25 Ott Privacy su Internet, ruoli e responsabilità: un approccio funzionale centrato sull’utente

Posted at 19:05h in Articoli, Asides, Pubblicazioni by

“Privacy su Internet, ruoli e responsabilità:  un approccio funzionale centrato sull’utente” – Sommario del paper completo: 1. Introduzione – 2. Definizione di un approccio centrato sull’utente versus un approccio top down – 2.1 Meccanismi di tutela diretta e consapevolezza dell’utente quale soggetto attivo – 2.2. Verso una rilettura del principio di “accountability” – 2.3 Responsabilità personale dell’utente – 3. Aspetti regolamentari: ruoli e responsabilità – 3.1 Riflessioni interpretative. Principio di proporzionalità e bilanciamento di interessi – 3.2 La responsabilità “oggettiva” degli ISSP nella disciplina privacy italiana – 4. Conclusioni: obiettivi e nuove sfide.

Abstract

La discussione in merito al rapporto tra new technologies e protezione dei dati personali si fonda sull’evoluzione tecnologica e sui conseguenti mutamenti a livello socio-economico e culturale. La “rivoluzione digitale”, di cui sempre più spesso si parla, non trova le sue radici, come è avvenuto in passato, in movimenti politici, filosofici o culturali, ma è stata determinata dalle innovazioni legate ai nuovi strumenti di comunicazione e dalle dinamiche socio-economiche messe in atto. La principale caratteristica dei nuovi strumenti è senza dubbio l’interattività: l’utente, il cittadino-consumatore non subisce più passivamente la comunicazione che gli arriva dal “medium” ma ne è parte attiva. La “open nature” che caratterizza la società dell’informazione e la network society, consente, con semplicità ed a chiunque, la ricerca dei contenuti e permette il contributo dell’utente, all’offerta in veste di “generatore” egli stesso di informazioni e contenuti. In altri termini, egli diventa soggetto attivo in prima persona. Lo studio presentato vuole contribuire, non solo in termini teorici, al dibattito odierno in materia di protezione dei dati ma intende anche fornire una lettura pragmatica dello scenario attuale, con particolare riferimento al rigido sistema normativo italiano, per non cedere alla tentazione di immaginare regole astrattamente perfette ma inapplicabili o applicabili con effetti ingiusti. In un momento di revisione normativa sia a livello nazionale che europeo, si intende focalizzare l’attenzione sulla figura del cittadino, del consumatore/utente, divenuto protagonista attivo e partecipativo nell’universo web, e sul ruolo svolto dagli operatori tecnologici che hanno reso possibile questo esercizio di “nuovo potere” da parte delle persone. L’approccio utilizzato in questo lavoro si può definire funzionale, centrato sullo studio dei ruoli e delle responsabilità dei vari attori, valutando le dinamiche dell’Information and Communication Technologies (ICT), esaminandone le criticità e soffermandosi sugli aspetti pratici sui quali verte l’odierna discussione (in ambito giuridico ma non solo). In questa prospettiva, verranno presentate delle chiavi di lettura legate agli aspetti regolamentari e giurisprudenziali e alle questioni definitorie nel rapporto tra i vari soggetti che partecipano ad ogni fase del trattamento dei dati.

Lo studio è stato articolato in quattro sezioni.

L’ “Introduzione” passa preliminarmente in rassegna gli scenari tecnologici attuali e quelli ad oggi prevedibili per il futuro, soffermandosi sulla dimensione globale di Internet e della regolazione ad esso riferita, passando poi all’esame degli aspetti legati al bilanciamento di interesse (per esempio, tra diritti civili e libertà economiche) ed ai frequenti casi di conflittualità tra i diritti soggettivi: il mondo degli “user generated content”, infatti, sembra spesso inverare il brocardo “homo homini lupus”. In questa sezione vengono quindi definiti gli obiettivi e individuatele nuove sfide poste dalle moderne dinamiche di comunicazione elettronica, fornendo una lettura dei vari punti il più possibile concreta ed intrecciata .

La seconda sezione è, invece, strettamente legata alla presentazione dell’approccio consumer/user oriented che si contrappone a soluzioni di garanzia “top-down”, oramai anacronistiche. L’indirizzo d’analisi prefigurato in questo paragrafo ha come premessa una maggiore sensibilizzazione degli utenti, di cui si mira ad accrescere la consapevolezza in funzione di un incremento della loro diretta capacità di autotutela e difesa, attraverso un controllo autonomo della propria presenza e del proprio agire on-line. Tuttavia, mentre da un lato viene suggerita la via dell’educazione al web degli utenti, dall’altro si ragiona sull’estensione al complesso mondo del web, per via analogica o interpretativa, di alcune norme vigenti in materia di responsabilità civile, penale e amministrativa, valutate nell’ambito della distribuzione dei ruoli tra Internet Service Providers, consumatori/utenti e terzi titolari di diritti. In questo contesto si introduce il principio di “accountability”, riferibile anche all’utente del web 2.0, quale motore di attuazione della protezione dei dati reale ed efficace (verranno presentati riferimenti all’ art. 29, comma 5 del Codice privacy e al Parere 3/2010 del Gruppo di lavoro articolo 29 sul principio di responsabilità, nonché al venturo Regolamento privacy europeo). Questo principio riconduce direttamente alla messa a disposizione degli utenti, da parte dei fornitori di servizi, di garanzie di accesso e strumenti per il controllo dei flussi dei dati personali. In questa sezione sarà altresì affrontato il problema della “cultura” della privacy online e dell’educazione degli utenti non soltanto intesi come soggetti passivi del diritto, ma anche come titolari di obblighi e responsabilità rispetto ai contenuti pubblicati e diffusi tramite il web.

Gli aspetti regolamentari, le questioni definitorie, i ruoli e le responsabilità tra i soggetti che effettuano il trattamento, sono analizzati nel dettaglio nella terza sezione. Tali valutazioni rappresentano l’elemento caratterizzante dello studio. L’idea è di rendere effettivi i principi di protezione dei dati esistenti, assicurandone la reale compatibilità, in termini di impatto giuridico, sociale ed economico, con quelli che sono gli equilibri tipici del nuovo contesto tecnologico. Come menzionato nel Parere 3/2010, l’architettura giuridica dei meccanismi di responsabilità prevedrebbe due livelli: “il primo livello sarebbe costituito da un obbligo di base vincolante per tutti i responsabili del trattamento”;“il secondo livello includerebbe sistemi di responsabilità di natura volontaria eccedenti le norme di legge minime, in relazione ai principi fondamentali di protezione dei dati e/o in termini di modalità di attuazione o di garanzia dell’efficacia delle misure (norme di attuazione eccedenti il livello minimo)”. Il Parere del Gruppo si concentra sull’obbligo di primo livello, vale a dire il principio generale di responsabilità. Il presente studio vuole, da un lato, ragionare su soluzioni interpretative che evitino conclusioni giuridicamente aberranti con riferimento al primo livello di responsabilità, e dall’altro, colmare gli aspetti legati al secondo livello, che di regola vanno oltre la visione standardizzata dei ruoli previsti dalle “norme di legge minime”: l’attenzione, quindi, non è incentrata sui termini ma sulle effettive dinamiche in campo e sulle finalità perseguite dai vari attori che partecipano ad ogni fase del trattamento. L’analisi verrà svolta per gradi, partendo da uno studio del rapporto tra i soggetti che effettuano il trattamento, a partire dal titolare (ruolo che potrebbe ben vedere investito anche l’utente), ma anche il responsabile e l’ incaricato, di cui verranno valutate le rispettive responsabilità, andando a fondo nello studio delle circostanze “fattuali” che determinano l’assegnazione dei ruoli e dei “carichi di controllo” in ogni fase del trattamento. Verranno presentate, inoltre, delle riflessioni interpretative comparate in merito al D.lgs 70/2003 (“Attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico”) e al D.lgs. 196/2003 (Codice in materia di protezione dei dati personali) e l’attenzione sarà incentrata sulla figura dei fornitori di servizi della società dell’informazione (ISSP). La disciplina ex D.lgs. 70/2003, formalmente autonoma rispetto a quella ex D.lgs. 196/2003, come vedremo, prevede specifici obblighi di cooperazione da parte dei prestatori di servizio ma non di sorveglianza. Ci si concentrerà poi, in particolare, sulla interpretazione della norma penale di illecito trattamento di dati personali (ex art. 167 D.lgs. 196/2003) e sul possibile impatto che una interpretazione della stessa imperniata su una presunta, generalizzata “posizione di garanzia” dell’ISPP potrebbe avere rispetto ai principi affermati dalla direttiva 2000/31/CE e dal D.Lgs 70/2003 sul ruolo degli ISSP. In nome della tutela della privacy, la richiesta di controlli ex ante, preventivi ed indiscriminati sugli utenti da parte degli ISSP, finirebbe per ricadere, violandoli, sugli stessi principi basilari in materia di commercio elettronico che, al contrario, sanciscono l’assenza di obblighi di monitoraggio e sorveglianza da parte degli ISSP sui contenuti pubblicati dagli utenti. Questo genere di riflessioni sono scaturite, a nostro modo di vedere, da una forzatura interpretativa che porterebbe a una sorta di responsabilità “oggettiva” da parte degli ISSP per il trattamento dei dati connessi ai contenuti pubblicati dagli utenti. Sulla base dell’analisi dei casi, una simile applicazione dell’art. 167 andrebbe a contrastare con altri diritti soggettivi e principi sanciti a livello costituzionale e dei trattati (rispetto della vita privata e della vita familiare, libertà di espressione e d’informazione), ma cosa ancora più grave, il perseguimento della tutela della privacy andrebbe, paradossalmente, a violare la privacy stessa degli individui che si intendeva preservare. Una concezione che vedesse l’ISSP obbligato a prevenire la lesione della privacy di persone i cui dati siano diffusi da altri utenti rischierebbe di determinare, nelle sue conseguenze applicative, una violazione della privacy degli utenti che immettono contenuti nel web, che dovrebbero essere identificati e controllati in maniera rilevante.

La quarta ed ultima sezione ripercorre l’analisi svolta nelle precedenti, tirandone le somme e riflettendo sulle questioni lasciate aperte. La necessità di armonizzazione ed enforcement, che si inserisce nel processo di revisione della normativa europea in corso, si ritrova anche negli aspetti strettamente “gestionali” del dibattito in materia. In altri termini, è evidente l’esigenza di individuare un quadro normativo chiaro e interpretazioni che non siano fuorvianti o inapplicabili per le parti interessate, che sono certamente gli attori del contesto tecnologico (utenti, fornitori di servizi della società dell’informazione) ma anche coloro i quali, in veste di avvocati, giudici, regolatori o legislatori, vengono chiamati a dirimere eventuali controversie generatesi in quel contesto: uno studio commissionato dalla Commissione europea (“Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments”, 2010) mette in luce questa necessità, in particolare in materia di diritto applicabile. Diventa cruciale, quindi, il significato delle disposizioni normative per gli attori che partecipano all’applicazione quotidiana in materia di protezione dei dati ad ogni livello ed in ogni settore di interesse.

Il valore aggiunto che il lavoro, disponibile in versione integrale nel numero 2/2012 della Rivista Diritto Economia e Tecnologie della Privacy (http://www.vecchioistitutoprivacy.dwb.it/it/uscito-il-nuovo-numero-della-rivista-diritto-economia-e-tecnologie-della-privacy-2/), intende apportare alla discussione in materia è quello di chiarire il ruolo centrale ricoperto dall’utente, inteso quale protagonista dello scenario attuale, spingendolo verso una consapevole “auto-cautela” nel trattamento di dati personali, ma anche di prendere atto della veste strettamente funzionale dei prestatori di servizi della società dell’informazione; a tal fine sarà utilizzato un approccio divulgativo e, per quanto possibile, di facile lettura.