Dichiarazione dei diritti in Internet

Audizione del Presidente Antonello Soro presso la Commissione sui Diritti e i doveri relativi ad Internet – Camera dei Deputati
 12 gennaio 2015

(testo dell’intervento)

1. L’elaborazione, da parte di questa Commissione, della “Dichiarazione dei diritti in internet”, è un’iniziativa importante: perché contribuisce a promuovere, nei cittadini, la consapevolezza dei propri diritti nello spazio digitale e, insieme, nei responsabili delle istituzioni, la coscienza dei  nuovi doveri.

La dimensione digitale è sempre di più il nostro “reale” spazio di vita: l’orizzonte concretissimo cui affidiamo la nostra esistenza, privata e pubblica.

Per ciò – ed è questa davvero la “cifra” dell’azione della nostra Autorità – proteggere i  dati personali (cioè le parti di noi che consegniamo alla rete) vuol dire proteggere la nostra libertà e la nostra stessa vita.

Accanto alla straordinaria capacità di promuovere processi inclusivi, di partecipazione democratica e pluralistica. Infatti, internet ha anche dimostrato – conl’ambivalenza propria di ogni tecnologia – di poter amplificare, con effetti dirompenti, atti discriminatori, violenti, vessatori, spesso nei confronti dei soggetti più fragili o di quanti siano percepiti (e rappresentati) come diversi.

Alcune delle forme più insidiose della criminalità, anche organizzata, presuppongono oggi lo sfruttamento abusivo di dati personali, il furto d’identità, la frode informatica, quando non addirittura veri e propri attentati alla sicurezza nazionale realizzati in via cibernetica.

Ma anche tralasciando i fenomeni connessi all’uso illecito e dunque, pur nel suo “fisiologico” funzionamento, la rete espone gli utenti a rischi da non sottovalutare.

La profilazione e il monitoraggio delle scelte individuali (espresse dal comportamento on-line), consentono ad esempio diverse e più sottili strategie di esclusione.

Questi rischi di discriminazione e omologazione possono essere prevenuti soltanto con un consapevole esercizio, da parte di ciascuno, dei propri diritti in rete e con un impegno delle istituzioni tutte, nella consapevolezza che fenomeni globali –  propri dello spazio digitale – esigono risposte altrettanto globali.

In questo senso e’ irrinunciabile la prospettiva in cui si colloca la Dichiarazione – ovvero la promozione di quei principi nelle sedi internazionali – , pur essendo consapevoli  dei limiti che incontra l’affermazione di una stessa regola in ordinamenti (e quindi in contesti sociali, politici, istituzionali) profondamente diversi tra loro.

Ciò che certamente condividiamo – e che abbiamo da tempo sostenuto – è la necessità di non lasciare la rete agli imperativi, mai egalitari, della lex mercatoria, demandando così a quella “legislazione privata” delle condizioni generali di contratto la garanzia, su scala mondiale, dei diritti fondamentali.

Perche’, come ha ricordato la Corte di giustizia con la sentenza Costeja c. Google Spain, i diritti fondamentali non possono essere assoggettati alla mera logica del profitto, in armonia con il principio personalista sancito dal preambolo della Carta di Nizza.

Non si tratta di giuridificare uno spazio che altrimenti, lasciato alla discrezionalità dell’etica individuale, troverebbe un suo “ordine privato”: si tratta invece di difendere la libertà della rete dall’egemonia dei grandi monopolisti della rete da un lato e, dall’altro, dalle imposizioni dittatoriali degli Stati totalitari.

E’ dunque apprezzabilissima la scelta di pervenire a uno standard comune omogeneo, a livello globale, nella tutela dei diritti (della persona, oltre che della personalità) in rete, che garantisca ai cittadini di ciascun Paese – e qualunque sia la legge applicabile – uno statuto essenziale di garanzie e libertà, che è poi oggi il vero statuto della cittadinanza nella società digitale e della democrazia elettronica.

Ovviamente, questo “paniere” di diritti deve potersi attestare su un minimo denominatore comune, quale ad esempio quello considerato dalla Dichiarazione, che per quanto duttile non scenda oltre una certa soglia di astrazione, affermando come irrinunciabili talune garanzie che segnano davvero il punto di non ritorno nel processo di costituzionalizzazione dello spazio digitale.

E’ questo lo spirito con cui dobbiamo accostarci alla Dichiarazione, nella consapevolezza che molte delle affermazioni lì contenute possono apparire – a chi, come noi europei e italiani in particolare, è aduso a un livello assai elevato di garanzie in materia di protezione dati – scontate se non, addirittura, a volte anche riduttive rispetto alla nostra legislazione.

Rispetto a queste difformità, dunque, dobbiamo invece apprezzare l’affermazione, a livello globale, di diritti che in ordinamenti diversi dal nostro non hanno ancora riconoscimento, neppure formale, per la costruzione di un diritto pubblico (stavolta non più solo europeo) dello spazio digitale.

Le osservazioni che di seguito svolgerò si limiteranno, dunque, ai soli aspetti della Dichiarazione suscettibili di un ulteriore passo avanti, non certo nell’ottica del necessario adeguamento alla legislazione italiana, ma della promozione di istituti necessari per assicurare quello che e’ stato effiicacemente definito l”habeas data”,  in un tempo nel quale si concretizza la riduzione del corpo a dati e l’espressione digitale delle identità personali.

2. Importante è anzitutto, all’art. 4, la qualificazione del diritto alla protezione dei dati personali come sintesi di libertà, eguaglianza, dignità; ‘pietra angolare’ di ogni sistema democratico nell’epoca della cittadinanza digitale.

La norma va poi letta insieme agli artt. 6 e 7 perché è il loro combinato disposto a riflettere, nella reciproca integrazione, le varie componenti del diritto alla protezione dei dati personali: la garanzia da ogni forma di “schedatura” e discriminazione quale condizione per potere liberamente esprimersi; il diritto al controllo sui propri dati e sull’uso che altri ne facciano; la libertà nell’espressione del consenso, che dev’essere effettiva soprattutto nei rapporti caratterizzati da asimmetria e squilibrio di potere, rischiandosi altrimenti nuove forme di prevaricazione dei più deboli.

Degno di nota è, in questo senso, il penultimo comma dell’art. 4, che recupera quella dimensione antidiscriminatoria che è alle origini della legislazione sulla protezione dati, in Italia affermatasi addirittura con lo Statuto dei lavoratori.

Analogo fine antidiscriminatorio ha, poi, l’affermazione della neutralità della rete e dell’universalità dell’accesso, che nell’impedire ogni forma di censura in ragione del contenuto o dell’utente, rappresenta la principale garanzia del carattere effettivamente democratico e, come si dice, della “capacità generativa” della rete.

Apprezzabile è, poi, l’espressa qualificazione come dato personale dei dati identificativi dei dispositivi, che consentendo di ricostruire il nostro comportamento in rete, possono rivelare aspetti privatissimi della nostra vita.

Importante anche la garanzia del singolo rispetto alle attività di profilazione e sfruttamento commerciale dei dati personali, così da impedire che gli interessi economici prevalgano sulle libertà individuali, come ha chiarito la Corte di giustizia.

Sotto altro profilo, ne deriva anche un’implicita tutela rispetto all’uso dei c.d. “metadati”, ovvero delle tracce “esterne” della navigazione che, proprio in quanto prive di “contenuto” sono in alcuni ordinamenti meno garantiti dei dati “identificativi” (ad esempio negli  Usa, come sapiamo).

Tuttavia, essendo il passaggio non del tutto chiaro nella stesura della bozza , sarebbe preferibile con la giusta articolazione, estendere espressamente la riserva di legge e giurisdizione lì sancita per le intercettazioni in senso stretto, a un’attività, quale quella di acquisizione dei tabulati (anche, ma non solo telematici), la cui invasività non va sottovalutata, come ha ricordato la Corte di giustizia.

Con la sentenza Digital rights dello scorso aprile, infatti, la Corte ha dichiarato illegittima, per violazione del principio di proporzionalità, la direttiva sulla data retention, ritenendola carente delle garanzie minime, necessarie per impedire che un così prezioso mezzo di ricerca della prova degeneri in uno strumento di sorveglianza di massa, oltretutto poco utile alle indagini se privo della necessaria selettività.

Dell’art. 6 si apprezza invece, per altro verso, la previsione della riserva di giurisdizione per ogni tipo di intercettazione, dunque evidentemente anche per quelle di natura preventiva di competenza delle agenzie di intelligence, che come noto solo in pochi Paesi (prevalentemente europei) richiedono un vaglio giudiziale, sia pure solo estrinseco.

Il tema è di grande attualita’, per effetto della grande emozione suscitata dai gravissimi atti terroristici  di Parigi.

Mi permetto in questa circostanza di sottolineare che nel rapporto tra sicurezza e privacy occorrerebbe avere sempre un atteggiamento coerente,nel rispetto del grande equilibrio che ispira la nostra Costituzione.

E andrebbero evitate oscillazioni  tra la recente planetaria indignazione per la scandalosa sorveglianza del Datagate e le pulsioni da piu’ parti registrate in queste ore per una frettolosa compressione delle garanzie che il nostro ordinamento riserva per la protezione dei dati personali.

L’esperienza ci ha insegnato che una intrusione sistematica e indiscriminata nelle comunicazioni dei cittadini non risolve le difficoltà  del contrasto al terrorismo.

E non mi riferisco al PNR proposto dai governi dell’Unione.

Tornando al testo l’art. 5, nel sancire il contenuto del diritto all’autodeterminazione informativa, dovrebbe forse prevedere piu specifiche cautele rispetto alle raccolte massive di dati personali, con un generale obbligo di privilegiare dati anonimi, per i quali siano previste adeguate garanzie rispetto ai rischi di reidentificazione, sia pure mediata.

Garanzie, queste, che andrebbero previste espressamente anche rispetto al riutilizzo dei dati “generati e detenuti dal settore pubblico”, ai sensi dell’art. 5, che con norma di valenza generale detta i criteri per la governance della rete.

L’infinita riproducibilità e riutilizzabilità degli “open data” è, infatti, una delle prerogative della rete tale da renderla uno straordinario fattore di partecipazione democratica, di progressione sociale inclusiva, di diffusione dell’informazione, della cultura e della trasparenza dell’azione amministrativa.

E tuttavia, questa medesima caratteristica,  se non adeguatamente disciplinata, rischia anche di violare la dignità dei cittadini, come avverrebbe se, ad esempio, i dati sulla malattia dei dipendenti pubblici o sull’assunzione degli appartenenti a categorie protette (invalidi civili, ecc.) venissero divulgati in forma solo apparentemente anonima, ma in realtà tale da consentire l’identificazione dell’interessato.

Anche rispetto ai big data, dunque, le maggiori garanzie per l’interessato deriveranno dal rispetto dei principi di proporzionalità, non eccedenza, finalità, che forse sarebbe opportuno richiamare espressamente, nella loro reciproca integrazione.

3. Se apprezzabili e complete appaiono le norme sull’identità digitale e la libera costruzione della personalità (art. 8), qualche riflessione in più stimola invece l’art. 9, ove l’equilibrio tra anonimato in rete e tutela di chiunque sia leso da comportamenti illeciti tenuti on-line, è realizzato  prevedendo la reversibilità e tracciabilità dell’anonimato (e quindi la possibilità di identificazione dell’agente) in base a provvedimento giudiziale, nei casi previsti dalla legge.

Questo bilanciamento – soddisfacente in un ordinamento democratico – proprio perché affidato alle tipiche garanzie liberali della riserva di legge e di giurisdizione, rischia tuttavia di rivelarsi inadeguato in contesti appena meno liberali del nostro.

In un ordinamento in cui il potere legislativo non sia espressione della volontà popolare e in cui l’ordine giudiziario sia privo di reale autonomia e indipendenza, infatti, non è difficile immaginare come le deroghe all’anonimato possano essere utilizzate dal regime per reprimere il dissenso e le minoranze.

E quindi saremmo tentati di  auspicare in quei contesti forme di anonimato assoluto, come precondizione della libertà di espressione del pensiero e di partecipazione politica.

E tuttavia, siamo consapevoli che nella realtà globale gli steccati nazionali dei diversi regimi giuridici sono destinati a cadere e, quindi, il doppio regime (anonimato assoluto per gli Stati illiberali e anonimato tracciabile nelle democrazie) non avrebbe concrete possibilità di affermazione.

Come spesso accade, sul governo della rete si riflettono tensioni che rimandano a temi più ampi: la disciplina dell’anonimato esprime, forse più e meglio di ogni altra questione, il rapporto tra autorità e libertà; tra diritti individuali ed esigenze collettive; tra ragion di Stato e Stato di diritto.

Le soluzioni non sono sempre agevoli da ricercare, ma certamente la riflessione su questi temi costituisce una ineludibile premessa per governare la complessita’ del nostro tempo.

Del resto, nel tentativo di adeguare il diritto a una realtà che rischia di sfuggirgli per la rapidità dell’evoluzione tecnologica, non bisogna sottovalutare le implicazioni di sistema che ha ogni nuovo istituto giuridico.

Sul diritto all’oblio, ad esempio, l’art. 10 prevede la legittimazione di chiunque a conoscere i casi nei quali altri abbiano ottenuto la deindicizzazione di propri dati personali , ovvero la sottrazione alla reperibilità, con i motori di ricerca, di notizie a partire dal solo nominativo dell’interessato, pur conservandole, nella loro integralità, nel sito-sorgente.

Si dovrebbe quindi, evidentemente, pubblicare (sempre in rete?) un elenco dei soggetti che abbiano esercitato questa prerogativa.

In tal modo un diritto, quale quello all’oblio – affermatosi come garanzia di una “biografia non ferita” dallo stigma della memoria eterna della rete – rischierebbe, con un’eterogenesi dei fini, di rivolgersi nel suo opposto.

E questo non pare condivisibile, dovendosi invece preservare la natura autentica del diritto all’oblio, che già di per sé consente di coniugare memoria collettiva e storia individuale; giudizio pubblico e identità personale.

Nel senso da noi auspicato si muovono,in modo esplicito, le Autorità europee che nello scorso mese  hanno votato all’unanimità un documento di indirizzo sul tema.

Penso che dobbiamo sempre garantire  che la tecnica sia alleata, invece che nemica, dei diritti. E che la rete, sfuggendo alle opposte tentazioni della censura e dell’anomia, promuova le libertà e i diritti di ciascuno.

Del resto, la prima attuazione che della sentenza Costeja sta dando Google (e, quindi, le Autorità nazionali) dimostra come il diritto all’oblio, in particolare nella forma della deindicizzazione, non rappresenti in alcun modo un ostacolo al diritto di informazione.

Le richieste di deindicizzazione sono state infatti respinte in circa il 60% dei casi (ed è interessante notare come in Italia la percentuale di rigetti delle istanze sia maggiore che altrove), secondo criteri e valutazioni tendenzialmente condivisibili, come dimostra anche il fatto che nella maggioranza dei casi il Garante, adito successivamente al rigetto, non è pervenuto a soluzioni difformi.

E questo dimostra (a dispetto degli allarmi, invero non sempre disinteressati, per le gravissime conseguenze che la sentenza Costeja avrebbe determinato), che l’applicazione dei principi della protezione dati ai giganti della rete è sempre possibile e doverosa nonché, più in generale, che non vi possono essere per nessuno zone franche nel rispetto dei diritti fondamentali.

Ed è questo, al di là di ogni possibile valutazione sui singoli contenuti, il più importante e decisivo portato della Dichiarazione  che quanto mai opportunamente Voi avete deciso di redigere.

PRIVACY POLICY