Privacy by Design

 

1. Tutelare la persona. Privacy by design

 

È osservando attentamente questo scenario che vanno determinate le esigenze da soddisfare nella progettazione e nell’esecuzione delle attività di ricerca e sperimentazione, secondo la filosofia della architectural privacy o privacy by design. Come si è detto, la realizzazione della specifica finalità scientifica implica costitutivamente la raccolta e il trattamento di una grande quantità di dati personali e l’elaborazione di quei profili delle competenze che siano necessari alla definizione dei percorsi didattici individualizzati. Proprio alla luce di questa finalità considerare tendenzialmente il dato come personale e cioè non anonimo sembra una precauzione ragionevole, tenuto conto che la qualificazione di un dato come anonimo ai fini della regolamentazione giuridica e deontologica sembra un’operazione assai complessa:

-si considera anonimo il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile (art. 4, lett. n, Decreto Legislativo 196/2003); -un interessato si ritiene identificabile quando, con l’impiego di mezzi ragionevoli, è possibile stabilire un’associazione significativamente probabile tra la combinazione delle modalità delle variabili relative ad un’unità statistica e i dati identificativi della medesima (art. 4 Codice deontologico). In particolare, la qualificazione ai fini della comunicazione e diffusione dei dati (art. 4 Codice deontologico) viene legata al rischio di identificazione, da valutare in virtù di un giudizio probabilistico che ha natura complessa e che deve seguire una pluralità di criteri individuati analiticamente dall’art. 5 del Codice deontologico.

È evidente perciò che il fondamentale parametro normativo è il D.lgs. 30 giugno 2003, n.196 (c.d. codice della privacy). Come è noto, la finalità di tale codice è: «garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali» (art. 2).

Per assicurare questa finalità, il codice dà vita ad un sistema che regola in modo organico tutte le attività di trattamento dei dati personali, mediante il concorso tra disposizioni generali e disposizioni particolari: nel nostro caso gli artt. 97 ss.

Le prime pongono regole rivolte a chiunque si trovi a effettuare attività di trattamento di dati personali, a prescindere dalla natura privatistica o pubblicistica di tale soggetto. Tra queste, è opportuno richiamare quelle che costituiscono parametri fondamentali della liceità delle attività che realizzano il trattamento.

 

2. Il principio di necessità nel trattamento dei dati

 

L’art. 3 prescrive il principio di necessità nel trattamento dei dati: impone che i sistemi informativi e i programmi informatici siano configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità. In altre parole: laddove le finalità della ricerca possono essere perseguite anche senza trattare dati personali, oppure dati identificativi, il trattamento deve riguardare solo dati anonimi (che non riguardano, cioè, interessati identificati o identificabili), oppure, rispettivamente, dati non identificativi (che permettono, cioè, di identificare direttamente un interessato).

 

3. Il principio di liceità e il principio di correttezza

 

L’art. 11 ha una funzione regolativa plurale e più complessa: in primo luogo, prescrive come si ricostruisce l’insieme delle norme che incidono nel giudizio di liceità. A tal fine, da un lato, detta prescrizioni specifiche; dall’altro, richiama tutte le disposizioni tematicamente pertinenti poste da altri strumenti regolativi e le riqualifica come canoni di liceità del trattamento di dati personali. Ne consegue che il trattamento, per essere lecito, deve essere conforme non soltanto alle regole introdotte ex novo dal codice della privacy, ma anche a quelle ad esso esterne, di volta in volta richiamate dal problema principale che la attività di ricerca pone alla legge: la protezione dei minori nei lori diritti e nelle loro libertà fondamentali.

Un aspetto importante da considerare è questo: il rinvio effettuato dal codice della privacy include e ricontestualizza anche queste norme “esterne” in un «nuovo» e specifico sistema rimediale. Infatti nel sistema del codice, la violazione dei canoni di liceità ha un doppio effetto: a) l’inutilizzabilità dei dati (art. 11, comma 2); b) la responsabilità extracontrattuale per il danno patrimoniale e per quello esistenziale (art. 15 cod. privacy) secondo il modello dell’art. 2050 cod. civ.

Sono opportune, a questo riguardo, alcune specificazioni: l’art. 2050 cod. civ. predispone un modello di responsabilità aggravato rispetto a quello ordinario (art. 2043 cod. civ.), che collega alla natura “pericolosa” dell’attività: “chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee ad evitare il danno”.   Esistenziali sono definiti i danni che non sono in alcun modo riconducibili alla perdita o alla diminuzione della capacità reddituale, né si esauriscono nei costi necessari a reintegrare la salute, ma consistono nella lesione della sfera esistenziale dell’individuo. Attengono a beni e/o utilità che non sono sostituibili con il valore patrimoniale puro del denaro ma che secondo l’apprezzamento sociale condiviso possono essere “compensati” con il denaro. In questo senso, la quantificazione del risarcimento è affidata alla valutazione equitativa del giudice. Nel caso del trattamento di dati personali, questi danni alla persona coincidono con la lesione di quei diritti che, come la riservatezza, la privacy e l’identità personale tutelano l’individuo nel suo “essere” umano.

Il rinvio alle norme incidenti nella qualificazione di liceità del trattamento si completa nel riferimento alla correttezza, secondo l’art. 11 comma 1, lett. a). Questo riferimento ci pone due problemi: definire il significato dell’espressione “correttezza”; applicare la regola di correttezza specificamente concretizzata. Per risolverli, è utile osservare che nel ragionamento giuridico la correttezza  opera come uno standard valutativo; un dispositivo, cioè, diretto ad adattare gli effetti giuridici alle caratteristiche peculiari del fatto accaduto nella fenomenologia della realtà materiale. Detto altrimenti, lo standard serve ad adeguare, quanto più possibile, la risposta del diritto all’identità del problema che il fatto della vita gli prospetta, temperando il carattere formale della legge e dunque riducendone quella distanza dalla realtà vitale che è imposta dalla sua astrattezza. L’espressione correttezza è semanticamente vaga in vista di una funzione: definirne il significato nella concretezza della prassi. Per comprendere meglio questo aspetto, occorre distinguere analiticamente i due ruoli dello standard: a) lo standard come medium di individuazione dei comportamenti esigibili nelle circostanze che contestualizzano in concreto l’accadere del fatto nella realtà empirica; b) lo standard come parametro di valutazione secondo il canone della liceità delle attività effettivamente esplicate. I due profili tornano a coincidere nella risposta al quesito: che cosa significa correttezza? La specificità del procedimento interpretativo di uno standard sta in ciò: l’interpretazione ha luogo come recezione e appropriazione da parte della legge ordinaria di significati costituiti direttamente dalla prassi sociale, quale luogo eminente dell’elaborazione dei valori delle azioni umane. Si compie così la mediazione propria degli standard valutativi come «concetti valvola»: collegare il sistema «diritto» ai sistemi culturali esterni al diritto ma coinvolti dalle situazioni di interesse che stanno alla base delle norme giuridiche.

La prima conseguenza è il recupero di valutazioni di ordine sostanziale e la loro inclusione nel giudizio di liceità. Si comprende, in tal modo, che il contenuto precettivo più immediato del principio di correttezza si esprime come proporzionalità: l’interprete, di fronte ad ogni singola operazione del trattamento, è chiamato a operare un «leale» bilanciamento di interessi: deve individuare, cioè, secondo standard di ragionevolezza espressivi della «normalità» della prassi, qual è la misura tollerabile di sacrificio della sfera privata che il potere informativo –legittimato, nel nostro caso, dalla finalità della ricerca scientifica- può imporre alla persona (titolare dei dati personali).

In secondo luogo, il riferimento alla concretezza serve a richiamare le norme del codice deontologico proprio del tipo di attività: il Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici che è in vigore dal 1 ottobre 2004 e regola “l’insieme dei trattamenti effettuati per scopi statistici e scientifici –conformemente agli standard metodologici del pertinente settore disciplinare – di cui sono titolari università, altri enti o istituti di ricerca e società scientifiche nonché ricercatori che operano nell’ambito di dette università, enti, istituti di ricerca e soci di dette società scientifiche” (art.2) “indipendentemente dalla sottoscrizione del codice stesso da parte dei rispettivi enti e società scientifiche” (Preambolo al Codice di deontologia,  comma 2).

Quest’ultima specificazione relativa all’ambito di applicazione del Codice deontologico è di grande importanza perché il rispetto delle disposizioni dei codici di deontologia e buona condotta diviene condizione essenziale per la liceità del trattamento di dati personali effettuato da soggetti privati e pubblici (art. 12, comma 3, Decreto legislativo 196/2003).  Secondo l’art. 3 del Codice deontologico, i “soggetti coinvolti” nella ricerca debbono comunque sottoscrivere una “dichiarazione di impegno a conformarsi alle disposizioni del codice deontologico” e  “una analoga dichiarazione è sottoscritta anche dai soggetti – ricercatori, responsabili e incaricati del trattamento – che fossero coinvolti nel prosieguo della ricerca”.

 

4. Il principio di finalità

 

L’art.11, comma 1, lett. b) introduce il principio di finalità e vi costruisce la pretesa «generale» di validità del potere informativo. Questo ruolo fondativo si pone in luce osservando i due significati in cui si declina la funzione regolativa del principio: il c.d. «scopo – fine» e il c.d. «scopo - mezzo». Il primo, richiamando la finalità ultima della raccolta e del trattamento dei dati personali, istituisce un doppio vincolo: la legittimità dello scopo-fine e la coincidenza tra il fine effettivamente perseguito e quello che giustifica normativamente l’attribuzione del potere informativo. Nel nostro caso, questo comporta la verifica della sussistenza in concreto della finalità della ricerca: questa finalità infatti legittima di per sé il trattamento di dati personali (art. 104 ss. cod. privacy).

Il secondo profilo pone una esigenza di congruità tra tale finalità (generale) e lo scopo (pratico) che, di volta in volta, orienta ciascuna singola fase dell’attività. Così si organizza una relazione strumentale tra mezzo e fine che opera come condizione di liceità: il mezzo -cioè la ragione per cui si compie ogni singolo atto del trattamento – deve essere congruo e quindi proporzionato rispetto allo scopo – che legittima il potere informativo e, perciò, l’intrusione nella altrui sfera soggettiva.

 

4.1 Pertinenza e non eccedenza dei dati

 

I canoni della pertinenza e della non eccedenza (art.11, lett. d) identificano requisiti dei dati che specificano il principio di finalità e operano come criteri di liceità della raccolta e del trattamento. Infatti, impongono una duplice valutazione del contenuto informativo del dato in rapporto alla finalità perseguita: la pertinenza (come modalità qualitativa) garantisce l’attinenza dell’informazione fornita dal dato rispetto alla scopo del trattamento. La non eccedenza limita alla misura minima necessaria l’intrusione nella sfera della vita privata. Una esigenza di garanzia, questa, che può così tradursi: non è lecito raccogliere dati che, quantunque pertinenti in astratto, non siano in concreto utili perché attengono ad una necessità cognitiva che è già stata soddisfatta.

 

4.2 Esattezza e completezza delle informazioni

 

L’art. 11 manifesta inoltre l’esistenza di un nesso più profondo tra privacy e identità sul piano delle tecnologie della tutela giuridica della persona. Questo nesso si pone in luce proprio a partire dall’idea di immutabilità che costituisce il nucleo essenziale del concetto normativo di identità: la non possibilità di un mutamento etero-determinato. Ciò significa che la tutela dell’identità, quale affermazione della propria individualità e conservazione della propria irripetibile singolarità, come differenza dall’altro, include in modo necessario il divieto (per gli altri) di compiere operazioni informative che modifichino il campo oggettivo delle proiezioni sociali della personalità individuale. Da questa prospettiva, l’identità personale si manifesta –anche – come «dispositivo di socializzazione»: cioè, da un lato, è vista nella sua capacità di comunicare e produrre conoscenza sulla persona; dall’altro, costituisce il punto di riferimento della pluralità dei rapporti nei quali si svolge la relazionalità vitale del soggetto. Questi nessi si rendono evidenti nella prescrizione dei canoni della completezza e dell’esattezza delle informazioni (art.11, comma 1, lett. c) e d). Quali criteri di liceità, questi si indirizzano ad un obiettivo specifico: garantire (non l’autorappresentazione di sé ma) la «verità storica» della rappresentazione della personalità mediata dal trattamento.  Si introduce, così, un aspetto della congruità delle informazioni diverso da quelli in precedenza esaminati: per un verso, riguarda l’interesse a vedersi rappresentati per come si è; o, in modo più preciso, così come si è percepiti all’esterno, nel contesto in cui si esplica la propria socialità; per l’altro, prefigura l’esigenza di un giudizio (la valutazione identitaria) che non è mai definitivamente compiuto ma si riproduce, in armonia con la natura «procedimentale» dell’identità.

 

5. Consenso al coinvolgimento di minori e al trattamento dei dati personali

 

Un profilo importante è quello del consenso, che nell’analisi giuridica si differenzia in:

  1. Consenso al coinvolgimento di persone minori di età nelle attività di ricerca e sperimentazione;
  2. consenso al trattamento dei dati personali.

 

Questa distinzione riflette la diversità dei problemi giuridici rispettivamente implicati dalle due manifestazioni di volontà, che sussiste benché evidentemente l’attività di ricerca sia qualificabile come trattamento di dati personali ai fini e per gli effetti del codice della privacy.

Il consenso sub a) (da parte dei titolari della responsabilità genitoriale sul minore) costituisce il parametro fondamentale della legittimità dell’attività di ricerca; deve rivestire la forma scritta ed essere informato. Quest’ultimo requisito implica la necessità di una adeguata attività di comunicazione ed informazione da parte dei soggetti della ricerca secondo alcuni contenuti minimi: la finalità della ricerca; le forme e le modalità del suo svolgimento; i tempi previsti; i soggetti coinvolti. Inoltre, deve essere precisata la natura libera del consenso e della partecipazione e pertanto che verranno adottate tutte le misure idonee ad assicurare che nessuna conseguenza discriminatoria o in altre forme negativa deriverà ai bambini e alle loro famiglie dalla mancata partecipazione alla attività di ricerca e di sperimentazione.

Occorre sottolineare la natura extracontrattuale di tale consenso. Ciò comporta che esso escluda la antigiuridicità dell’intromissione nella sfera personale dei bambini attuata con la sperimentazione ma che sia liberamente revocabile – salvo il risarcimento dell’eventuale danno. Sembra opportuno perciò, al fine di garantire l’effettività del consenso, che i titolari della ricerca si obblighino a tenere aggiornati i titolari della responsabilità genitoriale dello svolgimento della ricerca e ad informarli tempestivamente dei risultati anche parziali che saranno ottenuti e delle valutazioni effettuate dal Comitato etico sulla rispondenza dell’attività all’interesse preminente del bambino.

È proprio questo interesse che orienta in maniera decisiva anche la questione del consenso al trattamento dei dati personali (b) verso una tutela rinforzata, che prescinde dalla natura pubblica o privata del titolare del trattamento quale autore della ricerca. Normalmente, infatti, questa alternativa è decisiva rispetto alla necessità o meno di ottenere il consenso dell’interessato (nell’ipotesi di soggetti minori, ovviamente, il consenso sarà normalmente prestato dai genitori quali legali rappresentanti), regolato dall’art. 23 del Decreto legislativo e dall’art.7 del Codice di deontologia). Infatti, i soggetti pubblici – che il Codice della Privacy legittima a trattare dati personali per lo svolgimento delle loro funzioni istituzionali – non hanno bisogno di richiedere il consenso dell’interessato (art. 18 Decreto legislativo 196/2003). Nell’ipotesi di scopi scientifici, ciò vale anche per il trattamento dei dati sensibili e giudiziari (art. 4 Decreto legislativo 196/2003). Infatti – come si è detto – la finalità scientifica perseguita da un soggetto pubblico è considerata dall’art. 98 del Decreto legislativo 196/2003 di rilevante interesse pubblico ai sensi degli artt. 20 e 21 del decreto medesimo.  Vale a dire: questa norma autorizza i soggetti pubblici che perseguono scopi scientifici anche al trattamento di dati sensibili e giudiziari, senza il consenso degli interessati, nel rispetto delle condizioni previste dagli art. 20, comma 2 e 22 del Decreto e dall’art. 9, commi 1, 2 3 e 6 del Codice di deontologia.

In conclusione: nonostante la natura pubblicistica dei ricercatori, la minore età dei soggetti sui quali e con i quali la ricerca viene svolta impone il consenso al trattamento dei dati personali da parte dei titolari della responsabilità genitoriale. Si tratta di un profilo specifico che si distingue concettualmente e si aggiunge al consenso che questi ultimi devono esprimere in merito al coinvolgimento dei minori nell’attività di ricerca ma che dal punto di vista pratico – operativo potrà trovare una trattazione contestuale.

 

6. Consenso, obblighi di informazione e diritti dell’interessato

 

Il consenso sopra descritto deve rivestire la forma scritta ed essere parametrato al contenuto dell’informativa prevista dall’art. 13 cod. privacy. Sebbene taluni punti ricalchino la declinazione del consenso allo svolgimento della sperimentazione, conviene richiamarli, coerentemente al ruolo giuridicamente autonomo del consenso al trattamento dei dati personali:

a) le finalità e le modalità del trattamento cui sono destinati i dati;

b) la natura facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere (vedi supra);

d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;

e) i diritti di cui all'articolo 7;

f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile;

g) la possibilità di prendere conoscenza delle modalità di conservazione dei dati e delle misure di sicurezza adottate dai responsabili della ricerca.

Il riferimento ai diritti del titolare dei dati personali si completa nel rinvio all’art. 7 del codice della privacy, secondo il quale

1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.

2. L'interessato ha diritto di ottenere l'indicazione:

a) dell'origine dei dati personali;

b) delle finalità e modalità del trattamento;

c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;

d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2;

e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

3. L'interessato ha diritto di ottenere:

a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;

b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;

c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

 

7. Dati sensibili. Principio di indispensabilità

 

Particolare rigore deve essere osservato per quanto riguarda l'eventuale raccolta e registrazione di dati sensibili, i quali sono acquisibili, attraverso una valutazione obiettiva e selettiva, solo se realmente indispensabili per raggiungere la finalità della ricerca (art. 22, comma 3, codice privacy).

Inoltre, cautele peculiari sono imposte dall’eventuale coinvolgimento degli istituti scolastici nelle fasi di raccolta e di trattamento di dati sensibili. Infatti alcuni presupposti giuridici per trattare tali i dati sono diversi a seconda che l'istituto scolastico sia di natura privata o pubblica.

Le istituzioni scolastiche private devono acquisire il consenso specifico, preventivo e scritto da parte degli esercenti la potestà; devono poi rispettare le prescrizioni contenute nelle autorizzazioni generali del Garante al trattamento dei dati sensibili. Le istituzioni scolastiche pubbliche non devono richiedere il consenso; devono invece indicare nell'atto di natura regolamentare che deve essere adottato in conformità al parere del Garante, i tipi di dati trattabili e le operazioni eseguibili in relazione alla tematica in esame (artt.  20 e  154 del Codice privacy). 

 

8. Obblighi di sicurezza

 

Infine, relativamente agli obblighi di sicurezza, il dispositivo delle norme fondamentali del codice della privacy è assai chiaro.

Secondo l’art. 31:

1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Secondo l’art. 32:

1. Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.

L’art. 34 disciplina il trattamento effettuato on strumenti elettronici:

1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione;

d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi.

L’art. 35 si riferisce agli obblighi di sicurezza da adempiere nel trattamento effettuato senza l’ausilio di strumenti elettronici:

1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B) del codice, le seguenti misure minime:

a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finali.

Italian