Non c'è libertà senza privacy: l'anno del covid visto dal Garante privacy - Cyber Security 360

RELAZIONE ANNUALE 2021

Non c’è libertà senza privacy: l’anno del covid visto dal Garante privacy

Il Garante privacy italiano ha presentato oggi al Parlamento la relazione annuale sull’attività svolta nel 2020: emerge il ruolo della protezione dei dati come baluardo di difesa della libertà delle persone e requisito di democrazia, anche di fronte a crisi importanti come quella dell’emergenza sanitaria

02 Lug 2021
C
Anna Cataleta

Senior Partner P4I – Partners4Innovation

Il ruolo della privacy come requisito di libertà e democrazia, in grado di assicurare al singolo le condizioni per la libera costruzione di sé e alla società il giusto equilibrio tra privato e pubblico, tra diritti e libertà.

Il Garante della privacy ha presentato oggi al Parlamento la relazione annuale sull’attività dell’Autorità svolta nel corso del 2020, un anno caratterizzato dalla pandemia che ha portato gli utenti a spostare la socialità e le attività lavorative sul digitale per sopperire alle misure di distanziamento sociale. I temi legati al trattamento dei dati hanno assunto un ruolo di primo piano come baluardo delle libertà degli individui che, limitati nello spazio fisico, hanno potuto manifestare la propria personalità nello spazio digitale.

La Presidenza della Camera, nella relazione introduttiva, ha riconosciuto l’importanza dell’attività svolta dall’Autorità Garante durante la pandemia e, in particolare, le campagne informative attivate a favore dei cittadini sul trattamento dei dati sanitari, il chiarimento dei dubbi degli operatori attraverso il ricorso alle risposte alle domande più frequenti e persino l’attività di sensibilizzazione svolta contro fenomeni come il cyberbullismo il revenge porn.

La mitezza del diritto della privacy, per l’Autorità, si caratterizza per la capacità di bilanciare diversi diritti, realizzare sinergie tra interessi in gioco e realizzare un sistema antropocentrico conformemente ai valori fondanti dell’Unione Europea.

LEGGI la relazione annuale 2020 del Garante privacy – PDF

La pandemia e la sfida della democrazia liberale

Il Garante è tornato più volte sulla situazione emergenziale che ha influenzato il primo anno di attività dell’Autorità. Più volte è stato sottolineato come la permanenza della situazione pandemica abbia costretto i cittadini a convivere con le limitazioni ai diritti e, pertanto, sia diventato fondamentale riuscire a distinguere il confine tra la deroga e l’anomia, esercizio che la democrazia liberale deve continuamente svolgere contro le derive autoritarie. Sul punto, secondo il Garante, nel corso dell’emergenza l’Europa ha dimostrato di saper coniugare libertà e solidarietà, sfuggendo a quelle che l’Autorità ha definito le derive tecnocratiche della biosorveglianza.

Analogamente, la traslazione dell’attività quotidiana nello spazio digitale ha costretto i legislatori europei a adattare il sistema delle garanzie nel passaggio dall’off-line all’on-line in forza del ruolo fondamentale che hanno svolto le piattaforme nel garantire agli individui gli spazi di socialità e lavoro che l’emergenza pandemica ha inevitabilmente compresso.

Il potere delle piattaforme e le garanzie individuali

Le misure di distanziamento sociale, pertanto, hanno imposto una traslazione sullo spazio virtuale dei legami e dei rapporti personali, altrimenti impediti nello spazio reale. Il Garante ha riconosciuto l’importanza del ruolo delle piattaforme per erogare i servizi che nell’off line non erano impediti in ragione dell’emergenza sanitaria. Tuttavia, tale situazione ha determinato un accentramento di potere in capo alle piattaforme che non è solo economico, ma anche sociale e decisionale.

Il Garante ha infatti ripercorso le trasformazioni del mondo del lavoro e i fenomeni di c.d. “caporalato digitale” rispetto ai lavoratori della gig-economy che si sono resi protagonisti del primo sciopero contro l’algoritmo. L’Autorità ha sottolineato altresì il ruolo dei gatekeepers in relazione all’accumulo di informazioni sui comportamenti online degli individui, manifestazione di un potere sociale e informativo che si è manifestato da un lato sotto forma di pubblicità mirata e microtargeting, dall’altro in decisioni che hanno finito per sollevare alcune questioni sul ruolo delle piattaforme.

Il Garante ha menzionato la sospensione degli account di Donald Trump che ha dimostrato come le scelte di un soggetto privato possano limitare il dibattito pubblico, arrivando ad impedire anche a un candidato alla Presidenza degli Stati Uniti d’America la stessa circolazione delle idee nel dibattito pubblico. Sul punto, la relazione annuale del Garante ha ricordato la pronuncia del Tribunale di Roma in relazione all’oscuramento del profilo social di un movimento politico per diffusione dei contenuti contrari alle policy del gestore, sottolineando come il contratto privatistico che regola la permanenza sui social sia soggetto ad eteroregolazione laddove incida su diritti fondamentali.

Il ruolo del Digital Service Act (DSA)

In tal senso, il Garante ha richiamato il Digital Service Act (DSA) per le forme di responsabilizzazione delle piattaforme che introduce, sia in relazione al potere di moderazione dei contenuti che viene assoggettato ad obblighi di trasparenza e rimedi impugnatori sia in relazione alla pubblicità mirata, il microtargeting, e il marketing su tecniche psicometriche in grado di adattare il messaggio pubblicitario sulle preferenze del consumatore desunte dalla profilazione algoritmica.

Il potere estrattivo delle piattaforme, in grado di desumere informazioni sui comportamenti degli utenti, secondo l’Autorità deve portare a rafforzare l’autodeterminazione dell’individuo attraverso la chiarezza e la trasparenza delle informative, che assurgono a presupposto di scelte libere e consapevoli soprattutto quando i servizi, apparentemente gratuiti, sono pagati con i dati.

Ecco il Digital Services Act: perché è rivoluzionaria la proposta della Commissione UE

La geopolitica della privacy

La consapevolezza circa il valore dei dati personali, secondo il Garante, rappresenta un baluardo contro il rischio della monetizzazione della privacy, vera questione democratica nel governo della rete. Il rischio di una feudalizzazione dei rapporti sociali rischia di legittimare la prassi di remunerare il consenso, ammettendo che si possa pagare per un servizio con i propri dati, e quindi con la propria libertà, rischiando di mettere in gioco i valori europei, quali la libertà e la dignità personale come diritti che nessuna ragione di stato o di mercato può limitare.

Non è un caso che l’Europa abbia messo al centro della propria agenda politica la regolazione del digitale, consapevole che l’anomia non rappresenta la libertà ma la soggezione dell’individuo alla lex mercatoria. Sul governo antropocentrico del digitale l’Unione Europea si fa promotrice di uno sviluppo sostenibile dell’innovazione funzionale al progresso sociale. In tal senso, viene sottolineata la differenza tra la visione europea e altri approcci, come quello cinese, che legittimano il social credit scoring e il riconoscimento facciale, persino emotivo, in grado di sollevare dubbi sulle conseguenze derivanti dall’unione della potenza di calcolo con quella coercitiva.

Nella ricostruzione dei rapporti geopolitici in ambito privacy il Garante non ha mancato di menzionare la sentenza Schrems II che ha inciso profondamente sui trasferimenti di dati personali con gli Stati Uniti e rappresenta la ricostruzione di due approcci diversi sia in relazione alle tendenze liberistiche all’innovazione sia sul piano del rapporto tra garanzie individuali e sicurezza nazionale. La sentenza Schrems II secondo il Garante, infatti, dimostra che la tutela della privacy non si limita alla fase negoziale delle parti, ma esige anche tutele pubblicistiche effettive.

La privacy nel bilanciamento tra libertà e sicurezza

I principi indicati dalla sentenza Schrems II in relazione all’ordinamento statunitense, infatti, sono il frutto dell’elaborazione giuridica europea che si è manifestata nel corso dell’anno anche sotto altri profili all’interno della stessa Unione. Le esigenze di sicurezza e contrasto al crimine, infatti, e la tutela degli spazi di libertà individuale sono stati bilanciati dalla sentenza Digital Rights sul tema della data retention che ha influenzato la conservazione dei tabulati da parte dei gestori per le indagini rivelanti ai fini di sicurezza nazionale. La sentenza ha circoscritto l’ambito di applicazione delle esigenze di sicurezza nazionale sottratte alle tutele della disciplina privacy. Come noto, infatti, è stato richiesto il controllo di un’autorità indipendente (giudiziaria o amministrativa) e la correlazione dell’acquisizione dei tabulati al contrasto di gravi reati o minacce per la sicurezza pubblica.

Sul punto, il Garante ha richiamato sia la questione pregiudiziale interpretativa pendente sulla compatibilità della disciplina italiana con quella europea, sia in relazione al tema dell’utilizzo del captatore informatico, limitato dal Parlamento alle sole attività di intercettazione ambientale previste dalla legge e autorizzate di volta in volta dal GIP. Il Garante non ha dimenticato di sottolineare come la pervasività degli strumenti tecnici messi a servizio delle attività investigative ha finito per sollevare un punto di attenzione in relazione all’esternalizzazione di tali servizi da parte delle Procure in ragione della riservatezza dei dati raccolti e dell’invasività degli strumenti nella vita degli indagati e di terzi estranei intercettati.

Protezione dei dati nell’emergenza sanitaria

Nel bilanciamento tra libertà e norme, il Garante ha ricordato come l’emergenza pandemica sia stata un fondamentale banco di prova del sistema delle garanzie democratiche e la disciplina della privacy uno strumento importantissimo. Le esigenze di contact-tracing per contrastare la diffusione dei contagi hanno portato in rilievo l’importanza dei principi di privacy by design, il Garante ha ribadito l’inammissibilità di forme di tracciamento territoriale o privato in spazi sono coperti da riserva di legge e assegnati alla sanità pubblica, subordinando comunque il tutto all’adesione volontaria dell’individuo.

Nel prolungamento dell’emergenza, il Garante ha ricordato l’importanza dell’uniformità delle garanzie e i principi di minimizzazione dei dati e di pseudonimizzazione degli stessi. Sono stati richiamati gli interventi effettuati sugli operatori sanitari, nei quali il Garante ha sottolineato le esigenze di chiarezza nelle definizioni per evitare incertezze applicative e le certificazioni verdi per l’individuazione di garanzie specifiche per il trattamento dei dati nei pass da cui possono evincersi informazioni sullo stato di salute

La traslazione online, indotta o accelerata dalla pandemia, ha intensificato l’attività consultiva del Garante su altri aspetti come la didattica a distanza per orientarne lo svolgimento verso modalità rispettose della privacy rispettose della dignità di docenti e studenti. Il Garante ha inoltre apprezzato l’introduzione del diritto alla disconnessione del lavoratore in smart working per impedire l’eccessiva osmosi tra tempo di vita e di lavoro che rischia di vanificare le conquiste del diritto del lavoro. Negli interventi svolti, in continuità con i principi europei, il Garante ha sottolineato l’importanza della tutela dell’individuo e della sua dignità che assurge a metro di misurazione dei vari interventi in tema di tutela dei dati personali.

Le nuove vulnerabilità

Nel far fronte alle sfide poste dalla pandemia l’Autorità si è posta come primario obiettivo quello di ristabilire la centralità della figura umana nell’ecosistema digitale e di tutelare efficacemente i diritti individuali resi maggiormente vulnerabili dall’accelerazione del processo di digitalizzazione in un periodo storico contrassegnato dal prevalere di esigenze pubblicistiche su quelle individuali. Numerosi sono stati gli interventi del Garante per contribuire a correggere le asimmetrie informative e tutelare gli individui da situazioni potenzialmente lesive dei diritti fondamentali.

Il caso Tik Tok e il controllo dell’età degli utenti

A questo proposito, nel suo discorso, l’Autorità ha ricordato come il provvedimento emesso d’urgenza nei confronti di Tik Tok abbia avuto come finalità quella di imporre al social network cinese il rispetto degli obblighi previsti dal Regolamento tra cui quello di verificare l’età degli utenti e di impedire l’erogazione di determinati servizi a soggetti di età inferiore alla soglia minima prevista per accedere a quella tipologia di servizio. Il Garante, accogliendo con favore l’impegno di Tik Tok ad implementare nuove misure di “age verification” dei suoi utenti, si è comunque riservato di svolgere un costante monitoraggio sull’operato del social network.

TikTok, dal Garante privacy nuove misure per tener lontani gli under 13

Il Presidente Stanzione ha inoltre ricordato che il controllo relativo all’età anagrafica degli utenti che accedono a determinati servizi digitali non è comunque sufficiente per garantire un ambiente digitale ospitale per gli utenti più giovani. Risulta essere infatti indispensabile la promozione di progetti di pedagogia digitale e rendere effettiva la responsabilità per coloro che diffondono contenuti illeciti in rete.

Deepnude, cyber bullismo e pedopornografia

A questo proposito l’Autorità si è espressa anche in relazione all’utilizzo di sistemi di IA che consentono di trasformare il volto, la voce e il corpo delle persone, creando veri e propri “falsi” a partire da immagini e video pubblicati in rete (lo scorso ottobre il Garante aveva aperto un’istruttoria nei confronti di Telegram per il software “DeepNude”). I rischi associati all’utilizzo di tali sistemi di IA risultano essere amplificati per i minori che hanno una scarsa consapevolezza delle conseguenze che possono derivare dalla diffusione online di un contenuto che li ritrae.

Deepfake e revenge porn, combatterli con la cultura digitale: ecco come

Il Garante ha inoltre evidenziato l’incremento che si è registrato nel 2020 in relazione ai casi di pedopornografia, cyberbullismo e di come l’accelerazione del processo di digitalizzazione abbia avuto un ruolo significativo in tal senso. Per garantire effettiva protezione alle potenziali vittime è necessario predisporre tutele adeguate sia in chiave preventiva (come, ad esempio, imponendo l’adozione di sistemi di age verification) che rimediale. In relazione a quest’ultimo aspetto importanti risultati sono stati raggiunti grazie alla collaborazione con la Polizia Postale. Tutela rimediale è inoltre stata prevista anche per le vittime di revenge porn che possono richiedere direttamente ai provider di bloccare il caricamento da parte di altri utenti di immagini sessualmente esplicite che le ritraggono, così da anticipare la soglia di tutela prevista.

AI e rispetto delle libertà e della dignità umana

Il Garante ha rilevato come l’utilizzo di sistemi di IA possa determinare bias in grado di incidere sui diritti degli interessati e ha ricordato come anche nella bozza di Regolamento per l’IA presentata dalla Commissione Europea siano stati previsti stringenti limiti all’utilizzo di specifici sistemi di IA come, ad esempio, quelli che consentono il rilevamento di dati biometrici facciali in luoghi accessibili al pubblico.

Secondo l’Autorità l’utilizzo di tali sistemi potrebbe comportare una sorveglianza di massa indiscriminata non rispondente ai valori etici e democratici dell’UE. A questo proposito il Garante ha ricordato il provvedimento recentemente emesso in relazione ad un sistema IA per la rilevazione di dati biometrici a fini di pubblica sicurezza e di come tale sistema sia stato considerato dall’Autorità inammissibile.

Il caso dei colloqui dei detenuti

Il Garante ha inoltre indicato di aver preso parte ad iniziative volte a coniugare l’esigenza di garantire la riservatezza dei colloqui svolti via Skype dai detenuti con quella di verificare l’identità degli interlocutori che intervengono in tali colloqui. L’impegno del Garante su questo tema si colloca all’interno di una più ampia collaborazione con il Garante nazionale dei diritti delle persone private della libertà al fine di assicurare a soggetti che versano in specifiche condizioni di vulnerabilità (quali sono i detenuti, i migranti ristretti nei Centri di permanenza e rimpatri, gli ospiti delle Residenze per l’esecuzione delle misure di sicurezza) il diritto alla privacy che è da intendersi come una componente essenziale del diritto alla dignità umana.

Colloqui dei detenuti via Skype, poca privacy: l’allarme dei Garanti

Cronaca e oblio

Nel corso dell’ultimo anno di attività, il Garante ha rilevato numerose violazioni dei diritti individuali commesse dai media nell’ambito dello svolgimento delle loro attività di informazione e come spesso, nell’ambito della cronaca giudiziaria la presunzione di innocenza a favore degli indagati non sia tenuta nella dovuta considerazione. Il Garante ha ricordato anche come ai fini del legittimo esercizio della funzione informativa sia essenziale il rispetto dei principi di lealtà e correttezza e che i professionisti della comunicazione non possano ricorrere ad artifici e raggiri per occultare la finalità informativa sotto l’apparenza di mere conversazioni confidenziali.

L’Autorità ha inoltre informato in merito alle decisioni che sono state assunte in relazione ai reclami sul diritto all’oblio e ha precisato come la deindicizzazione delle notizie pubblicate sul web possa rappresentare un utile strumento di bilanciamento tra la necessità di apprestare adeguate tutele ai diritti e alle libertà del singolo con il diritto all’informazione. Il Garante ha poi ricordato il recente indirizzo venutosi a consolidare che mira a riconoscere i presupposti della deindicizzazione di notizie inerenti a procedimenti penali qualora al soggetto sia stata concessa la non menzione della condanna o la riabilitazione. Infatti, in questi casi, qualora i dati giudiziari fossero sempre reperibili in rete, il soggetto risulterebbe essere sempre macchinato da uno stigma sociale in grado di compromettere o almeno in parte vanificare il suo reinserimento sociale.

Sicurezza delle reti e cultura della privacy

Il 2020, anche a seguito dell’accelerazione del processo di digitalizzazione e della necessità per molte realtà sia pubbliche che private di ricorrere ad uno smart working forzato, è stato caratterizzato da un forte incremento di attacchi informatici. Nel corso dell’ultimo anno sono stati 1387 i data breach notificati all’autorità e alcuni di questi sono stati particolarmente rilevanti sia in considerazione del numero di soggetti interessati che per la tipologia di dati personali coinvolti nella violazione. L’elevato numero di data breach ha dimostrato l’estrema vulnerabilità dei sistemi informatici, soprattutto di quelli utilizzati delle pubbliche amministrazioni che non sono stati progettati sulla base di un organico piano di innovazione e digitalizzazione.

Il Garante ha evidenziato la necessità di garantire una effettiva sinergia tra la protezione dei dati personali e la cybersecurity in modo che la transizione al digitale avvenga senza pregiudizio della sicurezza nazionale e della privacy individuale. A questo proposito, le lacune che erano state rilevate in relazione all’App IO in merito alle misure di sicurezza implementate e alla non conformità al principio di minimizzazione sono state colmate anche grazie all’ interlocuzione avuta con il Garante.

Il Garante privacy sul PNRR

L’Autorità ha evidenziato anche come tutte le riforme indicate dal Piano nazionale di ripresa e resilienza (PNRR) debbano necessariamente essere realizzate tenendo in considerazione fin dal principio i principi relativi alla protezione dei dati personali (privacy by design) anche al fine di infondere fiducia nei cittadini (in questo contesto un ruolo essenziale sarà giocato dai codici di condotta).

Il Garante ha poi presentato un resoconto delle violazioni che sono state riscontrate in ambito privato. Le sanzioni di importo più elevato sono state comminate nei confronti di operatori telefonici per lo svolgimento di attività di telemarketing “selvaggio” che si è confermato essere un fenomeno radicato nei rapporti commerciali di tale settore anche attraverso il ricorso ad una ampia rete di subfornitori (il “sottobosco”). In questo ambito un importante strumento di tutela sarà rappresentato anche dall’estensione del Registro delle opposizioni alle utenze mobile.

La tutela dei soggetti vulnerabili

Il Garante ha concluso la propria relazione sottolineando come la tutela dei soggetti vulnerabili sia l’elemento che possa contraddistinguere il mandato dell’attività dell’Autorità. Le categorie di soggetti vulnerabili, infatti, si moltiplicano in relazione alle varie situazioni, agli interessi e le forme di potere in gioco, nell’attività di bilanciamento e tutela della dignità individuale, l’Autorità pertanto si è data il mandato di riequilibrare i rapporti sociali nella direzione dei valori costituzionali di eguaglianza e pari dignità sociale.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5