Voglia di privacy

Il tema della privacy, un tempo relativa soprattutto ai diritti di protezione, accesso e trasparenza dei cittadini rispetto all’invasività dello Stato, deve oggi essere affrontato dal legislatore con inevitabile ed indispensabile riguardo al fatto che la raccolta ed il trattamento di un numero sempre crescente di dati personali siano divenuti uno strumento essenziale e vitale per lo stesso funzionamento delle imprese commerciali.

Mettendo a nudo la fragilità delle misure di sicurezza con cui la diplomazia statunitense custodiva i propri “segreti”, l’eco mediatica del caso WikiLeaks riporta all’attenzione degli operatori, giuridici, economici ed informatici, un problema che, pur diverso da quello strettamente connesso alle “imprese” di Julian Assange, ne è comunque prepotentemente evocato: la sicurezza nel trattamento dei dati personali, in un’epoca in cui questo avviene con l’uso normale della rete internet e di strumenti elettronici e, data la consolidata globalizzazione economica, assume una rilevanza pienamente transnazionale. Il tema della privacy nel trattamento dei dati personali, un tempo relativa soprattutto ai diritti di protezione, accesso e trasparenza dei cittadini rispetto all’invasività dello Stato (all’insegna dell’habeas corpus), deve oggi essere affrontato dal legislatore, dagli operatori economici e da quelli del settore informatico con inevitabile ed indispensabile riguardo al fatto che la raccolta ed il trattamento di un numero sempre crescente di dati personali siano divenuti uno strumento essenziale e vitale per lo stesso funzionamento delle imprese commerciali.

Al di là di attività oggettivamente invasive e fastidiose (come quelle di numerosi call center), la rete internet assume un ruolo ormai normale, e tendente alla preponderanza, negli usi commerciali. Essi spaziano dalla fornitura alla clientela di informazioni essenziali alla stessa esecuzione di prestazioni di vendita e fornitura di beni e servizi, attività che tocca ormai tutti i settori, dal semplice scaricamento di musica alla vendita di beni ad elevato valore tecnologico e venale. In questo contesto, gli interessi delle imprese e quelli dei cittadini al mantenimento del pieno controllo sui propri dati personali devono essere contemperati. Diventa quindi importantissimo, e sovente trascurato, il tema delle misure di sicurezza volte a garantire l’effettività di un trattamento sicuro dei dati personali. Questi vanno posti al riparo da accessi abusivi, sottrazioni indebite e cancellazioni le quali, oltre ad un danno per le stesse imprese, si traducono in una menomazione di fatto del diritto/potere di controllo dei titolari dei dati. Quanto a sensibilità a questa problematica, l’Italia si è dimostrata all’avanguardia rispetto agli standard della legislazione europea (in special modo quella dei Paesi dell’Unione Europea, largamente ispirata a principi uniformi) e mondiale, dettando il Codice della Privacy.

Sono state varate disposizioni meticolose, le quali, molto al di là degli standard europei, tendono a “coprire” ogni possibile punto critico sull’effettiva conservazione e l’effettivo trattamento dei dati in condizioni di sicurezza. Ad esempio, viene prescritto l’uso della crittografia per i dati sensibili e giudiziari trattati da soggetti pubblici o la cui azione abbia rilevanza pubblica, come quella di medici ed avvocati. Ma vi è una domanda a cui è necessario fornire una risposta, in considerazione del carattere spiccatamente transnazionale delle transazioni commerciali che avvengono attraverso internet (si pensi solo alla diffusione di servizi di pagamento come PayPal): qual è, nelle misure di sicurezza prescritte o adottate negli altri Paesi, la situazione in tema di effettiva protezione dei dati personali trattati dai soggetti diversi dallo Stato? A tale riguardo, e questo è un dato di fatto a cui si deve prestare suprema attenzione, specie in un’epoca come questa in cui nuovi attori si affacciano sulla scena del commercio internazionale fino ad avviarsi a divenire protagonisti, va detto che prevale una certa coincidenza tra il carattere più o meno “democratico” di uno Stato e la sua sensibilità a tale problematica. Se l’approccio statunitense, sul quale ci soffermeremo infra, è profondamente diverso dal nostro, si può dire che i Paesi dell’Europa (ivi compresi anche quelli extracomunitari come Svizzera, Norvegia e, forse insospettabilmente, Federazione Russa) e i Paesi più avanzati dell’America Latina (Argentina, Messico, Cile, Colombia) e dell’Africa settentrionale (Marocco, Tunisia), prevedono disposizioni puntuali che si basano principalmente sul dovere per gli operatori di adottare le soluzioni tecnologicamente più avanzate (promossa, quindi, la crittografia, laddove essa possa essere assicurata a condizioni economiche vantaggiose).

Altri Paesi, con sensibilità decisamente inferiore rispetto ai diritti ed agli interessi dei cittadini, e talora, delle stesse imprese, trascurano il problema, se non sono addirittura privi di una legge organica sulla protezione dei dati personali o non proibiscono od ostacolano la stessa raccolta dei dati. Un riscontro quasi matematico al riguardo, a parte casi scontati come la Cina, ci deriva dalla situazione dell’Egitto, Paese al centro di recenti e drammatici fatti: l’uso della crittografia cadeva di fatto sotto il totale potere del Governo, il quale poteva quindi ordinare l’indiscriminato deposito delle chiavi di cifratura, attribuendosi così il diritto di penetrare in modo generalizzato nella “vita” di ciascuno, in quanto “leggibile” attraverso i dati personali. Si può quindi affermare che la sensibilità al tema della sicurezza si muove di pari passo col progresso democratico, ma, per altro verso, anche con l’incrementarsi o il consolidarsi dei rapporti commerciali con i Paesi europei. Il fenomeno impone l’adozione di regole uniformi anche riguardo al trattamento dei dati personali, soggetti, attraverso lo scambio transfrontaliero, a “viaggiare” da un Paese all’altro: è il caso di Marocco e Tunisia, che hanno adottato legislazioni moderatamente avanzate, in forza, soprattutto, della spiccata influenza francese. L’esperienza statunitense è notevolmente diversa, anche se ultimamente soggetta ad una rapida evoluzione verso il modello “europeo”. Negli Stati Uniti, il problema maggiormente sentito è storicamente quello della salvaguardia dei cittadini nel mantenimento del controllo dei propri dati personali di fronte allo Stato ed al potere pubblico in generale, ivi compresi persino i servizi segreti. Espressione di questo atteggiamento è l’atto legislativo denominato Freedom of Information Act (FOIA), il quale, costituendo un leading case per altri Paesi di tradizione giuridica anglosassone, soprattutto africani, a determinate condizioni, accorda a chiunque, non solo ai cittadini statunitensi, il diritto di ottenere informazioni circa il contenuto di atti custoditi dal Central Intelligence Service (CIA).

Viceversa, il rapporto tra cittadini ed operatori economici, laddove comporti il trattamento e la conservazione di dati personali da parte di questi ultimi, è stato storicamente letto e regolato in un’ottica più strettamente contrattualistica: a prescindere dall’emanazione, a livello di singoli Stati, di leggi particolarmente severe rispetto all’invio di informazioni commerciali indesiderate attraverso internet (cosiddetto Spam, più tecnicamente definito Unsolicited Commercial Email), i rapporti tra consumatori ed imprese tendono ad essere regolati con la semplice sottoposizione, a carico di queste, di una Privacy Policy avente impostazione e natura molto più stringata ed essenziale rispetto all’informativa sulla privacy prevista negli ordinamenti europei. Non sono previste particolari garanzie sulla protezione dei dati, se non l’obbligo, da tempo generalizzato a livello di legislazioni statali uniformi, di informare tempestivamente i consumatori delle eventuali anomalie o “rotture” di sicurezza (Security Breeches) che si siano verificate, onde consentire ai consumatori stessi di adottare le opportune contromisure. Tuttavia, anche negli Stati Uniti, se per un verso si fa più stringente che in passato la pressione delle associazioni e dei movimenti di tutela dei diritti civili e dei consumatori sulla protezione dei dati personali, dall’altro, la necessità di adeguamento alle condizioni praticate in quello che per gli USA rappresenta ancora un “mercato” fondamentale, quale quello europeo, spinge anche il pragmatico sistema americano verso le logiche “europee”. Ciò è già realtà sul terreno fiscale, con l’obbligo per le imprese americane di far pagare la Value Added Tax – la nostra IVA ed analoghe imposte vigenti in tutta l’Unione Europea – ai clienti europei. Così, alcuni Stati, in particolare l’importante Massachusetts, hanno ora adottato disposizioni addirittura più severe di quelle italiane ed europee, in ordine alla necessità di proteggere i dati personali da accessi abusivi, intrusioni ed alterazioni, con la più adeguata delle misure: la crittografia. Gli osservatori esperti nel campo giuridico e delle tecnologie IT ritengono che tale ottica si estenderà gradualmente all’intero Paese. La “resa” degli stessi Americani evidenzia come il futuro della protezione dei dati personali, a livello mondiale, sarà sempre più “crittografico”: la tendenza alla riduzione dei costi determinata dal perfezionarsi delle tecnologie e dalla loro diffusione porterà non solo le grandi imprese e quelle con particolari esigenze di sicurezza (come gli istituti bancari), ma anche i piccoli e medi operatori economici a dotarsi di strumenti di cifratura dei dati personali raccolti. I quali, se via via comporteranno costi effettivi sempre minori per le imprese, per altro verso assicureranno, a livello globale, il controllo davvero effettivo dei cittadini sul destino e sulla protezione dei propri dati.

Nicola Grauso
Fondatore Video On Line, primo Internet provider italiano

Massimiliano Fanni Canelles

Viceprimario al reparto di Accettazione ed Emergenza dell'Ospedale ¨Franz Tappeiner¨di Merano nella Südtiroler Sanitätsbetrieb – Azienda sanitaria dell'Alto Adige – da giugno 2019. Attualmente in prima linea nella gestione clinica e nell'organizzazione per l'emergenza Coronavirus. In particolare responsabile del reparto di infettivi e semi – intensiva del Pronto Soccorso dell'ospedale di Merano. 

Rispondi