In questi giorni in cui la pandemia da covid-19 ci ha costretti a sviluppare tutte le nostre attività quotidiane online, risulta essere di primaria importanza il tema della privacy e della tutela dei dati personali. Per comprendere meglio di cosa si tratti e quali siano le pratiche e gli eventuali rischi connessi abbiamo intervistato la Dottoressa Rossana Ducato, ricercatrice presso l’Université Catholique de Louvain e l’Université Saint-Louis de Bruxelles e docente del corso Jean Monnet “European IT Law by Design“. Rossana ci ha concesso un’intervista in cui chiarisce con massima precisione alcune questioni legate alla tutela dei dati personali. Ci ha anche rilasciato importanti dichiarazioni che fanno luce sul “Fascicolo Sanitario Elettronico”.

In questo periodo di clausura forzata abbiamo avuto modo di sviluppare competenze lavorative e rapporti interpersonali tramite l’utilizzo del web. Viene in mente, quindi, l’importanza della privacy e della protezione dei dati: due argomenti molte volte confusi. Possiamo capire meglio di cosa si tratta?

Privacy e protezione dei dati personali sono due diritti particolarmente sollecitati con l’avvento di Internet e alcuni dei più recenti sviluppi tecnologici (Big Data, Internet of Things, blockchain).

Vi sono, però, due importanti precisazioni che è bene fare fin da subito. In primo luogo, non sono diritti che nascono nell’era digitale, ma hanno radici ben più lontane. Si comincia a parlare di diritto alla privacy con l’articolo di Warren e Brandeis che appare nel 1890 sulla Harvard Law Review. Lì il diritto alla privacy viene teorizzato per la prima volta come “diritto ad essere lasciati soli” (e nel caso specifico, ad essere protetti contro le ingerenze della stampa scandalistica che cominciava ad attrezzarsi con macchine fotografiche “portatili”). Naturalmente, con lo sviluppo tecnologico e i cambiamenti nella società, tali diritti sono andati evolvendosi nel corso degli anni in via legislativa, o grazie all’intervento degli studiosi del diritto o delle corti.

La seconda precisazione riguarda l’autonomia concettuale dei due diritti.  Privacy e protezione dei dati personali non sono sinonimi. Si tratta naturalmente di due diritti “cugini”, entrambi volti alla tutela della sfera intima dell’individuo, della sua identità e della sua dignità, ma vi sono delle differenze significative. Per farla breve, in ambito europeo il diritto alla privacy può essere definito come il diritto alla propria vita privata e familiare, del proprio domicilio e delle comunicazioni. Ad esempio, nel 2019 l’Italia è stata condannata dalla Corte Europea dei Diritti umani per violazione della privacy nel caso Ilva: lo Stato italiano non si sarebbe attivato, con apposite leggi e provvedimenti, per prevenire i rischi di danno alla salute causati dall’industria tarantina ai cittadini, di fatto compromettendo il benessere di questi ultimi e violando il loro diritto alla vita privata e familiare.

Cos’è il diritto alla protezione dei dati personali?

Anche la protezione dei dati personali è un diritto fondamentale riconosciuto in Europa, ma ha una dimensione informazionale più che fisica. In altri termini, ogni persona ha il diritto a che i suoi dati personali vengano trattati in maniera corretta, lecita e proporzionata. È un diritto che è tutelato da un complesso di regole procedurali, presieduto da una serie di garanzie, non ultima l’istituzione di autorità di controllo nazionali (il Garante per la protezione dei dati per intenderci).

Occorre anche qui fare un’importante precisazione: il diritto alla protezione dei dati personali non è il diritto a mantenere segreti i propri dati. Io ho tutto l’interesse a comunicare il mio indirizzo al sito di e-commerce dove ho appena comprato un libro, altrimenti come farebbe il corriere a consegnarmelo? I soggetti che, però, trattano quest’informazione (il negozio di e-commerce e il corriere) devono farlo in maniera lecita. Ad esempio, non potrebbero riutilizzare il mio indirizzo per cominciare a martellarmi con una campagna pubblicitaria personalizzata.

È davvero possibile proteggere i propri dati? Cosa dovremmo sapere o, meglio, quali sono le buone pratiche che dovremmo perseguire?

Certamente e in Europa abbiamo uno degli impianti normativi più avanzati per farlo. In primo luogo, gli enti o le persone che mettono in piedi un trattamento di dati personali hanno una serie di obblighi da rispettare così da proteggerci “di default”. Le autorità nazionali indipendenti vigilano sull’applicazione della normativa e, se qualcosa dovesse andare storto, i privati cittadini hanno comunque una serie di rimedi, potendo ricorrere nei confronti del titolare del trattamento o rivolgersi al Garante o al giudice ordinario. Max Schrems era (solo) uno studente di giurisprudenza quando ha fatto causa a Facebook nel 2013 (e ha vinto).

I rimedi ci sono ma anche noi dobbiamo fare la nostra parte per evitare potenziali situazioni dannose. C’è una frase ricorrente che mi pare paradigmatica a questo proposito: “Se è gratis, il prodotto sei tu”. Dobbiamo imparare l’ABC della protezione dei dati personali, perché è qualcosa che tocca ciascuno di noi nella vita di tutti i giorni. Non occorre prendere un dottorato di ricerca, ma avere un minimo di contezza. Tutti sanno che bisogna attraversare sulle strisce pedonali, senza bisogno di essere piloti di Formula 1. La stessa cosa deve avvenire quando utilizziamo servizi online: banalmente, se non vogliamo pubblicità personalizzata, dobbiamo sapere come disattivare i cookies. È tutto a portata di click. Se vogliamo sapere come vengono utilizzati i nostri dati, dobbiamo leggere le privacy policy dei siti prima di accettare le condizioni. Lì spesso c’è scritto tutto, anche le peggiori nefandezze. Non abbiamo tempo, la competenza e… onestamente i documenti sono incomprensibili? Ci sono adesso una serie di progetti che analizzano questi documenti scritti in “legalese” per noi: tra gli altri, pribot.org e foundation.mozilla.org/en/privacynotincluded/. Se teniamo davvero alla nostra privacy abbiamo bisogno di fare un minimo investimento in termini di tempo, almeno all’inizio.

Ho avuto modo di approfondire l’argomento del fascicolo sanitario elettronico. Puoi spiegarci un po’ meglio di cosa si tratta e come influisce sulla nostra privacy?

Il Fascicolo Sanitario Elettronico (FSE) è uno strumento molto importante per la nostra salute, l’organizzazione sanitaria e la ricerca, che è stato normativamente previsto in Italia a partire dal 2012. FSE raccoglie potenzialmente ogni dato e documento che viene generato su un paziente dal sistema sanitario (diagnosi, prescrizioni, ecc.). Il paziente non solo può avere accesso ai propri dati di salute online, ma ha anche un ruolo pro-attivo, potendo anche decidere quali dati confluiscono nel fascicolo, chi può vederli e chi no.

L’Italia ha fatto da apripista a livello europeo e alcune Regioni hanno implementato soluzioni particolarmente innovative. Un esempio che conosco molto bene per averci lavorato è rappresentato da “TreC”, la “Cartella Clinica del Cittadino”, sviluppata dalla Provincia Autonoma di Trento. Il sistema è molto avanzato e prevede una serie di funzionalità che mettono al centro del processo di cura (primaria e secondaria) il cittadino, che può abilitare una serie di monitoraggi di telemedicina (ad esempio, per il diabete).

Quanto alla protezione dei dati personali, essa è stata in effetti una delle prime preoccupazioni. Il primo intervento in materia di FSE è stato proprio effettuato dal Garante Privacy nel 2009.

La normativa attuale prevede tutta una serie di garanzie affinché l’accesso al Fascicolo avvenga in modalità protetta e riservata. L’adesione al Fascicolo rimane volontaria e il cittadino è in grado di esercitare un effettivo controllo dei flussi informativi che lo riguardano: ad esempio, può aggiungere informazioni (nel cd. “taccuino”) e può consultare l’elenco degli accessi che sono stati effettuati al proprio fascicolo.