Privacy e tutela dei dati

• Pervasività è un settore in perenne evoluzione. Oggi rappresenta una vera e propria rivoluzione, al pari della rivoluzione industriale, e di fatto è presente in tutti gli aspetti della vita
• Globalizzazione è un fenomeno globale. Coinvolge non solo tutti gli aspetti della vita, ma gli aspetti della vita di tutti, e quasi ovunque

• Diritto all'accesso diritto di accedere alla rete in condizioni di parità. Implica l’eliminazione del digital divide e l’attivazione una copertura di rete ad alta velocità globale
• Neutralità della rete ogni persona ha diritto che il proprio traffico non subisca discriminazioni. Si vuole prevenire la formazione di monopoli
• Diritto all'eduzazione digitale diritto ad acquisire competenze conoscenze per navigare la rete in modo consapevole. La scuola è impegnata per prima in questo compito.
• Diritto alla privacy diritto alla protezione dei propri dati personali. Nasce in America come “ius excludendi alios”; in Europa ha anche il carattere di autodeterminazione informativa (controllare/accedere ai dati, richiedere rettifiche/integrazioni, negare il consenso)
• Inviolabilità del domicilio informatico I sistemi informatici ed i nostri dati diventano inviolabili come un domicilio fisico. No alla sorveglianza di massa indiscriminata ed accesso ai dati personali solo per fini di sicurezza, con l’autorizzazione dell’autorità giudiziaria e solo quando previsto dalla legge.
• Diritto all'oblio Diritto di cancellare dai motori di ricerca i propri dati personali che non abbiano più rilevanza.
• Diritto alla libertà in rete grazie a regole sovranazionali Cercare di rendere l’individuo libero da abusi di soggetti di maggiore forza
• Diritto e garanzie delle persone sulle piattaforme I responsabili di tali piattaforme devono comportarsi correttamente nei confronti degli utenti.
• Diritto alla sicurezza in rete Trasposizione in chiave virtuale della sicurezza fisica del cittadino

• Privacy Il concetto è legato alla tutela dei dati, riguarda il diritto dell’individuo ad escludere altri dalla propria sfera delle informazioni che lo riguardano. Ovvero è un principio di riservatezza dei dati.
• Diritto alla Privacy il diritto alla protezione dei propri dati personali è complesso e variegato. Nasce in America come diritto alla segretezza e alla riservatezza. In Europa si è fatta strada altresì l’idea che, per garantire il rispetto della dignità e dell’identità del cittadino, bisogna garantire anche il diritto all'autodeterminazione informativa.

E’ la possibilità di controllare e accedere ai propri dati; di chiedere rettifiche e, in qualsiasi momento, di negare il consenso al trattamento (vedi definizione Privacy sopra). La privacy coinvolge due concetti diversi di libertà

• Libertà negativa Da intendere come riservatezza è la libertà di non subire interferenze nella propria vita privata, a sua volta distinta in:

  • Segretezza ovvero il diritto che informazioni personali NON siano conoscibili da terzi.
  • Riservatezza ovvero il diritto a che informazioni personali NON siano divulgate da chi ne sia legittimamente al corrente
• Libertà positiva ovvero il diritto ad esercitare il controllo sui propri dati personali essenzialmente in termini di loro disponibilità ed integrità. Il che si può tradurre nel diritto di autodeterminazione informativa.

Un dato è una semplice nozione, mentre un'informazione è il frutto dell'elaborazione di dati per trarne conoscenza. Secondo il GDPR un dato personale è qualunue informazione riguardante una persona fisica che possa identificarla direttamente o indirettamente. Chiunque possa essere identificato da questi dati viene definito interessato.

• ART 9 GDPR e Dati Particolari Nome specifico di quelli che noi conosciamo come dati sensibili, nuove categorie di dati; la GDPR stabilisce che nel dubbio l’informazione va trattata come dato particolare per cui prevale la tutela

  • Dati particolari Dati che hanno garanzie superiori rispetto a quelli personali.

I dati personali comuni possono essere trattati se c’è una base giuridica, quelli particolari non possono essere trattati a meno che non si ricada in determinate situazioni.

La continua crescita delle tecnologie tende ad essere troppo rapida, non lasciando il tempo di immaginarne e comprendere i possibili impatti negativi. Così i cittadini vengono privati del loro diritto di decidere liberamente delle proprie vite, privazione del diritto della libertà di scelta. L’evoluzione tecnologica va di pari passo con la produzione di rischi sociali. L’obiettivo di fondo della regolamentazione è quello di gestirli in modo che non venga ostacolato il progresso né vengano lese le libertà dei cittadini. È importante anche riconoscere il cyber crime come minaccia per i diritti. Se i computers sono protetti, anche i nostri diritti lo sono. Diritti di libertà e sicurezza vanno di pari passo, ma la regolamentazione ha l’importante compito di realizzare un equilibrio tra i due, perché l’eccesso dell’uno o dell’altro può sfociare in un danno ai diritti degli individui.

Una sentenza della Corte Costituzionale del 1983 afferma che un ordinamento sociale e giuridico in cui il cittadino sia all’oscuro di chi abbia informazioni su di lui, cosa si sappia, quando le informazioni sono state registrate e in che situazione si siano verificati gli atti, è incompatibile con il diritto di autodeterminazione informativa.

• L'autodeterminazione informativa È il diritto di decidere in autonomia quali informazioni personali siano accessibili a terzi. Questo diritto garantisce ai cittadini il controllo sui propri dati e sulla diffusione delle proprie informazioni, salvaguardandoli dall'invadenza di istituzioni o altre entità.

Se l’individuo sapesse che la sua partecipazione ad una riunione oppure ad un’assemblea pubblica venisse registrata in maniera ufficiale, creando un pericolo per sé, potrebbe decidere di non esercitare importanti diritti fondamentali. Questo non solo limiterebbe la possibilità di sviluppo personale del singolo, ma anche del bene comune, perché l’autodeterminazione è un requisito fondamentale per una società libera e democratica. Questo fenomeno è anche detto chilling effect, un effetto inibitorio derivante dalla consapevolezza di essere osservati

I governi degli Stati hanno il dovere di proteggere le libertà dei cittadini, così come la loro sicurezza. La sicurezza, potendo andare ad incidere su altri diritti di libertà deve essere rigorosamente disciplinata per legge ed essere soggetta a salvaguardie e condizioni, compreso il controllo giurisdizionale. La sicurezza si può trasformare in sorveglianza, ad esempio quando le misure adottate per proteggere l'ordine pubblico o prevenire crimini includono la raccolta massiva e indiscriminata. Per evitare che questo accada, il controllo giurisdizionale deve intervenire imponendo vincoli precisi, come la necessità di autorizzazioni specifiche per l'uso di tecniche di sorveglianza e la possibilità di ricorso legale per chi ritiene lesi i propri diritti.

La Relazione annuale è un documento ufficiale che il Garante pubblica ogni anno per informare il Parlamento e l’opinione pubblica sulle attività svolte nell’ambito di privacy e protezione dei dati personali. La relazione descrive lo stato dell’arte del settore, presenta fatti salienti avvenuti nell’anno precedente ed espone le future sfide. Ogni anno il nome della Relazione è diverso. Quest’anno si intitola: La Protezione dei Dati per un’Innovazione Antropocentrica. Il titolo richiama in modo molto forte l’inaccettabilità di uno sviluppo della tecnologia senza regole; si devono considerare tutti i possibili impatti sull’uomo ed intervenire di conseguenza. Nel 2023 AI e big data hanno avuto un impatto tecnologico e sociale sempre maggiore, e questo tenderà a crescere negli anni a venire. Lo sviluppo tecnologico è così veloce da rendere difficile la valutazione di tutti i possibili rischi da esso derivanti. Il Diritto ha il compito di colmare questo vuoto per stabilire una governance della tecnologia.

Senza un’opportuna regolamentazione, l’uso di tecnologie emergenti può ledere i diritti fondamentali, come quello alla riservatezza e alla autodeterminazione informativa. AI act e GDPR sono il tentativo più avanzato dell’Europa di delineare una strategia antropocentrica di governo della tecnica. L’innovazione promossa dall’Europa è sostenibile ed attenta alle garanzie giuridiche, l’equità sociale e la dignità personale. L’Europa caratterizza la propria specificità rispetto gli approcci di quasi totale deregulation ed autoritarismo di USA e Cina/Corea. La protezione dei dati non è un ostacolo, ma una salvaguardia necessaria per bilanciare l’innovazione con i diritti individuali

La protezione dei dati rappresenta un fattore di competitività, perché attraverso le garanzie offerte ad utenti e clienti, a parità di servizi offerti, questi tendono naturalmente a scegliere un fornitore che protegge la loro privacy. Essere GDPR-compliant non è quindi solo un tema etico, ma anche una leva di carattere economico. Inoltre, qualora un’azienda decida di adottare un fornitore non-GDPR-compliant, sarà a sua volta categorizzata come non-GDPR-compliant.

La fase attuale di sviluppo tecnologico può essere paragonata a quella vissuta con la scoperta dell’energia atomica, quindi un momento di grande potenzialità ma altrettanto grande rischio. Ci riferiamo in particolare all’AI, una delle tecnologie più potenti, perché può:

• Alterare il modo in cui prendiamo le decisioni
• Profilare le persone
• Influenzare i comportamenti

L’esigenza è quella che, giunti a questo punto, non ci sfugga il controllo del fenomeno. Per questo abbiamo l’esigenza di creare un quadro normativo che sia in grado di anticipare i rischi, garantendo un’innovazione tecnologica sempre subordinata ai diritti umani e ai valori democratici. La regolamentazione mira ad impedire abusi, discriminazioni e l’accentramento del potere nelle mani di pochi. Esempi di sviluppo tecnologico e sfide etiche:

• Le armi autonome sistemi d’arma controllati da IA, portano con sé il rischio di perdere il controllo sulle decisioni di vita e di morte
• Algoritmi di decisione L’uso di algoritmi per prendere decisioni cruciali (assunzioni di personale, valutazioni giudiziarie) può perpetuare o amplificare discriminazioni esistenti.
• Manipolazione del comportamento tramite dati la raccolta massiva di dati personali e l’analisi predittiva possono influenzare le decisioni con targeting personalizzato, pubblicità o attraverso la politica

Il GDPR nel 2018 metteva già importanti bandierine per il controllo dell’IA, introducendo:

• Conoscibilità dei criteri dell'algoritmo
• Trasparenza ovvero obblighi informativi verso l'utente
• Criterio di qualità ed esattezza dei dati per evitare l’addestramento di modelli con informazioni inesatte o non rappresentative

ChatGPT fu bloccata perché inizialmente raccoglieva illecitamente dati personali e non implementava sistemi di age verification per i minori. La chatbot Replika, che simula una conversazione intima con gli utenti, è tutt’ora bloccato dal Garante perché reputato potenzialmente pericoloso per bambini ed adolescenti. Nel regolamento sull’IA si limita fortemente il suo uso da parte del potere investigativo. Vengono proibite polizia predittiva, rilevazione delle emozioni e riconoscimento facciale in luoghi pubblici perché il rischio è quello della totale delega all’algoritmo, oppure di un’opera di sorveglianza massiva.

La digitalizzazione dei processi giudiziari comporta senz’altro vantaggi, come la semplificazione, la rapidità e la automatizzazione di certe procedure. D’altra parte, l’uso di algoritmi per assistere i giudici può portare la perdita di equità ed imparzialità, dovuti a possibili bias o mancanza di trasparenza. Il giudice umano rimane insostituibile per garantire una vera giustizia. L’automazione non può e non deve sostituire la capacità umana di interpretare la legge, decidendo caso per caso in base alle circostanze. Quello che serve è un bilanciamento tra l’efficienza offerta dalla digitalizzazione e la necessità di mantenere una giustizia umana.

Anche la dimensione biologica (cioè, fisica) dell’individuo fa parte dei dati personali e deve essere protetta. I dati biometrici e genetici sono di particolare sensibilità, infatti fanno parte dei dati cosiddetti particolari. Il confine tra le dimensioni di identità biologica e digitale (dunque biografica) si fa sempre più sottile. Questa fusione tra i due aspetti può portare a un controllo sempre maggiore sulle persone, perché ne crea un profilo molto dettagliato. Il Garante esprime preoccupazione per l’aumento delle tecnologie che raccolgono dati biometrici e genetici, come sistemi di riconoscimento facciale, evidenziando il rischio di abusi che possono derivare da un uso scorretto di queste informazioni. La crescente profilazione delle persone attraverso i loro dati personali può mettere a rischio dignità e libertà individuali. I dati biologici possono essere usati per prendere decisioni che influenzano l’accesso a servizi o diritti, riducendo le persone a parametri tecnici.

Cerchiamo di conoscere le origini della protezione dei dati per capire bene da dove ne deriva l’esigenza. Ad esempio, è importante considerare le necessità storiche, sulle quali pesa particolarmente il passato tragico dell’Europa. La protezione dei dati è fondamentale per evitare che cose simili, oppure nuove forme di abusi, possano verificarsi. Secondo la concezione europea, la protezione dei dati non è solo un’attività burocratica, ma un diritto di base dell’individuo. Non la si può quindi derubricare, anzi è necessario coglierne l’essenza ed integrarla nelle nostre pratiche e nei nostri valori. Conoscere le origini della protezione dei dati è anche utile per rendere più consapevole ed efficace l’azione di chi tratta la materia. Il regolamento europeo da dei principi a cui ci si deve attenere e a cui le aziende ed enti pubblici devono conformarsi, I regolamenti europei stabiliscono il risultato da ottenere, il come ci si arriva non è importante.

Già nell’antica Roma si diceva che laddove fosse una città od un insieme di persone organizzate, vi fosse anche il diritto. Ogni società ha regole che disciplinano i rapporti tra gli individui, le istituzioni (che le producono) e gli organi (che le fanno rispettare). Un ordinamento giuridico è un insieme di regole di condotta su cui è organizzata una collettività. Una regola che concorre a disciplinare la vita organizzata della società si dice norma. Alle norme ci si riferisce con l’aggettivo giuridiche. La formula è il testo letterale di una norma giuridica. Un precetto è qualcosa che una norma stabilisce.

Per ritracciare le origini della riservatezza dobbiamo tornare indietro al 4° secolo a.C. Il Giuramento di Ippocrate, in cui si afferma che il medico deve mantenere il segreto sulle informazioni dei pazienti, può essere considerato una delle prime forme di tutela della privacy. Nel tempo il concetto di riservatezza si espande, in particolare al culto religioso, alla Giustizia ed alla sfera economica dell'individuo.

Si viene quindi ad intendere la riservatezza come il diritto di escludere dall'altrui conoscenza quanto attiene alla propria vita privata.

La Dichiarazione fu adottata nel 1948 dall'Assemblea Generale delle Nazioni Unite, a seguito delle atrocità della Seconda Guerra Mondiale e sancisce per la prima volta i diritti fondamentali di ogni individuo. L’articolo 12 afferma che nessun individuo può essere sottoposto ad interferenze arbitrarie nella propria vita privata, nella famiglia, nella casa, nella corrispondenza, né a lesione di onore e reputazione. Inoltre, ogni dividuo ha il diritto ad essere tutelato dalla legge rispetto tali lesioni. Il Patto Internazionale dell’ONU sui Diritti Civili e Politici è uno dei principali trattati sui diritti umani e vincola gli Stati firmatari a rispettare diritti fondamentali. L'articolo 17 riprende precisamente l'articolo 12 della Dichiarazione universale, aggiungendo la distinzione tra interferenze arbitrarie ed illegittime. Nel primo caso si intende un fatto senza giustificazione, intrapreso senza una ragione valida o equa, nel secondo un fatto in aperta violazione delle norme.

L’OCSE (Organizzazione per la Cooperazione e lo Sviluppo Economico) è un’organizzazione internazionale che riunisce i 38 paesi principalmente sviluppati. I principi di privacy OCSE sono una lista di punti stabiliti per tutelare la privacy dell'individuo, in un modo improntato sugli aspetti economici.

• Limitazione della raccolta dei dati alle quantità/tipologie indispensabili
• Qulaità dei dati
• Specificità dello scopo
• Limitazione dell'uso dei dati allo scopo prefissato
• Salvaguardia della sicurezza
• Partecipazione individuale Diritto di accesso, contestazione, cancellazione, rettifica, completamento e modifica
• Responsabilizzazione I responsabili del trattamento devono rispettare i principi e dimostrare la propria compliance

Le fonti interne sono nazionali, e viceversa quelle esterne sovranazionali. La prima fonte interna per gerarchia è la costituzione italiana, in quanto stabilisce natura, forma e struttura dello stato.

• Articolo 2 La Repubblica riconosce e garantisce i diritti inviolabili dell’uomo, sia come singolo sia nelle formazioni sociali ove si svolge la sua personalità.
• Articolo 13 La libertà personale è inviolabile. Detenzione, ispezione, perquisizione e altre restrizioni della libertà non sono ammesse, se non autorizzate dall’autorità giudiziaria o dalla legge.
• Articolo 14,15 Estendono l'azione dell'articolo 13 a domicilo e corrispondenza.

Questi importanti articoli sono applicati anche al mondo digitale, perché è un luogo in cui l’uomo svolge la propria personalità. Dopo i regolamenti comunitari vengono le leggi nazionali (fonti primarie), che possono essere:

• Leggi ordinarie Sono promulgate dal parlamento o dal governo e sono subordinate alla costituzione ma sovraordinate alle altre fonti. Servono per normare materie complesse dove sono richieste specifiche competenze.

  • Decreto legislativo vs Decreto legge Fanno entrabe parte delle leggi ordinarie ma con alcune differenze

    • Decreto legislativo Servono per normare materie complesse dove sono richieste specifiche competenze tecniche e richiedono un atto di delega specifica da parte del parlamento.
    • Decreto legge vengono emanati in casi di particolare necessità e urgenza, il governo agisce in autonomia e in seguito l’atto è sottoposto al parlamento.

Alcune tra le leggi nazionali più importanti sono:

• L 98/89 Convalida le sanzioni per reati informatici introdotte a livello Europeo
• DL 196/03 Codice in materia di dati personali
• DL 82/05 Regola le attività amministrative a livello informatico ed in relazione con i dati personali.
• L 48/08 Ratifica la convenzione di Budapest sulla criminalità informatica che introduce i computer crimes
• L 93/13 Introduce nuovi reati di frode informatica
• DL 101/18 Adegua la normativa nazionale al GDPR
• L 5/23 Recepisce Digital Services Act e Digital Markets Act, che normano la gestione dei dati personali da parte delle grandi piattaforme
• L 90/24 reca disposizioni in materia di rafforzamento della cybersecurity. È un aggiornamento alla 48/08

TODO

1. Fonti costituzionali Costituzione e Leggi Costituzionali, prima si guarda ciò che c'è a casa propria
2. Regolamenti comunitari Sono fonti primarie rinforzate, provenienti dall'UE
3. Fonti Primarie Insieme di leggei ordinarie, decreti, direttive e trattati internazionali di legge ordinaria che compongono il diritto di uno stato
4. Fonti Secondarie Regolamenti amministrativi ovvero non rilasciati dal governo ma da strutture amministrative che regolano determinati settori
5. Fonti Consuetudinarie non regolamentati bensì ripetizioni costanti nel tempo di una determinata condotta.

Le best practices sono un caso d’interesse di usi e consuetudini connesso alla privacy. Si tratta di norme di buona condotta in materia di investigazioni informatiche e raccolta della “digital evidence”. Le best practices valgono anche per i “computer related crimes”. I provvedimenti e le linee guida del Garante emessi prima del GDPR rimangono validi nella misura in cui non confliggono con il GDPR ed il DL 101/2018. I provvedimenti del Garante pre-GDPR non sono più sanzionabili in modo penale od amministrativo, ma rimangono come linee guida. Quando i trattamenti servono un compito di interesse pubblico con rischi elevati, il Garante può prescrivere misure di sicurezza più forti verso l’interessato. Per i dati particolari, il Garante emana ogni due anni provvedimenti che stabiliscono le misure di sicurezza. Le regole deontologiche garantiscono un giusto equilibrio tra il diritto alla riservatezza delle persone e l’esercizio degli interessi legittimi come la libertà di stampa e la ricerca scientifica. Una volta approvate, hanno un valore normativo e la loro violazione può comportare sanzioni.

Il Codice Privacy prevede sanzioni penali in diversi articoli, come:

• Art. 167 Trattamento illecido dei dati personali, chiunque tratti i dati in violazione di legge.
• 167bis Comuniczione e diffusione illecita di dati personali a scopo di lucro, senza consenso dell'interessato né giustificazioni legali
• 167ter Acquisizione fraudolenta di dati personali a scopo di lucro o di danno all'interessato in modo fraudolento
• 168 Falsità nelle dichiarazioni e nelle comunicazioni al garante
• 170 Inosservanza dei provvedimenti del garante

Le sanzioni penali sono punite dagli 1 ai 3 anni di reclusione e con eventuali aggravanti, fino a 4 anni di reclusione.

Le persone fisiche, in qualità di interessati, quando ritengono di avere subito un danno possono presentare un reclamo al Garante, oppure presentarsi presso l'Autorità giudiziaria ordinaria. Nel secondo caso, si deve andare muniti di un avvocato difensore e comunque non si può ricorrere ad entrambe le vie simultaneamente. Un reclamo è un atto circostanziato (che si riferisce ad un contesto specifico e dettagliato) attraverso il quale il privato denuncia al Garante una violazione. Un reclamo può essere esposto quando si è ricevuta una tutela non soddisfacente da parte del titolare(ricorso) o quando si vuole promuovere una decisione del Garante su una questione di sua competenza (segnalazione). È sempre bene tentare di risolvere le questioni con il titolare prima, ma qualora non si riceva risposta o l'interazione sia inconcludente, si può agire tramite il Garante che entro pochi mesi avvia la pratica Un reclamo deve contenere

• Una descrizione dei fatti
• Un elenco di disposizioni che si presumono violate
• Le misure richieste al garante

Il Garante avvia un'istruttoria preliminare ed eventualmente un procedimento amministrativo. Il reclamo è gratuito solo dal 2018, mentre prima necessitava di un pagamento di 150€ a diritti di segreteria. Entro 9 mesi il Garante è vincolato a rispondere (diventano 12 in casi particolari). Qualora la decisione del Garante non soddisfi l'istante, egli può ora rivolgersi alla Autorità giudiziaria.

La Convenzione Europea dei Diritti dell'Uomo (CEDU) è stata scritta dal Consiglio d'Europa nel 1950 e ratificata dall'Italia nel 1955. Il Consiglio d'Europa non emana leggi per il loro diretto consumo, bensì funge da forum di discussione per temi chiave. È inoltre nelle sue possibilità disporre: Raccomandazioni (atti non vincolanti che suggeriscono agli Stati membri determinate azioni o politiche), Risoluzioni (atti non vincolanti che esprimono la posizione di un'istituzione su una questione) e Convenzioni. Le Convenzioni devono essere ratificate dagli Stati nazionali e trasposte in ciascun ordinamento con atti normativi interni. La CEDU è un testo centrale in materia di protezione dei diritti fondamentali e consente ad ogni individuo di richiedere la tutela dei diritti garantiti attraverso il ricorso alla Corte Europea dei Diritti dell'Uomo, anch'essa con sede a Strasburgo. La Corte Europea è di "Common Law", questo significa che le sue prescrizioni vanno ad aggiornare continuamente la normativa vigente. L'articolo 8 della CEDU afferma che ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza. Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che non sia previsto dalla legge e necessario alla sicurezza nazionale, al benessere economico del paese, alla difesa dell’ordine, alla protezione di salute o morale, oppure alla protezione di diritti e libertà altrui. Gli obblighi degli stati verso il privato cittadino sono di tipo:

• negativo gli Stati sono chiamati a non interferire nella vita privata laddove questa interferenza non sia giustificata da motivi di sicurezza o dalle norme
• positivo oltre a non impicciarsi troppo nella vita dei privati, gli Stati membri devono darsi da fare attraverso delle regole per prevenire che terzi soggetti si impiccino troppo nelle stesse vite dei privati