Ma la privacy è un diritto! Una riflessione sul
Transcript
Ma la privacy è un diritto! Una riflessione sul
Rubrica legale - ICT Security Ottobre 2004 Autore: Daniela Rocca (GED Consulting Srl) Ma la privacy è un diritto! Una riflessione sul significato del diritto alla privacy e sulla coesistenza, in ognuno di noi, delle due figure di soggetto attivo e passivo del trattamento dei dati. • Privacy e responsabilità L’avvento delle nuove tecnologie ha comportato la nascita di nuove responsabilità per coloro che, in una azienda, trattano dai personali. Dopo quasi un anno dall’entrata in vigore del D. Lgs. 196/2003, le perplessità che giungono dalle aziende non sono cambiate. L’adeguamento alla normativa viene vissuto dalle aziende esclusivamente come un dovere imposto dalla legge, non come la necessaria tutela di un diritto. Mi sento spesso dire dal management che la privacy è un costo. Solo chi fa sicurezza trae beneficio dall’applicazione della legge, perché vende. “Noi non vendiamo sicurezza e quindi più tardi spendiamo, meglio spendiamo”. Fa questo tipo di ragionamento un’azienda che non valuta il rischio legale connesso al mancato ottemperamento degli obblighi previsti dalla legge, che non prende in considerazione quanto costerebbe risarcire il danno connesso al trattamento illecito dei dati personali ex art. 15 D. Lgs. 196/2003. Quando parlo con coloro che sono deputati a intervenire operativamente in azienda (introdurre le procedure e le misure di sicurezza), la privacy non è più un costo: diventa una scocciatura. Chi se ne deve occupare all’interno dell’azienda è il più delle volte qualcuno che… aveva e ha altro da fare. Vede accresciute le proprie responsabilità senza un adeguato riconoscimento economico. I mezzi a disposizione sono spesso inadeguati. Rubrica legale - ICT Security Ottobre 2004 Autore: Daniela Rocca (GED Consulting Srl) La reazione degli incaricati “base” al trattamento è invece di pura ignoranza della legge, in quanto l’attività di formazione ancora non è partita o è partita…zoppicando. L’incaricato-base non comprende fino in fondo perché la privacy è così improvvisamente importante. In tutte queste situazioni, chi come me ha il compito di aiutare l’azienda a conformarsi a quanto previsto dalla legge può mettere l’azienda e il lavoratore di fronte alle responsabilità civili e penali derivanti dal mancato adeguamento alla legislazione. E può cercare di creare una cultura della privacy. • Ma la privacy è un diritto! A me piace dire che la privacy è un diritto. Mi piace consigliare di riflettere sulla propria dimensione di uomo e dimenticare per un attimo la propria dimensione di uomocontestualizzato-in-azienda. Bisogna fare proprio il concetto che la privacy è un diritto e come tale è sancito già dalle carte fondamentali dei diritti dell’uomo, prima che dalle tre direttive europee in materia e dalla legislazione italiana. La Convenzione Europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali garantisce la protezione della vita privata nell’articolo 8, dove è esplicitato come “diritto” il rispetto della vita privata e familiare, del domicilio e della corrispondenza. Per la Convenzione di Strasburgo n. 108/1981 del Consiglio d’Europa, ogni persona fisica, qualunque siano la sua cittadinanza o residenza, ha diritto al rispetto dei diritti e delle libertà fondamentali, ed in particolare al rispetto del diritto alla vita privata, nei confronti dell’elaborazione automatizzata dei dati di carattere personale che la riguardano. Anche la Carta dei diritti fondamentali dell'Unione Europea ribadisce come valore comune degli Stati aderenti all’Unione la protezione della vita privata e familiare, del domicilio e delle comunicazioni (articolo 7) e dei dati di carattere personale (articolo 8), sottolineando in particolare che tali dati devono essere trattati secondo il principio di lealtà, avere finalità determinate e che il Rubrica legale - ICT Security Ottobre 2004 Autore: Daniela Rocca (GED Consulting Srl) loro trattamento necessita del consenso della persona interessata o un altro fondamento legittimo previsto dalla legge. Perché la protezione dei miei dati personali è un diritto? Semplicemente perché i miei dati personali sono miei. Nel nostro ordinamento giuridico esiste un diritto di proprietà sulle cose, credo sia lecito pretendere che esista qualcosa di simile al diritto di proprietà per quanto riguarda le malattie, i gusti, le abitudini, le opinioni che sono espressioni dirette della mia essenza, non una cosa materiale. Su un oggetto di mia proprietà ho delle facoltà, posso fare ciò che voglio, compatibilmente con i diritti e le libertà altrui: posso utilizzarlo oppure no, posso nasconderlo, posso manutenerlo (aggiornarlo) oppure lasciarlo nel degrado, posso far sì che nessuno ne tragga profitto. Lo stesso vorrei poter fare con i dati che mi riguardano. Immagino la mia sfera privata come la mia casa. Posso volere che Tizio entri e Sempronio non entri. Posso dare le chiavi di casa a Caio ma impedire che Caio entri con Mevio. Posso pretendere che Caio mi restituisca le chiavi e posso pretendere che non ne faccia una copia. Posso far uscire Tizio da casa mia quando voglio. Il diritto così come delineato dalle norme delle carte fondamentali è il mio diritto di essere lasciata sola, il diritto di controllare le informazioni che mi riguardano, di decidere liberamente della mia vita privata: fidelity cards, TV digitale, sms sono alcuni tra gli innumerevoli mezzi di controllo della mia vita e io voglio che ciò sia, se non escluso, almeno regolamentato, così come lo è il diritto di proprietà o il domicilio. Io non voglio che qualcuno tracci il mio profilo, che sappia dalla mia fidelity card del supermercato cosa leggo, se sono vegetariana, grassa o magra, ricca o povera, noglobal, di destra o di sinistra, se ho figli, se vivo sola, se ho allergie. Io non voglio che dalle mie navigazioni in Internet si sappia se mi piace il mare o la montagna, se sono Rubrica legale - ICT Security Ottobre 2004 Autore: Daniela Rocca (GED Consulting Srl) donna o uomo, se fumo oppure no, se sono sportiva o pigra, se mi piace cucinare. Io non voglio che dai canali satellitari che guardo si capisca se sono interista o milanista, se mi piacciono i reality shows, se amo i thriller o i leoni e le tigri della savana. A meno che io voglia che si sappia. • Non fare ad altri… Quindi, io come donna-contestualizzata-in-azienda sono soggetto attivo (tratto dati) ma come donna tout court sono anche soggetto passivo (sono soggetta a trattamento). E quindi, rigorosamente coerente, io non tratto dati se non con il consenso dell’interessato. Non faccio spamming. Le mie informative informano adeguatamente e non fingono di informare. Non comunico né diffondo dati a terzi. Vorrei nascesse una cultura della privacy e cerco di comportarmi in linea con quelli che sono i principi fondamentali di un utilizzo non patologico di dati. Riflettiamo tutti su un punto fra tanti: se nessuno facesse spamming, qualcuno sarebbe spinto a fare spamming? Daniela Rocca GED CONSULTING Srl [email protected]