Il digitale insidia sempre più la nostra privacy e compromette il corretto esercizio di diritti fondamentali, esponendo gli utenti a rischi massivi di tracciamento e manipolazione dei dati personali processati da sofisticate tecnologie oltremodo invasive e pervasive.
Il recente rapporto A/77/196 “Right to privacy”, a cura dell’Assemblea Generale delle Nazioni Unite, descrive al riguardo uno scenario particolarmente preoccupante, sollecitando gli Stati a intervenire con urgenza e senza esitazioni in materia per realizzare un bilanciamento tra i diversi interessi a presidio dei dati personali che circolano in Rete.
Siamo tutti più sorvegliati col digitale: le proposte di tutela delle Nazioni Unite
Privacy, un problema globale ormai fuori controllo
Nonostante la progressiva attuazione di svariate riforme legislative, integrate da frequenti correttivi del quadro normativo, ispirati dall’esigenza di adeguare le legislazioni vigenti alla rapidità tecnologica dell’innovazione digitale, a quanto pare – e il rapporto dell’ONU è l’ennesima conferma – il deficit di tutela della privacy non solo non si attenua ma addirittura aumenta al punto da rappresentare un problema globale ormai fuori controllo dalle implicazioni applicative sempre più complesse e articolate.
Per tale ragione, si comprendono le ragioni che hanno indotto – ancora una volta – le Nazioni Unite a pubblicare un rapporto ufficiale, formalizzando un allarme generale sui rischi alla protezione dei dati personali cui gli utenti possono frequentemente incorrere quando effettuano qualsiasi attività quotidiana online.
Pur senza disconoscere i benefici positivi prodotti dall’innovazione digitale come veicolo di progresso della società, al contempo, però, proliferano pericoli – spesso impercettibili – in grado di pregiudicare il diritto alla privacy individuale.
Il decalogo Onu a tutela della nostra privacy
Prendendo quindi atto di una pervasiva accelerazione del processo di digitalizzazione destinato a mutare profondamento le relazioni interpersonali nella vita pubblica e privata sia a livello nazionale che internazionale, l’ONU promuove un decalogo di principi-guida da utilizzare nella regolamentazione settoriale di riferimento, ben oltre la mera valenza simbolica di semplici raccomandazioni, come “parte strutturale fondamentale di ogni sistema giuridico nazionale” applicabile alla materia della privacy, nell’ottica di incentivare un graduale percorso di convergenza normativa mediante una sinergica cooperazione multilaterale di armonizzazione giuridica promossa su scala globale in ragione dell’inesauribile flusso transfrontaliero di dati personali veicolati online.
In particolare, per favorire lo sviluppo sostenibile delle tecnologie senza compromettere le libertà fondamentali degli individui, mitigando a tal fine i rischi di un uso improprio dei dati personali acquisiti e trattati, la cornice edificata dalle Nazioni Unite include nel decalogo ufficiale i principi di legalità, consenso, trasparenza, finalità, lealtà, proporzionalità, minimizzazione, qualità, responsabilità e sicurezza.
I principi sopra richiamati – secondo la descrizione contenuta nel rapporto ONU – dovrebbero costituire “linee guida interpretative” complessivamente utilizzabili come insieme di prescrizioni operative ad integrazione delle regolamentazioni nazionali vigenti per “colmare le lacune normative” e “affrontare i problemi che possono sorgere durante il trattamento dei dati personali” quando si utilizzano tecnologie digitali, al fine di garantire la corretta gestione delle relative operazioni, a maggior ragione se si tratta di dati particolari di natura “sensibile”.
In tale prospettiva, si sancisce il divieto di qualsivoglia discriminazione codificabile nella progettazione algoritmica dei sistemi tecnologici emergenti, previa specifica enucleazione delle categorie di dati “sensibili” ritenuti maggiormente vulnerabili, in quanto esposti a reiterati pericoli di aggravata lesività da cui ne discende, in linea generale, la preclusione all’effettuazione di ogni operazione di trattamento, salvi i casi specificamente consentiti dalla legge.
Mediante un’approfondita analisi comparativista delle principali fonti normative vigenti in materia[1], funzionale alla predisposizione di un consenso trasversale nella stesura del documento finale, ad esempio:
- il principio di legalità, declinabile anche nelle ulteriori accezioni applicative di liceità e legittimità, deve essere rispettato durante l’intero ciclo di vita dei dati personali trattati, dall’iniziale raccolta alla cancellazione definitiva delle informazioni come pre-requisito indispensabile per garantire la corretta gestione delle relative operazioni.
- Tra i principi guida adottati dall’ONU è altresì annoverato il consenso, strettamente connesso al principio di legalità, che consiste, come una delle più importanti basi giuridiche di trattamento, in una “manifestazione espressa o tacita di volontà” attraverso cui l’interessato autorizza la raccolta e gestione dei propri dati personali.
- Il principio di trasparenza ha portata generale e deve essere rispettato a prescindere dalla specifica base giuridica del trattamento realizzato, come adempimento funzionale a garantire l’accesso pieno e completo alle informazioni personali di cui l’interessato è titolare nell’esercizio del suo effettivo potere di controllo.
- Il principio finalistico di scopo è descritto dal decalogo delle Nazioni Unite alla stregua di un indispensabile canone di delimitazione delle attività di trattamento dei dati personali, per identificare con precisione, chiarezza e comprensibilità, gli specifici limiti di utilizzo che hanno giustificato la raccolta delle informazioni.
- Il principio di equità postula la necessità di un trattamento dei dati personali conforme al rispetto di tutti i termini stabiliti per lo svolgimento delle modalità di raccolta delle relative informazioni, evitando qualsivoglia operazione illecita, scorretta e iniqua contraria alle prescritte finalità di trattamento.
- Il principio di proporzionalità impone limitazioni alle operazioni di trattamento dei dati personali, esclusivamente destinate al perseguimento delle specifiche finalità per le quali i dati sono stati raccolti, nell’ottica di garantire che il processo sia corretto e lecito durante l’intero ciclo di vita dei dati, dall’inizio, a partire dalla di raccolta, sino alla definitiva cancellazione.
- Strettamente connesso al menzionato principio è il canone della finalità, in forza del quale i dati dovrebbero essere trattati in modo compatibile con la finalità per la quale i medesimi sono stati raccolti, e il principio di minimizzazione, in base al quale i dati personali devono essere utilizzati al minimo necessario per il raggiungimento degli obiettivi stabiliti.
- Il principio di qualità richiede che i dati personali siano accurati, precisi, completi e aggiornati, nel rispetto di adeguate misure tecniche e organizzative a tal fine predisposte.
- Il principio di responsabilità pone a carico dei titolari e degli incaricati del trattamento l’obbligo di predisporre ex ante effettivi meccanismi di tutela della privacy in un’ottica preventiva di salvaguardia dei dati personali, nonché di dimostrare ex post il rispetto degli adempimenti ivi prescritti, anche avvalendosi delle migliori soluzioni di autoregolamentazione e/o certificazione considerate efficaci.
- Anche il principio di sicurezza è ritenuto “fondamentale” per la protezione dei dati, rendendosi necessario effettuare, anche mediante periodiche attività di valutazione d’impatto, una mitigazione dei rischi che possono verificarsi durante le operazioni di trattamento nel corso dell’integrale ciclo di vita dei dati personali, con l’intento di documentare e monitorare qualsivoglia pericolo anche potenzialmente configurabile grazie all’adozione delle necessarie misure di riservatezza e integrità conformi alle specifiche circostanze del caso concreto.
Conclusioni
Alla luce del complessivo quadro ivi descritto, dal tenore delle osservazioni ivi formulate, se, da un lato, il rapporto A/77/196 “Right to privacy” fornisce un’interessante ricognizione delle principali fonti normative selezionate mediante una completa e aggiornata comparazione delle svariate legislazioni nazionali e internazionali vigenti in materia di privacy, da cui peraltro sembra emergere una tendenziale conformazione dei principi operativi fondamentali convenzionalmente condivisi, come aspetti omogenei e uniformi, dalle differenti discipline richiamate, al contempo, però, dall’altro lato, resta sullo sfondo un desolante deficit regolatorio ritenuto ancora troppo inadeguato nella predisposizione di concreti strumenti di tutela a presidio della privacy digitale.
Benché, infatti, siano molti i punti in comune tra le svariate normative emanate dagli Stati nazionali e dalle organizzazioni internazionali per la protezione dei dati personali – come al riguardo sottolinea il citato rapporto ONU – limitarsi ancora a invocare, perdipiù sul piano meramente teorico e astratto, la necessità di edificare una base embrionale di principi guida funzionale a implementare un sistema rafforzato di regolamentazione globale concertato da tutti gli attori (statali e non) che operano a livello internazionale, potrebbe in un certo senso rappresentare una sorta di ammissione – per giunta tardiva – di colpevolezza – sebbene enunciata soltanto in termini di meri propositi da buone intenzioni tutte da dimostrare alla prova dei fatti con azioni concrete – sui radicati errori commessi in sede di produzione del corposo quadro normativo attualmente vigente che, rispetto alle aspettative originariamente alimentate circa l’incisività applicativa del relativo impianto regolatorio, sembra così praticamente confermare di aver vanificato gli obiettivi perseguiti per salvaguardare la garanzia del diritto alla privacy.
Note
- Tra queste: il Regolamento Generale sulla Protezione dei Dati dell’Unione Europea n. 679/2016,la Convenzione aggiornata n. 108 del Consiglio d’Europa per la protezione delle persone in materia di trattamento dei dati personali,gli Standard “ibero-americani” adottati dalla Rete ibero-americana per la protezione dei dati personali,le Linee guida dell’OCSE sulla protezione della privacy e sui flussi transfrontalieri di dati personali, ecc. ↑
