Cookie free: nessun "biscotto" per spiare i lettori. Sono in corso di eliminazione i link di facebook, che tracciano chi clicca su "mi piace" o "condividi"

Buttarelli, la dignità della persona e i "poteri forti"

Privacy e sicurezza - Manlio Cammarata - 15 ottobre 2019

 
Il rapporto personale nacque dopo, nel gennaio del 1995, quando lui volle replicare a un  mio articolo, molto critico, sul disegno di legge “1901-bis”. La sua "creatura" iniziava allora l’iter che si sarebbe concluso due anni dopo con la legge 657/96. Mi accusò di “terrorismo interpretativo”. Ne nacque un’intervista-duello, che non cambiò la mia opinione, ma mi fece capire la profonda preparazione e la statura etica del magistrato.

Perché Giovanni Buttarelli dominava la materia, era impossibile tenergli testa quando citava a memoria la normativa in vigore o in discussione in tutto il mondo. Ed era giustamente orgoglioso per quanto il quadro normativo europeo, del quale è da tutti considerato il “padre”, fosse studiato e preso come modello in tutto il mondo. La convinzione con la quale combatteva le sue battaglie era frutto di un’onestà intellettuale che deve riconoscergli anche chi non condivideva le sue idee o vedeva i propri interessi colpiti dal sistema di tutela della persona che lui aveva disegnato e che difendeva, instancabile.
Negli anni in cui fu segretario generale del Garante italiano ci incontrammo molte volte, sempre d’accordo sui principi e più o meno in disaccordo con la loro traduzione in precetti giuridici. Il confronto era stimolante, la sua ironia sottile disarmava anche l’oppositore più accanito.  

Ma chi era il “nemico” contro il quale Gianni combatteva? Per capirlo basta ricordare  quello che accadde il giorno stesso della sua scomparsa, come fu riportato da diversi giornali: se qualcuno cercava su Google “buttarelli causa morte” o “buttarelli malattia” otteneva la risposta in una frazione di secondo.
Lui e i suoi familiari avevano steso una cortina di riserbo sul male che lo aveva colpito. Come tutti sappiamo, le informazioni sullo stato di salute di una persona hanno una tutela molto forte nella normativa sul trattamento dei dati personali. La verità era conosciuta da poche persone, che mai avrebbero diffuso l’informazione ai quattro venti. Certo nessuno l’ha “condivisa” su una rete sociale o divulgata in altro modo. Ma Google violò il silenzio. Google “sapeva”. Perché Google sa tutto di noi e lo rivela senza riguardi per nessuno.

Proprio Giovanni Buttarelli, che aveva dedicato la sua vita a difendere il riserbo, la vita privatissima dei malati, è stato vittima di una violazione delle regole che aveva contribuito a scrivere. Un paradossale insulto alla memoria, che non suscita solo indignazione,  ma anche pesanti interrogativi sull’applicazione delle regole per la tutela dei dati personali.

Come è stato possibile, ci si chiede, che Google conoscesse – e rendesse pubblica – quell'informazione riservatissima? La risposta, con ogni probabilità, è in un algoritmo. Anzi, nell’Algoritmo per eccellenza, quello che raccoglie i dati da ogni fonte possibile, li elabora e li mette a disposizione di chiunque. È il nucleo centrale della potenza di Google. L’Algoritmo (o quell’insieme di algoritmi chiamati con molta imprecisione “intelligenza artificiale”) potrebbe avere raccolto l’informazione dalla scansione automatica dei contenuti dei messaggi di Gmail, il servizio di posta elettronica che Google fornisce – gratis, all’apparenza – a milioni, o miliardi, di persone in tutto il mondo. Persone che, in modo più o meno consapevole, hanno dato il consenso al “trattamento” anche dei dati contenuti nella loro corrispondenza privata, quando hanno sottoscritto l’abbonamento a Gmail.

Il fatto è che quando Google “legge” le email dei suoi abbonati, cattura anche le informazioni dei loro corrispondenti, anche di quelli che non sono suoi abbonati e quindi non hanno espresso alcun consenso al trattamento dei propri dati (questo dovrebbe far nascere forti dubbi sulla legittimità di un tale trattamento).
Oppure l’Algoritmo potrebbe avere ricavato l’informazione da qualche documento, forse una cartella clinica, una delle tante che qualche medico poco attento, o qualche struttura sanitaria, continuano a depositare sui servizi in cloud di Google, in totale dispregio di qualsiasi precauzione di sicurezza e riservatezza. Non sapremo mai dove “BigG” ha raccolto l’informazione.

Il problema del quale volevo discutere con Gianni è questo: il GDPR e le sterminate normative nazionali prescrivono nei minimi dettagli che cosa si deve o si può fare e che cosa non si può fare nei trattamenti di dati personali. I Garanti (non solo quello italiano) intervengono continuamente anche su questioni minime, come l’orientamento di una telecamera di sorveglianza che, per caso, inquadra anche la porta di un bagno, violando la riservatezza dei lavoratori che vanno a fare pipì.
Ma che cosa dovrebbero dire i Garanti degli Stati membri della UE sulla profilazione, sulla raccolta delle informazioni anche più intime relative a una persona, compiuta sistematicamente e su vasta scala dalle migliaia e migliaia di app che milioni, anzi, miliardi di individui trovano già installate, o installano, sui dispositivi che usano ventiquattr’ore su ventiquattro?

Certo, i Garanti ne parlano, dichiarano, deplorano, auspicano…Ma che cosa fanno in concreto di fronte all’acquisizione sistematica delle rubriche telefoniche, della geolocalizzazione, della lettura di email e SMS, dell’uso della telecamera e del microfono, della registrazione dei dati di navigazione e delle scelte di acquisto e persino dei dati relativi allo stato di salute che vengono sistematicamente raccolti ed elaborati – i famosi Big Data – dai dispositivi e dalle app che ciascuno di noi usa tutti i giorni e molte volte al giorno?

Si risponde: nell’installazione dell’app l’utente esprime il suo “consenso informato” al trattamento dei dati. Quale consenso, se le informative sono sostanzialmente illeggibili (quelle di Google e di Facebook equivalgono a trenta-quaranta pagine di un libro) e stendono una cortina fumogena sulla vera natura dei trattamenti?

La lettura di questi testi scoraggia chiunque, Anche, si direbbe, le istituzioni e la pubblica amministrazione, visto che molti politici, molti pubblici amministratori anche di altissimo livello, usano Gmail per la loro corrispondenza.
Questa “distrazione” è tale che sembra che nessuno si sia accorto che nelle informazioni rese da Google e da molti altri Over The Top mancano proprio quelle sulla profilazione, come sono prescritte in dettaglio da diversi articoli del GDPR.

Il rispetto formale delle norme nasconde troppo spesso il loro sostanziale aggiramento. Quando su un sito leggiamo la richiesta del consenso per l’invio dei cookie, e all’apparenza potremmo negarlo, i cookie sono già sul nostro dispositivo. Se neghiamo il consenso, l’informazione viene depositata nel nostro sistema con un apposito cookie. Ma se usiamo l’elementare precauzione di attivare la cancellazione dei cookie alla chiusura del programma di navigazione, anche questo cookie va perduto e siamo di nuovo esposti alla trafila. È una specie di “comma 22” della protezione delle informazioni personali: «Chi vuole proteggere i suoi dati cancella i cookie, chi cancella i cookie non protegge i suoi dati».

Sembra che non ci sia alcuna possibilità di difendersi. Eppure l’Europa ci aveva provato, con una proposta di regolamento per completare il GDPR con le disposizioni in materia di servizi di comunicazioni, il cosiddetto “regolamento e-privacy”. Prevedeva, fra l’altro, il diritto dell’interessato, in linea generale, di non voler essere tracciato e profilato
Una bozza del regolamento era stato pubblicata nel gennaio del 2017; il testo finale avrebbe dovuto essere applicabile dal 25 maggio 2018, insieme al GDPR. Sono passati quasi tre anni dalla bozza, ma il regolamento è scomparso. Bloccato dalle lobby dei padroni dei Big Data, preoccupati da una prevedibile contrazione del lucroso mercato dei dati personali.  

Così arriviamo al punto centrale della questione, riassunto nel titolo di questo incontro: quali garanzie abbiamo contro i “poteri forti”? Poteri forti, va ricordato, che nel mondo globalizzato di oggi si chiamano Google, Facebook, Amazon, Apple e via elencando (senza dimenticare la cinese Alibaba, che sta sbarcando in Europa anche nell'e-commerce al dettaglio).
Ma proprio da uno di questi “poteri forti”, Amazon, pochissimi anni fa, veniva un consulente del nostro Governo, al massimo livello. Nessuna riserva sulle qualità della persona, ma è una questione di principio: come si può pensare di mettere il lupo a organizzare la vita dei tre porcellini?

La domanda è di stretta attualità, dal momento che le Autorità per i dati personali e per le comunicazioni sono in regime di proroga della proroga. Quali garanzie abbiamo che non venga nominato un professionista che in passato ha curato gli interessi di qualcuna delle Big Company, che non abbia un rapporto di fiducia con i “poteri forti” del nostro tempo?

E allora la mia risposta alla domanda iniziale “quali garanzie…?” è “non lo so”.

Solo un punto, per me, è chiaro: siamo tutti vittime del “ricatto digitale”: informazioni e servizi solo in cambio di dati personali. In ultima analisi, in cambio dell’esercizio effettivo della “cittadinanza digitale” che Stefano Rodotà definiva come “cittadinanza tout court”.

La domanda con la quale conclusi l’ultima intervista a Giovanni Buttarelli, nel dicembre del 2017, era questa:
«Siamo di fronte a una sorta di “ricatto digitale” quello che subiamo quando siamo costretti a cedere i nostri dati per ottenere un servizio, sia un account di Facebook o altro?».
La sua risposta: «Eliminiamo le parole “una sorta di” e la risposta è già: “sì”. Noi abbiamo lanciato il dibattito sull’etica non per parlarci addosso su chissà quale morale da applicare alle nuove tecnologie, ma perché c’è un problema sostanziale, che le leggi sulla protezione dei dati affrontano con una certa importanza (e adesso il Regolamento avrà un ruolo). Ma non si possono risolvere tutti i problemi se non c’è un discorso che porta ad affrontare quello che è detto nel “considerando” introduttivo del Regolamento: le tecnologie devono essere al servizio dell’uomo, non il contrario».

Era questo l’impegno di Giovanni Buttarelli. Un impegno sul filo dell’etica prima che su quello delle norme. Ma era, ed è ancora, una lotta impari. Troppo grande è diventata la potenza delle grandi techno-company, troppo agguerrite le loro lobby. L’esempio più evidente è il bòocco del regolamento e-Privacy, al quale ho già accennato poco fa, fermo, impantanato fra "pareri" e proposte di cambiamenti.

La speranza è che il nuovo Parlamento e la nuova Commissione vogliano e sappiamo continuare il lavoro di Buttarelli. Sembra che a Bruxelles che ci sia, finalmente, la consapevolezza delle dimensioni del problema. Margarethe Verstager, commissario alla concorrenza e ora anche al digitale, ha riconosciuto che non basta il GDPR per contrastare l’invadenza delle grandi compagnie tecnologiche. Forse potrà realizzare l’auspicio di Buttarelli, che in una delle sue ultime interviste avanzava l’ipotesi di un’autorità a livello europeo, con la forza necessaria per combattere gli abusi dei padroni dei Big Data.

Non resta che aspettare, conservando il ricordo di un uomo la cui impronta resterà non solo nella memoria di chi lo ha conosciuto e stimato, ma nella storia della costruzione dell’Europa e dell’affermazione dei suoi principi di libertà.