Abstract Ducato
Transcript
Abstract Ducato
Dal tramonto all’alba: la crisi della definizione di dato personale nella nuova dimensione tecnologica. Riflessioni civilistiche in chiave comparata Rossana Ducato Dottore di ricerca in diritto privato comparato Università degli Studi di Trento Sessione tematica: Definizioni giuridiche e concetti tecnico-scientifici / (In)definizioni Abstract: La direttiva 95/46/CE ha esplicitato in maniera paradigmatica, già nel suo titolo, l’equilibrio che tutte le normative in materia di privacy hanno sempre ricercato, ovverosia il bilanciamento tra la protezione dei dati personali e la libera circolazione degli stessi [Bygrave, 2014]. Il baricentro di tale equilibrio è stato ipostatizzato nella definizione di dato personale, con una conseguenza giuridica molto semplice: la disciplina in materia di protezione dei dati personali si applica esclusivamente a quelle informazioni qualificabili come dato personale e non anche a quelle che tali non possano ritenersi (perché anonime o anonimizzate). Che la disciplina in materia di protezione dei dati personali si applichi solo a dati personali, è un’affermazione che, per un verso, rasenta l’endiadi e, per altro, si pone al limite della tautologia. La questione, tuttavia, smette di porsi come triviale considerando l’incalzare di alcuni progressi tecnologici che hanno messo in crisi la definizione stessa di dato personale e che hanno reso più incerti i confini tra quest'ultimo e il "dato anonimo": lo sviluppo della scienza della reidentificazione, il fenomeno dei Big Data e la tendenza a condividere spontaneamente sempre più informazioni personali in Rete hanno ampliato le possibilità di ricollegare tracce disseminate nel contesto online a persone concrete. Alcuni casi recenti - come lo scandalo di Netflix o di America Online [Barocas, Nissenbaum, 2014] o, ancora, le scoperte del bio-hacker Yaniv Erlich [Gymrek, 2013] - hanno disvelato le "broken promises" [Ohm, 2010] della privacy nell'era digitale, dimostrando come sia possibile risalire all'identità di una persona attraverso l'estrazione (data mining) e l'aggregazione di dati non identificativi. Tale possibilità rischia di avere un impatto dirompente sulle normative privacy e, in questo frangente, il dato comparatistico risulta particolarmente significativo per comprendere la magnitudo di tale cambiamento. Prendendo in considerazione i due modelli di riferimento in materia, si può osservare che: se qualsiasi dato è potenzialmente riferibile a una persona, allora il sistema europeo di tutela dei dati personali finisce per espandersi al punto da ricomprendere la più infinitesimale stringa di bit; mentre la definizione di personally identifiable information del sistema statunitense (equivalente funzionale dell'europeo "dato personale"), assoggettata ad una rigida catalogazione e ad una legislazione settoriale ed estremamente frammentata, rischia di rimanere priva di significato. Alla luce di tali considerazioni, alcuni autori hanno sostenuto l'obsolescenza della definizione di dato personale/personally identifiable information [Gratton, 2012; Schwartz, Solove, 2014], fino ad affermare la necessità di rinunciare alla medesima, in favore di un sistema di tutela calibrato su una matrice di "rischio del danno" [Ohm, 2010]. L'obiettivo del presente paper è duplice: in primo luogo, s'intende analizzare in prospettiva comparata come e fino a che punto la tecnologia sta incidendo sulla validità della definizione di dato personale e come ciò impatta sull'ordito normativo della privacy. In questo senso, si indagheranno le risposte fornite nei due ordinamenti giuridici considerati (Unione Europea e Stati Uniti), non solo con riferimento al formante dottrinale, ma anche alle regole di soft law e alle linee guida elaborate da agenzie specializzate e gruppi di esperti. In seconda battuta, si affronteranno in chiave critica le proposte de iure condendo avanzate in letteratura circa la preferibilità di una (in)definizione di dato personale. Si cercherà di mettere in evidenza luci e ombre di tali elaborazioni teoriche, che rischiano di scardinare uno dei pilastri attorno cui è stata eretta la disciplina in materia di protezione dei dati personali.