Vi presentiamo, in esclusiva per Diritto&Internet, l’intervista al Cons. Giovanni Buttarelli, Garante europeo aggiunto alla protezione dei dati personali.
– “Salvare chi cerca lavoro da se stesso” questo secondo il Der Spiegel l’obiettivo della legge tedesca che regola l’utilizzo da parte dei datori di lavoro delle informazioni sugli impiegati trovate su Facebook. Cosa pensa del fatto di limitare per legge l’uso delle informazioni personali reperibili pubblicamente online?
È un punto all’ordine del giorno dell’attività delle Autorità Garanti, e anche dei legislatori. In Germania, ad esempio, c’è una particolare sensibilità, anche perché la legislazione tedesca è piuttosto dettagliata e avanzata in materia di tutela dei dati dei lavoratori, ma il problema si sta ponendo anche altrove. Come esperto designato dal Consiglio di Europa, ho redatto la nuova bozza di raccomandazione che dovrebbe sostituire la Raccomandazione (89) 2 sul trattamento dei dati nel rapporto di lavoro. Una raccomandazione del Consiglio d’Europa non è semplicemente un’esortazione, è un atto giuridico indirizzato ai circa 50 Stati membri del Consiglio che, votandolo, si impegnano ad attuarlo. In Italia le raccomandazioni del Consiglio d’Europa sono state citate nella legge-delega per l’adozione dei decreti delegati dopo la legge 675 e anche nello stesso Codice del 2003 come criteri direttivi per varare i codici di deontologia e di buona condotta. Questo mio testo, accompagnato da uno studio, fa proprio riferimento alla necessità di nuove regole specifiche su questo punto. Fino adesso si è lavorato con criteri molto generali di trasparenza e correttezza, di informazione e valutazione del principio di incompatibilità e finalità, ma questi criteri non bastano più perché le prassi possono essere molto diversificate. Certamente già oggi sono da ritenere illeciti gli accessi a social network basati su astuzie, inganni e trucchi; come, ad esempio, entrare nel social network attraverso la delega a un’altra persona, o sollecitare l’amicizia del lavoratore interessato con espedienti di vario tipo. Ma, anche qualora il datore di lavoro fosse presente in modo trasparente sul social network, il problema si porrebbe ugualmente. Il social network si usa per socializzare con una serie limitata di soggetti e per ragioni personali. Quindi, occorrerà fare una valutazione di questo tipo, magari distinguendo i social network usati per ragioni puramente di diletto da quelli riservati alle relazioni professionali, tipo Linked-In.
– Secondo il CEO di Facebook “La privacy per le nuove generazioni è un concetto superato”, in Germania però si valuta se insegnare nelle scuole come difendere i propri dati sensibili. Quale importanza viene data all’educazione alla privacy dal Garante Europeo?
La Conferenza mondiale della Autorità Garanti, che si è appena conclusa a Gerusalemme, è partita proprio dalla citazione di questa frase di FB per rovesciarla completamente e ritenerla assolutamente inadatta. Ma la stessa prassi di FB ha dimostrato il contrario di quanto affermato dal suo CEO, non a caso si sono già mossi per rimediare ad alcuni problemi seri di privacy e probabilmente troveranno un rimedio ad altri nelle prossime settimane. Il fatto che ci sia un entusiasmo nell’utilizzo dei nuovi sistemi di comunicazione non significa che sia corretto ritenere superato il concetto di privacy. Per le nuove generazioni può essere vero nel presente, ma non in un momento successivo quando ci si troverà a soffrire le conseguenze per problemi vari derivati magari da un difetto di informazione del social network.
Innanzitutto, è necessario l’uso di una comunicazione che sia comprensibile facilmente a quella generazione. Bisogna evitare l’approccio pedagogico, evitare di porsi su un piedistallo e insegnare ai giovani a utilizzare i nuovi strumenti di tecnologia. Il paternalismo non può funzionare. Quindi bisogna capire meglio i nuovi linguaggi e adattare le informative e i dispositivi per esercitare i diritti dell’interessato alle nuove esigenze. Un modulo burocratico non sarà mai utilizzato, una finestra pop-up user-friendly probabilmente sì, anche attraverso uno smartphone. Per questo motivo la nuova Comunicazione della Commissione europea sul futuro della normativa europea in materia sposta molto l’attenzione sull’educazione delle nuove generazioni – sull’ammonimento, sui rischi – ma anche sull’opportunità di avere nuovi strumenti più dinamici, più funzionali, più immediati e più facili da utilizzare per esercitare i diritti e cancellare le informazioni, per esempio nell’eventualità di una migrazione da un social network a un altro.
– La Privacy by design è considerata uno dei modi più efficaci per evitare violazioni della privacy dovute al lancio di nuovi sistemi software online. La nuova regolamentazione prescriverà alle aziende di integrare la consulenza sulla privacy al lavoro dei progettisti?
Sicuramente sì. La Comunicazione della Commissione europea che è stata resa pubblica in tutte le lingue dell’Unione il 4 novembre, annuncia l’impegno della Commissione ad inserire la privacy by design tra i principi della nuova disciplina. In questo momento si sta discutendo se debba essere un principio autonomo o una nozione, da tradurre poi in comportamenti differenziali. Quel che è certo è che, come dice la risoluzione che è stata approvata all’unanimità dalle autorità Garanti di tutto il mondo riunite a Gerusalemme, questo principio deve permettere di affrontare i problemi fin dall’inizio onde evitare la difficoltà di sviluppare la protezione dei dati in un momento successivo, quando tutte le scelte sono già state fatte. Si tratta di avere un supporto da parte della tecnologia per risolvere i problemi, quindi non solo attraverso un software pruivacy-oriented, ma anche attraverso la creazione di dispositivi che permettono di adempiere automaticamente ai requisiti della privacy, per esempio la cancellazione automatica dei dati attraverso una sovrascrittura, o l’istituzione di alert che permettano di capire quando l’uso ulteriore dei dati è incompatibile con le finalità originali, o ancora qualcosa che impedisca o renda più difficile una profilazione dell’interessato sulla base di una raccolta occulta dei dati da parte dei motori di ricerca.
– La geolocalizzazione attraverso dispositivi GPS è la causa del più recente allarme in materia di privacy online. Tuttavia, anche gli indirizzi IP contengono – da sempre – informazioni di localizzazione sul territorio. Il prossimo regolamento europeo interverrà in particolare su questi aspetti?
C’è già una normativa avanzata perché la Direttiva 2002/58, rivista recentemente attraverso la Direttiva e-privacy che deve essere recepita dagli Stati membri entro il maggio 2011, tocca questi punti e non verrà probabilmente modificata dalla nuova normativa europea. Rimarrà quindi un pilastro per i prossimi anni. Già oggi la normativa prevede il consenso dell’interessato adeguatamente informato e la possibilità di “staccare la spina” quando si utilizza un servizio a valore aggiunto che comporta la localizzazione. La questione si sta affrontando anche dal punto di vista della conservazione di questo genere di dati attraverso la cosiddetta direttiva data-retention. Oggi, per motivi di polizia e di giustizia, i dati registrati delle chiamate sono oggetto di conservazione per uno o due anni, a seconda che i dati siano telefonici o telematici, e questo porta ad una possibile schedatura eccessiva dei movimenti delle persone.
Va anche considerato che oggi la geolocalizzazione è prevalentemente gestita attraverso sistemi telefonici, ma un prossimo domani, attraverso soprattutto ai trasporti intelligenti, sarà operante a prescindere dalla telefonia mobile e sarà utilizzata nell’ambito della circolazione dei veicoli, per servizi quali il pagamento di pedaggi, l’accesso ai centri storici, e la sicurezza, con la possibilità, ad esempio, di mandare allarmi quando si hanno incidenti o si finisce in un burrone. Quindi, ci sarà di nuovo l’esigenza di bilanciare la possibilità di beneficiare di questi sistemi, per avere ad esempio messaggi informativi su blocchi del traffico, incidenti stradali, autostrade chiuse ed altro, con la garanzia che questi dati vengano utilizzati solamente one-by-one e non vengano registrati, o comunque utilizzati solo per quella finalità e non per ulteriori marketing e schedature.
-Il tema dell’accountability aziendale è stato uno degli argomenti centrali della conferenza in Israele. Come sarà integrato nella regolamentazione europea?
Non come un nuovo principio, né come un appesantimento ulteriore presso soggetti pubblici e privati. Servirà invece per responsabilizzare di più i titolari dei dati e influirà sulle stesse autorità sulla protezione dei dati, che devono essere più selettive e non possono essere caricate di tutto l’onere dell’enforcement. La linea che si sta seguendo è quella di mantenere i principi che conosciamo già dal 1995, rendendoli però più dinamici e adeguati alle nuove tecnologie. Si tratta di fare le cose più seriamente: i titolari del trattamento non devono soltanto considerare questa materia come qualcosa da rispettare nel momento in cui c’è un incidente, un reclamo o un ricorso, ma come qualcosa da tradurre in pratica. Devono assumersi l’onere di trasformare in una procedura interna tutto ciò che è necessario fare per essere effettivamente aderenti ai principi normativi, quindi distribuire ruoli e compiti, creare una policy interna e nel caso di ricorso, reclamo, ispezione, controllo da parte dell’Autorità essere in grado di poter adeguatamente, in tempo reale, dimostrare di averlo fatto. Quindi, non più un contesto in cui il titolare del trattamento sceglie di non adempiere agli obblighi della privacy e di correre il rischio di una sanzione, pensando che forse un’ispezione non arriverà mai, ma una prospettiva in cui il titolare è consapevole che la tutela della privacy è un compito quotidiano, una cosa che se non si fa, si potrebbe anche essere chiamati a rispondere per non avere tradotto in concreto gli obblighi di legge. Quindi, qualcosa di nuovo e non nuovo al tempo stesso.
Aggiungi commento