Nell’iconografia classica la giustizia è spesso rappresentata come una donna bendata e procace che tiene una spada in una mano e la bilancia dall’altra. La benda è l’elemento ambivalente: da un lato segnala che nell’esercizio della sua funzione materna la giustizia non ha preferenze, è neutrale, equa; dall’altro, come per la fortuna, suggerisce che conti anche l’alea nella tutela dei diritti violati: non tutto si può decidere in assoluto con imparzialità. La cecità della dea, oltre al potere della spada sguainata e a riposo, rappresentano l’insicurezza del giudizio. È il potere a decidere e spesso lo fa senza riuscire a valutare gli interessi in gioco per pesarli adeguatamente. È questo lo scenario che – suo malgrado – evoca il libro dell’attuale presidente dell’autorità Garante per la protezione dei dati personali, Antonello Soro, Liberi e connessi (Codice edizioni, pp. 188, euro 12). In questo lavoro si discutono i problemi aperti del variegato quadro della legislazione per la protezione dei dati personali.

Le deroghe dal diritto

Tema molto attuale la privacy: il nuovo regolamento europeo, entrato in vigore il 25 maggio 2016, sarà applicato in tutti gli stati dell’Unione europea tra due anni, mentre la nuova direttiva dovrà essere recepita da tutti gli Stati membri, entro due anni dal 5 maggio scorso. Nel nuovo regolamento ci sono alcune novità rilevanti, tra cui l’articolo 3 che riguarda l’ambito di applicazione territoriale della protezione. Vi si stabilisce che i dati si proteggono laddove sono acquisiti. Si sancisce una tutela extraterritoriale, spostata sul luogo della raccolta: offerta di beni e servizi o monitoraggio delle azioni, indipendentemente da dove i dati vengano manipolati e conservati. Resta da capire con quali strumenti e con quali costi sarà possibile far valere il diritto.

La semplificazione delle pratiche burocratiche sembra essere la bussola generale: primo snellimento il cosiddetto one stop shop, principio che consente di eleggere un paese principale dove espletare le pratiche di protezione dei dati per le società attive in Europa. Inoltre saranno i titolari del trattamento a valutare la pericolosità delle proprie attività di raccolta dati per prevenire i rischi di malfunzionamento, favorendo la privacy by design e by default dei sistemi adottati, riducendo le pratiche burocratiche da espletare.

Colpisce, tuttavia, l’estensione e la quantità delle deroghe alla tutela dei dati personali per interesse pubblico (persino informazioni sulla salute possono essere raccolte e conservate segretamente nei casi di prevenzione contro le epidemie, ecc.) o attraverso l’espressione di un consenso esplicito al trattamento da parte dell’interessato/a. Sul tema del consenso informato il garante segnala un dibattito controverso. Sarà possibile usare i dati anche per finalità differenti da quelle originarie, purché il titolare del trattamento le consideri compatibili con quelle iniziali. Se le finalità non sono completamente definite al momento del consenso com’è possibile che la volontà sia manifesta? Purtroppo nel trattamento dei Big Data nessuno sa fin dal principio in che modo è possibile analizzare e mettere in relazione i dati, attraverso l’adozione di nuovi metodi e algoritmi per l’analisi e quindi il consenso iniziale resta generico. Sembra la madre di tutte le deroghe. La giustizia bendata è altresì confusa su diritti e interessi da tutelare.

L’uso sempre più intenso del metodo della proporzionalità tradisce la centralità del diritto privatistico: prevale la regola dei rapporti tra privati, anche quando siamo nell’ambito dei diritti inalienabili dei cittadini che si oppongono alla datificazione dell’esistenza. Habeas corpus come habeas data sostiene Rodotà, e in Italia lo conferma la Dichiarazione dei diritti in internet, ma come difendere il diritto?

Nel regolamento resta il principio, sancito dall’articolo 22, che «l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona», ma sembra difficile farlo valere nel mare delle deroghe previste e nella difficoltà di conoscere le pratiche che istituzioni pubbliche e imprese private adottano per la presa di decisione: pensioni, salute, lavoro, sicurezza, mutui, assicurazioni, società di telecomunicazione, non sono solo le multinazionali di internet a interessarsi ai nostri dati. Tutto resta sommerso dal segreto, ma in agguato, dietro la «datificazione» delle vite e delle abitudini, non è solo l’uso a fini di marketing dei dati. Rischiamo molto di più. Entrare nel mondo della presunta neutralità dei dati dove la profilazione fa emergere «naturalmente» dai comportamenti un vaticinio punitivo, un giudizio e una marginalizzazione delle categorie oggetto di analisi: si introducono elementi discriminatori e parziali, come se fossero frutto di descrizioni oggettive. Anche il garante osserva che, nella commistione di vita online e offline, aumenta il rischio che le categorie dei Big Data finiscono per essere un potente strumento per sanzionare ogni diversità, il presupposto per l’esclusione di collettività più fragili, e le derive identitarie di gruppi dominanti: l’obiettivo è controllare e indirizzare il futuro.

Un rischio globale

Come proteggere i nostri dati nella società della sorveglianza, illusa che la sicurezza sia una funzione del monitoraggio di ogni nostra azione, per prevenire gli atti criminali dei soggetti devianti? Le proporzioni sono difficili da definire, ammette anche Soro, nella costante azione di controllo esercitata, a nostra insaputa, dai servizi segreti internazionali.

Tra luci e ombre descritte nella protezione dei dati personali, osserviamo un segnale positivo: di recente l’Autorità italiana per la protezione dei dati personali ha ordinato a Facebook di fornire a un utente che lo richiedeva tutte le informazioni che lo riguardavano, presenti sulla piattaforma, comprese quelle di una falsa identità costruita a suo danno. Nella pronuncia il Garante afferma la competenza dell’autorità su Facebook e l’applicabilità della legislazione italiana, visto che esiste una sede del social network nel nostro paese.

Secondo Vinton Cerf, uno dei padri di Internet, per aver contribuito al suo protocollo di funzionamento, attualmente nella posizione di Chief Internet Evangelist a Google, «per noi sarà sempre più difficile ottenere la privacy». Speriamo che non abbia ragione e che possano prevalere le ragioni di un’Europa capace di proteggere la propria cultura e la propria storia. La bilancia è ancora in movimento.