione ne vogliono fare le organizzazioni commerciali.

Le reali conseguenze negative dell’uso dei dati non riguardano dunque come in questo caso solo gli utenti di Facebook, ma un insieme ben più ampio di persone soggette direttamente o indirettamente alle operazioni di influenza e manipolazione. Una simile problematica di rischio da un punto di vista sociale è emersa nel caso della pubblicazione delle informazioni degli utenti dell’ app di fitness Strava[2]: la pubblicazione da parte di Strava dei tracciati di corsa degli utenti, seppur previamente anonimizzati, svelavano luoghi ad alta densità di traffico, indicando ad esempio postazioni militari che avrebbero dovuto essere segrete. Come è facile immaginare, la pubblicazione di questi dati è un evento indesiderato e potenzialmente pericoloso non solo per gli utenti stessi, ma per tutto il personale impegnato nelle operazioni di sicurezza.

Transazioni individuali e problemi sistemici

In sostanza, a partire da forme di raccolta e uso dei dati personali attraverso transazioni individuali, si sono generati dei problemi “sistemici” che travalicano la prospettiva del rispetto della privacy del singolo individuo e incidono su “beni comuni” e interessi collettivi quali, nei casi esposti, posso essere la correttezza delle attività relative alla campagna elettorale attraverso il micro-targeting psicologico delle reti sociali o, nel caso di Strava, la sicurezza e la segretezza delle operazioni militari.

Di fronte alle sfide derivanti da questa dimensione collettiva e sociale, emerge l’insufficienza del paradigma oggi dominante che ha al suo centro esclusivamente la tutela del soggetto interessato. La questione non è soltanto, come già ampiamente sottolineato, quella dell’inadeguatezza degli schemi di notice-and-consent in base a cui si ottiene una specie di presupposto formale o finzione giuridica circa la validità del consenso dell’interessato al trattamento dei propri dati.

Il punto fondamentale riguarda piuttosto la complessità della gestione da un punto di vista regolatorio dell’innovazione digitale ed in particolare la protezione di interessi collettivi derivanti da servizi o pratiche commerciali che si fondano su una serie di transazioni private tra utenti e fornitori di servizi.

È chiaro che riscontrare questa inadeguatezza non porta automaticamente alla conclusione che il modello di tutela individualistico su cui si fonda la disciplina della protezione dei dati personali sia inutile o superfluo. E’ indubbio che il ruolo del consenso del soggetto interessato rimane centrale per tutelare concretamente la dignità umana e la privacy del singolo- e sicuramente il nuovo regolamento GDPR rafforza questo ruolo introducendo regole più chiare sulla validità del consenso o il diritto alla portabilità dei dati. Ma questo modello non può essere il solo e unico confine giuridico di fronte alla complessità dell’innovazione e dello sviluppo digitale.

Il GDPR e il superamento dell’approccio individualistico

A ben vedere, un tentativo di superamento dell’approccio meramente individualistico si può rintracciare proprio nel cuore delle altre innovazioni apportate dallo stesso GDPR.

Il concetto di accountability del titolare del trattamento comporta una più estesa assunzione di responsabilità da parte di chi intende usare dati personali non solo per le conseguenze immediate e dirette. Vi sono poi per il titolare del trattamento alcuni obblighi che in qualche modo spingono ad una visione più estesa e trasversale delle ricadute sociali delle nuove tecnologie digitali, quali l’obbligo di una valutazione di impatto preventiva, e i principi di data protection by design and by default.

In tutte queste misure, e nella nuova enfasi del regolamento rispetto alla direttiva sulla protezione dei diritti e delle libertà fondamentali della persona, come sottolineato da un autorevole studioso della materia come Franco Pizzetti[3], si osserva una tendenza del GDPR ad andare oltre l’impostazione individualistica delle protezione dei dati personali.

A ciò si deve aggiungere, il rilievo che assume nella GDPR l’idea di “rischio” che riguarda come da testo del GDPR (Considerando 75) i diritti e le libertà non solo dei soggetti interessati ma di qualsiasi persona fisica. In questo senso, il modello di “regolazione del rischio” tradizionalmente applicato ai prodotti industriali (alimenti, farmaci, automobili) potrebbe essere esteso anche ai servizi digitali[4].

La tutela della privacy come la tutela dell’ambiente

A tal proposito, appare particolarmente suggestiva l’ipotesi avanzata da alcuni studiosi brasiliani[5] secondo cui la protezione della privacy nel futuro dell’innovazione digitale ed in particolare nelle applicazioni di Internet-of-Things (IoT) dovrebbe seguire da vicino le caratteristiche della tutela del bene giuridico “ambiente”, inteso come insieme complesso di relazione tra elementi naturali.

A favore di questa tesi, si potrebbe annoverare anche da un punto di vista dogmatico, l’evoluzione del concetto giuridico di ambiente come bene giuridico da tutelare a partire da un’iniziale somma di profili giuridicamente rilevanti quali paesaggio, beni culturali, bellezze naturali, difesa delle risorse idriche e geologiche, difesa dell’atmosfera.[6]

Ma il parallelismo con il tema dell’ambiente non si ferma solo all’analisi storico-dogmatica, perché, come nel caso dell’inquinamento da prodotti industriali, che incide sull’ambiente naturale in modo direttamente quantificabile o determinabile, certe tecnologie interferiscono con il sistema di comportamento umano e sociale da un punto di vista psicologico attraverso una lenta e impercettibile corrosione del tessuto sociale la manipolazione dell’opinione pubblica[7].

Vi è dunque la necessità di interrogarsi se non sia arrivato il momento di una più profonda ridefinizione del modello di tutela della pluralità degli interessi coinvolti, che comprenda- seppur andando oltre – il diritto individuale alla protezione dei dati personali. Questo nuovo approccio alla regolazione dei dati potrebbe servire sia per un più efficace controllo dei rischi e delle conseguenze indesiderate, sia, in modo positivo, per sviluppare forme di data-sharing nell’interesse pubblico al momento ostacolate da un regime giuridico dell’idea di protezione della privacy esclusivamente individualistico[8]. In questo senso, il Garante per la Protezione dei dati personali e le altre autorità di controllo indipendenti hanno un ruolo importante nel declinare il concetto di accountability e di rischi connessi al trattamento dei dati personali in maniera più estesa e in modo meno formalistico, così da assicurare la funzione sociale del diritto alla protezione dei dati personali.

*Le opinioni espresse in questo articolo sono strettamente personali e non riflettono quelle dell’istituzione di appartenenza

__________________________________________________________

Note e bibliografia

  1. House of Commons Select Committee Digital,Culture, Media and Sport: Disinformation and Fake News: Interim Report (29 Luglio 2018) disponibile a: https://publications.parliament.uk/pa/cm201719/cmselect/cmcumeds/363/36302.htm
  2. A.Hern, Fitness tracking app Strava gives away location of secret US army bases, in the Guardian, 28 Jan 2018 disponibile a: https://www.theguardian.com/world/2018/jan/28/fitness-tracking-app-gives-away-location-of-secret-us-army-bases
  3. F.Pizzetti, “La protezione dei dati personali e la sfida dell’Intelligenza Artificiale”, in Intelligenza Artificiale, Protezione dei Dati Personali e Regolazione Giappichelli, Torino (2018) a p. 42.
  4. Sul concetto di riskification del diritto europeo sulla protezione dei dati personali, M.Macenaite, “The riskification of European Data Protection Law through a two-fold Shift” in European Journal of Risk Regulation Vol. 8, 3 (2017); R.Gellert, “Data Protection: a risk regulation? Between the risk management of everything and the precautionary alternative” in International Data Privacy Law Vol. 5, 1 (2015).
  5. R. Zanata, “Haverá proteção contra o capitalismo de vigilância?”, in Outras Palavras, 22/03/2018 disponibile a: https://outraspalavras.net/posts/havera-protecao-contra-o-capitalismo-de-vigilancia/ ; Abramovay, Ricardo, “Inteligência artificial pode trazer desemprego e fim da privacidade”, in Folha de São Paulo(2017) disponibile a: https://www1.folha.uol.com.br/ilustrissima/2017/04/1871569-inteligencia-artificial-pode-trazer-desemprego-e-fim-da-privacidade.shtml; B.Bioni, “Como o Brasil pode inovar na proteção de dados pessoais”, in Valor Econômico, 20/03/2017 disponibile a: http://lavits.org/artigo-como-o-brasil-pode-inovar-na-protecao-de-dados-pessoais/?lang=pt
  6. La tesi pluralistica del concetto di ambiente : M.S.Giannini, “Ambiente: saggio sui diversi suoi aspetti giuridici”, in Riv. Trim. Dir.Pubblico, 15 (1973)
  7. Per una discussione di alcuni di questi effetti collaterali soprattutto in relazione ai social networks, il recente saggio di J.Larnier, Dieci motivi per cancellare subito I tuoi account social, Il Saggiatore (2018)
  8. A.Alemanno, “Big Data for Good: Unlocking Privately-Held Data to the Benefit of the Many”, in European Journal of Risk Regulation Vol. 9, 2 (2018)

@RIPRODUZIONE RISERVATA

Articolo 1 di 3