Stefano Rodotà
Per ottenere un'effettiva tutela della sfera privata non basta proclamare l'illegittimità delle raccolte "invisibili" dei dati personali. Le regole europee sono sfidate da logiche d'impresa, insidiate da sistemi planetari di controllo, contestate da paesi potenti come gli Stati Uniti. Soltanto una vigorosa controffensiva istituzionale fermerà la guerra tecnologica tra attaccanti e paladini delle informazioni.
Su Internet, luogo della novità per definizione, si riproducono gli antichi
giochi tra visibile e invisibile, tra chi vede e chi è visto, tra cacciatore e
preda. Le parole sono rivelatrici: lasciamo "tracce", le nostre "tracce" possono
essere seguite, e implacabilmente registrate.
Ma vi è un punto in cui il
raccordo con il passato si spezza, e prevale la discontinuità. Siamo immersi in
un clickstream. L'atto - ormai familiare, quotidiano, quasi automatico -
di collegarci con un sito, di stabilire una relazione elettronica, genera
effetti di conoscenza da parte di soggetti che non conosciamo, attraverso
procedure di cui possono sfuggirci tutte le modalità. Siamo continuamente
esposti non solo a uno sguardo indesiderato, ma addirittura ignoto.
E'
possibile stabilire equilibri nuovi? O dobbiamo arrenderci alla evidenza brutale
di chi, ragionando sulla congiunzione tra dinamiche di mercato e dinamiche
tecnologiche, ci dice brutalmente che la privacy è morta?
L'arroganza
tecnologica non è nuova, ma spesso è cattiva consigliera. Lo dimostra la vicenda
degli alimenti geneticamente modificati. I produttori di questi alimenti hanno
per lungo tempo rifiutato di dare informazioni adeguate all'opinione pubblica,
generando così reazioni di sospetto, e poi di rifiuto, che hanno infine inciso
sui conti economici delle imprese. Solo a quel punto la strategia è
cambiata.
Anche per quello che riguarda la privacy sembra di assistere a una
vicenda almeno in parte analoga. Il cittadino viene guardato soprattutto come
una fonte d'informazioni, gli piaccia o no; il data mining, lo scavo
continuo d'ogni possibile fonte di dati, diviene un imperativo.
Ma la realtà può riservare sorprese. Diverse ricerche compiute negli Stati
Uniti negli ultimi anni dai soggetti più diversi (Federal trade commission, Ibm,
Privacy & Business tra gli altri) hanno messo in evidenza come la
preoccupazione maggiore di una percentuale degli americani variabile tra il 90%
e il 94%, per quanto riguarda il commercio elettronico, sia rappresentata
proprio dalla tutela della privacy e della sicurezza.
Un lavoro pubblicato
all'inizio del 2000 dalla Wharton school of business permette di stabilire una
correlazione tra la protezione ancora insufficiente della privacy on line e le
tendenze del commercio elettronico negli Stati Uniti, dove nel 1999 è diminuita
la spesa pro capite in rete. Questa tendenza è confermata dai dati del 2000: il
settore del commercio elettronico, l'anno scorso, ha perduto dodici milioni di
clienti. Il tema della privacy diventa così un elemento che non caratterizza
soltanto la dimensione individuale e sociale, ma incide profondamente sulla
sfera economica. Lo sviluppo del commercio elettronico è ormai strettamente
legato anche a una tutela effettiva dei dati personali.
Il mondo
imprenditoriale comincia a percepire questa realtà. All'inizio di quest'anno,
durante un'audizione davanti al Parlamento europeo, i rappresentanti delle
industrie europee più avanzate hanno dichiarato la loro preferenza per l'opt
in, dunque per una modalità di rapporto con i loro clienti basata sull'invio
di comunicazioni pubblicitarie solo a chi avesse preventivamente dato il suo
consenso all'utilizzazione dei dati.
La ragione è chiara, ed è dichiarata. Il
rapporto tra produttore e consumatore non può prescindere dalla fiducia. Un
consumatore bombardato da messaggi pubblicitari sgraditi tenderà a rifiutare il
bene o il servizio a cui quei messaggi si riferiscono.
Ma è prematuro, e ingenuo, pensare a una immediata alleanza virtuosa tra
mondo delle imprese e difensori della privacy. Lo dimostra un episodio
significativo. Durante la campagna elettorale americana, caratterizzata anche da
una forte attenzione per i problemi della privacy, George W. Bush dichiarò la
sua preferenza per l'opt in: ma, dopo il voto, fu costretto a una marcia
indietro, manifestando un orientamento più favorevole all'opt out, alla semplice
possibilità degli interessati di rifiutare messaggi sgraditi, negando il
consenso a ulteriori utilizzazioni dei dati raccolti a loro insaputa.
Siamo
soltanto di fronte a un conflitto tra la parte più avanzata e quella più
arretrata del mondo imprenditoriale, che fa sperare in una lenta ma sicura
prevalenza delle ragioni della prima, e quindi in un'attenzione maggiore per la
tutela della sfera privata? Molte ragioni inducono almeno alla prudenza, non
dirò allo scetticismo. Viviamo in una società onnivora, bisognosa d'informazioni
sempre più analitiche, personalizzate, aggiornate. La continua innovazione
tecnologica favorisce e incentiva questa tendenza, rendendo sempre più agevole
la raccolta delle informazioni personali, facendo crollare il costo degli
indirizzi. Intanto, sul vicino orizzonte si profila l'utilizzazione di un
software capace di inviare cento messaggi di posta elettronica al giorno. Le
stime ci indicano la possibilità di trovare, a fine giornata, una cinquantina di
e-mail sulla propria casella di posta elettronica, con costi evidenti a carico
del destinatario in termini di tempo e di connessione.
Naturalmente, l'insieme di questi fenomeni può determinare reazioni di
rigetto da parte dei destinatari e usi prudenti da parte dei settori
imprenditoriali più attenti, come si è appena rilevato. Ma non è possibile
affidare la sorte della sfera privata di ciascuno di noi soltanto alle dinamiche
di mercato, ai comportamenti ispirati esclusivamente alla logica
economica.
Conviene riflettere, allora, sul fatto che i trattamenti
"invisibili" delle informazioni personali, basati appunto sulla raccolta di
queste all'insaputa dei diretti interessati, sono già illegittimi. Non cediamo
alla superficialità di chi ripete meccanicamente che Internet è uno spazio vuoto
di diritto, dove qualsiasi comportamento sarebbe lecito. E' vero, invece, che le
direttive europee in materia e le leggi dei paesi membri dell'Unione
stabiliscono chiaramente che quei trattamenti sono illegittimi, come ha
sottolineato con una sua risoluzione il Gruppo dei garanti europei1.
Questa
constatazione non basta per risolvere il problema. Le regole europee sono
sfidate dalle logiche d'impresa, sono insidiate dai sistemi planetari di
controllo, sono contestate da paesi potenti come gli Stati Uniti. Lo dimostra,
tra l'altro, il modo in cui si è svolta l'indagine del Parlamento europeo sul
sistema Echelon2, partita male
soprattutto per le resistenze inglesi ad attribuire alla commissione incaricata
effettivi poteri investigativi e che, alla fine, ha dovuto registrare il netto
rifiuto dell'amministrazione americana di ricevere i parlamentari europei. Ma
questo vuol dire che grandissime sono le difficoltà, non che siamo di fronte a
una impresa impossibile.
Certo, la faticosa scoperta che Echelon esiste (dopo
che per anni ne era stata negata addirittura l'esistenza) e serve anche a scopi
non militari può dare solo l'amara constatazione della certezza d'essere spiati,
senza possibilità di reazione che non sia quella di cercar di rendere più sicure
le proprie comunicazioni.
Dobbiamo, allora, rassegnarci a una indefinita guerriglia tecnologica tra
sistemi di attacco e sistemi di difesa delle informazioni, nella quale sono
fatalmente destinati a soccombere i più deboli, meno provvisti di mezzi
economici e di strumenti culturali? O dobbiamo, invece, utilizzare le regole già
esistenti per lanciare anche una vigorosa controffensiva istituzionale?
Mi si
perdoni il linguaggio bellico: ma non solo le apparenze ci parlano di un
conflitto in atto, combattuto spesso ad armi impari. Per fare qualche passo
nella direzione di una più effettiva tutela della sfera privata è indispensabile
avere piena consapevolezza delle modalità tecnologiche delle raccolte
"invisibili" di informazioni personali. In sintesi: non basta proclamare
l'illegittimità di queste forme di trattamento dei dati, è indispensabile
affinare le regole.
Questo può essere fatto in molti modi, a cominciare da un
continuo e tecnicamente adeguato controllo dei diversi siti, e delle politiche
di privacy da essi adottate, da parte delle autorità garanti. Che, però, a
questa attività di controllo devono aggiungerne una di informazione e
sensibilizzazione dei cittadini sempre più analitica e puntuale, perché essi
possano essere i primi protagonisti della difesa dei loro diritti.
Siamo
infatti di fronte - non mi stanco di ripeterlo - a una questione di democrazia,
di pienezza della cittadinanza. Questa è ormai la linea ufficiale dell'Unione
europea dopo che a Nizza, nel dicembre scorso, è stata proclamata la Carta dei
diritti fondamentali: tra questi diritti, all'art 8, figura appunto quello alla
protezione dei dati personali, che arricchisce e rafforza il diritto generale
alla tutela della vita privata, affermato all'art 7.
Trova così compimento un
"modello europeo" di protezione dei dati personali che vincola le istituzioni
europee e nazionali, che già si pone come punto di paragone fuori dell'Europa e
che può, quindi, contribuire a una decisiva evoluzione della difesa della sfera
privata nella partita planetaria ormai in corso.
Note
1 Vedi gli articoli di V. Frosini e G. Guerra, di questo numero di Telèma.
2 Vedi Usa: Echelon spia in questo numero di Telèma.