È di pochi giorni fa la notizia che l’FBI nell’ambito delle indagini in corso, è riuscita ad accedere ai dati dell’iPhone di Syed Farook, l’attentatore di San Bernardino (CA) che aveva compiuto una strage in una clinica.
Apple sembra stupirsi, adducendo a motivo la sicurezza informatica dei suoi dispositivi che non avrebbe uguali nel mondo “mobile”. Probabilmente è vero come è vero che nessuno può ritenersi al sicuro da un eventuale controllo sui propri sistemi. Senza andare in California siamo a conoscenza di diversi casi italiani in cui nell’ambito di una indagine penale (si pensi a Sandro Bossetti o ad Alberto Stasi ad esempio) sono stati appresi tutti una serie di dati contenuti in diversi sistemi informatici.
Quello che è diverso è che nel caso Apple – non riuscendo a procedere – prima si è chiesto l’aiuto di Apple, e poi si è acceduto ai sistemi comunque, senza l’aiuto né della casa madre né degli indagati.
Per chiarire meglio analizziamo gli aspetti legali relativi a un’indagine penale svolta in Italia. Un pubblico ministero può chiedere di esibire e consegnare dati, compiere in autonomia perquisizioni e sequestri a fini di prova e accertamenti tecnici. Invece ha bisogno dell’autorizzazione del giudice per le indagini preliminari per intercettare o mandare in custodia cautelare qualcuno.
Il recepimento nel 2008 della Convenzione europea sul crimine informatico ha esteso la possibilità di perquisizione fino a comprendere quella informatica e a distanza.
In pratica questo significa che il magistrato può ordinare di craccare account e sistemi per acquisirne il contenuto, senza chiedere il permesso a nessuno.
Inoltre, il decreto legislativo 231 del 2001 che prevede la responsabilità penale delle imprese, punisce le aziende che si sono organizzate in modo da ostacolare a proprio vantaggio il corso della giustizia.
Di conseguenza credo che la notizia vera sia semplicemente il non interesse a collaborare di Apple e la comunicazione della stessa di voler irrobustire i propri sistemi informatici.
Ciò detto vale la pena evidenziare che con l’arrivo del Nuovo Regolamento Europeo le aziende informatiche dovranno obbligatoriamente irrobustire la sicurezza essendo soggette alla Privacy by Design, ma questo non significherà che nell’ambito delle indagini penali non si potrà avere comunque accesso ai dati contenuti nei sistemi, senza arrivare ovviamente agli estremi della sorveglianza di massa per ragioni di antiterrorismo, che è una questione diversa di cui ho parlato qui.
Alla luce di questo interessante caso americano credo sia importante analizzare meglio la disciplina italiana e quella europea, approntando anche un vero e proprio Decalogo della Privacy.
Privacy, decalogo minimo dei diritti e dei doveri
Come si è visto anche dai commentatori del caso Apple, si parla molto di privacy, ma solo in pochi la conoscono davvero. Non ripeterò la storia della disciplina in Europa e in Italia, limitandomi solo a dire che parliamo di una normativa che ha superato i vent’anni e che siamo alle soglie dell’entrata in vigore del Regolamento Europeo, una rivoluzione.
Tra le tante obiezioni sulla disciplina privacy che si sentono, spicca quella che considera anacronistica la privacy stessa, essendo ormai tutti gli interessati (cioè coloro che forniscono i dati) “pubblici” per definizione.
Ora, non c’è dubbio che spesso volontariamente, ma anche no, riversiamo in rete e fuori dalla rete una quantità incredibile di informazioni (si pensi ad es. alla sola geolocalizzazione o ai big data che se ne traggono, di cui non siamo consapevoli) a causa dei social network, delle sempre più profilanti applicazioni e dall’uso smodato di tecnologia mobile.
Il fatto che siamo leggeri o narcisisti non significa che non dobbiamo essere protetti. Semmai, dovremmo esserlo di più.
Non molti sanno, ad esempio, che il quasi pensionato Codice Privacy (D. LGS 196 del 2003) pone nelle mani dell’interessato non solo gli strumenti per il controllo dei suoi dati presso il Titolare (cioè il soggetto organismo o persona fisica al quale forniamo i nostri dati), ma anche delle protezioni assolute, dei diritti esercitabili autonomamente e soprattutto delle procedure per la soluzione delle controversie.
Allo scopo di chiarire in modo agevole come difendere la propria privacy usando la disciplina sulla protezione dei dati personali (presente e futura) ho elaborato di seguito un decalogo su doveri e diritti, spero di facile lettura.
1. IL TITOLARE (CIOE COLUI CHE TRATTA I NOSTRI DATI) HA TANTI E SEMPRE PIÙ ONEROSI OBBLIGHI
Il Titolare che tratta i dati per le più disparate finalità (contrattuali, marketing, vendita diretta, amministrative, pubbliche, ecc.) vede aumentare gli adempimenti obbligatori a suo carico, come informative sempre più mirate ed efficaci; richieste di consenso non generiche; misure di sicurezza sempre più stringenti; obblighi di formazione per tutti i suoi collaboratori; notifiche al Garante in caso di violazioni della privacy; adozione di un privacy officer; divieti di profilazione se non progettata e consentita già dall’inizio del trattamento.
2. IL TITOLARE È TENUTO ALLA VALUTAZIONE DI IMPATTO E ALLA VERIFICA PRELIMINARE
La valutazione d’impatto sulla protezione dei dati è richiesta quando si effettui una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata sul trattamento automatizzato, compresa la profilazione, e da cui discendono decisioni che hanno effetti giuridici o incidono allo stesso modo significativamente sulla persona o in caso di trattamenti su larga scala di dati sensibili. La verifica preliminare invece va chiesta al Garante quando il trattamento già oggetto di valutazione di impatto, presentasse un rischio elevato, in assenza di misure adottate dal Titolare per attenuare il rischio.
3. L’INTERESSATO VEDE AUMENTARE I SUOI DIRITTI E SEMPLIFICATE LE MODALITÀ DI ESERCIZIO
- mediante un accesso più semplice ai propri dati. Le persone avranno maggiori e più chiare informazioni sul modo in cui i loro dati sono trattati già dall’informativa. Se non soddisfatti si potrà contattare il Titolare per saperne di più obbligandolo a rispondere in massimo 30 giorni.
- mediante procedure per interagire con il Privacy Officer del Titolare nei casi in cui sia obbligatoria la sua designazione (come per la Pubblica Amministrazione o per trattamenti di grandi quantità di dati o in caso di profilazioni sistematiche);
- il diritto alla portabilità dei dati: sarà più facile trasferire i dati personali da un fornitore di servizio a un altro o all’interessato stesso. Ad esempio si potrà chiedere a Facebook di consegnare il proprio profilo su un supporto di facile lettura;
- il sempre più regolamentato “diritto all’oblio“: se non si vuole più che i propri dati siano trattati, potranno su richiesta essere cancellati (o solo deindicizzati, tolti cioè dai motori di ricerca), purché non sussistano motivi legittimi per conservarli (come nel caso di diritto di cronaca o del diritto per finalità storiche o documentaristiche, ecc.);
- il diritto di essere informati in caso di violazione dei dati (il cd data breach) Ciò dovrà avvenire in termini brevi dalle 48 alle 72 ore.
3. L’AUTORITÀ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI OFFRE CHIARIMENTI E RACCOGLIE SEGNALAZIONI
È sempre possibile interagire con il Garante per la Protezione dei dati personali, Autorità collegiale e indipendente con sede a Roma. Potranno essere direttamente rivolte al Garante delle richieste di chiarimento su specifici trattamenti che non siano dalla stessa già forniti. Il Garante infatti periodicamente informa, mediante newsletter, provvedimenti generali o ad hoc, seminari e convegni, sulle novità della normativa. Inoltre, è sempre possibile inviare una segnalazione, anche anonima, scrivendo alla sua email quando si ritenga che un trattamento sia in violazione di legge. Qualora l’Autorità lo reputi opportuno procederà con una ispezione al Titolare inadempiente.
5. L’INTERESSATO QUANDO SUBISCE VIOLAZIONI PUÒ USARE ALTRI DUE STRUMENTI AMMINISTRATIVI: IL RICORSO E IL RECLAMO
Il Ricorso può essere proposto innanzi al Garante con una formula piuttosto semplice, ma solo DOPO che sia stata esercitata una richiesta innanzi al Titolare. Se l’esito della richiesta non è soddisfacente, o non giunga nei trenta giorni, si può procedere con il Ricorso. I diritti di segreteria sono di 150 euro. Il risarcimento forfetario in caso di accoglimento non supera i 500 euro. Inoltre, il Garante, in tal caso, obbliga il Titolare a bloccare, cancellare o aggiornare il trattamento illegittimo.Il Reclamo invece è uno strumento più complesso, avendo l’obbligo di essere circostanziato. Può essere esercitato in casi in cui non si chieda un semplice blocco o cancellazione del trattamento illecito, ma una decisione più ampia, che costringa il Titolare a rivedere le proprie politiche di privacy.
6. L’INTERESSATO PUÒ CHIEDERE UN RISARCIMENTO PER DANNI DAVANTI AL GIUDICE ORDINARIO CIVILE
La Privacy ha nel suo DNA un elemento dirompente che a poche leggi è riconosciuto. Ci si riferisce all’inversione dell’onere della prova. In base al Codice, chiunque venga danneggiato da un trattamento (non necessariamente illecito ma che semplicemente gli produca un danno) può chiedere il risarcimento del danno subito con un Ricorso innanzi al Tribunale ove ha sede il Titolare. Tale azione può essere esperita senza dover provare come sia avvenuto il danno. Sarà il Titolare, nel corso del giudizio, a dover dimostrare di aver adottato le misure idonee ad evitare il danno. Si tratta di un giudizio ordinario ma speciale, che non prevede appello in caso di soccombenza, ma solo il ricorso in Cassazione. Nell’ambito del giudizio ordinario può essere risarcito sia il danno patrimoniale che quello non patrimoniale. Le sentenze ormai sono tante e moltissime riguardano il mondo dei social network e del web in generale.
7. L’INTERESSATO PUÒ QUERELARE IL TITOLARE DEL TRATTAMENTO (O ANCHE UN SUO RESPONSABILE OD UN INCARICATO) PER ILLECITO TRATTAMENTO
Il Codice Privacy fornisce anche uno strumento di tipo penalistico. Qualora l’interessato sia vittima di un illecito trattamento, ai sensi dell’art. 167 Codice Privacy (cioè nei casi ad es. che un Titolare tratti dati personali senza consenso a scopo di lucro o per cagionare un danno, lo stesso può querelare il soggetto che l’ha compiuto, che sia il Titolare (o meglio, la persona fisica che lo rappresenti) o anche un suo incaricato. Si pensi ad esempio, ad un dipendente che comunichi a scopo di lucro il data base clienti ad un concorrente del proprio Titolare.
8. IL TITOLARE È SEMPRE SOGGETTO AD ISPEZIONI E CONTROLLI DA PARTE DEL GARANTE, MA ANCHE DEL NUCLEO SPECIALE DELLA GUARDIA DI FINANZA.
Non si deve dimenticare che il Titolare è sempre soggetto ad ispezioni e controlli sulla correttezza dei propri trattamenti, che possono essere svolti liberamente dall’Autorità o su segnalazione dell’interessato. Di conseguenza, qualora si ritenga che il Titolare stia compiendo un trattamento illecito, perchè contrario a qualsiasi articolo del Codice e del futuro Regolamento Europeo, si può sempre segnalare la cosa al Garante, il quale, se la ritiene fondata, può procedere ad una ispezione.
9. L’INTERESSATO Può PRETENDERE CHE I DATI DEL TITOLARE SIANO DI QUALITA’.
Ora, grazie agli strumenti esercitabili innanzi al Titolare come il diritto di rettifica, di aggiornamento o di oblio, l’interessato può pretendere che i suoi dati siano corretti, migliorando la cosiddetta qualità dei dati in Rete, che ad oggi non è garantita.
10. IL BUON TITOLARE PUÒ VEDERE RICONOSCIUTA LA PROPRIA CONFORMITA’ ALLA LEGGE MEDIANTE LA DICHIARAZIONE DI RESPONSABILITA’
Con la Dichiarazione di Responsabilità il Titolare deve dichiarare , dimostrandone la correttezza, la propria conformità alla Privacy, mediante elenco delle misure adottate, progetti di formazione sviluppati, valutazioni di impatto svolte, ecc. Tale dichiarazione non necessariamente verrà resa pubblica, ma ogni Titolare dovrà esibirla in caso di richiesta del Garante ma anche dell’interessato. Più precisamente si tratterà di applicazione dei codici di condotta o di un meccanismo di certificazione approvato che potrà essere utilizzata come elemento per dimostrare il rispetto degli obblighi del Titolare del trattamento
