[AGGIORNATO] La Privacy nell’era Digitale, intervista all’Avv. Nicola Fabiano!

In questo articolo voglio riproporvi un interessante intervista che l’Avvocato Fabiano ha rilasciato nei giorni scorsi a downloadblog, l’argomento è la Privacy nell’era dell’informatica ed i furti di identità. Più volte abbiamo accennato sul nostro blog i problemi su diversi portali Web ma nell’ultimo periodo sicuramente si è discusso del caso Street View e Facebook!

L’Avv. Fabiano è ‘research contributor’ per Nymity, organizzazione che si avvale della collaborazione di un gruppo di avvocati che si occupano di privacy in tutto il mondo con la più grande base di informazioni sulla privacy e la protezione dei dati personali. È stato riconosciuto dalla Information & Privacy Commissioner dell’Ontario (Canada) – Dr. Ann Cavoukian – Privacy by Design Ambassador (ambasciatore Privacy by Design). La 32ma Conferenza mondiale dei Garanti privacy ha adottato a fine ottobre 2010 la risoluzione sulla Privacy by Design proposta proprio dalla Dr. Cavoukian che ne è la teorica e leader mondiale. È membro del Policy & Scientific Committee di EPA (European Privacy Association), nonché Sector Director di IIP (Istituto Italiano per la Privacy). È iscritto nella lista degli esperti “for identifying emerging and future risks posed by new ICTs” di ENISA, nonché membro della ARC (Awareness Raising Community). È infine membro del Council internazionale “The Internet of Things” ed è direttore del CINFOR – Centro per l’Informatica e l’Innovazione Forense.

1) Cos’è e in quali modi si può realizzare il furto di identità digitale? Quali possono essere le conseguenze di questo tipo di furto?

Ogni soggetto che accede ad Internet acquisisce una identità digitale (eID) al pari di come accade nel mondo reale. Il furto d’identità digitale si realizza quando qualcuno sottrae ed utilizza (ovviamente per scopi illeciti) le informazioni dell’identità digitale di un soggetto. In realtà, giuridicamente parlando, non esiste nel nostro ordinamento (sebbene sull’argomento ci siano progetti di legge in corso di esame in Parlamento) un’ipotesi di ‘furto d’identità’, posto che il codice penale fa riferimento unicamente alla sostituzione di persona prevista dall’art. 494.

L’espressione furto d’identità è stata recepita dall’esperienza americana dove il fenomeno dell’ ‘identity theft’ è molto diffuso. Le tipologie di furto d’identità sono molteplici: ghosting, criminal identity theft, medical identity theft, identity cloning, financial identity theft, syntetic identity theft, ecc. Le conseguenze possono essere: frodi finanziarie, frodi creditizie, commissioni di reati, terrorismo, immigrazioni illegali, ecc.

La matrice unica che costituisce la fonte del furto d’identità sono i dati e le informazioni personali di un soggetto, pertanto va fatta attenzione a come e dove vengono utilizzati i dati personali su Internet. Le modalità di sottrazione sono numerose: semplice ricerca su Internet, social network, phishing, spamming, malware, social engeneering, sniffing di reti wireless, keylogger, sottrazione di informazioni dai computer, ecc. L’elencazione non è esaustiva e ci sono numerose tecniche che consentono di arrivare alla sottrazione dei dati personali.

2) Come ci protegge la nostra legislazione? E a livello europeo? Quali i progetti futuri a breve scadenza?

Poiché, come si è detto il nucleo è costituito dai dati personali, la nostra legislazione offre una tutela con il codice privacy che contiene le norme relative al trattamento dei dati personali. A livello europeo vige la Direttiva 1995/46/CE che, però, è attualmente sotto i riflettori in quanto si sta lavorando per una sua revisione.

La Commissione Europea con un comunicato lanciato il 4 novembre scorso ha dichiarato che è necessario rivedere le norme europee anche per garantire il c.d. ‘right to be forgotten’ (il diritto all’oblio) e, a tal proposito, ha avviato una consultazione pubblica sull’argomento che scadrà il 15.1.2011 ed è disponibile quì.

Dai meeting europei a cui ho partecipato emerge la volontà di una revisione della Direttiva e non invece della realizzazione di una nuova normativa, utilizzando anche l’approccio della Privacy by Design. Si è detto che la normativa sulla privacy esiste ed è valida, ma è necessario che l’adeguamento sia diretto all’armonizzazione della legislazione europea con quella dei singoli Stati membri, nonché alla semplificazione dei processi alla luce di quelle che sono le innovazioni tecnologiche, favorendo il dialogo transfrontaliero anche con le singole Autorità (DPA) e con i Paesi d’oltreoceano.

3) Passando ad aspetti più teorici, é d’accordo con il prof. Schömberger quando, parlando di diritto all’oblio digitale, egli afferma che ‘ci si prospetta l’avvento di un futuro incapace di perdonare perché non più in grado di dimenticare’? Quali le soluzioni per una privacy che tuteli il nostro futuro?

Il prof. Schömberger ha scritto recentemente un libro dal titolo “Delete” nel quale, fra l’altro propone delle soluzioni, come ad esempio l’apposizione di una data di scadenza, finalizzate a risolvere il serio problema del diritto all’oblio. Ho qualche perplessità sulle soluzioni prospettate da Schömberger perché ritengo che non siano sufficienti (soprattutto sul piano tecnico) a risolvere il problema. I dati, una volta che sono sulla rete Internet, si propagano, si espandono a macchia d’olio per la stessa natura della rete così com’è configurata.

L’argomento è senza dubbio tanto interessante quanto importante poiché spesso non si considera che un’informazione finita sulla rete, propagandosi, non viene più controllata. Non sono pochi i casi di persone che hanno subito gravi pregiudizi per questo. La soluzione a mio avviso si può trovare, ma si tratta di un problema da affrontare sul piano tecnico e ritengo che esistano gli strumenti per “controllare” il fenomeno; per quanto concerne il profilo normativo la Commissione Europea lo ha indicato nelle priorità della revisione del framework legislativo.

4) Come valuta il provvedimento del legislatore tedesco che vuole limitare per legge l’uso da parte dei datori di lavoro delle informazioni personali reperibili in modo pubblico sulla rete (es. blog, facebook, forum)? Si sta muovendo qualcosa in questo senso anche in Italia?

Da quanto ho letto, ma non conosco specificamente le norme in questione, il mio giudizio generale è senza dubbio positivo ma con le opportune precisazioni. Le informazioni della sfera privata di un soggetto non possono essere utilizzate sempre in maniera incondizionata. La rete Internet è la più grande banca dati al modo dalla quale poter attingere informazioni ed è per sua natura una “piazza pubblica” se gli accessi a determinati sistemi non sono limitati.

Il problema, a mio avviso non è tanto sulla ricerca delle informazioni che non può essere inibita, quanto sulla natura e sull’uso delle informazioni reperite. L’uso ‘distorto’ delle informazioni personali può provocare un danno. In ambito lavoristico ad esempio andrebbero eseguite delle valutazioni preventive sulle informazioni raccolte. Il fatto che un soggetto sia caratterialmente un burlone e abbia su Facebook un profilo ‘discutibile’ non vuol dire che quel soggetto sia inaffidabile o inetto sul piano lavorativo – non deve prevalere il giudizio (spesso affrettato) rispetto alla valutazione asettica delle vicende. Diverso è il caso di chi – com’è capitato – commette azioni contro la legge.

5) Ci spiega in poche parole in cosa consiste la Privacy by Design e in che modo potrebbe evitare violazioni della nostra privacy?

La PbD è fondamentalmente un nuovo approccio concettuale alla privacy che pone le basi per uno sviluppo futuro con risvolti concreti sul piano pratico. La PbD è stata elaborata, già dagli anni ’90, dalla Information & Privacy Commissioner dell’Ontario (Canada) – Dr. Ann Cavoukian ed è strutturata secondo uno schema che la colloca in tre grandi azioni (o aree operative) e 7 principi fondamentali:

– Azioni: tecnologia dell’informazione, pratiche commerciali responsabili e progettazione delle strutture;
– Principi: atteggiamento proattivo e non reattivo, prevenzione e non rimedio; privacy by default; privacy incorporata nell’architettura; completa funzionalità; protezione per l’intero ciclo vitale delle informazioni; visibilità e trasparenza; rispetto della riservatezza dell’utente.

La PbD ha numerosi risvolti pratici attuali e non futuri. Si può immaginare alla videosorveglianza per la quale, salvaguardando l’esigenza di sicurezza e al contempo di privacy degli individui, si adottano delle soluzioni tecnologiche tali da evitare rischi per la perdita di dati o per la riservatezza delle persone.

S’immagini alla strutturazione architettonica degli ambienti di lavoro in cui spesso le informazioni personali comunicate vengono ascoltate da chi ci è vicino; s’immagini agli investimenti in privacy delle aziende che vanno considerati come un valore aggiunto e non come un costo. La PbD è importante perché rappresenta il futuro prossimo della privacy. Difatti è in atto in ambito europeo la revisione della normativa sulla privacy (Direttiva 1995/46/CE) per armonizzarla con gli strumenti normativi dei Singoli stati membri (ma anche a livello internazionale) tenendo conto dell’evoluzione tecnologica, semplificare le procedure e – per quanto concerne la rete Internet – consentire all’individuo il c.d. diritto all’oblio. Pertanto la PbD si va ad inserire a pieno titolo in un processo di riforma che, da poco avviato, porterà ad un radicale cambiamento nei prossimi 10 anni.

6) In definitiva la tecnologia nell’era digitale aiuta o mette in pericolo la privacy?

Non bisogna cadere in errore: la tecnologia è positiva. A mio avviso bisogna considerare che la privacy è diversa dalla sicurezza. Mentre può esistere la privacy con la sicurezza non è altrettanto vero il contrario perché l’esistenza della sola sicurezza non è garanzia di privacy. Ciò posto l’approccio, così come sottolineato anche dal Garante Europeo Peter Hustinx, è quello di arrivare ad una revisione della legislazione in materia di privacy con un approccio tecnologicamente neutro che parta proprio dalla Privacy by Design secondo la configurazione della Dr. Cavoukian.

Siamo in un delicato momento di transizione nel quale si scrivono le norme privacy dei prossimi 10-15 anni. La PbD è la soluzione che non è da considerare con un approccio (antico) in termini di conformità alla normativa, ma collocando il soggetto al centro del processo (user centric). Pertanto è necessaria la massima attenzione nella fase di revisione della legislazione verso tutte le tematiche che riguardano le informazioni e i dati personali.