Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Eliana Quattrini, La Casana – n.1 2017)
Non saremo mai più soli. Non potremo più nasconderci. La tecnologia digitale ha cambiato la nostra vita. Serve a raccogliere informazioni, a risolvere problemi pratici, a favorire il progresso della scienza. Ma concentra moltissimi dati su di noi ed espone a furti di identità, invasioni fastidiose, inopportune o addirittura criminali. Come ogni strumento va usato in modo consapevole, conoscendo limiti e rischi di un sistema che contrappone sicurezza e privacy. Per orientarci nel mondo incorporeo e potente del digitale, abbiamo rivolto alcune domande ad Antonello Soro, Presidente dell’Autorità garante per la protezione dei dati personali.
La legge sulla privacy compie vent’anni: è ancora attuale e in che modo eventualmente andrebbe aggiornata?
È stata sicuramente una disciplina di primissimo rilievo, che ha segnato un vero cambiamento culturale e sociale e in venti anni ha fatto fare al Paese grandi passi avanti nella tutela della riservatezza, della libertà e della dignità delle persone. All’inizio la “privacy”, termine ormai decisamente riduttivo, veniva percepita come un bene riservato ai personaggi noti: oggi la tutela dei dati personali è considerata per quello che veramente è: un diritto fondamentale della persona, da rispettare in ospedale, sul posto di lavoro, sul web. Soprattutto per tutelare i soggettipiù vulnerabili e pertanto maggiormente esposti al rischio di discriminazioni. La necessità di un tagliando è però evidente. Lo sviluppo impetuosodella tecnologia, il moltiplicarsi delle grandi banche dati, l’imporsi sul mercato dei colossi della rete e dei social media, la condivisione permanente delle vite on line richiedono inevitabilmente un aggiornamento delle forme di tutela. Il nuovo Regolamento europeo, che sarà applicato dal maggio 2018, risponde a questa nuova sfida.
Quali sono le principali differenze tra il nuovo Regolamento europeo e le norme vigenti in Italia?
Il nuovo Regolamento introduce una disciplina in materia di protezione dati uniforme e valida in tutta Europa. Stabilisce nuovi diritti – come il diritto all’oblio e alla portabilità dei dati – e introduce anche criteri che da una parte responsabilizzano maggiormente imprese ed enti e dall’altra, apportano notevoli semplificazioni e sgravi dagli adempimenti per chi rispetta le regole. La giurisdizione europea si applicherà anche a colossi della rete come Facebook e Google, così gli utenti che usufruiscono dei loro servizi saranno più tutelati.
Cos’è il diritto alla portabilità dei dati?
È un diritto innovativo previsto dal Regolamento europeo che permette a una persona di prendere e trasferire da un’azienda ad un’altra o da un web provider ad un altro tutti i dati trattati con il consenso di quella persona o sulla base di un contratto. È un diritto tipicamente digitale perché non riguarda gli archivi cartacei.
I dispositivi elettronici registrano e diffondono le informazioni più disparate, per esempio la nostra posizione in tempo reale. Ma quando usiamo una app o scriviamo su Facebook stiamo informando solo gli amici o anche i malintenzionati?
In rete possiamo trovare di tutto: gli amici, i conoscenti, ma anche persone poco raccomandabili, perfino gli hacker. Dovremmo tenerlo ben presente, quando, con tanta facilità, mettiamo on line la nostra vita. Pensiamo di condividere le nostre esperienze con un gruppo ristretto di “amici” e, invece, potenzialmente, stiamo comunicando con un popolo di sconosciuti. La geolocalizzazione, associata ad altre informazioni come genere, orari, abitudini di vita può creare un mix pericoloso, e consentire di disegnare profili appetibili non solo per le aziende ma anche purtroppo per stalker e malintenzionati in genere. Finora, se non volevamo essere geolocalizzati dovevamo disattivare questa funzione. Con le nuove norme europee sulla pro tezione dei dati, che saranno applicate dal prossimo anno, le società che progettano questi sistemi avranno un obbligo ancora più cogente di attenersi al principio “privacy by default”. Allora il criterio sarà inverso: la funzione non si potrà attivare automaticamente, ma solo su nostra richiesta.
Come vanno usati i social network per non incorrere in illeciti e rispettare gli altri?
In rete dobbiamo attenerci agli stessi parametri, etici e giuridici, cui ci atteniamo nella vita off-line: sottovalutare l’impatto delle parole sul web può renderci responsabili anche di gravi reati. Il cyberbullo, chi fa ricorso all’hate speech o esprime intolleranza verso una persona dovrebbe saperlo, e regolarsi di conseguenza.
Come difendersi dal cyberbullismo?
Il cyberbullismo è un fenomeno molto grave che espone le vittime ad una violenza dalla quale è sempre più difficile difendersi. Gli effetti delle vessazioni sono pervasivi, perdurano nel tempo e condizionano la vita di questi ragazzi costringendoli a cambiare abitudini di vita, scuola, e nei casi più gravi, come purtroppo è capitato, indurli al suicidio. Occorre in primo luogo consapevolezza. Il bullo “armato” di smartphone deve sapere che con il suo comportamento può anche commettere dei reati, la vittima non deve sentirsi in colpa e deve, anche attraverso i genitori o i professori, avere il coraggio di denunciare quanto sta accadendo.
Ha proposto l’inserimento dell’educazione civica alla società digitale fra le materie scolastiche. Ma spesso gli adulti non hanno sufficienti competenze per educare i giovani in questo campo. Come affrontare il vuoto culturale?
Bisogna promuovere una alfabetizzazione digitale rivolta non solo ai giovani, ma anche agli adulti, organizzando corsi, incontri, realizzando pubblicazioni e video divulgativi, promuovendo anche serial tv. È necessario che tutti gli attori coinvolti – scuole, istituzioni, associazioni di genitori – uniscano gli sforzi. Spesso capita che siano i figli ad insegnare ai genitori l’uso dei dispositivi elettronici, ma i ragazzi non sono quasi mai consapevoli delle insidie presenti on line, di valutare le conseguenze di un post pubblicato per irridere o cedere i propri dati personali senza pensarci troppo. Sapere come funziona il web, come operano i colossi della rete, a chi sto consegnando il mio io digitale è un pa-trimonio informativo che tutti dovrebbero acquisire prima di iniziare a utilizzare uno smartphone.
Con l’affermazione del digitale è sempre più diffusa la dematerializzazione dei documenti, per esempio bollette ed estratti conto inviati all’utente su supporto elettronico e non più cartaceo. In questo passaggio i dati personali quali rischi corrono?
Il Garante per la protezione dei dati è impegnato da sempre nella messa in sicurezza dei dati, dei canali di comunicazione e dei sistemi sui quali sono trasmessi e conservati. Abbiamo fatto grandi passi avanti nella tutela delle informazioni personali detenute dagli istituti bancari, dal servizio sanitario, dal fisco e in generale da tutti i soggetti pubblici e privati. La dematerializzazione dei documenti e la possibilità di accesso ai servizi on line rappresenta un importante vantaggio per imprese e pubblica amministrazione. Soprattutto per i cittadini che da casa possono compiere operazioni che un tempo richiedevano invece un notevole dispendio di tempo e di energie. Ma è necessario che i dati siano rigorosamente protetti per evitare che siano usati in modo improprio, persi o distrutti.
Big data e privacy dei dati sulla salute sono conciliabili?
I big data sono una vera e propria riserva energetica. Dicono tutto di noi, come consumatori, come elettori, come opinione pubblica. Chi li possiede ed è in grado di interpretarli ha in mano un potere immenso. Saprà indirizzare il messaggio più convincente al target che vuole raggiungere. In tutti i campi. I big data sulla salute sono ancora più appetibili. Sapere, in base alla medicina predittiva, se un lavoratore si ammalerà, e quando, può essere di indubbio interesse, sia per un datore di lavoro sia per una compagnia di assicurazioni. Per questo il Garante ha lavorato e sta lavorando molto perché ai dati sanitari sia garantita la massima sicurezza e protezione. Abbiamo dettato norme specifiche per la circolazione e la conoscibilità di informazioni tanto delicate e disciplinato il dossier e il fascicolo sanitario elettronico. Inoltre, siamo già intervenuti più volte, e in modo molto deciso, sia nei confronti di Regioni sia di Comuni che avevano operato in modo illecito, ad esempio pubblicando sul proprio sito istituzionale dati così riservati. Stiamo affrontando anche un fenomeno nuovo: sempre più spesso molte persone affidano al web, attraverso le app che monitorano le condizioni di salute, le proprie informazioni sanitarie, incuranti e spesso inconsapevoli dei rischi che ciò può comportare.
Esiste l’anonimato in rete?
Bisogna sfatare un mito: l’anonimato in rete non esiste. Il percorso potrà essere complicato, potrà servire del tempo, potrà essere necessaria la cooperazione giudiziaria internazionale, ma alla fine si arriva sempre ad un nome e un cognome.
I debitori colpevoli hanno il diritto alla tutela della privacy? Se ne è parlato nel caso di fallimenti bancari importanti
Va anzitutto precisato che la maggior parte dei debitori, in quanto persone giuridiche, dal 2011 è sottratta alla tutela accordata dal Codice privacy. Diverso è il caso se a ricevere i prestiti siano state persone fisiche. In proposito la legge – in primo luogo quella sul segreto bancario – tutela la legittima aspettativa di riservatezza, che ciascuno deve poter avere nel momento in cui richiede ed ottiene un prestito.
In conclusione, quali strumenti ha il cittadino per difendersi dall’uso illecito dei dati personali?
Il cittadino può presentare un ricorso o una segnalazione al Garante o adire l’autorità giudiziaria. Comunque un maggiore livello di consapevolezza può aiutare a difendersi: meno dati si mettono on line, più alto è il loro livello di protezione e minori sono i rischi. Con il nuovo Regolamento europeo poi, è importante ricordarlo, non solo i fornitori di servizi di telecomunicazioni e comunicazioni elettroniche, ma anche pubbliche amministrazioni, aziende, strutture sanitarie pubbliche e private, istituti bancari, avranno l’obbligo di comunicare al Garante privacy la perdita o la distruzione di dati personali che possono verificarsi a seguito di attacchi informatici, accessi abusivi, incidenti. La mancata comunicazione comporta pesanti sanzioni pecuniarie.