Cookie free: nessun "biscotto" per spiare i lettori

1997-2017: la privacy retrocessa in serie B

- Claudio Manganelli* - 8 maggio 2017

Negli anni ‘70, con la possibilità di accedere a banche dati a distanza utilizzando le linee telefoniche, quindi con la convergenza tra l'informatica e le telecomunicazioni, cominciarono a porsi riflessioni, particolarmente nell'ambito giuridico (in molti paesi europei si stavano costituendo banche dati del tipo Italgiure), al fine di accedere ad informazioni e sentenze emesse dai diversi tribunali, sulla liceità di utilizzare liberamente informazioni e motivazioni che caratterizzavano i profili dei cittadini.

In quel contesto iniziò a prendere corpo il tema della tutela dei dati personali ed in alcuni paesi europei si cominciarono a studiare e emanare normative finalizzate ad offrire garanzie sulla loro protezione. Già nel 1973 ebbe una compiuta normativa in Svezia una legge per il diritto di libertà informatica; a questa seguirono norme analoghe, che prevedevano nelle costituzioni portoghesi e spagnole l'emanazione di compiute leggi organiche.

La Commissione europea concentrò l'attenzione sul diritto alla libertà della circolazione delle persone nell'ambito europeo e quindi dei limiti che dovevano essere posti al trattamento dei dati personali. Nel 1995 il Parlamento europeo e il Consiglio emanarono una direttiva, la 95/46, destinata ad entrare in vigore in ognuno degli Stati della comunità europea entro il 23 ottobre del 1998. L'Italia si allineò a questa direttiva nel dicembre del ‘96 con la legge sulla protezione dei dati personali numero 675.

A vigilare sull'impianto della legge e sul rispetto della normativa venne costituita una apposita autorità di carattere costituzionale, denominata "Garante per la protezione dei dati personali". All'articolo 30 si prevedeva che l'autorità doveva essere composta da un collegio di quattro componenti, due eletti dalla Camera e due dal Senato, che a loro volta dovevano eleggere tra loro il presidente. Il mandato in carica durava quattro anni e poteva essere rinnovato una sola volta. Successivamente, nel 2008, tale durata è stata modificata a sette anni, ma per un unico mandato.

Quel che vale la pena sottolineare è la traccia descrittiva del profilo che debbono avere i componenti il collegio: il corpo sostanziale delle disposizioni contenute nella legge 675 è entrato in vigore l'8 maggio del ’97, ma alcune disposizioni concernenti l'attuazione dell'accordo di Schengen e la nomina della nuova autorità indipendente hanno trovato applicazione già nel gennaio del ‘97. Ciò ha permesso al Parlamento di dar vita all'organo collegiale.

L'articolo 30, comma 2 della legge stabilisce che il Garante opera con piena autonomia e con indipendenza di giudizio di valutazione, collocando così questo organo nelle autorità indipendenti, ma di garanzia; queste funzioni di garanzia e vigilanza sull'attuazione di valori costituzionali svincolano la designazione dei componenti il Collegio da qualsiasi riferimento al circuito dell'indirizzo politico, o almeno dovrebbero svincolarla.

L'elezione dei componenti da parte delle assemblee parlamentari rafforza l'investitura stessa in termini di imparzialità e terzietà, e questa indipendenza è rafforzata dalla previsione di poteri effettivi di intervento nella specifica materia. Una ulteriore legittimazione democratica dell'organo e dei suoi componenti deriva anche dei criteri di nomina dei componenti stessi, scelti tra persone che assicurino indipendenza e che siano esperti di riconosciuta competenza nelle materie del diritto o dell'informatica, in modo da garantire nell'organo la presenza di entrambe le qualificazioni.

In qualità di componente nominato dalla Camera dei deputati nel primo collegio di quella autorità, penso di poter affermare che molti dei parlamentari chiamati al voto non avevano ben compreso di quali funzioni il Garante si sarebbe dovuto occupare e quale impatto avrebbe avuto sulla vita pubblica e privata. Il sottoscritto veniva eletto in quel collegio, forte della sua esperienza più che trentennale in materie ICT e con alle spalle significative esperienze in applicazioni innovative interbancarie.

In quel primo collegio gli altri tre componenti erano insigni giuristi; poi i partiti presero consapevolezza del ruolo che potevano avere presso quel collegio e alla fine del primo mandato cominciarono a candidare politici trombati, al fine di garantir loro una ulteriore sopravvivenza economica e nel contempo liberare spazi nei collegi elettorali. Più nessun esperto in materie tecnologiche è da allora sbarcato in quel board.

L'autorità impiegò i primi anni di funzionamento ad adattare alla realtà del mondo commerciale, finanziario, privato e pubblico tale normativa; infatti la schematicità della legge mal si conciliava, ad esempio, con l'organizzazione complessa del mondo finanziario ed in particolare dei sistemi di pagamento basati su carte bancomat o di credito e sulla circolazione degli assegni.

Vennero concepite ulteriori figure organizzative che si integravano con le denominazioni più semplicistiche di titolare, incaricato, responsabile del trattamento dei dati personali. In molti altri settori del trattamento dei dati, sia in applicazioni pubbliche che private, fu necessario adeguare o implementare la normativa e questo fu il massimo impegno dell'autorità garante nel suo primo quinquennio di vita.

A questi adeguamenti si aggiungevano anche le deliberazioni dell'autorità su specifici argomenti e avvenimenti che, anche tenendo conto del costante processo di innovazione dell'ICT nel trattamento dei dati, richiedevano interventi di chiarimento dell'Autorità, che di conseguenza costituivano nuovi elementi di normativa. Fu quindi necessario, nel 2003 riordinare in un corpo unico tutto il complesso della normativa esistente e si produsse il codice per il trattamento dei dati personali, il decreto legislativo 196/2003, che sostituì la legge originaria.

Sino a quel periodo la protezione dei dati personali e il diritto alla privacy erano concetti molto forti e l’Autorità era spesso chiamata a bloccare iniziative di natura innovativa che sembravano indebolire il concetto di riservatezza e protezione del dato.

Ricordo qui le dispute con i rappresentanti della stampa che consideravano l’autorità una sorta di censore delle loro libertà a diffondere notizie e quelle con gli istituti di credito che desideravano controllare l’accesso alle loro dipendenze ricorrendo a sistemi di rilevamento delle impronte digitali. Ogni caso andava esaminato nel dettaglio, approfondito e ricercata la soluzione meno invasiva.

Anche il ricorso alla videosorveglianza per la protezione di luoghi e accessi era rigorosamente ristretta a casi di natura esclusiva. Ma dal 2003 ad oggi molta evoluzione è stata compiuta, grazie alla costante convergenza delle diverse tecnologie e attraverso i nuovi protocolli di rete, sino a prefigurare un nuovo e prossimo scenario denominato IoT: Internet delle cose.

La telefonia mobile si è nel frattempo fusa con l'elaborazione dei dati portatile e con la capacità di gestire media (filmati, voce, dati). Con lo smartphone e il tablet ogni individuo ha capacità di muoversi sul territorio portandosi dietro la potenza di calcolo e di comunicazione che un tempo era caratteristica dei soli grandi computer. Quindi una sorta di terminale in grado non solo di ricevere informazioni in ogni formato, ma anche di trasmetterle, a volte anche senza che il suo portatore se ne renda conto.

Il must dell'individuo moderno risponde all'obbligo dell'essere connesso: "to be connected". La produzione di auto moderne si preoccupa di montare a bordo del veicolo dispositivi in grado di colloquiare sia Bluetooth con il telefonino del conducente che sistemi in grado di connettersi ai più diffusi browser e alle centrali di controllo e di allarme per il traffico, nonché alle centrali di gestione dei sistemi di navigazione.

I telefonini, gli attuali smartphone, sono sempre dotati di cosiddette procedure di assistenza, come ad esempio Siri, che se non attentamente impostate sono in grado sempre di trasferire i movimenti e la posizione sul territorio del loro proprietario.

Nell'ultima conferenza annuale sulla sicurezza che si tiene negli USA, denominata "black hat", è anche stato riferito che attraverso le TV smart dotate di micro webcam incorporata è possibile catturare dati personali riguardanti lo stile di vita delle famiglie che utilizzano quei tipi di televisore: in effetti la Samsung che dal 2012 produce questo tipo di televisori lavora costantemente attraverso adeguamenti del firmware per superare i buchi dello stesso attraverso i quali gli intrusi possono catturare le informazioni.

Il produttore coreano suggerisce alla propria clientela gli eventuali rimedi da prendere per evitare intrusioni nella privacy: ad esempio coprire la webcam quando non è in uso; disconnettere il televisore dalla rete Internet; addirittura staccare l'alimentazione dal televisore. Ma allora c'è da chiedersi qual è il motivo che spinge il consumatore a tuffarsi a pesce nelle innovazioni tecnologiche salvo poi dolersi degli inconvenienti derivanti dal loro uso.

La costante crescita delle capacità di memorizzazione e delle potenze di elaborazione spinge le organizzazioni pubbliche e private a ricercare soluzioni sempre più complesse, atte ad esaltare la competenza, l'efficacia, l'economicità e la sicurezza nelle loro azioni verso il mercato cui si riferiscono.

Al bisogno di sicurezza che sempre più pervade la società le pubbliche, amministrazioni centrali e locali rispondono con una capillare diffusione di sistemi di prevenzione attraverso videosorveglianza, identificazione digitale e biometrica, sino ad arrivare a metodi di intercettazione delle comunicazioni e di interpretazione e di correlazione della grande massa di dati raccolti.

In questi giorni i media danno notevole risalto alle ipotesi di attività di intercettazione e spionaggio da parte degli USA, tramite la C.I.A., delle comunicazioni dell'Europa e del resto del mondo. Nello stesso tempo gli USA protestano per sospettate attività di hackeraggio da parte della Russia a favore delle attività elettorali di Trump.

Il risultato di questo scenario ad alta tecnologia è che ormai nessuno si fida più di nessuno. Il concetto di privacy e della protezione dei dati personali, che tanta enfasi aveva conseguito con la nascita della normativa vent'anni fa, ha dovuto retrocedere sotto la spinta delle soluzioni per garantire sicurezza e i bisogni degli operatori sul mercato consumer. Si sta così delineando la tendenza verso una concentrazione sempre maggiore presso poche realtà globali e multinazionali di banche dati che contengono profilazioni di tutta la clientela e della maggior parte dei cittadini. Su questa concentrazione, definita big data, il presidente dell'Autorità garante ha lanciato l'allarme, sottolineando che questo nuovo enorme potere mette a rischio non solo la privacy, ma anche la democrazia.

Il Parlamento europeo, consapevole della necessità di adeguare le norme di protezione dei dati ai cambiamenti determinati dall'incessante evoluzione delle tecnologie, ha approvato in via definitiva un nuovo regolamento di protezione dei dati che si pone anche l'obiettivo di assicurare una disciplina uniforme ed armonizzata tra tutti gli Stati membri, eliminando le numerose asimmetrie che nel tempo si erano create. Questo regolamento è entrato ufficialmente in vigore il 24 maggio 2016 e diverrà definitivamente applicabile in tutti i paesi UE a partire dal 25 maggio 2018.

Ma un fatto è certo: così come i nostri parlamentari hanno preso l’abitudine, ad ogni scadenza di mandato, i considerare il Collegio del Garante come una riserva di poltrone, così i nostri governanti, ma a livello world, considerano la privacy solo un fastidio, a meno che tocchi i loro interessi, e questa, in base a necessità di sicurezza e ragioni di mercato, è costantemente costretta a retrocedere.

Per fare il verso a Calvino potremmo definire questo scritto "la privacy dimezzata", ma se preferiamo lo sport nazionale diciamo pure che la privacy è retrocessa in serie B.

* Ingegnere, già componente del Garante per la protezione dei dati personali (1997-2001) e del Centro nazionale per l’informatica nella pubblica amministrazione (2001-2009)