Garante per la protezione
    dei dati personali

Comunicato Stampa

Dichiarazionedei diritti in Internet

Audizionedel Presidente Antonello Soro presso la Commissione sui Diritti e i doverirelativi ad Internet - Camera dei Deputati

 12 gennaio 2015

 

1.L'elaborazione, da parte di questa Commissione, della "Dichiarazione deidiritti in internet", è un'iniziativa importante: perché contribuiscea promuovere, nei cittadini, la consapevolezza dei propri diritti nello spaziodigitale e, insieme, nei responsabili delle istituzioni, la coscienza dei nuovi doveri.

Ladimensione digitale è sempre di più il nostro "reale" spazio di vita:l'orizzonte concretissimo cui affidiamo la nostra esistenza, privata epubblica.

Perciò – ed è questa davvero la "cifra" dell'azione della nostraAutorità - proteggere i  dati personali (cioè le parti di noi checonsegniamo alla rete) vuol dire proteggere la nostra libertà e la nostrastessa vita.

Accantoalla straordinaria capacità di promuovere processi inclusivi, di partecipazionedemocratica e pluralistica. Infatti, internet ha anche dimostrato –conl'ambivalenza propria di ogni tecnologia – di poter amplificare, coneffetti dirompenti, atti discriminatori, violenti, vessatori, spesso neiconfronti dei soggetti più fragili o di quanti siano percepiti (erappresentati) come diversi.

Alcunedelle forme più insidiose della criminalità, anche organizzata, presuppongonooggi lo sfruttamento abusivo di dati personali, il furto d'identità, la frodeinformatica, quando non addirittura veri e propri attentati alla sicurezzanazionale realizzati in via cibernetica.

Maanche tralasciando i fenomeni connessi all'uso illecito e dunque, pur nel suo"fisiologico" funzionamento, la rete espone gli utenti a rischi danon sottovalutare.

Laprofilazione e il monitoraggio delle scelte individuali (espresse dal comportamentoon-line), consentono ad esempio diverse e più sottili strategie di esclusione.

Questirischi di discriminazione e omologazione possono essere prevenuti soltanto conun consapevole esercizio, da parte di ciascuno, dei propri diritti in rete econ un impegno delle istituzioni tutte, nella consapevolezza che fenomeniglobali -  propri dello spazio digitale - esigono risposte altrettantoglobali.

Inquesto senso e' irrinunciabile la prospettiva in cui si colloca laDichiarazione – ovvero la promozione di quei principi nelle sediinternazionali – , pur essendo consapevoli  dei limiti che incontral'affermazione di una stessa regola in ordinamenti (e quindi in contestisociali, politici, istituzionali) profondamente diversi tra loro.

Ciòche certamente condividiamo – e che abbiamo da tempo sostenuto – èla necessità di non lasciare la rete agli imperativi, mai egalitari, della lexmercatoria, demandando così a quella "legislazione privata" dellecondizioni generali di contratto la garanzia, su scala mondiale, dei dirittifondamentali.

Perche',come ha ricordato la Corte di giustizia con la sentenza Costeja c. Google Spain, idiritti fondamentali non possono essere assoggettati alla mera logica delprofitto, in armonia con il principio personalista sancito dal preambolo dellaCarta di Nizza.

Nonsi tratta di giuridificare uno spazio che altrimenti, lasciato alladiscrezionalità dell'etica individuale, troverebbe un suo "ordineprivato": si tratta invece di difendere la libertà della retedall'egemonia dei grandi monopolisti della rete da un lato e, dall'altro, dalleimposizioni dittatoriali degli Stati totalitari.

E'dunque apprezzabilissima la scelta di pervenire a uno standard comune omogeneo,a livello globale, nella tutela dei diritti (della persona, oltre che dellapersonalità) in rete, che garantisca ai cittadini di ciascun Paese - equalunque sia la legge applicabile - uno statuto essenziale di garanzie e libertà,che è poi oggi il vero statuto della cittadinanza nella società digitale edella democrazia elettronica.

Ovviamente,questo "paniere" di diritti deve potersi attestare su un minimodenominatore comune, quale ad esempio quello considerato dalla Dichiarazione,che per quanto duttile non scenda oltre una certa soglia di astrazione,affermando come irrinunciabili talune garanzie che segnano davvero il punto dinon ritorno nel processo di costituzionalizzazione dello spazio digitale.

E'questo lo spirito con cui dobbiamo accostarci alla Dichiarazione, nellaconsapevolezza che molte delle affermazioni lì contenute possono apparire– a chi, come noi europei e italiani in particolare, è aduso a un livelloassai elevato di garanzie in materia di protezione dati – scontate senon, addirittura, a volte anche riduttive rispetto alla nostra legislazione.

Rispettoa queste difformità, dunque, dobbiamo invece apprezzare l'affermazione, alivello globale, di diritti che in ordinamenti diversi dal nostro non hannoancora riconoscimento, neppure formale, per la costruzione di un dirittopubblico (stavolta non più solo europeo) dello spazio digitale.

Leosservazioni che di seguito svolgerò si limiteranno, dunque, ai soli aspettidella Dichiarazione suscettibili di un ulteriore passo avanti, non certonell'ottica del necessario adeguamento alla legislazione italiana, ma dellapromozione di istituti necessari per assicurare quello che e' statoeffiicacemente definito l"habeas data",  in un tempo nelquale si concretizza la riduzione del corpo a dati e l'espressione digitaledelle identità personali.

 

2.Importante è anzitutto, all'art. 4, la qualificazione del diritto allaprotezione dei dati personali come sintesi di libertà, eguaglianza, dignità;'pietra angolare' di ogni sistema democratico nell'epoca della cittadinanzadigitale.

Lanorma va poi letta insieme agli artt. 6 e 7 perché è il loro combinato dispostoa riflettere, nella reciproca integrazione, le varie componenti del dirittoalla protezione dei dati personali: la garanzia da ogni forma di"schedatura" e discriminazione quale condizione per potereliberamente esprimersi; il diritto al controllo sui propri dati e sull'uso chealtri ne facciano; la libertà nell'espressione del consenso, che dev'essereeffettiva soprattutto nei rapporti caratterizzati da asimmetria e squilibrio dipotere, rischiandosi altrimenti nuove forme di prevaricazione dei più deboli.

Degnodi nota è, in questo senso, il penultimo comma dell'art. 4, che recupera quelladimensione antidiscriminatoria che è alle origini della legislazione sullaprotezione dati, in Italia affermatasi addirittura con lo Statuto deilavoratori.

Analogofine antidiscriminatorio ha, poi, l'affermazione della neutralità della rete edell'universalità dell'accesso, che nell'impedire ogni forma di censura inragione del contenuto o dell'utente, rappresenta la principale garanzia delcarattere effettivamente democratico e, come si dice, della "capacitàgenerativa" della rete.

Apprezzabileè, poi, l'espressa qualificazione come dato personale dei dati identificatividei dispositivi, che consentendo di ricostruire il nostro comportamento inrete, possono rivelare aspetti privatissimi della nostra vita.

Importanteanche la garanzia del singolo rispetto alle attività di profilazione esfruttamento commerciale dei dati personali, così da impedire che gli interessieconomici prevalgano sulle libertà individuali, come ha chiarito la Corte digiustizia.

Sottoaltro profilo, ne deriva anche un'implicita tutela rispetto all'uso dei c.d."metadati", ovvero delle tracce "esterne" della navigazioneche, proprio in quanto prive di "contenuto" sono in alcuniordinamenti meno garantiti dei dati "identificativi" (ad esempionegli  Usa, come sapiamo).

Tuttavia,essendo il passaggio non del tutto chiaro nella stesura della bozza , sarebbepreferibile con la giusta articolazione, estendere espressamente la riserva dilegge e giurisdizione lì sancita per le intercettazioni in senso stretto, aun'attività, quale quella di acquisizione dei tabulati (anche, ma non solotelematici), la cui invasività non va sottovalutata, come ha ricordato la Cortedi giustizia.

Conla sentenza Digital rights dello scorso aprile, infatti, la Corte ha dichiaratoillegittima, per violazione del principio di proporzionalità, la direttivasulla data retention, ritenendola carente delle garanzie minime, necessarie perimpedire che un così prezioso mezzo di ricerca della prova degeneri in unostrumento di sorveglianza di massa, oltretutto poco utile alle indagini seprivo della necessaria selettività. 

Dell'art.6 si apprezza invece, per altro verso, la previsione della riserva digiurisdizione per ogni tipo di intercettazione, dunque evidentemente anche perquelle di natura preventiva di competenza delle agenzie di intelligence, checome noto solo in pochi Paesi (prevalentemente europei) richiedono un vagliogiudiziale, sia pure solo estrinseco.

Iltema è di grande attualita', per effetto della grande emozione suscitata daigravissimi atti terroristici  di Parigi.

Mipermetto in questa circostanza di sottolineare che nel rapporto tra sicurezza eprivacy occorrerebbe avere sempre un atteggiamento coerente,nel rispetto delgrande equilibrio che ispira la nostra Costituzione.

Eandrebbero evitate oscillazioni  tra la recente planetaria indignazioneper la scandalosa sorveglianza del Datagate e le pulsioni da piu' partiregistrate in queste ore per una frettolosa compressione delle garanzie che ilnostro ordinamento riserva per la protezione dei dati personali.

L'esperienzaci ha insegnato che una intrusione sistematica e indiscriminata nellecomunicazioni dei cittadini non risolve le difficoltà  del contrasto alterrorismo.

Enon mi riferisco al PNR proposto dai governi dell'Unione.

Tornandoal testo l'art. 5, nel sancire il contenuto del diritto all'autodeterminazioneinformativa, dovrebbe forse prevedere piu specifiche cautele rispetto alle raccoltemassive di dati personali, con un generale obbligo di privilegiare datianonimi, per i quali siano previste adeguate garanzie rispetto ai rischi direidentificazione, sia pure mediata.

Garanzie,queste, che andrebbero previste espressamente anche rispetto al riutilizzo deidati "generati e detenuti dal settore pubblico", ai sensi dell'art.5, che con norma di valenza generale detta i criteri per la governance dellarete.

L'infinitariproducibilità e riutilizzabilità degli "open data" è,infatti, una delle prerogative della rete tale da renderla uno straordinariofattore di partecipazione democratica, di progressione sociale inclusiva, didiffusione dell'informazione, della cultura e della trasparenza dell'azioneamministrativa.

Etuttavia, questa medesima caratteristica,  se non adeguatamentedisciplinata, rischia anche di violare la dignità dei cittadini, comeavverrebbe se, ad esempio, i dati sulla malattia dei dipendenti pubblici osull'assunzione degli appartenenti a categorie protette (invalidi civili, ecc.)venissero divulgati in forma solo apparentemente anonima, ma in realtà tale daconsentire l'identificazione dell'interessato.

Ancherispetto ai big data, dunque, le maggiori garanzie per l'interessato deriverannodal rispetto dei principi di proporzionalità, non eccedenza, finalità, cheforse sarebbe opportuno richiamare espressamente, nella loro reciprocaintegrazione.

 

3.Se apprezzabili e complete appaiono le norme sull'identità digitale e la liberacostruzione della personalità (art. 8), qualche riflessione in più stimolainvece l'art. 9, ove l'equilibrio tra anonimato in rete e tutela di chiunquesia leso da comportamenti illeciti tenuti on-line, è realizzato prevedendo la reversibilità e tracciabilità dell'anonimato (e quindi lapossibilità di identificazione dell'agente) in base a provvedimento giudiziale,nei casi previsti dalla legge.

Questobilanciamento – soddisfacente in un ordinamento democratico –proprio perché affidato alle tipiche garanzie liberali della riserva di legge edi giurisdizione, rischia tuttavia di rivelarsi inadeguato in contesti appenameno liberali del nostro.

Inun ordinamento in cui il potere legislativo non sia espressione della volontàpopolare e in cui l'ordine giudiziario sia privo di reale autonomia eindipendenza, infatti, non è difficile immaginare come le deroghe all'anonimatopossano essere utilizzate dal regime per reprimere il dissenso e le minoranze.

Equindi saremmo tentati di  auspicare in quei contesti forme di anonimatoassoluto, come precondizione della libertà di espressione del pensiero e dipartecipazione politica.

Etuttavia, siamo consapevoli che nella realtà globale gli steccati nazionali deidiversi regimi giuridici sono destinati a cadere e, quindi, il doppio regime(anonimato assoluto per gli Stati illiberali e anonimato tracciabile nelledemocrazie) non avrebbe concrete possibilità di affermazione.

Comespesso accade, sul governo della rete si riflettono tensioni che rimandano atemi più ampi: la disciplina dell'anonimato esprime, forse più e meglio di ognialtra questione, il rapporto tra autorità e libertà; tra diritti individuali edesigenze collettive; tra ragion di Stato e Stato di diritto.

Lesoluzioni non sono sempre agevoli da ricercare, ma certamente la riflessione suquesti temi costituisce una ineludibile premessa per governare la complessita'del nostro tempo.

Delresto, nel tentativo di adeguare il diritto a una realtà che rischia disfuggirgli per la rapidità dell'evoluzione tecnologica, non bisognasottovalutare le implicazioni di sistema che ha ogni nuovo istituto giuridico.

Suldiritto all'oblio, ad esempio, l'art. 10 prevede la legittimazione di chiunquea conoscere i casi nei quali altri abbiano ottenuto la deindicizzazione dipropri dati personali , ovvero la sottrazione alla reperibilità, con i motoridi ricerca, di notizie a partire dal solo nominativo dell'interessato, purconservandole, nella loro integralità, nel sito-sorgente.

Sidovrebbe quindi, evidentemente, pubblicare (sempre in rete?) un elenco deisoggetti che abbiano esercitato questa prerogativa.

Intal modo un diritto, quale quello all'oblio - affermatosi come garanzia di una"biografia non ferita" dallo stigma della memoria eterna della rete -rischierebbe, con un'eterogenesi dei fini, di rivolgersi nel suo opposto.

Equesto non pare condivisibile, dovendosi invece preservare la natura autenticadel diritto all'oblio, che già di per sé consente di coniugare memoriacollettiva e storia individuale; giudizio pubblico e identità personale.

Nelsenso da noi auspicato si muovono,in modo esplicito, le Autorità europee chenello scorso mese  hanno votato all'unanimità un documento di indirizzosul tema.

Pensoche dobbiamo sempre garantire  che la tecnica sia alleata, invece chenemica, dei diritti. E che la rete, sfuggendo alle opposte tentazioni dellacensura e dell'anomia, promuova le libertà e i diritti di ciascuno.

Delresto, la prima attuazione che della sentenza Costeja sta dando Google (e,quindi, le Autorità nazionali) dimostra come il diritto all'oblio, in particolarenella forma della deindicizzazione, non rappresenti in alcun modo un ostacoloal diritto di informazione.

Lerichieste di deindicizzazione sono state infatti respinte in circa il 60% deicasi (ed è interessante notare come in Italia la percentuale di rigetti delleistanze sia maggiore che altrove), secondo criteri e valutazionitendenzialmente condivisibili, come dimostra anche il fatto che nellamaggioranza dei casi il Garante, adito successivamente al rigetto, non èpervenuto a soluzioni difformi.

Equesto dimostra (a dispetto degli allarmi, invero non sempre disinteressati,per le gravissime conseguenze che la sentenza Costeja avrebbe determinato), chel'applicazione dei principi della protezione dati ai giganti della rete èsempre possibile e doverosa nonché, più in generale, che non vi possono essereper nessuno zone franche nel rispetto dei diritti fondamentali.

Ed è questo, al di là di ogni possibile valutazionesui singoli contenuti, il più importante e decisivo portato dellaDichiarazione  che quanto mai opportunamente Voi avete deciso di redigere.