Il rischio della sorveglianza di massa e le minacce alla privacy
Il tema della sorveglianza ha da sempre attirato l’attenzione delle Autorità Garanti e degli studiosi di protezione dei dati, stante la crescente capacità di intromissione nella vita privata offerta da strumenti tecnologici sempre più sofisticati. Infatti, dall’originario nucleo della sorveglianza intesa come controllo a distanza, che ha trovato una sua prima disciplina nello Statuto dei lavoratori del 1970, assistiamo adesso a un proliferare di strumenti di sorveglianza sempre più potenti e legati a diverse finalità.
Da un lato, infatti, è progressivamente più presente una sorveglianza legata al potere centrale dello Stato. Un esempio potrebbe essere quello offerto dalla Cina, la quale sta sviluppando un avanzatissimo sistema di videosorveglianza con riconoscimento facciale che dovrebbe identificare ogni singolo cittadino anche in situazioni particolarmente affollate, al punto che ha fatto notizia l’arresto di un ricercato che è stato puntualmente identificato in mezzo a una folla di circa sessantamila persone. Altri Paesi stanno sviluppando sistemi di sorveglianza più legati all’attività in rete, ad esempio adottando sistemi di deep packet inspection che analizzano approfonditamente il contenuto delle informazioni scambiate dagli utenti tramite i canali telematici, il tutto senza che il cittadino possa opporsi a questa intromissione nella vita personale.
Tali strumenti, infatti, sebbene nascano con finalità sicuramente degne di tutela quali la sicurezza e la repressione dei reati, se non provvisti di idonee garanzie rischiano di trasformarsi in veri e propri strumenti di controllo e di classificazione sociale. Queste posizioni sono state ribadite più volte dalla giurisprudenza della Corte Europea dei Diritti dell’Uomo, laddove alcuni sistemi di sorveglianza sono stati ritenuti eccessivi in merito alle finalità e all’assenza di garanzie, come nel caso di sorveglianza che ha interessato le fonti di alcuni giornalisti, creando così una forte turbativa dei valori propri di un sistema democratico.
A questa sorveglianza più “centralizzata” si aggiunge la sorveglianza tipica del contrasto alla criminalità, che fa sempre più ricorso allo strumento del captatore informatico, il quale si è dimostrato uno strumento utilissimo per gli investigatori, ma porta con sé anche dei rischi particolarmente elevati. Il caso Exodus ad esempio, che ha visto circa un migliaio di ignari cittadini spiati senza motivo tramite il loro smartphone per un mero errore, è emblematico di quanto possa essere pericoloso questo strumento, al punto che il Garante ha sentito l’obbligo di fare un comunicato nel quale esprimeva preoccupazione per il crescente sviluppo e utilizzo di questi sistemi, se non abbinati a un solido sistema di garanzie e di controllo degli stessi.
Infine, la sorveglianza più diffusa oggi e che viene chiamata “sorveglianza capitalistica”, è quella legata alle attività commerciali e al profiling del cliente/consumatore in modo da analizzarne le preferenze di consumo e prevedere in anticipo le sue scelte o indirizzargli delle offerte specifiche volte a “fidelizzarlo”. Anche questo strumento ha delle ricadute positive, innanzitutto in termini di risparmio per il consumatore ma anche di efficienza del magazzino da parte del venditore, di miglior predisposizione dei turni di lavoro dei propri dipendenti in relazione ai picchi di clientela, ecc.
D’altro canto, però, quando questi strumenti diventano particolarmente invasivi e vanno a ledere la libertà del consumatore o vengono adoperati per porre in essere un controllo a distanza dei lavoratori, deve intervenire la protezione offerta dall’ordinamento giuridico mediante apposite leggi, tra cui sicuramente spicca il GDPR.
È un delicato lavoro di bilanciamento, quindi, quello che viene richiesto al professionista della privacy quando deve valutare la legittimità o meno di uno strumento di sorveglianza, in quanto dovrà tener conto innanzitutto dei principi di cui all’articolo 5 del GDPR, ma anche considerare le altre norme che potrebbero essere chiamate in gioco e modulare di conseguenza le potenzialità dello strumento.
In tal senso, per fortuna, c’è già uno storico di verifiche preventive dell’Autorità Garante che torna molto utile per effettuare questo bilanciamento, oltre alla giurisprudenza in tema di controlli a distanza sul luogo di lavoro. Con il GDPR infatti, sempre in ossequio al principio di accountability, questa attività di valutazione dei rischi e conseguente bilanciamento viene demandata totalmente al titolare del trattamento mediante la previsione, innanzitutto, di una valutazione d’impatto e secondariamente tramite l’adozione dei principi fondamentali di trasparenza, minimizzazione, pertinenza e limitazione alla conservazione.
(L'intervento di Pierluigi Perri all'8° Privacy Day Forum)