Privacy by design: il ponte tra diritto e tecnica nella tutela dei dati personali

1. Privacy e tecnologie dell’informazione

Il concetto di privacy, sin dalle sue origini, si è legato con la nozione di progresso tecnologico. Tale esigenza dell’individuo, infatti, si sviluppa e si alimenta proprio con il progredire della società, dell’economia e della scienza; in tal senso, un punto di non ritorno è dato dal diffondersi dell’Information and Communication Technology (ICT), che segna una svolta epocale nel rapporto tra diritto e tecnica, con notevoli conseguenze anche, ma non solo, in tema di privacy. Le tecnologie informatiche, impiegate in quasi tutte le attività della vita quotidiana, non solo muovono enormi masse di dati ma garantiscono anche un accesso rapidissimo agli stessi, nonché l’interconnessione tra i sistemi e la possibilità di aggregare e combinare in modi diversi le informazioni, generando così nuova conoscenza[1].

È di tutta evidenza, quindi, come ciò abbia determinato un aumento dei servizi disponibili e un miglioramento delle condizioni di vita degli individui ma, allo stesso tempo, anche la comparsa di nuovi pericoli per la loro libertà, la loro autodeterminazione e per i loro dati personali. 

Infatti, Stefano Rodotà, politico e giurista tra i più esperti in materia, ha sottolineato, nel saggio Elaboratori elettronici e controllo sociale, che il singolo dato di per sé può essere considerato irrilevante, ma nel momento in cui è possibile conoscere contemporaneamente e connettere tutta la massa delle informazioni riguardanti una determinata persona, “ecco che dall’intreccio delle relazioni emerge un profilo complessivo del soggetto considerato”, che ne permette il controllo da parte di chi dispone dei mezzi idonei ad effettuare tali operazioni[2].

Le continue evoluzioni delle tecnologie dell’informazione costringono gli studiosi del diritto ad un’approfondita riflessione sul rapporto tra diritto e tecnica; infatti, la complessità sociale e le nuove tecnologie, refrattarie ad ogni forma di controllo, hanno sì determinato un mercato sempre più competitivo ma, allo stesso tempo, sempre meno governabile.

In particolare, il declino del potere politico e, conseguenzialmente, quello della regola giuridica, ha accresciuto il potere dei tecnici determinando il passaggio dal “diritto alla privacy” al “diritto alla protezione dei dati personali”, che si presenta quale strumento più idoneo a contrastare il potere informatico. Pertanto, si è passati da una visione statica e negativa di privacy, intesa come ius excludendi alios, ossia come strumento atto ad allontanare lo sguardo indesiderato direttamente connesso alla logica della proprietà privata[3], ad una visione dinamica e attiva della stessa, intesa quale mezzo che il singolo ha a disposizione per mantenere il controllo sulle proprie informazioni personali.

Si ha una vera e propria reinvenzione del concetto di privacy, che si presenta come un nuovo e autonomo diritto fondamentale della persona; l’individuo ha il diritto di decidere se, come e in quale misura i dati che lo riguardano possano essere utilizzati ed eventualmente trasmessi ad altri.

Ciò ha richiesto un nuovo approccio alla materia, in quanto il progresso tecnico-scientifico ha aperto a nuove prospettive di fronte alle quali sia gli schemi concettuali che le tecniche di difesa elaborate in precedenza si sono rivelate del tutto insufficienti; ferma restando, inoltre, la consapevolezza del carattere inarrestabile e rapido di tale progresso a fronte della lentezza delle innovazioni istituzionali.

A complicare ulteriormente il quadro vi è l'idea diffusa che, la protezione dei dati personali e il controllo giudiziario sulle forme di sorveglianza, costituiscono ostacoli a un efficiente cooperazione in materia di applicazione del diritto. Infatti, gli odierni sistemi di comunicazione uniti al metodo di raccolta di informazioni tramite database, creano un sistema di sorveglianza in grado di costruire una gabbia elettronica attorno a ciascun individuo. Ciò implica che, le disposizioni concernenti la privacy e il loro inserimento in codici di regolamentazione, non sempre sono il frutto di una scelta disinteressata dei governi tendente alla mera tutela dei cittadini, bensì un modo per ottenere poteri illimitati nell’accedere e nel raccogliere masse di dati personali sulla vita quotidiana di tutti, al fine di combattere il terrorismo, prevenire i crimini, smantellare truffe e garantire nuove opportunità di benessere ed efficienza.

In quest’ottica diventa fondamentale definire le condizioni affinché questo tipo di società non si traduca in controllo autoritario e indiscriminato, tenendo presente che nel far questo, come  messo in luce da Rodotà, la privacy non deve essere considerata come un ostacolo ma “la via grazie alla quale le innovazioni scientifiche e tecnologiche possono legittimamente entrare nelle nostre società e nelle nostre vite”, ricordando che “la semplice disponibilità di una tecnologia non legittima qualsiasi sua utilizzazione”, ma questa “deve essere valutata in base a valori diversi da quelli offerti della tecnologia  stessa” [4].

Le tecnologie dell’informazione pongono, al fine di assicurare un’efficace tutela della privacy, interessanti interrogativi sul rapporto intercorrente tra tecnica e diritto, coinvolgendo molti studiosi nel dibattito su quale delle due sia a prevalere. Può il diritto dominare la tecnica? O quest’ultima è destinata a prevalere? Quali sono gli effetti e i limiti che tanto le regole giuridiche che quelle tecniche presentano nell’affrontare il problema della protezione dei dati personali?

Per rispondere compiutamente a questi interrogativi è necessario approfondire i concetti di diritto e tecnica, o meglio il rapporto tra regola giuridica e regola tecnica.

2. La regola giuridica tra giuspositivismo e giusnaturalismo

Una delle principali domande a cui la filosofia del diritto cerca di fornire una risposta concerne la nozione stessa di “diritto”, ossia come questo debba essere inteso al fine di distinguerlo da concetti apparentemente simili ma sostanzialmente diversi, come la morale e i costumi sociali.

Molti studiosi, a tal riguardo, evidenziano come questo non sia solo un problema di definizione fine a sé stesso, ma un essenziale punto di partenza per la comprensione dei vari fenomeni giuridici che ci si appresta ad analizzare. Definizioni dissimili di “diritto”, infatti, possono portare a conclusioni significativamente diverse. Ovviamente, nelle varie fasi storiche della filosofia del diritto, alla domanda “cos’è il diritto?” sono state date svariate risposte, facendo emergere una stretta correlazione tra la rappresentazione del mondo giuridico e la realtà materiale, assorbendo il quadro normativo tutti i tratti caratteristici di un’epoca specifica.

Nota è la definizione del giurista romano Giuvenzio Celso Figlio (II sec. d.c.), poi ripresa anche nei Digesta dell’Imperatore Giustiniano (483-565), ossia: “ius est ars boni et aequi”, il diritto è l’arte di ciò che è buono ed equo. Da tale interpretazione, che lega lo ius ai valori morali ed etici, non si discosta Tommaso d’Aquino (1225-1274), che lo definisce: “ius est ars qua cognoscitur quid sit justum”, per cui il “giusto” deve essere il risultato a cui il diritto deve sempre tendere[5].

Per l’elaborazione di definizioni più articolate si deve attendere, alcuni secoli dopo, lo sviluppo dei due orientamenti fondamentali del pensiero giusfilosofico: giusnaturalismo e giuspositivismo.

Queste due scuole, rispettivamente del diritto naturale e del diritto positivo, affrontano le principali problematiche legate al diritto moderno occidentale, cercando di elaborare risposte certe e definitive con riferimento al mondo giuridico.

Il giusnaturalismo è una dottrina giuridico-filosofica che si è sviluppata, tra il XVII e il XVIII, ad opera di Althusius e Grozio, per poi essere arricchita da Hobbes e Pufendorf e, infine, essere assorbita dal contrattualismo di Locke e Rousseau e dal razionalismo kantiano. Questa corrente filosofica, dunque, non è espressione di una singola concezione di diritto ma, piuttosto, la sintesi di molteplici dottrine, tal volta tra loro significativamente diverse.

Ciò che unisce tutti i giusnaturalisti, invero, è l’idea che oltre al diritto positivo, cioè alle regole poste e create dagli uomini, esista anche un altro diritto ad esso assiologicamente superiore. Infatti, il fondamento etico ed oggettivo del diritto, inteso come strumento storico contingente, è il diritto naturale, le cui norme sono da considerarsi razionali e preesistenti alle norme giuridiche poste dallo Stato.

Tuttavia, è opportuno precisare che, differentemente dalla dottrina più antica che considerava il diritto naturale un prodotto normativo discendente direttamente da Dio o comunque dall’autorità religiosa, i giusnaturalisti abbracciano una concezione laica dello Stato. In quest’ottica esso, che è da considerarsi anteriore ad ogni società positivamente organizzata, non ha più un’origine trascendente ma un fondamento nella ragione umana. Il diritto naturale, quindi, si estrinseca in diritti soggettivi innati, imprescrittibili e inalienabili, di cui ogni individuo è titolare. Più specificamente, può essere definito “naturale” solo il diritto giusto a prescindere dal fatto che esso sia positivo o no; pertanto, sono tali tutte quelle regole che, pur non necessariamente codificate, si qualificano secondo ragione quali espressione dei superiori principi di giustizia ed equità.

Sinteticamente è possibile dire che le regole di diritto naturale esistono indipendentemente da atti normativi umani poiché esse non sono espressione della volontà bensì il frutto della conoscenza.

Alla corrente giusnaturalistica si contrappone il giuspositivismo o positivismo giuridico, che si sviluppa parallelamente alle grandi codificazioni del XIX secolo e, quindi, come conseguenza dell’egemonia del legislatore nel mondo giuridico. Con la nascita dello Stato moderno, infatti, si ha un processo di monopolizzazione giuridica ad opera del potere politico che si trasforma nell’unico creatore di diritto; in questo contesto matura il positivismo giuridico che, da un punto di vista storico, può essere considerato il logico sviluppo del giusnaturalismo anche se, sul piano dottrinale, è ad esso perfettamente antitetico.

Il giuspositivisti diversamente dai giusnaturalisti – che accolgono una concezione dualista che vede, da un lato, l’esistenza del diritto naturale e, dall’altro, quella del diritto positivo – si rifanno ad una visione monista del diritto. Tale dottrina ammette l’esistenza del solo diritto “positivo”, inteso come prodotto storico che promana dalla volontà del legislatore, negando la giuridicità del diritto naturale. Questa visione, infatti, si fonda sulla netta separazione tra diritto e morale, intendendo quest’ultima come l’insieme dei principi razionali che governano la vita associata. Secondo la corrente giuspositivista i cittadini sono tenuti ad obbedire alle norme giuridiche, a prescindere da qualunque valutazione etica delle stesse, semplicemente in quanto poste dal legislatore che è l’unica fonte di produzione e qualificazione del diritto. In quest’ottica, la giustizia non è altro che il risultato della certezza e correttezza tecnica della norma.

Riassumendo: mentre la teoria giusnaturalista considera il diritto naturale un diritto giusto e rilevabile razionalmente e, pertanto, sovraordinato al diritto positivo e sempre meritevole di obbedienza, il positivismo giuridico nega che l’etica o la morale possano costituire parametri di valutazione dell’opportunità o meno di obbedienza a una norma. I cittadini sono tenuti ad osservare le leggi, dietro minaccia di sanzioni, semplicemente in quanto poste dal legislatore.

Un’ulteriore evoluzione di questa dottrina si ha nel XX secolo, quando si sviluppa ad opera di Hans Kelsen e della Scuola di Vienna una versione più raffinata del positivismo giuridico, quella normativistica; questa è una concezione giuridico-filosofica fortemente anti-giusnaturalista. Kelsen, infatti, elabora la “dottrina pura del diritto” che ne abbraccia una concezione tutta formalistica, in forza del quale il corpo legislativo non viene più concepito come il complesso ordinato di norme volute da una o più persone in un dato momento storico, ma come l’espressione di una impersonale volontà normativa, sostanzialmente coincidente con il significato oggettivo che un ordinamento giuridico attribuisce a determinati atti e situazioni di fatto[6].

Il diritto viene identificato nella sua struttura formale di pura razionalità, senza subire alcun condizionamento da giudizi di valore, che sono invece fortemente soggettivi e irrazionali. Per Kelsen l’ordinamento giuridico è un “sistema di norme, la cui unità è costituita dal fatto che hanno tutte lo stesso fondamento di validità”[7]. Quest’affermazione richiede due precisazioni.

La prima è che le norme a cui il filosofo fa riferimento sono esclusivamente le regole giuridiche, le quali devono essere distinte dalle regole sociali, o meglio dalle altre figure ordinatrici che si riscontrano nel contesto delle norme di azione delle società umane. In particolare, coerentemente con il principio di separazione  tra diritto e morale, bisogna distinguere il dovere giuridico, che implica essenzialmente un’azione esterna al soggetto, dal dovere morale che è tutto incentrato sui suoi impulsi interiori[8].

 La regola morale viene rispettata da ciascun individuo in base alla propria coscienza e un’eventuale inosservanza della stessa può solo determinare dei rimorsi o un giudizio negativo da parte della società. 

La regola giuridica è guida delle azioni umane, è un dover essere che qualifica un fatto ed esiste anche se violata; per queste ragioni deve essere sempre prevista una sanzione quale conseguenza del comportamento da evitare.

La seconda precisazione deve partire dalla considerazione che Kelsen propone un approccio scientifico al diritto in quanto tale, considerando soltanto la sua struttura logica e astenendosi da qualunque giudizio circa il suo contenuto.  Egli nega che si possano ravvisare norme superiori naturali, di origine divina o razionale, che permettano di qualificare la legislazione positiva come giusta o ingiusta; infatti le ideologie, così come i principi morali sono storicamente variabili in rapporto a determinate esigenze e situazioni di fatto. Kelsen, quindi, adotta un approccio eticamente neutrale al diritto, purificandolo da tutti gli elementi ad esso estranei, come ad esempio l’etica, la sociologia e la psicologia. In questo modo il diritto viene identificato con la sua validità formale e, per essere valido ed applicabile dai giudici, deve essere prodotto in conformità a una norma di grado superiore che ne stabilisca le modalità di produzione.

Dunque per ogni norma giuridica ce ne sarà necessariamente un’altra volta a regolare il procedimento attraverso cui la prima norma viene prodotta e così via fino alla Grundnorm, ossia la norma fondamentale che è posta all’origine di tutte le regole giuridiche effettivamente vigenti in una determinata società. Secondo Kelsen: "nella norma fondamentale, in ultima istanza, trova la sua base il significato normativo di tutti i fatti che costituiscono l'ordinamento giuridico. Soltanto in base al presupposto della norma fondamentale il materiale empirico può essere inteso come diritto, cioè come sistema di norme giuridiche. (…)Essa non vale come norma giuridica positiva, perché non è prodotta nel corso del procedimento del diritto; essa non è posta, ma è presupposta come condizione di ogni posizione del diritto, di ogni procedimento giuridico positivo".[9].

L’ordinamento giuridico, dunque, non è altro che un ordinamento gerarchico di diverse stratificazioni di norme giuridiche, in cui le leggi statali sono solo un tipo di norma giuridica essendo tali anche le norme superiori ad esse, come le costituzioni, o inferiori, come i regolamenti e le consuetudini. Il diritto, inoltre, è effettivo solo se è applicato e osservato, poiché esso è “dover-essere”, cioè coattivo. Applicazione e osservanza sono le due condizioni di effettività del diritto positivo “ciò perché la norma giuridica è organizzazione della forza, cioè vincolo che esige ottemperanza e applicazione”[10].

La Seconda Guerra Mondiale nello sviluppo del pensiero giusfilosofico ha segnato un importante momento di svolta, determinando la crisi del positivismo giuridico e, allo stesso tempo, il ritorno al diritto naturale. Nel secondo dopoguerra, infatti, al fine di fornire una risposta agli orrori dell’Olocausto, si è fatta strada tra alcuni pensatori dell’epoca l’idea che i regimi fascisti fossero la logica conseguenza del giuspositivismo, che giustificava ogni norma giuridica semplicemente in quanto posta e resa efficace del potere politico effettivamente dominante in un certo territorio e ne professava l’obbedienza in quanto tale, a prescindere da ogni valutazione morale.

Un’accusa esplicita al giuspositivismo è mossa da Gustav Radbruch, secondo il quale è proprio la convinzione che “gesetz ist gesetz” (la legge è legge) e deve essere applicata qualunque sia il suo contenuto, ad aver ridotto il diritto a forza e di conseguenza, in alcuni casi estremi, a ingiustizia[11]. Si pensi, in tal senso, che il progetto di sterminio di massa è stato pianificato e portato a compimento da funzionari statali.

Una soluzione di compromesso al dogma giuspositivista, che postula la netta separazione tra diritto e morale, è offerta dal filosofo inglese L.A. Hart, che elabora la teoria del “contenuto minimo del diritto naturale”. Lo studioso, infatti, pur negando l’esistenza di una necessaria connessione tra regola giuridica e regola morale, ammette che in alcuni casi vi sia una sovrapposizione delle stesse, o meglio che la prima debba rispettare alcuni presupposti comuni alla seconda, legati a caratteri propri dell’uomo quale essere biologico e sociale. In particolare, nella sua opera Il concetto di diritto, Hart evidenzia come le credenze morali siano in grado di influenzare il modo in cui il diritto si evolve e, di conseguenza, l’interpretazione delle norme stesse[12]. Alla luce di queste considerazioni, il “contenuto minimo del diritto naturale” deve essere inteso nel senso che esistono fatti propri della condizione umana di cui il diritto non può non tenere conto; si pensi, ad esempio, che le risorse sono limitate e che tutti gli uomini sono mortali e vulnerabili. Ovviamente da tali fatti discendono delle conseguenze e Hart nei suoi scritti evidenzia come un ordinamento giuridico che non ne tenga conto e non offra contro di esse protezione non sia destinato a sopravvivere a lungo[13].

Le diverse correnti filosofiche trattate e le difficoltà sorte nel cercare di dare una risposta netta alla domanda “cos’è il diritto?” evidenziano l’artificialità del diritto stesso; o meglio come questo non sia null’altro che il prodotto della volontà umana e, in quanto tale, non neutrale ma legato a interessi e bisogni contingenti.

3. La techne e le sue “regole”

La parola “tecnica” deriva dal greco τεχνη (techne) ed era utilizzata per indicare l’arte, intesa con il triplice significato di: -  mestiere o professione; - destrezza, abilità, perizia o “saper fare”; - insieme di regole applicate e seguite in attività sia materiali che intellettuali. Ancora oggi, nella sua accezione contemporanea, tale espressione mantiene questa ricchezza di significati, individuando l’universo dei mezzi e delle tecnologie che nel loro insieme compongono l’apparato tecnico e, al contempo, la razionalità che presiede al loro impiego in termini di funzionalità ed efficienza[14]. Dunque essa è sapere specializzato, che indica sia l’attività volta alla progettazione, alla produzione e all’utilizzo di strumenti che hanno come scopo quello di soddisfare le esigenze pratiche della vita, sia l’insieme delle modalità e dei metodi che danno specificità ad un mestiere o ad una determinata attività.

La tecnica è certamente un aspetto caratterizzante dell’attuale civiltà moderna, che si pone alla base del progredire della conoscenza, favorendo un incremento qualitativo della vita dell’uomo; tuttavia, allo stesso tempo, è necessario interrogarsi sulla sua centralità all’interno della società e, secondo alcuni autori, del concreto rischio che la techne, da strumento nelle mani dell’uomo, possa trasformarsi in un meccanismo autonomo in grado di sfuggire al suo controllo.

Secondo Aristotele la tecnica «si genera quando, da molte osservazioni di esperienza, si forma un giudizio generale ed unico riferibile a tutti i casi simili»[15]. È possibile affermare, dunque, che essa nasce come insieme di conoscenze, derivanti dalle “osservazioni di esperienza”, finalizzate a orientare l’agire umano, andandone a costituire, solo successivamente, uno strumento di supporto; infatti, nel momento in cui le capacità fisiche di un individuo risultano insufficienti o non abbastanza sviluppate, la techne interviene a colmarne l’operato.

Tuttavia questo supporto, nato per aiutare l’uomo nelle attività che quotidianamente compie, nel corso del tempo ha finito per prendere il sopravvento, passando da mezzo a disposizione degli individui a scopo dell’agire umano.

A tal proposito sono molto interessanti e attuali le parole di Heidegger: «la potenza della tecnica che dappertutto, ora dopo ora, in una forma qualsiasi di impiego incalza, trascina, avvince l’uomo di oggi – questa potenza è cresciuta a dismisura e oltrepassa di gran lunga la nostra volontà, la nostra capacità di decisione, perché non è da noi che procede»[16].

Spesso si tende a considerare il progresso tecno-scentifico come un qualcosa di “neutro”, che non riflette in sé alcun valore morale e sociale, rispetto al quale l’unico problema che si pone è quello di governare al meglio i nuovi strumenti offerti, al fine di poterne sfruttare a pieno le potenzialità. In realtà, il progredire della tecnica non è un qualcosa di “neutrale” perché essa va a creare un mondo con caratteristiche ben determinate che l’uomo non può evitare di abitare, assumendo abitudini che non può evitare di contrarre. Quello che ciascun individuo fa - e il modo in cui lo fa - dipende da una precisa visione del mondo che non è mai neutra e che ne plasma il comportamento quotidiano. L’uomo, infatti, non è un essere che talvolta si serve della tecnica e talvolta ne prescinde; ciò perché abitando in un mondo intrinsecamente immerso nella tecnica quest’ultima non è più oggetto di scelta, ma è l’ambiente di cui fini e mezzi, scopi e ideazioni, condotte e azioni hanno bisogno per esprimersi[17].

Nel momento in cui la techne si colloca come requisito essenziale per il raggiungimento di qualsiasi scopo, anche l’uomo finisce per diventare ad essa funzionale. A tal proposito Severino scrive: "l’onnipotenza della tecnica distrugge e sostituisce l’onnipotenza di Dio. Come l’uomo abbandona la volontà di essere felice servendosi di Dio come mezzo, e si propone innanzitutto di fare la volontà di Dio, che si serve dell’uomo per celebrare la sua gloria; così l’uomo è destinato a fare la volontà della tecnica per essere felice, che si serve, per la gloria della propria potenza, della vita e della felicità"[18].

Pertanto, se nell’antichità la techne, in qualità di strumento nelle mani dell’uomo, era vista come un mezzo per raggiungere un fine, come dimostrano le parole di Prometeo: “O arte (techne), quanto più debole sei del destino”[19], con l’avvento della società moderna e l’enorme sviluppo tecnologico le cose cambiano ed essa diviene il “destino” dell’essere umano[20].

Alla luce di queste considerazioni, anche il modo di disciplinare il “fenomeno” della techne sta subendo dei mutamenti, con il conseguente affermarsi di un modo di dettare disposizioni che passa sempre più spesso attraverso la regola tecnica e/o standard tecnici.

Con “regola tecnica” si intende una specificazione tecnica o altro requisito o una regola relativa ai servizi, generalmente stabilita da apposite autorità designate, la cui osservanza è obbligatoria, de jure o de facto, per la commercializzazione e l’utilizzo degli stessi apparati tecnologici[21]; tali specificazioni sono generalmente basate su considerazioni di protezione del consumatore, qualità, compatibilità fra differenti prodotti o componenti, protezione dell'ambiente o altri interessi generali.

A questo punto è opportuno effettuare una distinzione tra norma tecnica o standard e regola tecnica.

Con la norma tecnica o standard si definiscono le caratteristiche (dimensionali, prestazionali, ambientali, di sicurezza, di organizzazione ecc.) di un prodotto, processo o servizio, secondo lo “stato dell'arte” (ad esempio le norme UNI[22]). In altre parole la norma tecnica descrive “come fare bene le cose”.

Di conseguenza, le norme tecniche non hanno caratteristiche di obbligatorietà, ma di solito tendono ad auto-affermarsi in forza dell'autorità dell'istituto di normazione che l’emana e/o perché particolarmente richieste/sentite dal mercato stesso; affinché diventi obbligatoria, quindi cogente, occorre una legge che specificamente indichi che tale norma sia di obbligatoria applicazione ed ovviamente che indichi i destinatari della stessa e il relativo campo di applicazione.

In tale contesto -e nell’ambito delle argomentazioni trattate dal presente elaborato- si pensi ad esempio allo standard ISO/IEC[23] 27018:2019 “Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors”, in materia di gestione della sicurezza delle informazioni dei service provider di Public Cloud, che costituisce un codice di buone prassi per la protezione delle informazioni di identificazione personale che sono trattate nei cloud; oppure, ancora, allo standard ISO/IEC 29100:2011 “Information technology - Security techniques - Privacy framework” che rappresenta una linea guida per l’implementazione di  un modello “framework” per la gestione della privacy con riferimento ai dati personali trattati mediante sistemi ICT e i cui principi sono stati mutuati nel Regolamento UE 2016/679 (General Data Protection Regulation o GDPR). In particolare, di rilievo in materia di protezione dei dati personali è rilevante l’ISO/IEC 27701:2019, che specifica i requisiti e fornisce una guida per stabilire, implementare, mantenere e migliorare continuamente un Privacy Information Management System.

Riassumendo, sia le norme che le regole c.d. “tecniche” sono specificazioni che definiscono le caratteristiche richieste ad un prodotto e/o servizio, tuttavia si differenziano poiché la regola tecnica è legalmente vincolante, mentre la conformità ad una norma tecnica, che come già accennato viene stilata da una organizzazione indipendente, è volontaria.

In tale contesto, non si può non menzionare il concetto di Lex informatica[24] trattato diffusamente dalla dottrina nordamericana, ossia l’insieme di scelte tecniche che impongono determinati comportamenti al processo di comunicazione nelle reti informatiche e che, generalmente, viene contenuto nei protocolli della rete, nei programmi utilizzati o nella modalità di accesso a una rete (wireless o via cavo).

La Lex informatica permette, da un lato, di stabilire norme specifiche per i flussi di informazioni della rete, dall’altro, di imporre le politiche generali per la circolazione delle informazioni digitali. Attraverso le strutture tecnologiche -si pensi ai protocolli PICS[25]- la Lex informatica può vietare alcune azioni, quali l’accesso alla rete oppure imporre alcuni flussi informazionali, quali il conferimento obbligatorio di dati di routing per l’invio dei messaggi elettronici.[26]

La Lex informatica, dunque, viene ritenuta, un sistema di regole parallelo[27]; le regole tecniche, infatti, vengono a costituire o un’implementazione diretta di quanto disposto dal legislatore, escludendo determinate opzioni, o un’attuazione indiretta, chiedendo agli utenti di non compiere certe azioni.

La rete, quindi, viene veicolata attraverso il mezzo tecnico e, di conseguenza, il divieto previsto dalla legge si trasforma in divieto “tecnico”[28].

La Lex informatica viene individuata da Reidenberg come una possibile soluzione ai problemi giuridici posti dalla diffusione delle tecnologie informatiche. Nel dettaglio, infatti, l’applicazione di norme, mediante vincoli di natura tecnica, potrebbe ovviare al problema dell’applicazione delle leggi nazionali, nonché alle difficoltà di armonizzazione del diritto.

In tale contesto, lo scenario che si viene a delineare, seguendo l’avanzare della “techne”, è quello di una regolazione che in molti casi non è del tutto espressa, ma al contrario viene a configurarsi sempre più in via indiretta e implicita nella tecnica stessa[29].

4. Il rapporto tra diritto e tecnica: implicazioni in materia di privacy

Chiariti i concetti di diritto e tecnica è ora possibile scendere nel dettaglio andandone, dapprima, ad analizzarne il rapporto sul piano generale e poi, nello specifico, con riferimento alla protezione dei dati personali.

Il progresso tecnologico ha pervaso non soltanto ogni aspetto della vita politica, economica e sociale degli individui, orientandone scelte e comportamenti, ma ha anche influenzato in modo significativo l’azione dei pubblici poteri intrecciandosi, sin dalle sue origini, con il diritto. In particolare, la diffusione delle ICT e l’affermarsi del mercato globale, ha sovvertito la configurazione tradizionale dell’ordinamento giuridico, evidenziandone i limiti; infatti, si è venuto a delineare un indebolimento della politica nazionale che ha messo in crisi la funzionalità regolativa della normativa in senso formale. Ciò è dovuto alle infinite implicazioni reciproche tra diritto e tecnica.

Quando analizza questo binomio le posizioni astrattamente assumibili sono tendenzialmente due: quella di chi sostiene che la tecnica debba e possa essere domata dal diritto e quella di chi, al contrario, afferma la prevalenza della tecnica sul diritto. Questi opposti punti di vista sono efficacemente rappresentati rispettivamente dal giurista Natalino Irti e dal filosofo Emanuele Severino.

Le riflessioni di Irti muovono dalla dottrina kelseniana, per cui nel periodo contemporaneo il diritto non può essere altro se non il diritto positivo, cioè “il diritto posto dagli uomini nella storicità del loro vivere”[30].

Dunque la validità delle regole giuridiche non dipende più dalla loro verità di contenuto ma dall’osservanza delle procedure proprie di ogni dato ordinamento che, allo stesso tempo, sono anch’esse il risultato della volontà degli uomini e non espressione di verità. È dentro queste procedure che si inseriscono le proposte di norme (lògoi), ipotesi politico-ideologiche, espressione di bisogni, interessi e passioni; queste si fanno posizione di norma quando riescono a prevalere sulle proposte antagoniste. I diversi partiti politici, infatti, avanzano le ipotesi di regolazione delle varie materie sottoposte alla loro attenzione; il conflitto sarà risolto in favore di quella proposta che, grazie alla quantità di consenso raccolta, riuscirà a prevalere sulle altre[31]. Irti, a tal riguardo, sostiene che, data la neutralità contenutistica, non esistano contenuti rispetto al quale tale procedura non sia in grado di funzionare.

Partendo da queste premesse si sviluppa il pensiero di Irti relativamente al rapporto tra diritto e tecnica che, necessariamente, include anche il rapporto con l’economia, poiché la tecnica è considerata uno strumento proprio dell’economia. Il giurista, pur riconoscendo un indebolimento della capacità regolatrice del diritto, dovuta sostanzialmente alla territorialità della legge contro la spazialità dell’economia e della tecnica, ritiene che ciò non vada in alcun modo ad incidere sul rapporto tra regola e regolato. Per cui la regola giuridica continua a porsi quale principio ordinatore della materia regolata, riuscendo in questo modo il diritto a dominare la tecnica.

Irti, nell’analizzare quanto Severino sostiene ne Il declino del capitalismo e Il destino della tecnica a proposito della tecnica stessa, avanza molteplici obiezioni alle affermazioni del filosofo.

La posizione di Severino, infatti, è nettamente opposta rispetto a quella di Irti; egli, invero, ritiene che la tecnica si sia trasformata da strumento a scopo del capitalismo, infatti essa è "capitalismo solo in apparenza, mentre in realtà è tecnocrazia, e cioè l'agire che si propone come scopo l'incremento indefinito della capacità di realizzare scopi, oltrepassando così la volontà “ideologica” di realizzare un certo mondo invece di un altro"[32].

In questo modo la tecnica passa da essere materia regolata a principio regolatore e, dunque, da oggetto di normazione a soggetto di normazione; la democrazia è costretta a subordinare il proprio scopo alla tecnica”[33]. Tuttavia, il filosofo precisa che, nonostante la dominazione della tecnica, la norma rimane; infatti essa, pur non mantenendo più il suo carattere politico, giuridico, morale ecc., diviene "regola capace di impedire che l’operatività tecnologica resti subordinata alle norme che ancora si illudono di regolare la tecnica e che pertanto sono destinate a trasformarsi, da regole, in regolati[34]".

Irti contesta in più punti quanto sostenuto da Severino, partendo dalla considerazione che l’assunzione della tecnica a scopo del capitalismo e dello Stato, essendo essa indefinita capacità di realizzare scopi e soddisfare bisogni, rende la nozione stessa di tecnica astratta e indeterminata, quindi incapace di indicare scopi e bisogni. Tale capacità della tecnica non comprende per sua natura la capacità di scegliere un singolo e determinato scopo; pertanto, la tecnica onnipotente, secondo Irti, non potrebbe più tradursi in norme, non essendo in grado di rispondere alle domande proprie del diritto: che cosa prescrivere? Come comportarsi? In base quale criterio decidere, cioè separare la ragione e il torto? Conseguenza di ciò sarebbe la morte del diritto poiché le norme perderebbero qualsiasi significato. A sostegno di questa tesi, Irti evidenzia come la tecnica elevandosi a principio di normatività, a “Grundnorm”, non possa non escludere gli scopi “anti-tecnologici”, per cui gli atti di volontà regolatrice sono vanificati dalla suprema volontà tecnologica, determinando la scomparsa di qualsiasi normatività politico-giuridica[35].

Irti, infine, sottolinea come il capitalismo abbia “un costitutivo bisogno del diritto”, mentre il diritto possa fare a meno del capitalismo; quest’ultimo, infatti, presuppone l’esistenza di norme giuridiche che ne regolino il funzionamento, che ne tutelino la vincolatività degli accordi e che assumano l’incremento di profitto quale scopo meritevole di tutela[36].

Tuttavia, dall’altro lato, Severino riesce a rispondere efficacemente a tutte le obiezioni di Irti. Egli, innanzitutto, non nega la distinzione tra regola e regolato ma sostiene che la materia regolata, cioè la tecnica, non sia né inerte né priva di scopi. Essa, infatti, differentemente dalle altre forme di volontà di potenza, cioè le norme religiose, morali, giuridiche, politiche, economiche che mirano a realizzare scopi escludenti, ha come unico fine l’incremento infinito della capacità di realizzare scopi.

La tecnica quindi ha una sua concretezza e tende all’onnipotenza, poiché mira alla crescita infinita nella propria potenza; basti pensare che nessuna innovazione tecnologica ha come proposito quello di impedire od ostacolare la realizzazione di altre tecnologie. La tecnica non elimina la norma ma la subordina a sé.

Per il filosofo bresciano, tanto il capitalismo quanto il diritto, sono forme di volontà destinate a passare da scopi a mezzi della tecnica. Questa, infatti, è l’età del “dominio della tecnica” e, dunque, il tempo in cui tutti gli scopi dell’uomo diventano i mezzi di un unico più grande fine che li ingloba: la crescita infinita del potenziamento della tecnica. Ne La tendenza fondamentale del nostro tempo Severino scrive che: «gli strumenti di cui l’uomo dispone hanno la tendenza a trasformare la propria natura. Da mezzi tendono a diventare scopi. Oggi questo fenomeno ha raggiunto la sua forma più radicale. L’insieme degli strumenti delle società avanzate diventa lo scopo fondamentale di queste società. Nel senso che esse mirano soprattutto ad accrescere la potenza dei propri strumenti[37]».

La tecnica diviene scopo dell’agire dell’uomo, infatti subordina a sé tutti gli altri campi del sapere giuridico, politico, economico, sanitario, finanziario e altri ancora; ciò sta a significare che ogni tipo di progetto o politica può assumere un senso solo se votato alla scienza e alla tecnologia.

La consapevolezza della filosofia contemporanea dell’impossibilità di una regola giuridica, morale, sociale ed economica universalmente vera e immutabile, rimuove ogni ostacolo all’avanzare della tecnica, con la diretta conseguenza che nessuna altra forza è in grado di regolamentarne e controllarne il suo progredire. Essa, dunque, diviene Grundnorm e, per quanto riguarda il rapporto con il diritto, non sarà più la volontà giuridica a servirsi della tecnica per realizzare un certo ordinamento giuridico ma quest’ultima a servirsi di ogni altra forza per realizzare il suo fine supremo. Quindi, la distinzione tra regola e regolato rimane, con la particolarità che la tecnica si fa regola e tutto il resto regolato[38].

Nel quadro delineato il diritto, la morale, la politica ecc., differentemente da quanto sostenuto da Irti, non perdono ogni significato; infatti, il progresso tecnologico presuppone forme di normatività politico-giuridica che, pur non potendo far nulla contro la sua dominazione, possono modificare e correggere ciò che si pone in contrasto con il suo scopo. Infine, Severino afferma che, come ogni altra cosa, anche la tecnica sia destinata in futuro a tramontare.

Analizzando il dialogo tra giurista e filosofo si viene ad evidenziare come il rapporto tra diritto e tecnica sia complesso e poliedrico. Se è vero, da un lato, che attraverso il progresso tecno-scientifico l’umanità ha raggiunto e raggiungerà risultati sempre più grandiosi, dall’altro, è altrettanto vero, riprendendo il pensiero di Severino, che gli strumenti tecnici sono aumentati esponenzialmente nel tempo, al punto tale che non è possibile rivendicare su di essi alcun dominio.

Un tempo, gli individui si servivano della tecnica per raggiungere i propri obiettivi ed erano, quindi, quest’ultimi ad orientare il loro agire; oggi, le ICT permettono la realizzazione di qualsiasi fine, mostrando all’uomo l’ampio ventaglio di possibilità a sua disposizione condizionandone l’operato. È in questo modo che la tecnica da mezzo si fa fine, poiché tutti gli scopi che l’umanità si pone possono essere raggiunti attraverso essa. Ciò, ovviamente, condiziona l’operato dei pubblici poteri e il diritto. In particolare, la techne e le sue regole invadono il campo d’azione proprio del giurista, che è costretto a fare i conti con nozioni, principi e regole che non appartengono al suo mondo, dunque al diritto. Ciò è ancora più evidente con riferimento ai diritti di nuova generazione, uno tra tutti, il diritto alla protezione dei dati personali, che nasce e si sviluppa proprio come conseguenza del progresso tecnologico[39].

Nel contesto di riferimento il diritto ha bisogno della tecnica, perché solo in questo modo può disciplinare i nuovi rapporti che vanno progressivamente ad assumere un’importanza sempre maggiore nella vita degli individui.

È il raggiungimento di questa consapevolezza che va ad orientare, da un certo momento in poi, l’operato dei pubblici poteri; infatti, gli apparati pubblici vengono affiancati dagli enti privati, nazionali e sovranazionali. È necessario, invero, il supporto di esperti per adattare quanto più tempestivamente possibile la regolamentazione tecnica all’evolversi del progresso tecno-scientifico. Per lo stesso motivo, sempre più frequenti e incisivi sono gli interventi del legislatore europeo.

Quanto detto finora, emerge chiaramente dalla storia concettuale e normativa del diritto alla privacy. Questo, partendo dall'antichità greca e romana sino a giungere ai primi anni del XXI secolo, si trasforma, di pari passo con il progresso tecnologico, da un’esigenza di pochi a diritto fondamentale dell'individuo, mutando il suo significato da ius excludendi alios, cioè diritto ad essere lasciati soli, a diritto alla protezione dei dati personali.  

In particolare, con il GDPR il legislatore europeo si pone l’obiettivo di realizzare un quadro giuridico più solido in materia di protezione dei dati personali, al fine di garantire il buon funzionamento del mercato interno. Nel fare questo, adotta un approccio alla tutela dei dati personali per cui la tecnica non è più vista come un ostacolo alla privacy degli individui ma come un possibile strumento utile alla sua tutela.

È solo attraverso la conoscenza della tecnica e delle sue regole che è possibile intervenire a regolamentare i nuovi rapporti che nascono e si sviluppano come conseguenza del progresso tecnologico; in particolare, per garantire un’efficace tutela della protezione dei dati personali, bisogna conoscere le specifiche tecniche e meccaniche delle ICT.

5.  La tecnologia come risorsa posta a tutela dei dati personali: la privacy by design

Spesso, erroneamente, si ricollega al mero impiego di nuove tecnologie il rischio di possibili violazioni della privacy degli individui, in realtà questi strumenti possono rilevarsi utili alla sua tutela; infatti, tutto dipende dall’uso che si fa della risorsa tecnologica in concreto. Ciò spiega perché, già da decenni, si discute attivamente nel mondo accademico della possibilità di ricorrere ad una serie di tecnologie in ambito ICT in grado di migliorare la protezione dei dati personali, andando ad eliminarne o ridurne al minimo la raccolta, sono le c.d. Privacy Enhancing Technologies (PETs).

Tale espressione è stata adoperata per la prima volta nel rapporto pubblicato nel 1995, dal titolo “Privacy-enhancing technologies: the path to anonymity”, dalla Data Protection Authority olandese in collaborazione con il Commissario dell’Ontario, Ann Cavoukian; si trattava di un progetto volto a dimostrare come le tecnologie possano essere utilizzate per attivare misure preventive nella tutela dei dati personali, limitando al minimo l’utilizzo e la lavorazione degli stessi. Questo documento, inoltre, si fonda sui Fair Information Practices (FIPs), cioè su un insieme di principi già riconosciuti in tutta la legislazione mondiale a partire dagli anni ’80.

In particolare, se ne considerano tre: 1) minimizzazione di raccolta, utilizzo, divulgazione e conservazione dei dati identificativi; 2) partecipazione e coinvolgimento attivo degli utenti, in particolare attraverso il riconoscimento a tali soggetti di poteri di controllo durante tutto il ciclo di vita dei dati personali trattati; 3) maggiore sicurezza delle informazioni sensibili, sia sotto il profilo del diritto alla riservatezza che sotto il profilo dell’integrità dei dati.

In sintesi, possono essere considerate PETs tutte quelle risorse tecnologiche idonee a ridurre i rischi di uso illecito dei dati personali; si tratta essenzialmente di strumenti di crittografia, volti a proteggere il contenuto dei messaggi, di anonymous remailing, indirizzati a rendere anonimo il mittente di un messaggio e di anonymous surfing, finalizzati a garantire la navigazione in Rete in modo totalmente anonimo[40]. Le PETs, infatti, non sono altro che standard tecnici che nascono al fine di proteggere le informazioni personali e dunque il loro scopo principale è quello di tutelare i soggetti interessati dal trattamento.

Il riconoscimento legislativo di tali strumenti tecnici non è tardato ad arrivare, pertanto i principi ispiratori di tale approccio hanno trovato una formale collocazione prima nell’art. 17 della direttiva 95/46/CE (relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali) e, poi, nel art. 3 del d.lgs. 30 giugno, n. 196 (Codice in materia di protezione dei dati personali). Invero, contestualmente all’implementazione delle PETs si è reso necessario creare un solido framework giuridico sulla protezione dei dati personali andando, da un lato, ad individuare gli obblighi e le responsabilità degli attori coinvolti nel processo di acquisizione, di trattamento e di conservazione dei dati e, dall’altro, a dettare norme imperative e cogenti affinché si abbia lo sviluppo e la diffusione di tecnologie il più possibile condivise ed armoniche, ciò al fine di garantire l’efficienza e l’efficacia delle azioni intraprese dai singoli Stati. Infatti, secondo Rodotà «il codice giuridico è continuamente sfidato dal codice tecnologico e deve quindi strutturarsi in modo tale da cogliere in quest’ultimo le opportunità che consentono di utilizzarlo in conformità ai valori ed ai principi fondativi dell’ordinamento»[41].

 Il Regolamento Ue 2016/679, invero, si muove proprio in questa direzione. In particolare, espressione di ciò, è l’art. 25, rubricato “Data protection by design and by default”, tradotto in “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”.

La privacy by design (PbD), che può dirsi un’evoluzione delle PETs, è espressione di quel principio secondo il quale le misure a tutela dei dati personali devono essere presenti sin dalla fase di progettazione degli apparati preposti alla raccolta e al trattamento. Invero, questo concetto non è di recente applicazione. Esso nasce da un’intuizione di Ann Cavoukian, per poi ottenere ampi riconoscimenti prima negli Stati del nord America e, successivamente, in Europa. Già a partire dagli anni ’90 Cavoukian evidenzia come, alla luce dei sempre più repentini sviluppi tecnologici, il futuro e la tutela della privacy non possano più essere efficacemente assicurati dalla mera regolamentazione legislativa, sottolineando l’importanza di andare ad implementarne la tutela direttamente nella struttura delle tecnologie dell’informazione, delle pratiche commerciali e delle infrastrutture di rete.

Nel 2009 viene pubblicato “7 Foundational Principles” in cui Ann Cavoukian, dopo anni di studi, elabora una descrizione ben strutturata della privacy by design; in particolare questa comprende tre grandi linee d’azione: 1) i sistemi IT; 2) le pratiche commerciali corrette; 3) la progettazione strutturale e le infrastrutture di rete[42].

Nello stesso testo, dopo una breve introduzione, sono indicati i sette principi fondamentali in grado di chiarirne la portata, cioè:

• Proattivo e non reattivo: prevenire non correggere: la privacy by design non offre dei rimedi per il caso in cui si siano verificati trattamenti illeciti ma va ad evitare a monte che ciò possa accadere. Secondo questo principio, infatti, è necessario adottare delle misure che siano idonee a prevenire ed evitare possibili eventi invasivi della privacy degli individui, attraverso un approccio proattivo piuttosto che reattivo[43]. In ambito commerciale ciò assume un’importanza cruciale, poiché attraverso la prevenzione e l'anticipazione di possibili violazioni della privacy è possibile realizzare un maggior grado di soddisfazione nei clienti, evitando, inoltre, i costi per un eventuale riparazione.
• Privacy come impostazione di default: la privacy by design si propone di realizzare il massimo livello di privacy attraverso impostazioni predefinite, cioè di default. L’obiettivo, infatti, è quello di garantire, attraverso l’introduzione della privacy by default nella progettazione di ogni sistema IT o pratica commerciale, che i dati personali siano protetti in modo automatico, cioè senza che sia richiesto all’utente il compimento di alcuna azione[44]. In particolare, oltre a dover specificare all’interessato, ossia alla persona cui si riferiscono i dati personali, prima o al momento della raccolta delle informazioni, le finalità per cui questi sono raccolti, deve garantire, al contempo, la “data minimization”, o meglio la riduzione al minimo dei dati trattati a mezzo dei sistemi informativi. La raccolta dei dati deve essere limitata al minimo indispensabile per le finalità perseguite e, altresì, non devono essere acquisite informazioni eccedenti rispetto agli obiettivi dichiarati nell’informativa; pertanto, nella progettazione dei programmi, del ICT e dei sistemi bisogna, di default, garantire che le interazioni e transazioni non permettano l’identificazione dei dati e, ove invece questa sia possibile o necessaria, deve essere ridotta al minimo.
• Privacy incorporata nella progettazione: la privacy by design deve essere incorporata già nella progettazione e architettura dei sistemi IT e delle pratiche commerciali; infatti, la tutela dei dati personali non deve essere concepita come un elemento ulteriore da aggiungere in un momento successivo ma deve, sin dall’inizio, esserne parte integrante senza, per questo, andare a diminuirne o comprometterne le funzionalità. Pertanto, la PbD va ad impattare direttamente sull’operato degli sviluppatori e degli ingegneri, i quali dovranno, in fase di realizzazione di ogni progetto software o hardware, effettuare un bilanciamento tra esigenze di funzionalità ed esigenze di tutela; ciò, ovviamente, comporta l’adozione di soluzioni creative volte a innovare le scelte compiute sino a quel momento e ora non più accettabili.
• Massima funzionalità – Valore positivo, non valore zero: la privacy by design punta, in un’ottica win-win, a conciliare tutti gli interessi e obiettivi legittimi in gioco, quindi non soltanto quelli legati alla privacy, dimostrando che per perseguirne uno non è necessario sacrificare tutti gli altri. In questo modo è possibile soddisfare le aspettative di tutte le parti coinvolte; infatti, nel momento in cui si procede ad incorporare la tutela della privacy in una determinata tecnologia, processo o sistema bisogna comunque assicurarne la massima funzionalità e garantire, per quanto possibile, che tutti gli altri requisiti siano ottimizzati[45]. Dunque, è necessario porre in essere tutte le opportune misure che permettano di superare quelle che in realtà si rivelano essere apparenti dicotomie. Si pensi, ad esempio, a quella tra protezione dei dati personali e trasparenza amministrativa, potendo così evitare inutili compromessi e ottenere entrambe. 
• Sicurezza End-to-End per l’intero ciclo di vita dell’informazione: l’incorporazione della privacy by design nei sistemi informatici e nelle pratiche commerciali sin dal momento della progettazione, quindi ancor prima dell’acquisizione del primo elemento di informazione, permette di assicurare ai dati una tutela adeguata per tutta la durata del loro ciclo di vita. Non dovranno esservi, pertanto, lacune né nella responsabilità né nella protezione per tutta la durata del processo, ragion per cui gli enti, sia pubblici che privati, non solo devono garantire che i dati siano acquisiti e conservati con cura, adottando anche i metodi di crittografia e di accesso più adeguati, ma alla fine del trattamento devono anche assicurarne la distruzione in modo sicuro.
• Visibilità e Trasparenza – Mantenere la trasparenza: la privacy by design cerca di assicurare la totale trasparenza per tutto il ciclo di vita delle informazioni, qualunque sia la prassi aziendale o la tecnologia impiegata. Dunque, tutte le azioni compiute nello sviluppo di un determinato software, proprio come tutte le operazioni di raccolta e trattamento dei dati, devono essere documentate e rimanere visibili e trasparenti di modo che chi di dovere o gli interessati possano controllarle[46]. 
• Rispetto per la privacy dell'utente - Centralità dell'utente: questo concetto sintetizza quanto emerge dai precedenti punti, ossia il ruolo centrale che deve assumere l’utente nel sistema privacy, che viene per tale ragione definito user centric. La privacy by design chiede ai progettisti e agli operatori di prestare attenzione, già dalle prime fasi di realizzazione di ogni progetto concettuale o strutturale, agli interessi primari degli individui al di là di ogni altra esigenza. È necessario, altresì, stabilire efficaci impostazioni di default della privacy, offrendo informazioni appropriate e potenziando le opzioni di facile utilizzo per l’utente. Si osserva, difatti, come i migliori risultati in tema di privacy si ottengono attraverso la responsabilizzazione delle persone coinvolte nelle operazioni di trattamento. A tal riguardo, devono essere innanzitutto gli interessati a svolgere un ruolo attivo nella gestione dei propri dati al fine di evitare ogni abuso.

Le applicazioni pratiche della privacy by design, che va ad integrarsi con il concetto di privacy by default, sono molteplici e non soggette a limiti; questa deve essere incorporata in tutti i tipi di processi e non solo in quelli attinenti alle nuove tecnologie. I principi della Pbd sono infatti universali e adattabili al caso concreto, si pensi ad esempio alla progettazione strutturale di ambienti o edifici, ai processi di business o alle infrastrutture di rete. Essi devono essere applicati a tutti i tipi di trattamenti di informazioni personali, ma in particolar modo a quelli aventi ad oggetto le categorie particolari di dati previste dagli artt. 9 e 10 del GDPR come, ad esempio, le informazioni inerenti alla salute oppure alla vita sessuale. In particolare, la maggiore o minore forza delle misure a tutela della privacy tende ad essere commisurata alla maggiore o minore sensibilità dei dati coinvolti.

Il riconoscimento della PbD come nuovo standard globale in materia di protezione dei dati personali si deve all’adozione, nell’ambito della 32ma Conferenza mondiale dei Garanti privacy che si è tenuta a Gerusalemme dal 27 al 29 ottobre 2010, della risoluzione “Privacy by Design” proposta da Cavoukian; con essa si è riconosciuta la PbD quale componente essenziale della protezione dei dati andando, inoltre, ad incoraggiare tutti gli Stati membri a prendere in considerazione questo nuovo approccio tecnico che dovrà affiancarsi al tradizionale approccio normativo[47]. Quindi sia nel settore pubblico che privato, anche come conseguenza dell’espresso riconoscimento del GDPR, vi è sempre più spesso la tendenza a rendere operativi i principi di PbD quasi inconsapevolmente, incorporandoli nel proprio modo di pensare, di fare affari e di fornire servizi.

Inoltre, è interessante segnalare come il principio della PbD così definito, sia stato ripreso, sviluppato ed ampliato da Mireille Hildebrandt, Professor of Smart Environments, Data Protection and the Rule of Law presso la Radboud University Nijmegen, che ha sviluppato la nozione di legal protection by design (LPbD). Con questa espressione si vuole indicare un metodo di tutela dei diritti e delle libertà fondamentali che va a generalizzare l’approccio dettato specificamente per la protezione dei dati personali per fini diversi e ulteriori[48].  Mireille Hildebrandt si interessa nello specifico agli ambienti intelligenti e all’attività di profilazione; quest’ultima può essere definita come una tecnica di elaborazione automatica dei dati, non necessariamente personali, finalizzata a sviluppare conoscenza predittiva sotto forma di profili che saranno, poi, considerati all’interno dei vari processi decisionali volti a creare modelli di business. Si pensi ad esempio alla Smart Grid, cioè alle reti elettriche dotate di sensori intelligenti in grado di raccogliere informazioni in tempo reale e di ottimizzare la distribuzione di energia elettrica evitando gli sprechi.

Con “legal protection by design” ci si riferisce alla necessità di prestare attenzione alle potenziali violazioni di diritti fondamentali ad opera delle tecnologie emergenti, andando ad integrarne la protezione al loro interno. Ciò che preoccupa, in particolare, è l’attività di profilazione. La PbD, a tal riguardo, insiste sul fatto che, affinché questo tipo di attività non si trasformi in abusi o discriminazioni, è necessario andare ad incorporare la tutela giuridica all’interno delle infrastrutture ICT, adottando un approccio proattivo e non reattivo[49].

Infine, tornando alla protezione dei dati personali, è d’obbligo osservare che, sé è vero che il principio della privacy by design si pone come semplice e chiaro in via teorica, lo stesso non può dirsi sul piano pratico avendo delle implicazioni organizzative, procedurali e tecnologiche non di poco conto. In particolare viene da chiedersi su quale soggetto vada a gravare l’obbligo di definire i requisiti, gli standard e le soluzioni tecnologiche più opportune, nonché chi abbia il compito di formare il personale e di definire le regole comportamentali a cui questo debba attenersi. Sicuramente, il Data Protection Officer (DPO) ricopre un ruolo di primo piano, dovrà tuttavia essere coadiuvato da tutte le altre principali funzioni della struttura organizzativa di riferimento, che dovranno dare il proprio contributo.

6. Il problema dell’effettività della tutela della privacy

Alla luce di quanto sin qui rappresentato, è opportuno affrontare il problema dell’effettività della tutela della privacy o, più correttamente, dei dati personali. Preso atto del fatto che il diritto ha bisogno della tecnica e non può prescinderne, viene da chiedersi se una tutela della privacy, oltre che efficace, anche effettiva sia possibile. Mentre, infatti, sull’efficacia, che è la capacità del diritto di produrre effetti conformi alle intenzioni di chi ha posto la norma, non si pongono particolari problemi, più complessa appare la questione dell’effettività. In dottrina vi sono diverse posizioni circa tale principio, ma la posizione prevalente è quella che “l’esistenza del diritto, cioè la sua effettività, dipenda e quindi sia condizionata dalla materiale osservanza della norma, anziché dalla norma stessa”[50], considerando dunque la sanzione necessaria al precetto. Muovendo da questa considerazione appare sempre più arduo parlare di effettività della tutela della privacy in relazione all’avanzare delle nuove tecnologie. Il progredire delle techne, in maniera continuativa e incrementale nel tempo, sembra costituire una vera e propria minaccia per l’effettività della tutela della privacy, per l’inviolabilità della sfera privata del singolo individuo e, soprattutto, per la possibilità in concreto di controllare la circolazione dei propri dati.

Innanzitutto, si pone una difficoltà relativa alla crescente sensazione di un progressivo ridimensionamento dello strumento giuridico in merito alla protezione dei diritti individuali. In tale ambito, difatti, è necessario evidenziare che maggiore è la capacità comunicativa degli strumenti tecnici a disposizione, maggiore è il rischio che i propri dati personali non vengano tutelati in maniera effettiva. A tal proposito, bisogna considerare che l’aspetto eccessivamente mutevole e dinamico della techne rende il diritto e più nel dettaglio il quadro normativo legato alla tutela dei dati personali, incerto e non sempre capace di rispondere tempestivamente a tutti gli input provenienti dall’esterno. In particolare, taluni evidenziano come le regole e gli standard tecnici, in quanto prodotto del progresso tecno-scientifico, dunque flessibili e in costante cambiamento, sfuggano ad un loro inquadramento in termini di certezza che, invece, è proprio delle regole giuridiche. Tuttavia, si ritiene che la necessità di conciliare il diritto e la tecnica sia un rischio da correre al fine di garantire una tutela dei dati personali quanto più effettiva possibile.

Si osservi ancora come la latente pervasività del progresso tecnologico e, in particolare, le nuove modalità di comunicazione vadano a creare un effetto moltiplicativo delle situazioni di vita concreta nelle quali il legislatore dovrebbe intervenire; situazioni che spesso richiedono un giusto trade-off tra esigenze contrapposte in gioco e a cui non sempre è possibile far fronte mediante uno strumento giuridico ad hoc.

Di fronte al contesto appena delineato, il legislatore e i Garanti nazionali sono chiamati a svolgere un ruolo non agevole, soprattutto quando è necessario provvedere a contemperare il diritto alla protezione dei dati personali con altri diritti e interessi in gioco. Infatti, l’evoluzione tecnico-scientifica è, in realtà, solo una componente della volatilità ambientale che mina l’effettività della tutela della privacy, si pensi, infatti, alle esigenze di sicurezza della collettività, che sempre più marcatamente si intrecciano con l’utilizzo delle nuove tecnologie e con la necessità di garantire, allo stesso tempo, la controllabilità e la riservatezza dei dati personali.

In questo contesto, quindi, si palesa un framework di nuove problematiche rispetto alle quali non sempre un approccio meramente normativo appare sufficiente. Ciò spiega perché il GDPR, piuttosto che dettare una normativa rigida in materia di tutela dei dati personali, interviene con principi elastici, che hanno come obiettivo principale quello di responsabilizzare i soggetti protagonisti del trattamento dati (c.d. accountability).

In sostanza, questi principi pongono sui titolari del trattamento un obbligo di autovalutazione e di documentazione rispetto a quanto da loro posto in essere per la tutela del dato; si pensi alle caratteristiche del trattamento effettuato, ai rischi derivanti da tale trattamento, all’adeguatezza delle misure tecniche e organizzative, ecc.

Il GDPR va a riconoscere maggiore discrezionalità rispetto al passato al titolare del trattamento circa le misure da adottare per garantire la tutela dei dati personali adoperati ma, allo stesso tempo, lo sprona ad interessarsi ad esse e ad adottare le modalità di raccolta, gestione e trattamento dati più efficienti, ciò non solo al fine di evitare sanzioni ma anche perché espressione di una buona governance che rappresenta un ottimo biglietto da visita nei confronti degli stakeholder.

Proprio quest’ultimo aspetto merita di essere evidenziato, poiché rappresenta un segnale distintivo del fatto che anche il legislatore, consapevole delle criticità descritte in precedenza, sta avviando un percorso di progressivo distacco dai paradigmi normativi tradizionali in favore di modelli più “soft” e sensibili all’avanzare della tecnica.

Pertanto, il GDPR può considerarsi un esempio di come la tecnica stia contribuendo alla trasformazione della funzione normativa, creando un ordinamento legislativo “diverso” da quello tradizionale, che vede affiancarsi ad esso sempre più spesso il diritto dei “privati”; si pensi a tal proposito agli standards tecnici precedentemente citati. Tutto questo dimostra come il potere regolativo dei pubblici poteri si stia lentamente ridimensionando. 

Tanto veementi sono le questioni appena descritte legate alla privacy e alla sua tutela, che è necessario prestare attenzione e fare affidamento anche all’autotutela dei dati, ossia alla controllabilità e alla gestione accurata delle proprie informazioni personali da parte di chi si serve di queste nuove tecnologie[51].

L’effettività della tutela dei dati personali non è un risultato che può essere raggiunto semplicemente attraverso il ricorso a strumenti di natura giuridica e tecnica che, nonostante costituiscano un supporto alla protezione della privacy degli individui, non sono da soli sufficienti essendo necessaria in primo luogo una collaborazione da parte degli utenti, o meglio dei soggetti interessati. Quello della tutela dei dati personali, infatti, non può essere considerato un tema esclusivamente giuridico o attinente alla struttura tecnica degli strumenti informatici messi a disposizione dell’utente, ma è diventato un argomento che riguarda anche il comportamento di quest’ultimo in relazione all’utilizzo della “tecnica”.

A tal proposito è possibile affermare che l’incertezza e l’instabilità dei comportamenti dell’utente sono parte del problema; infatti, la privacy il più delle volte non viene considerata dagli stessi soggetti interessati un aspetto prioritario.

Si riscontra molto spesso la propensione degli individui a barattare la propria privacy con delle funzionalità aggiuntive[52]; si pensi, ad esempio, all’attuale tendenza, sempre più diffusa negli utenti in internet, di cedere ben volentieri un pezzo della propria “riservatezza” in luogo dei vantaggi millantati dalla rete.

In conclusione, nonostante le importanti novità introdotte dal GDPR e gli sforzi posti in essere da tutti soggetti preposti alla protezione dei dati personali, l’effettività della tutela della privacy rimane una pagina ancora difficile da scrivere.

A tal proposito, un modo efficace per affrontare le criticità de quibus potrebbe essere quello che comporta l’adozione di una visione integrata delle “variabili” in gioco: l’effettività della tutela della privacy dovrebbe passare attraverso una piena ed esaustiva complementarità delle azioni implementate dai rispettivi titolari delle “variabili” in questione (tecnica, diritto, accountability e autotutela) che, tuttavia, al momento sembra non esserci.

In questo ambito, infatti, il dialogo, la comprensione reciproca e la collaborazione tra i soggetti coinvolti potrebbero risultare determinanti al fine di arginare una latente deriva del concetto di privacy e di una sempre più diffusa propensione alla libera e indiscriminata circolazione delle informazioni personali.