COM-P.A. 2002
Bologna 18-19 settembre 2002

Innovazione tecnologica e innovazione culturale nei new media:
verso la e-society

Mauro Paissan

Lo sviluppo di nuove tecnologie, specialmente nel campo della comunicazione telematica, ha accresciuto in misura enorme il numero di informazioni personali che vengono raccolte, scambiate, incrociate ed archiviate.

La possibilità di reperire, accumulare e trattare un vastissimo numero di informazioni consente di ricostruire gusti, preferenze abitudini, comportamenti e perfino opinioni degli individui. Queste informazioni, strutturate e ordinate, acquistano valore economico e diventano una merce preziosa in quanto indicativa di comportamenti dei consumatori, degli elettori, degli utenti, degli spettatori, dei lettori e così via (cioè dei cittadini nelle loro diverse "versioni").

Le nuove tecnologie possono essere utilizzate e possono operare al servizio dell’uomo, aiutandolo nelle sue attività e favorendolo anche nei contatti con un numero crescente di persone ma nel contempo quelle stesse tecnologie espongono il cittadino al rischio di penetranti violazioni della propria sfera di riservatezza. Ciò, proprio in ragione dell’accresciuta facilità con cui le informazioni che lo riguardano possono essere registrate ed incrociate fra loro per le più diverse finalità, spesso senza che la persona interessata ne abbia consapevolezza.

Lo sviluppo della società dell’informazione e, all’interno di questa, la rapida diffusione di Internet hanno quindi ulteriormente ampliato il potenziale conflitto tra la tutela della vita privata e dell’identità personale, da una parte, e il libero flusso delle informazioni, dall’altra.

La ricerca di un equilibrio tra questi valori rappresenta la chiave di volta per assicurare, anche nell’era digitale, i diritti fondamentali di libertà e democrazia.

Proprio al fine di dare una risposta a tali fenomeni, il diritto alla riservatezza ha subito un’evoluzione dal "diritto ad essere lasciati soli" (riservatezza in senso tradizionale) a quello dell’autodeterminazione informativa, che è alla base dell’attuale disciplina sulla protezione dei dati personali.

Si è venuta affermando una nuova concezione di diritto alla privacy come potere, riconosciuto ai diversi soggetti, di controllare il flusso di informazioni che li riguardano e, così, di decidere di volta in volta, non solamente quali dei propri dati far conoscere a terzi, ma anche le modalità secondo cui tale conoscenza può avvenire, in quale ambito e - soprattutto - per quali finalità.

Le disposizioni della legge 675 sono soprattutto dirette ad assicurare all’interessato (la persona cui i dati si riferiscono) un controllo quanto più pieno possibile delle informazioni che lo riguardano e dei relativi flussi.

Una legge, va qui ricordato, approvata solo sotto pressione dell’Europa. La stessa istituzione del Garante per la protezione dei dati personali, nel 1997, ci ha consentito solo in ritardo di metterci al passo con gli altri ordinamenti europei ("Cittadini d’Italia, Cittadini d’Europa" è il titolo del salone Compa di quest’anno).

Al di là dell’attuale dibattito sulla riforma complessiva del sistema delle Autorità indipendenti - sul quale mi guarderò bene qui dall’intervenire -, vale la pena ricordare che nella Carta dei diritti fondamentali dell’Unione europea ruolo autonomo, quale diritto fondamentale, è riconosciuto (dall’art. 8) alla protezione dei dati personali ed il testo contiene altresì una espressa previsione di un’Autorità indipendente a presidio dei valori della persona nella società tecnologica.

Perché un’Autorità indipendente? Stiamo parlando di diritti, valori, interessi che non possono essere fatti dipendere dall’indirizzo politico dominante e, di conseguenza, non possono essere affidati all’azione esclusiva dei governi. Il ruolo dello stesso parlamento è fondamentale, ma riguarda la fissazione dei criteri e dei principi di base e non certo il necessario continuo adeguamento al mutare delle situazioni (si pensi ai "salti" tecnologici) che lo strumento della legislazione, per sua natura lento e complesso, non può assicurare. Mentre la magistratura può intervenire solo in presenza di un diritto violato.

Insomma, è a fronte dei delicati problemi posti dall’innovazione tecnologica che il legislatore ha voluto collocare il Garante nel cuore del sistema di protezione dei diritti fondamentali della persona. Non a caso. Ricordiamo che il dibattito internazionale in materia di protezione dei dati, che muove i primi passi negli U.S.A. alla fine degli anni ‘60, sorge proprio quale reazione all’introduzione dei primi grandi elaboratori elettronici (nel 1973 Rodotà pubblicherà il suo volume dal titolo significativo "Controllo sociale e elaboratori elettronici").

Mutate le tecnologie, andiamo - ci dice il titolo del dibattito - verso la e-society e si intensificano, assieme alle potenzialità, i rischi per la privacy individuale: sia a fronte dei trattamenti posti in essere da soggetti privati che da parte dei soggetti pubblici.

Quali sono, nella e-society, i mutamenti qualitativi rilevanti dal punto di vista della effettività della tutela della riservatezza?

Anzitutto, un passaggio qualitativo: le tradizionali banche dati registravano nomi, dati anagrafici, informazioni in sé compiute; più insidiosa, invece, l’invasione derivante dalle moderne tecnologie digitali, dove mille tracce elettroniche ci seguono e la cui elaborazione conduce all’informazione finale.

Si pensi all’analisi dei file di log generati dalla navigazione in Internet, idonei a rilevare profili commerciali ed interessi personali, talora di natura sensibile; si pensi, ancora, ai c.d. location data, che consentono l’individuazione "geografica" dei singoli individui; si pensi alla possibilità, attraverso i motori di ricerca, di cristallizzare dei profili ideologici delle persone rintracciando opinioni espresse in rete molto all’indietro nel tempo.

Ma altre tecniche incidono sulle aspettative di privacy dei cittadini: si pensi al fenomeno dello spamming (verso il quale si sta determinando una sempre maggiore reazione negativa da parte dei cittadini involontari destinatari); si pensi all’invio di sms commerciali non richiesti: questa volta è il right to be left alone, nel senso del diritto ad essere lasciati in pace, che viene inciso.

Come hanno capito gli operatori di marketing più avvertiti, un messaggio pubblicitario inviato ad un consumatore che non lo gradisce produce all’azienda un danno di immagine, mentre il rispetto del consumatore - ad esempio attraverso una chiara richiesta di consenso all’invio di ulteriori messaggi - offre da subito una migliore immagine dell’azienda. Se questo vale per le aziende, a maggior ragione deve valere per le istituzioni pubbliche, che ciclicamente sembrano colpite da una frenesia comunicativa che li porta a proporre di bombardare i cittadini di messaggi di pubblica utilità (su meteo, traffico, orario uffici, ecc.), che è cosa diversa da eventuali messaggi di emergenza.

E da ultimo va ricordato il controllo sociale nelle sue varie forme: due esempi esplosivi in questo momento nel nostro paese, la videosorveglianza e i rilievi biometrici.

L’innovazione tecnologica non è rimasta, né poteva rimanere estranea alla pubblica amministrazione; la formula sintetica utilizzata per rappresentare il cambiamento all’interno della P.A. è quella dell’e-government. Si tratta, per dir così, del versante pubblicistico dell’e-society.

Formula ellittica, che contrassegna l'irreversibile processo di "ristrutturazione" dell’architettura (anzitutto interna) delle pubbliche amministrazioni attraverso il massiccio ricorso all'informatica e alla telematica o, se si preferisce la locuzione inglese ormai entrata in uso comune, all’Information & Communication Tecnology (ICT).

Subito si pone qui il tema della necessità di rispettare, nell’attuazione di questo processo, i diritti fondamentali del cittadino scongiurando, con specifico riferimento alla protezione dei dati personali, il rischio di renderlo oltremodo "trasparente" di fronte alle pubbliche amministrazioni.

Insomma, a mo’ di gioco di parole, ma per esprimere un concetto fondamentale: l’e-government nell’e-society deve tutelare e promuovere l’e-citizenship, senza per questo perdere di vista l’efficienza. ("Toward an Electronic Citizenship" era il titolo della Conferenza mondiale sulla privacy organizzata a Venezia dal Garante nel 2000).

Un contributo in questa direzione potrebbe essere rappresentato dalla definizione del codice deontologico dei "fornitori di servizi di comunicazione e informazione offerti per via telematica" che il Garante ha recentemente promosso in applicazione del decreto legislativo n. 467 del dicembre scorso: esso ha per oggetto la definizione dei "criteri per assicurare ed uniformare una più adeguata informazione e consapevolezza degli utenti delle reti di telecomunicazione gestite da soggetti pubblici e privati rispetto ai tipi di dati personali trattati e alle modalità del loro trattamento, in particolare attraverso informative fornite in linea in modo agevole ed interattivo, per favorire una più ampia trasparenza e correttezza nei confronti dei medesimi utenti".

I precetti di questo codice non si esauriranno sul piano carattere meramente deontologico, atteso che il rispetto delle disposizioni in esso contenute rappresenterà una condizione di liceità dei trattamenti realizzati (con conseguente applicazione di un apparato sanzionatorio in caso di violazione).

L’evoluzione tecnologica alla quale, come si è visto, non può sottrarsi la Pubblica amministrazione,. implica inevitabilmente una modifica della sua attività "comunicazionale" verso i cittadini: anche qui mi pare possano ravvisarsi rischi concreti per la riservatezza dei cittadini. Qualche esemplificazione che mi pare assai eloquente.

1. Con ritmo crescente molte pubbliche amministrazioni offrono taluni servizi anche per via telefonica, magari ricorrendo all’opera di call centers avvalendosi delle moderne tecniche dell’out-sourcing (si pensi ad es. a centri ospedalieri - grandi o piccoli - che intendano far gestire secondo tale modulo organizzativo il servizio di prenotazione dei servizi sanitari): si pone qui un problema d’informazione del cittadino che all’apparecchio può ignorare l'effettiva identità dell'interlocutore telefonico, mentre sta magari fornendo informazioni assai delicate sul suo conto e su quello dei suoi famigliari. L’amministrazione, nell’esternalizzare dette attività, deve opportunamente disciplinare la relazione contrattuale prestando adeguata attenzione ai profili di data protection (provvedendo alla nomina di un responsabile del trattamento, impartendo le necessarie istruzioni, provvedendo all’adozione di adeguate misure di sicurezza).

2. Nell’era dell'amministrazione on-line problemi di tutela dei dati personali si pongono non solo per i cittadini, ma anche per gli stessi dipendenti pubblici che possono vedere i propri dati personali, ad iniziare dal proprio nominativo (o alla propria foto o, sempre più di frequente, alla propria e-mail), inseriti in rete e dunque soggetti ad un’ampia circolazione oltre che esposti alla più rapida individuazione tramite i sempre più potenti motori di ricerca: anche qui ci si dovrà ispirare al principio della necessità nel trattamento di dette informazioni personali.

3. Ancora un esempio di vivissima attualità: il ricorso alle web cams per le più svariate applicazioni, ad esempio per il controllo delle condizioni del traffico o per problemi di sicurezza nelle strade cittadine. Anche in questo caso potrebbe darsi un inutile trattamento di dati personali (ad es. dell’immagine delle persone che entrano nella zona pedonale) rispetto alla finalità perseguita ed ottenibile ad un costo (in termini di protezione della privacy) più basso (ad es. valendosi di riprese in campo lungo che consentono comunque il perseguimento della finalità voluta). Sempre maggiore è la reattività (nonché il fastidio) dei cittadini al riguardo.

4. Problematiche crescenti si registreranno in futuro rispetto all’utilizzo delle cosiddette carte intelligenti, vista l’accresciuta capacità di memorizzazione dei microchip, destinate ad essere impiegate nei settori più diversi (sanità, trasporto pubblico etc.) ed in grado di veicolare anche dati sensibili. Sarà necessario definire gradi di accesso differenziato alle informazioni eventualmente contenute nella carta, come pure prevedere una diversa localizzazione delle informazioni sulla stessa carta. E’ poi necessario rammentare ancora una volta che l’uso delle carte non deve necessariamente consentire il rilascio di tracce elettroniche da parte del portatore, anche in ossequio al principio di proporzionalità, quando lo scopo al quale sono destinate può essere realizzato senza il trattamento di dati personali (si pensi al caso di un’azienda di trasporto pubblico che aveva adottato un sistema di controllo degli abbonamenti che poteva consentire la localizzazione degli abbonati).

L’innovazione tecnologica richiede, tuttavia, anche una innovazione culturale rispetto ai new media. E’ necessaria una "nuova cultura", ad ogni livello, da parte degli stessi operatori pubblici, al fine di prevenire che le nuove tecnologie costruiscano gabbie tecnologiche intorno ai cittadini

Dicevo ad ogni livello, ed anzitutto in sede di progettazione dell’"amministrazione elettronica" si devono poter prevedere (e, ove possibile, prevenire) le conseguenze sulla privacy dei cittadini. Nell’esperienza canadese è stata resa obbligatoria una preventiva "valutazione d’impatto privacy". In modo meno articolato, anche il nostro legislatore consente alle amministrazioni di ridurre i rischi più consistenti per i valori della personalità attraverso lo strumento del ricorso al parere (obbligatorio, ancorché non vincolante) del Garante per la protezione dei dati personali.

In conclusione: il rispetto dei diritti fondamentali ed in particolare della riservatezza delle persone non solo non è incompatibile con lo sviluppo delle nuove tecnologie, ma costituisce una condizione necessaria perché tale sviluppo si realizzi. Gli utenti ed i consumatori che si avvalgono dei new media , quando si rivolgono ad un soggetto che opera in tale ambito non chiedono solamente il servizio specifico che questi offre (informazioni, acquisto di beni o altri servizi, ecc.) ma anche una particolare protezione delle informazioni che li riguardano. Se questo è sempre più vero per il settore privato, sarebbe alquanto strano che lo sia di meno nell’ambito del settore pubblico.