Privacy online: differenze tra privacy by design e by default
A cura di A. Seminara (partecipante del Master in Giurista d'Impresa)
Privacy: significato e valore
La rivoluzione tecnologica ha radicalmente cambiato il nostro modo di comunicare. L’avvento delle reti mobili ha permesso la scambio più veloce di informazioni, ampliando la platea di soggetti e dispositivi comunicanti. Il c.d. “Internet of things”(1) ha avallato un concetto di comunicazione non più legato solo alle persone, ma anche agli oggetti, strumenti dotati di intelligenza digitale, interconnessi e in grado di collezionare flussi di dati, elaborare e gestire servizi ed informazioni. L’informazione è forse la maggiore espressione di controllo e detenzione del potere, ma oggi non è più soltanto questo: è diventata un business. Tuttavia, esiste una linea sottile tra la necessità di acquisire più informazioni possibili e quella di tutelare i dati sensibili, oltreché la sfera privata di ciascun cittadino, e non sono infrequenti i casi in cui la propagazione incontrollata dell’informazione si trasforma in una violazione della privacy. La moltiplicazione di dati privati a causa di piattaforme di social networking, la sorveglianza elettronica, i circuiti chiusi in luoghi pubblici o lavorativi, il controllo dei cellulari e delle comunicazioni sono ormai all’ordine del giorno, insomma “Il Grande Fratello vi guarda!”(2)
L’attività di controllo e di violazione della privacy, potrebbe essere in certi casi agevolata, quando ritenuta astrattamente lecita, si pensi alla consultazione di motori di ricerca o di mappe tramite GPS, alla navigazione in Internet o all’invio di e-mail, oggi principale strumento di comunicazione aziendale. Si tratta di attività ordinarie, che fanno parte della comune routine, ma che contemporaneamente possono essere oggetto di facile controllo, sia in maniera lecita tramite politiche tecnologiche quali i cookie, che permettono di memorizzare le attività e le preferenze di navigazione su uno specifico computer, sia in modo malevolo tramite malware, spyware o Trojan Horse. È facile comprendere a questo punto l’importanza della tutela della privacy, di cui la protezione dei dati personali costituisce una parte fondamentale. Per privacy deve intendersi il diritto alla riservatezza della propria sfera privata(3) ; mentre per dato personale deve intendersi qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento ad altro tipo di notizie, ivi compreso un numero di identificazione, idonee a rivelare caratteristiche, abitudini, stili di vita, elementi attinenti all’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale(4) .
Contesto normativo
Il c.d. “Codice della Privacy” sul trattamento dei dati personali (D.Lgs. 196/2003) (5)discendeva da una Direttiva Comunitaria 95/46/CE ed era figlio di un’epoca in cui l’Internet non aveva ancora invaso le abitazioni di chiunque. L’evolversi dei tempi, il modificarsi degli scenari, l’evoluzione comportamentale degli utenti della rete e la sempre crescente diffusione di nuove tecnologie di non ancora codificate potenziali pervasività hanno impattato enormemente la materia della Privacy. Pertanto, per potere stare al passo con l’innovazione ed essere in grado di contrastare le nuove minacce incombenti è stato necessario introdurre ulteriori misure che hanno reso, a loro volta, indispensabile l’aggiornamento del quadro legislativo vigente.
Con il Regolamento UE n. 679 del 27 aprile 2016 è stata segnata una svolta legislativa, ma anche funzionale, rappresentando il regolamento la fonte maggiormente idonea a garantire l’omogeneità all’interno delle normative nazionali, per la sua forza erga omnes e la sua diretta applicabilità, senza la necessaria intermediazione statale. Inoltre, la verifica sulla corretta applicazione del Regolamento è garantita da una specifica autorità di controllo, che in Italia si identifica con la figura del “Garante Privacy”. Il Regolamento ha inteso sottolineare l’importanza di un utilizzo dei dati secondo i principi di trasparenza e correttezza: le informazioni devono essere trattate in modo lecito, raccolte per scopi legittimi ed espliciti e soprattutto in modo non eccedente rispetto alle finalità per le quali sono state originariamente collezionate. L’obiettivo perseguito è quello di ampliare e rafforzare il potere dispositivo e di controllo della persona riguardo al trattamento dei propri dati personali, integrando la dichiarazione di consenso contenuta nella precedente direttiva 95/46/CE e chiarendo che la manifestazione di volontà dell’interessato al trattamento dei dati sia libera, specifica, informata ed “inequivocabile”(6). Affinché si realizzi in maniera concreta ed efficace, l’attuazione dei principi di protezione dei dati è richiesta sin dalla progettazione e attraverso impostazioni predefinite.
Privacy by design e privacy by default
Il Regolamento 679/2016 introduce due concetti nuovi nella lotta alla sicurezza e protezione dei dati personali, che si qualificano come strumenti non reattivi, ma proattivi, cioè volti a prevenire eventuali violazioni, piuttosto che a correggerle: privacy by design e privacy by default.
- Il principio di privacy by design(7) risponde all’idea di incorporare le esigenze di privacy nella fase di progettazione. Si tratta di un nuovo modo di concepire lo sviluppo, coniugando la realtà con le funzionalità del sistema e garantendo così un approccio ex ante nella valutazione dei rischi e nell’adozione delle misure di sicurezza. A tal fine è necessario predisporre, in fase di progettazione appunto, un piano in cui dovranno essere individuate misure tecnico-organizzative appropriate e proporzionate alla minaccia, che siano in grado di garantire una risposta efficace e tempestiva in funzione delle varie ipotesi di trattamento. Ciò sottolinea l’ineludibilità del concetto di privacy e l’importanza di un simile approccio per permettere agli sviluppatori di creare i loro applicativi in maniera aderente ai principi del regolamento, intercettando sul nascere e riducendo al minimo potenziali rischi di violazione della privacy.
- Il principio di privacy by default, invece, mira a garantire che i dati personali siano protetti automaticamente in ogni sistema informatico, senza che sia necessario compiere alcuna operazione. Questo strumento si applica a tutte le situazioni in cui vige la regola “se nulla faccio, nessun mio dato deve essere acquisito”(8) . In altri termini, per impostazioni predefinite, ai sensi del Regolamento, è proibita la raccolta, la misurazione o la condivisione di qualunque dato personale, senza che vi sia stato un esplicito consenso da parte dell’interessato. Neppure il silenzio o l’inattività possono rappresentare una forma tacita di consenso. In ogni caso, il titolare del trattamento dovrà garantire che si trattino solo i dati personali necessari a ciascuna specifica finalità del trattamento e che la quantità dei dati e la durata della loro conservazione non eccedano il minimo necessario per il conseguimento delle finalità perseguite. Al momento del primo accesso dell’utente a un sito web, per esempio, nessun cookie diverso da quelli tecnici deve essere posizionato all’interno del dispositivo, né deve essere usata altra tecnica di profilazione.
Cookie
I pilastri di trasparenza e correttezza, alla base del Regolamento, vengono perfettamente ad immedesimarsi in altrettanti concetti chiave con cui da qualche tempo a questa parte si viene sempre più a contatto: informativa e consenso. Qualunque sito web al giorno d’oggi, in basso oppure in un angolino della pagina, presenta un piccolo trafiletto, una piccola didascalia che fa riferimento nella maggior parte dei casi ai c.d. cookie(9) , strumenti tecnologici che consentono di posizionare e archiviare dati riguardanti le sessioni di navigazione in Internet, come ad esempio preferenze, veicolare la pubblicità comportamentale (c.d. behavioural advertising) e misurarne l’efficacia, oppure realizzare meccanismi di autenticazione come possono esserlo i login: nell’istante in cui ognuno di noi legge quel particolare promemoria, probabilmente in un primo momento addirittura non notato, viene automaticamente informato della possibilità di utilizzo di quei dati per determinate finalità. Questa situazione che viene a crearsi è proprio l’informativa, perciò il consenso non può che essere lo step successivo: il momento, l’attimo fuggente in cui con un clic ci si dichiara favorevoli e, dunque, consenzienti al trattamento di quei dati(10). Il Garante conferma la validità del meccanismo di acquisizione del consenso online tramite la presentazione di banner. Diverso, secondo un parere del EPDB (Comitato Europeo per la Protezione dei Dati)(11), sarebbe il semplice “scroll-down” della pagina, che non sarebbe di per sé idoneo a manifestare il consenso dell’interessato ad accettare e ricevere il posizionamento, all’interno del proprio terminale, di cookie diversi da quelli tecnici. Tuttavia, ove tale meccanismo sia componente di un più articolato processo che consenta di segnalare al titolare del sito, con la generazione di un preciso pattern, una scelta inequivoca nel senso di prestare il proprio consenso all’uso dei cookie, risulterebbe in linea con i requisiti di legge(12). In altre parole, l’acquisizione del consenso tramite “scrolling” deve essere chiaramente indicata nell’informativa e in grado di generare un evento registrabile e documentabile presso il server del gel gestore del sito, qualificabile come azione positiva dell’utente.
Conclusioni
Occorre evidenziare come molti ambiti del Regolamento siano decisamente poco marcati. In questi casi si rende necessario il rinvio all’interpretazione dei garanti nazionali, cosa che inevitabilmente finisce per attribuire dei contorni sfumati all’ideale di omogeneizzazione posto alla base del Regolamento stesso, che viene piuttosto ad assumere le sembianze di una vera e propria direttiva. Si prenda il caso dei principi di privacy by design e privacy by default: non è espressamente sancita nessuna regola pratica per così dire, nessun esempio concreto, bensì è definito soltanto il concetto teorico, l’idea del legislatore europeo. Si tratta di una fattispecie tipica della cosiddetta soft law, ossia un fenomeno di regolazione connotato dalla produzione di norme prive di efficacia vincolante diretta.
(1) IoT (acronimo di “Internet of Things”) è un termine riferito all’estensione di Internet al mondo degli oggetti. Fu introdotto da Kevin Ashton, cofondatore e direttore esecutivo di Auto-ID Center. Si parla di IoT per tutti quei dispositivi elettronici dotati di un microprocessore, di un sistema operativo e in grado di connettersi a Internet. In questi anni il fenomeno è cresciuto molto rapidamente, con decine di miliardi di dispositivi IoT nel mondo.
(2) ORWELL G., 1984, Milano, Mondadori, 1949, p. 2.
(3) In realtà manca una definizione univoca del concetto di privacy, che potrebbe essere tratteggiato come un principio di determinazione fondato sulla libertà di compiere, indisturbati, attività private di qualunque genere: “the right to be let alone”.
Fin dal XIX secolo la Privacy è stata riconosciuta come un bene giuridicamente protetto. Precisamente l’atto di nascita della privacy come un vero e proprio bene, fu idealmente siglato da un famoso articolo scritto nel 1890 da Samuel L. Warren e Louis D. Brandeis, due avvocati bostoniani che per la prima volta misero a confronto il diritto dell’informazione con quello di riservatezza, e pubblicato dalla rivista giuridica Harvard Law Review. WARREN S. L., e BRANDEIS L.D, The right to privacy, Boston, Harvard Law Review, 1890, disponibile su http://groups.csail.mit.edu/mac/classes/6.805/articles/privacy/Privacy_brand_warr2.html; WESTIN A. F., Privacy and Freedom, New York, Atheneum, 1967.
(4) Art. 4, Regolamento generale sulla protezione dei dati (GDPR) del 26 aprile 2016, n. 679, disponibile su http://eurlex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ITA.
(5) Modificato dal D. Lgs. 10 agosto 2018, n. 101.
(6) C32 del Regolamento 679/2016: “Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile al trattamento dei dati personali che lo riguardano […] ciò potrebbe comprendere la selezione di una apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione/comportamento che indichi chiaramente che l’interessato accetta il trattamento proposto. Non dovrebbe configurare consenso il silenzio, l’inattività o la preselezione di caselle”.
(7) Concetto inizialmente promosso dalla Commissaria dell’autorità di controllo canadese della provincia dell’Ontario. Ann Cavoukian, la quale nel 2009 pubblicò uno specifico documento intitolato “Privacy by design, the 7 foundational principles”. Già in precedenza, però, il tema era stato ampiamente discusso ed esaminato nel 2007 durante il Congresso Internazionale delle Autorità Garanti. Oggi è parte integrante del sistema europeo sulla protezione dei dati.
(8) BIASOTTI A., Il nuovo regolamento europeo sulla protezione dei dati, Roma, EPC Editore, 2016, p. 546; PIZZETTI F. Privacy e il diritto europeo alla protezione dei dati personali: dalla Direttiva 95/46 al nuovo Regolamento europeo, Torino, Giappichelli, 2016; CICCIA MESSINA A. e BERNARDI N., Privacy e Regolamento europeo, Milano, Wolters Kluwer Italia.
(9) Esistono diverse tipologie di cookie: i “cookie di autenticazione” sono di particolare importanza ogniqualvolta sia necessaria una verifica in ordine al soggetto che accede a determinati servizi, come ad esempio quelli bancari; i “cookie tecnici” sono utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. Il titolare del trattamento è assoggettato al solo obbligo di fornire l’informativa; i “cookie di profilazione” sono utilizzati per ricondurre a determinati soggetti, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile inviare messaggi pubblicitari sempre più mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.
(10) Si parla di consenso informato, il quale può richiedere anche un periodico aggiornamento dell’informativa o anche un periodico rinnovo del consenso, a seconda delle specificità del trattamento. In particolare, è obbligatorio documentare per iscritto, tanto il consenso espresso quanto i modi attraverso cui l’informativa è stata portata a conoscenza dell’interessato, nei casi in cui il trattamento riguardi dati sensibili. Il Codice, infatti, prevede che tali dati siano protetti in maniera più rigorosa, mediante l’impiego di codici identificativi o tecniche di cifratura che li rendano non intellegibili. I dati sensibili possono riferirsi ad informazioni circa lo stato di salute, la vita sessuale dell’individuo, la sua dieta alimentare, insomma notizie potenzialmente idonee a rivelare la sfera più intima e riservata del soggetto.
SERRIELLO A., Quali dati personali sono considerati dati sensibili? Unolegal Privacy Solutions, 2016, disponibile su http://www.unolegal.it/dati-personali-sono-dati-sensibili/.
(11) Parere EPDB del 4 maggio 2020, n. 5. 12 Provvedimenti Garante Privacy, 3 dicembre 2014, FAQ – Informativa e consenso per l’uso dei cookie, disponibile su https://www.privacy.it/2014/12/03/faq-informativa-e-consenso-per-luso-dei-cookie/. Diversamente accade, invece, per i c.d. “cookie wall”, meccanismo di “take it or leave it” nel quale l’utente viene obbligato ad esprimere il proprio consenso alla ricezione di cookie di profilazione, pena l’impossibilità di accedere al sito. Tale meccanismo, non consentendo di qualificare l’eventuale consenso così ottenuto conforme alle caratteristiche imposte dal Regolamento 679/2016 (art. 4, punto 11), è da ritenersi illecito, salvo la possibilità offerta dal titolare del sito di accedere a servizi equivalenti, senza prestare il proprio consenso all’installazione e all’uso di cookie.
Sei interessato al tema della privacy? Scopri il programma del Master in Giurista d'Impresa.
Ultima modifica il 25/05/2021
Tags: BlogLegal