La protezione dei dati personali alla luce delle nuove tecnologie

Condividi su facebook
Condividi su twitter
Condividi su linkedin
Condividi su whatsapp
Condividi su telegram
Condividi su email

Al giorno d’oggi la rete internet incide sulla vita di ogni essere umano, che perciò si trova nella condizione di essere perennemente monitorato tramite le tecnologie di identificazione e tracciamento.
I servizi offerti dal web risultano sempre più utili o, meglio, essenziali per la maggior parte delle attività quotidiane, ma, al contempo, per le loro caratteristiche intrinseche minano fortemente il diritto alla protezione dei dati personali.

dati personali

Indice

1. Sistemi di e voting e il “Caso Rousseau”
2. Auto a guida autonoma e il “Progetto Masa”
3. Data protection by design
4. Crittografia

Con l’inesorabile evoluzione delle nuove tecnologie e della spasmodica digitalizzazione, ogni persona può essere identificata da soggetti pubblici e privati attraverso i dati che la riguardano, per cui è fondamentale fornire un’adeguata tutela al “corpo elettronico” degli individui.
In questo senso, l’Unione Europea è intervenuta con il Reg. UE n. 679 del 2016 (General Data Protection Regulation o GDPR) con l’obiettivo di armonizzare definitivamente la regolamentazione in materia di protezione dei dati personali all’interno dell’Unione Europea, obiettivo che, come si esporrà in seguito, è stato raggiunto solo in parte.

1. Sistemi di e voting e il “Caso Rousseau”

Con l’espressione e voting (voto elettronico), si vuole indicare una manifestazione della e democracy, cioè il processo ed il conseguente risultato dell’applicazione alle operazioni elettorali delle nuove tecnologie informatiche.
All’art. 48 comma 2 della nostra Carta Costituzionale viene disposto che: “Il voto è personale ed eguale, libero e segreto” per cui, notevoli dubbi concernono l’idoneità delle nuove tecnologie di e voting a salvaguardare le garanzie previste dal poc’anzi citato dettato normativo.
In primo luogo, il requisito della personalità del voto non risulterebbe pienamente soddisfatto dalle tecniche di identificazione a distanza utilizzate nei sistemi di voto elettronico, in quanto, se pur potenzialmente idonee a garantire la personalità del votante al momento dell’identificazione, non sono in grado di assicurare l’identità tra chi trasmette il voto e il titolare del diritto elettorale, ad esempio nei casi in cui l’avente diritto lasci votare in sua vece un’altra persona, oppure si pensi all’ipotesi in cui un terzo fraudolentemente si appropri della password elettorale.
In secondo luogo, ulteriori dubbi riguardano la segretezza del voto, principio funzionale alla libertà dello stesso. In particolare, si è rilevato come nonostante vengano utilizzati i più raffinati strumenti offerti dalla
tecnologia, non è esclusa la possibilità che l’elettore (votante a distanza e quindi fuori dal seggio elettorale) sia esposto allo sguardo di altri, in grado di prendere conoscenza del suo voto e quindi di condizionarlo.
Problematiche aggiuntive legate all’uso della tecnologia nei sistemi di votazione attengono alla sicurezza informatica (hardware e software utilizzati) e alla piena tutela del diritto alla riservatezza, oltre che alla protezione dei dati personali, dei votanti.
Alla luce di quanto fino ad ora esposto, esempio paradigmatico nel quale le suddette problematiche convivono è il cd. “Caso Rousseau”.
Gli obiettivi della piattaforma Rousseau sono la gestione del Movimento 5 Stelle nelle sue varie componenti elettive (Parlamento italiano ed europeo, Consigli regionali e comunali), oltre alla partecipazione attiva alla vita del Movimento da parte degli iscritti tramite, ad esempio, la scrittura di leggi e il voto (elettronico, ovviamente) per la scelta delle liste elettorali o per dirimere posizioni all’interno del partito.
Per quanto riguarda la sicurezza informatica, la piattaforma Rousseau, nell’utilizzare un sistema operativo chiuso, cioè a chiave segreta, fa in modo che nessuno tranne i suoi programmatori possa conoscerne il funzionamento e ciò rende impossibile la tracciabilità e la verificabilità di quanto avviene all’interno del sistema.
Pertanto, la piattaforma non amplia la democrazia, ma al contrario, la restringe, in quanto manipolare e alterare i risultati senza che il sistema e gli elettori se ne accorgano è un’operazione molto semplice in tali meccanismi chiusi.
A ciò si unisce la circostanza che le misure adottate, oltre a non garantire una veridicità delle votazioni, non garantiscano l’adeguata protezione dei dati personali degli utenti.
Nel 2019 la piattaforma in questione è stata sanzionata da parte del Garante europeo della privacy per la mancanza di adeguate misure di sicurezza a protezione dei dati personali degli iscritti (carpiti fraudolentemente e diffusi sul web da parte di un hacker nel 2017).
Il cd. “Caso Rousseau” è paradigmatico delle conseguenze negative che le nuove tecnologie portano con sé per quanto attiene alla tutela della privacy.
Dunque, alla luce di quanto esposto, non è la democrazia che deve diventare elettronica, ma altresì, l’elettronica che deve diventare più democratica.

2. Auto a guida autonoma e il “Progetto MASA”

I veicoli autonomi per comunicare tra loro devono essere connessi in rete, ciò fa sorgere un problema di rilievo costituzionale, cioè quello relativo alla protezione della enorme mole di dati personali che le cd. driverless cars processano.
Infatti, tali veicoli essendo in perenne comunicazione con l’infrastruttura stradale e registrando ciò che circonda la vettura (altre auto, utenti della strada), fanno sorgere problemi di tutela della privacy sia per coloro che utilizzano i mezzi, sia per chi li incrocia nel proprio tragitto.
I veicoli autonomi hanno la capacità di tracciare il viaggio compiuto dall’auto e monitorarlo sistematicamente, con la possibilità di profilare il passeggero e lo stesso può essere fatto nei confronti di una persona che, condividendo il veicolo, si trovi in contatto con esso.
La tutela dei dati personali ha da sempre rivestito grande importanza in tema di auto a guida automatica e, per quanto detto finora, è uno dei nodi cruciali da sciogliere per poter assistere ad una libera diffusione e circolazione dei veicoli in questione.
Nello specifico, il Gruppo Art. 29 ha adottato il documento Opinion 03/2017 on Processing Personal Data in the Contest of Cooperative Intelligent Transport System, nel quale viene espressa la preoccupazione relativa al possibile abuso dei dati raccolti nella fase di sperimentazione della circolazione di auto a guida autonoma e la necessità che il legislatore si faccia carico di disciplinare la fase di sperimentazione della nuova tecnologia con particolare attenzione al tema del trattamento dei dati sensibili.
Dall’interconnessione tra i veicoli deriva la raccolta, l’elaborazione e il trasferimento di dati, personali o addirittura sensibili.
In merito, la FIA (Federazione Internazionale dell’Automobile) ha intrapreso una ricerca avente ad oggetto il flusso dei dati scambiati tra i veicoli e le rispettive case produttrici; inoltre, la FIA ha lanciato il progetto My Car My Data, finalizzato ad incrementare la consapevolezza degli utenti circa i dati personali trattati e ad evidenziare la necessità di introdurre una normativa specifica.
Proprio dai risultati di tale progetto risulta che la fonte dei dati derivanti dalla connessione di veicoli può essere sia l’utente (customer provided data) che lo stesso veicolo autonomo (vehicle generated data).
I costumer provided data sono dati personali del proprietario, del conducente o di un eventuale passeggero del veicolo, e possono attenere alla localizzazione del veicolo e dei suoi passeggeri, ai tragitti effettuati dallo stesso, alle informazioni degli smartphone sincronizzati dagli utenti a bordo con l’auto.
Per quanto riguarda i vehicle generated data, essi possono consistere sia in dati personali che in dati tecnici (technical data) e, secondo l’interpretazione maggioritaria in dottrina, di carattere restrittivo, sono esclusivamente quei dati non ricollegabili in alcun modo all’utente altrimenti si tratterebbe di dati personali o sensibili.
L’individuazione di quali tra questi siano dati personali è un’operazione problematica, anche alla luce dell’estensione che la nozione di “dato personale” ha avuto in seguito all’adozione del regolamento UE 2016/679 (GDPR, General Data Protection Regulation).
La qualificazione o meno di tali informazioni come dati personali è fondamentale, poiché in caso affermativo essi rientrano nella sfera di applicabilità della disciplina del GDPR e del codice della privacy.
Nello specifico è definito dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, cioè qualunque informazione relativa ad un “interessato”, che possa essere tramite le informazioni direttamente o indirettamente identificato.
Perciò, potrebbero rientrare nella definizione di dati personali anche dati tecnici del veicolo e dati relativi al suo utilizzo nel caso in cui, indirettamente da questi o se associati ad altre informazioni, permettano di identificare una persona fisica o una sua caratteristica.
Il ruolo di interessato del trattamento, tenuto a fornire il proprio consenso al trattamento dei dati personali, può essere rivestito dal proprietario del veicolo, dal conducente, da un passeggero o dalle persone fisiche che si trovano nella smart area.
La titolarità dei dati è immediata nel caso di costumer provided data, in quanto gli stessi sono facilmente riconducibili ai soggetti precedentemente elencati ed essendo dati personali rientrano nell’ambito di applicazione del GDPR.
Al contrario, nel caso di vehicle generated data si tratta di meri dati tecnici rispetto ai quali non è di facile individuazione né il titolare né la normativa di riferimento.
È opinione di autorevole dottrina che sarebbe opportuno individuare come titolare dei dati colui che ha un maggiore interesse negli stessi, mentre ai fini dell’individuazione della normativa applicabile si propende per l’introduzione di una disciplina ad hoc per i dati generati dall’IoT (Internet of Things) nei confronti dei quali non essendo dati personali, è esclusa l’applicazione del GDPR.
In primo luogo, per assicurare una piena ed effettiva tutela dei dati personali, è necessario individuare i ruoli e le responsabilità dei diversi operatori coinvolti: titolare o co-titolari del trattamento, responsabili del trattamento e Data Protection Officer (DPO, la sua nomina è divenuta obbligatoria con l’entrata in vigore del GDPR). Tali ruoli variano in base al contesto di rifermento.
La qualità di titolare del trattamento è configurabile in capo al produttore del veicolo e/o al produttore di una componente elettronica del veicolo (compresa scatola nera o il servizio e call) oppure soggetti terzi fornitori di un servizio.
Tali soggetti raccolgono dati con riferimento al funzionamento tecnico dei propri prodotti, ma anche dati personali degli utenti, spesso inconsapevoli.
Passando in rassegna il progetto MASA (Modena Automotive Smart Area) – iniziativa unica in ambito nazionale per l’integrazione tra didattica, ricerca avanzata e applicazioni pratiche, il cui obiettivo è la riqualificazione di un’area della città di Modena, allo scopo di renderla un laboratorio “a cielo aperto” (Living Lab) per lo sviluppo della mobilità smart e della guida autonoma, al quale collaborano sinergicamente dal 2017 UNIMORE, Comune di Modena e Maserati S.p.A. – è individuabile in linea generale l’UNIMORE come titolare dei dati personali oggetto di raccolta, elaborazione e ogni altra operazione posta in essere nell’ambito della sperimentazione della guida autonoma.
Invece, per i dati raccolti e comunicati dalle infrastrutture installate nella smart area modenese, comprese le immagini captate dalle telecamere intelligenti, è considerato titolare il Comune di Modena, che trasmette tali dati all’università, la quale potrebbe essere qualificata come responsabile esterno del trattamento e, nel caso in cui determini essa stessa le finalità del trattamento, addirittura co-titolare o autonomo titolare.
In tale contesto, come previsto dal GDPR per il trattamento effettuato da un’autorità pubblica o da un organismo di diritto pubblico, è obbligatoria la nomina del DPO.
Il titolare dovrà per ogni tipo di trattamento o suo segmento esprimere dettagliatamente, in linea con il principio di finalità espresso all’art. 5, par. 3 GDPR: “gli scopi determinati, espliciti e legittimi” in virtù dei quali i dati
devono essere raccolti. Tale principio dispiega la sua forza per tutta la durata del trattamento, riferendosi sia alla fase precedente che a quella successiva al periodo.
In ambienti come la smart area è fondamentale capire se si possa ex ante individuare gli scopi perseguiti dai singoli titolari, ma ciò in linea di massima non è possibile per la natura dei sistemi implementati e per l’impiego dell’enorme mole di dati.
Entrambi gli elementi determinano l’incontrollabilità ex ante di tutte le operazioni di trattamento e così l’indeterminatezza delle finalità.
Nella smart area viene meno la tutela degli interessati legata al vincolo di trasparenza sancito dal principio di finalità, mentre in capo al titolare sorge l’obbligo di verificare la presenza di una base giuridica come condizione di liceità dei trattamenti posti in essere.
La liceità può essere intesa come presupposto che legittima il trattamento dei dati, in presenza di almeno una delle condizioni sancite dall’art. 6 GDPR, ovvero quale conformità al “vincolo giuridico” e “all’interesse protetto dall’ordinamento”.
Alla luce della situazione delineata sarebbe auspicabile che i titolari dei trattamenti, in attesa di un intervento risolutivo da parte del legislatore, ricerchino soluzioni innovative che garantiscano il più alto grado di tutela possibile del diritto alla protezione dei dati personali.
Il caso del progetto MASA è significativo in tal senso, in quanto ha optato per l’utilizzo di tecniche di anonimizzazione, cioè misure che fanno venir meno la qualifica personale di un dato.
Nella smart area modenese tali tecniche sono utilizzate con riferimento alle telecamere intelligenti, in particolare esse catturano le immagini e in pochi attimi, per impostazione predefinita, anonimizzano il dato. Questo è un chiaro esempio di come la smart area è un laboratorio in cui ricercare soluzioni innovative tecniche, ma anche giuridiche, volte alla piena tutela di diritti, come il diritto alla protezione dei dati personali.

3. Data protection by design

Dall’approfondito esame dei dati interscambiati tra i connected vehicles, e non solo, è possibile elaborare dettagliati profili degli utilizzatori, i quali come spesso accade possono non essere stati informati in maniera adeguata, né del trattamento dei propri dati personali né della loro possibile profilazione.
Con il termine profilazione si fa riferimento a qualsiasi forma di trattamento automatizzato di differenti tipologie di dati personali afferenti ad un numero elevatissimo di soggetti mediante specifici algoritmi, al fine di attribuire a ciascuno di essi un profilo.
Questo significa arrivare a creare un profilo digitale dell’utente, che corrisponde ad un’ulteriore forma di rappresentazione dell’individuo oltre all’identità personale.
Di fronte a questo rischio, e superando lo strumento del consenso dell’interessato quale requisito necessario ai fini del lecito trattamento dei dati personali, una valida alternativa è il rafforzamento del principio della c.d. data protection by design oltre a quello della c.d. data protection by default ex art. 25 GDPR.
La data protection by design è una tecno-regolamentazione in base alla quale fin dalla progettazione di prodotti e i servizi, il titolare deve utilizzare la tecnologia per assicurare soluzioni che tutelino la privacy e la sicurezza degli utenti.
Invece la data protection by default ha un approccio più selettivo, con la finalità di evitare di raccogliere una quantità eccesiva di dati, limitandosi solo ai dati necessari per migliorare la prestazione dei servizi, la sicurezza dei prodotti e ad analizzare le richieste del mercato (attività di market analysis).
Aumentando la protezione dei dati personali fin dalla fase di progettazione si potrebbe ottenere un’effettiva tutela preventiva dei dati personali degli interessati al trattamento, escludendo così la necessità del macchinoso strumento del consenso.
Nella data protection by design dovrebbe essere adottata la pseudonomizzazione dell’utente; i dati pseudonomizzati non possono essere equiparati a quelli anonimi, perché permettono l’identificazione dei singoli soggetti. Esempi di pseudonomizzazione sono la crittografia con chiave segreta, la formula di Hash e la tokenizzazione.
La pseudonomizzazione al pari della data protection by design, è uno strumento di tutela della protezione dei dati personali ex ante.
Il principio della privacy by design non può essere applicato in via assoluta e incondizionata, ma deve tener conto di una serie di elementi indicati all’art. 25, comma 1 GDPR, e quindi sussistono una serie di casi nei quali non è possibile applicare tale principio.
Il titolare del trattamento è tenuto a adottare misure tecniche ed organizzative nel rispetto dell’art. 24, comma 1 GDPR; in capo al titolare sorge l’onere della prova in merito alla conformità del trattamento con le norme del GDPR.
Detto ciò, il titolare del trattamento deve prestare molta attenzione nell’applicazione della data protection by design al fine di non incorrere in sanzioni previste agli artt. 8384 GDPR.

4. Crittografia

Al fine di tutelare maggiormente i dati personali degli utenti del web uno strumento largamente utilizzato è la crittografia: dal greco kryptos (nascosto) e graphia (scrittura); è la disciplina che si occupa della cifratura (crittazione o codifica) e decifratura (decrittazione o decodifica) dei documenti.
Le tecniche crittografiche consentono cioè, di trasformare un documento leggibile (in chiaro) in uno non più comprensibile al lettore (cifrato) e di risalire dal documento cifrato a quello in chiaro.
Si distinguono due tipi di sistemi crittografici: i sistemi a chiave simmetrica, che usano la stessa chiave sia per la cifratura che per la decifratura del documento e i sistemi a chiave asimmetrica, che usano due chiavi diverse, tra loro complementari, per effettuare con una la cifratura e con l’altra la decifratura.
Un esempio di sistema a chiave simmetrica è il semplice metodo crittografico utilizzato per trasmettere messaggi segreti da Cesare: con tale metodo un messaggio veniva cifrato spostandone tutte le lettere di un certo numero di posizioni nell’alfabeto (in particolare Cesare prediligeva spostamenti di tre posizioni, es. ROMA à URPD).
Essendo un sistema a chiave simmetrica la chiave per la cifratura e la decifratura è la stessa, cioè il numero che indica l’ampiezza dello spostamento dei caratteri (chi è in grado di compiere una delle due operazioni è necessariamente in grado di compiere anche l’altra operazione).
Invece, nei sistemi a chiave asimmetrica le due chiavi sono complementari (l’una è in grado di decifrare solo documenti cifrati con l’altra).
Pertanto, le funzioni di cifratura e decifratura sono indipendenti, quindi chi conosce solo una delle due chiavi non può svolgere entrambe le funzioni con riferimento allo stesso documento.
La crittografia asimmetrica consente di realizzare i sistemi a chiave pubblica, nei quali ciascuno dei soggetti che scambia informazioni ha la titolarità di una diversa coppia di chiavi.
Una chiave della coppia rimane segreta (chiave privata) e conosciuta solo dal titolare, l’altra è resa pubblicamente accessibile (chiave pubblica) e conoscibile da tutti coloro che intendano comunicare con il titolare.
Questi sistemi consentono di garantire tanto la riservatezza delle comunicazioni, quanto l’autenticità e l’integrità dei messaggi.
Alcuni anni fa le tecniche crittografiche più avanzate erano riservate agli usi militari e ne era anzi vietata la comunicazione al pubblico.
Le esigenze delle comunicazioni elettroniche e la facile disponibilità di software per la crittografia hanno reso impraticabile il divieto dell’uso della crittografia, così oggi potenti sistemi crittografici sono accessibili a tutti, il che consente a chi lo desideri di ottenere la desiderata riservatezza, ma allo stesso tempo mette nelle mani di potenziali malintenzionati strumenti di grande incidenza.
I computer “classici” non sono in grado di fattorizzare grandi numeri in tempi efficaci e su questo si basa la nostra sicurezza in rete, dalle transazioni bancarie alla protezione dei dati personali.
Tuttavia, nel 1994 Peter Shor dimostrò che un computer quantistico, avendo una capacità di fattorizzazione esponenzialmente superiore rispetto ai computer “classici”, potrebbe implementare un algoritmo (algoritmo di Shor) in grado di risolvere lo stesso problema in tempi molto rapidi mettendo così in crisi la sicurezza informatica mondiale.
Questo evento portò il mondo scientifico a cercare di sviluppare nuove tecniche di crittografia che fossero fisicamente sicure, nacque così la crittografia quantistica.
L’origine del problema diventò così anche soluzione e già tra il 2003 e il 2004, tra Boston e Cambridge, la prima rete a crittografia quantistica è stata attivata.
Basata su QKD (Quantum Key Distribution), la rete quantistica DARPA in Massachusetts è completamente compatibile con la tecnologia di rete standard e può essere utilizzata per fornire dati protetti da QKD per formare reti quantistiche virtuali, supportare il protocollo di sicurezza online e molto altro.
Ad oggi QKD network sono presenti in varie parti del mondo, Vienna, Tokyo, Ginevra, Wuhu, implementando diversi protocolli di QKD e portando avanti la ricerca per la sicurezza dei dati online e un ampliamento sempre maggiore della protezione dei dati personali degli utenti del web.

dati personali

Indice

1. Sistemi di e voting e il “Caso Rousseau”
2. Auto a guida autonoma e il “Progetto Masa”
3. Data protection by design
4. Crittografia

Con l’inesorabile evoluzione delle nuove tecnologie e della spasmodica digitalizzazione, ogni persona può essere identificata da soggetti pubblici e privati attraverso i dati che la riguardano, per cui è fondamentale fornire un’adeguata tutela al “corpo elettronico” degli individui.
In questo senso, l’Unione Europea è intervenuta con il Reg. UE n. 679 del 2016 (General Data Protection Regulation o GDPR) con l’obiettivo di armonizzare definitivamente la regolamentazione in materia di protezione dei dati personali all’interno dell’Unione Europea, obiettivo che, come si esporrà in seguito, è stato raggiunto solo in parte.

1. Sistemi di e voting e il “Caso Rousseau”

Con l’espressione e voting (voto elettronico), si vuole indicare una manifestazione della e democracy, cioè il processo ed il conseguente risultato dell’applicazione alle operazioni elettorali delle nuove tecnologie informatiche.
All’art. 48 comma 2 della nostra Carta Costituzionale viene disposto che: “Il voto è personale ed eguale, libero e segreto” per cui, notevoli dubbi concernono l’idoneità delle nuove tecnologie di e voting a salvaguardare le garanzie previste dal poc’anzi citato dettato normativo.
In primo luogo, il requisito della personalità del voto non risulterebbe pienamente soddisfatto dalle tecniche di identificazione a distanza utilizzate nei sistemi di voto elettronico, in quanto, se pur potenzialmente idonee a garantire la personalità del votante al momento dell’identificazione, non sono in grado di assicurare l’identità tra chi trasmette il voto e il titolare del diritto elettorale, ad esempio nei casi in cui l’avente diritto lasci votare in sua vece un’altra persona, oppure si pensi all’ipotesi in cui un terzo fraudolentemente si appropri della password elettorale.
In secondo luogo, ulteriori dubbi riguardano la segretezza del voto, principio funzionale alla libertà dello stesso. In particolare, si è rilevato come nonostante vengano utilizzati i più raffinati strumenti offerti dalla
tecnologia, non è esclusa la possibilità che l’elettore (votante a distanza e quindi fuori dal seggio elettorale) sia esposto allo sguardo di altri, in grado di prendere conoscenza del suo voto e quindi di condizionarlo.
Problematiche aggiuntive legate all’uso della tecnologia nei sistemi di votazione attengono alla sicurezza informatica (hardware e software utilizzati) e alla piena tutela del diritto alla riservatezza, oltre che alla protezione dei dati personali, dei votanti.
Alla luce di quanto fino ad ora esposto, esempio paradigmatico nel quale le suddette problematiche convivono è il cd. “Caso Rousseau”.
Gli obiettivi della piattaforma Rousseau sono la gestione del Movimento 5 Stelle nelle sue varie componenti elettive (Parlamento italiano ed europeo, Consigli regionali e comunali), oltre alla partecipazione attiva alla vita del Movimento da parte degli iscritti tramite, ad esempio, la scrittura di leggi e il voto (elettronico, ovviamente) per la scelta delle liste elettorali o per dirimere posizioni all’interno del partito.
Per quanto riguarda la sicurezza informatica, la piattaforma Rousseau, nell’utilizzare un sistema operativo chiuso, cioè a chiave segreta, fa in modo che nessuno tranne i suoi programmatori possa conoscerne il funzionamento e ciò rende impossibile la tracciabilità e la verificabilità di quanto avviene all’interno del sistema.
Pertanto, la piattaforma non amplia la democrazia, ma al contrario, la restringe, in quanto manipolare e alterare i risultati senza che il sistema e gli elettori se ne accorgano è un’operazione molto semplice in tali meccanismi chiusi.
A ciò si unisce la circostanza che le misure adottate, oltre a non garantire una veridicità delle votazioni, non garantiscano l’adeguata protezione dei dati personali degli utenti.
Nel 2019 la piattaforma in questione è stata sanzionata da parte del Garante europeo della privacy per la mancanza di adeguate misure di sicurezza a protezione dei dati personali degli iscritti (carpiti fraudolentemente e diffusi sul web da parte di un hacker nel 2017).
Il cd. “Caso Rousseau” è paradigmatico delle conseguenze negative che le nuove tecnologie portano con sé per quanto attiene alla tutela della privacy.
Dunque, alla luce di quanto esposto, non è la democrazia che deve diventare elettronica, ma altresì, l’elettronica che deve diventare più democratica.

2. Auto a guida autonoma e il “Progetto MASA”

I veicoli autonomi per comunicare tra loro devono essere connessi in rete, ciò fa sorgere un problema di rilievo costituzionale, cioè quello relativo alla protezione della enorme mole di dati personali che le cd. driverless cars processano.
Infatti, tali veicoli essendo in perenne comunicazione con l’infrastruttura stradale e registrando ciò che circonda la vettura (altre auto, utenti della strada), fanno sorgere problemi di tutela della privacy sia per coloro che utilizzano i mezzi, sia per chi li incrocia nel proprio tragitto.
I veicoli autonomi hanno la capacità di tracciare il viaggio compiuto dall’auto e monitorarlo sistematicamente, con la possibilità di profilare il passeggero e lo stesso può essere fatto nei confronti di una persona che, condividendo il veicolo, si trovi in contatto con esso.
La tutela dei dati personali ha da sempre rivestito grande importanza in tema di auto a guida automatica e, per quanto detto finora, è uno dei nodi cruciali da sciogliere per poter assistere ad una libera diffusione e circolazione dei veicoli in questione.
Nello specifico, il Gruppo Art. 29 ha adottato il documento Opinion 03/2017 on Processing Personal Data in the Contest of Cooperative Intelligent Transport System, nel quale viene espressa la preoccupazione relativa al possibile abuso dei dati raccolti nella fase di sperimentazione della circolazione di auto a guida autonoma e la necessità che il legislatore si faccia carico di disciplinare la fase di sperimentazione della nuova tecnologia con particolare attenzione al tema del trattamento dei dati sensibili.
Dall’interconnessione tra i veicoli deriva la raccolta, l’elaborazione e il trasferimento di dati, personali o addirittura sensibili.
In merito, la FIA (Federazione Internazionale dell’Automobile) ha intrapreso una ricerca avente ad oggetto il flusso dei dati scambiati tra i veicoli e le rispettive case produttrici; inoltre, la FIA ha lanciato il progetto My Car My Data, finalizzato ad incrementare la consapevolezza degli utenti circa i dati personali trattati e ad evidenziare la necessità di introdurre una normativa specifica.
Proprio dai risultati di tale progetto risulta che la fonte dei dati derivanti dalla connessione di veicoli può essere sia l’utente (customer provided data) che lo stesso veicolo autonomo (vehicle generated data).
I costumer provided data sono dati personali del proprietario, del conducente o di un eventuale passeggero del veicolo, e possono attenere alla localizzazione del veicolo e dei suoi passeggeri, ai tragitti effettuati dallo stesso, alle informazioni degli smartphone sincronizzati dagli utenti a bordo con l’auto.
Per quanto riguarda i vehicle generated data, essi possono consistere sia in dati personali che in dati tecnici (technical data) e, secondo l’interpretazione maggioritaria in dottrina, di carattere restrittivo, sono esclusivamente quei dati non ricollegabili in alcun modo all’utente altrimenti si tratterebbe di dati personali o sensibili.
L’individuazione di quali tra questi siano dati personali è un’operazione problematica, anche alla luce dell’estensione che la nozione di “dato personale” ha avuto in seguito all’adozione del regolamento UE 2016/679 (GDPR, General Data Protection Regulation).
La qualificazione o meno di tali informazioni come dati personali è fondamentale, poiché in caso affermativo essi rientrano nella sfera di applicabilità della disciplina del GDPR e del codice della privacy.
Nello specifico è definito dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, cioè qualunque informazione relativa ad un “interessato”, che possa essere tramite le informazioni direttamente o indirettamente identificato.
Perciò, potrebbero rientrare nella definizione di dati personali anche dati tecnici del veicolo e dati relativi al suo utilizzo nel caso in cui, indirettamente da questi o se associati ad altre informazioni, permettano di identificare una persona fisica o una sua caratteristica.
Il ruolo di interessato del trattamento, tenuto a fornire il proprio consenso al trattamento dei dati personali, può essere rivestito dal proprietario del veicolo, dal conducente, da un passeggero o dalle persone fisiche che si trovano nella smart area.
La titolarità dei dati è immediata nel caso di costumer provided data, in quanto gli stessi sono facilmente riconducibili ai soggetti precedentemente elencati ed essendo dati personali rientrano nell’ambito di applicazione del GDPR.
Al contrario, nel caso di vehicle generated data si tratta di meri dati tecnici rispetto ai quali non è di facile individuazione né il titolare né la normativa di riferimento.
È opinione di autorevole dottrina che sarebbe opportuno individuare come titolare dei dati colui che ha un maggiore interesse negli stessi, mentre ai fini dell’individuazione della normativa applicabile si propende per l’introduzione di una disciplina ad hoc per i dati generati dall’IoT (Internet of Things) nei confronti dei quali non essendo dati personali, è esclusa l’applicazione del GDPR.
In primo luogo, per assicurare una piena ed effettiva tutela dei dati personali, è necessario individuare i ruoli e le responsabilità dei diversi operatori coinvolti: titolare o co-titolari del trattamento, responsabili del trattamento e Data Protection Officer (DPO, la sua nomina è divenuta obbligatoria con l’entrata in vigore del GDPR). Tali ruoli variano in base al contesto di rifermento.
La qualità di titolare del trattamento è configurabile in capo al produttore del veicolo e/o al produttore di una componente elettronica del veicolo (compresa scatola nera o il servizio e call) oppure soggetti terzi fornitori di un servizio.
Tali soggetti raccolgono dati con riferimento al funzionamento tecnico dei propri prodotti, ma anche dati personali degli utenti, spesso inconsapevoli.
Passando in rassegna il progetto MASA (Modena Automotive Smart Area) – iniziativa unica in ambito nazionale per l’integrazione tra didattica, ricerca avanzata e applicazioni pratiche, il cui obiettivo è la riqualificazione di un’area della città di Modena, allo scopo di renderla un laboratorio “a cielo aperto” (Living Lab) per lo sviluppo della mobilità smart e della guida autonoma, al quale collaborano sinergicamente dal 2017 UNIMORE, Comune di Modena e Maserati S.p.A. – è individuabile in linea generale l’UNIMORE come titolare dei dati personali oggetto di raccolta, elaborazione e ogni altra operazione posta in essere nell’ambito della sperimentazione della guida autonoma.
Invece, per i dati raccolti e comunicati dalle infrastrutture installate nella smart area modenese, comprese le immagini captate dalle telecamere intelligenti, è considerato titolare il Comune di Modena, che trasmette tali dati all’università, la quale potrebbe essere qualificata come responsabile esterno del trattamento e, nel caso in cui determini essa stessa le finalità del trattamento, addirittura co-titolare o autonomo titolare.
In tale contesto, come previsto dal GDPR per il trattamento effettuato da un’autorità pubblica o da un organismo di diritto pubblico, è obbligatoria la nomina del DPO.
Il titolare dovrà per ogni tipo di trattamento o suo segmento esprimere dettagliatamente, in linea con il principio di finalità espresso all’art. 5, par. 3 GDPR: “gli scopi determinati, espliciti e legittimi” in virtù dei quali i dati
devono essere raccolti. Tale principio dispiega la sua forza per tutta la durata del trattamento, riferendosi sia alla fase precedente che a quella successiva al periodo.
In ambienti come la smart area è fondamentale capire se si possa ex ante individuare gli scopi perseguiti dai singoli titolari, ma ciò in linea di massima non è possibile per la natura dei sistemi implementati e per l’impiego dell’enorme mole di dati.
Entrambi gli elementi determinano l’incontrollabilità ex ante di tutte le operazioni di trattamento e così l’indeterminatezza delle finalità.
Nella smart area viene meno la tutela degli interessati legata al vincolo di trasparenza sancito dal principio di finalità, mentre in capo al titolare sorge l’obbligo di verificare la presenza di una base giuridica come condizione di liceità dei trattamenti posti in essere.
La liceità può essere intesa come presupposto che legittima il trattamento dei dati, in presenza di almeno una delle condizioni sancite dall’art. 6 GDPR, ovvero quale conformità al “vincolo giuridico” e “all’interesse protetto dall’ordinamento”.
Alla luce della situazione delineata sarebbe auspicabile che i titolari dei trattamenti, in attesa di un intervento risolutivo da parte del legislatore, ricerchino soluzioni innovative che garantiscano il più alto grado di tutela possibile del diritto alla protezione dei dati personali.
Il caso del progetto MASA è significativo in tal senso, in quanto ha optato per l’utilizzo di tecniche di anonimizzazione, cioè misure che fanno venir meno la qualifica personale di un dato.
Nella smart area modenese tali tecniche sono utilizzate con riferimento alle telecamere intelligenti, in particolare esse catturano le immagini e in pochi attimi, per impostazione predefinita, anonimizzano il dato. Questo è un chiaro esempio di come la smart area è un laboratorio in cui ricercare soluzioni innovative tecniche, ma anche giuridiche, volte alla piena tutela di diritti, come il diritto alla protezione dei dati personali.

3. Data protection by design

Dall’approfondito esame dei dati interscambiati tra i connected vehicles, e non solo, è possibile elaborare dettagliati profili degli utilizzatori, i quali come spesso accade possono non essere stati informati in maniera adeguata, né del trattamento dei propri dati personali né della loro possibile profilazione.
Con il termine profilazione si fa riferimento a qualsiasi forma di trattamento automatizzato di differenti tipologie di dati personali afferenti ad un numero elevatissimo di soggetti mediante specifici algoritmi, al fine di attribuire a ciascuno di essi un profilo.
Questo significa arrivare a creare un profilo digitale dell’utente, che corrisponde ad un’ulteriore forma di rappresentazione dell’individuo oltre all’identità personale.
Di fronte a questo rischio, e superando lo strumento del consenso dell’interessato quale requisito necessario ai fini del lecito trattamento dei dati personali, una valida alternativa è il rafforzamento del principio della c.d. data protection by design oltre a quello della c.d. data protection by default ex art. 25 GDPR.
La data protection by design è una tecno-regolamentazione in base alla quale fin dalla progettazione di prodotti e i servizi, il titolare deve utilizzare la tecnologia per assicurare soluzioni che tutelino la privacy e la sicurezza degli utenti.
Invece la data protection by default ha un approccio più selettivo, con la finalità di evitare di raccogliere una quantità eccesiva di dati, limitandosi solo ai dati necessari per migliorare la prestazione dei servizi, la sicurezza dei prodotti e ad analizzare le richieste del mercato (attività di market analysis).
Aumentando la protezione dei dati personali fin dalla fase di progettazione si potrebbe ottenere un’effettiva tutela preventiva dei dati personali degli interessati al trattamento, escludendo così la necessità del macchinoso strumento del consenso.
Nella data protection by design dovrebbe essere adottata la pseudonomizzazione dell’utente; i dati pseudonomizzati non possono essere equiparati a quelli anonimi, perché permettono l’identificazione dei singoli soggetti. Esempi di pseudonomizzazione sono la crittografia con chiave segreta, la formula di Hash e la tokenizzazione.
La pseudonomizzazione al pari della data protection by design, è uno strumento di tutela della protezione dei dati personali ex ante.
Il principio della privacy by design non può essere applicato in via assoluta e incondizionata, ma deve tener conto di una serie di elementi indicati all’art. 25, comma 1 GDPR, e quindi sussistono una serie di casi nei quali non è possibile applicare tale principio.
Il titolare del trattamento è tenuto a adottare misure tecniche ed organizzative nel rispetto dell’art. 24, comma 1 GDPR; in capo al titolare sorge l’onere della prova in merito alla conformità del trattamento con le norme del GDPR.
Detto ciò, il titolare del trattamento deve prestare molta attenzione nell’applicazione della data protection by design al fine di non incorrere in sanzioni previste agli artt. 8384 GDPR.

4. Crittografia

Al fine di tutelare maggiormente i dati personali degli utenti del web uno strumento largamente utilizzato è la crittografia: dal greco kryptos (nascosto) e graphia (scrittura); è la disciplina che si occupa della cifratura (crittazione o codifica) e decifratura (decrittazione o decodifica) dei documenti.
Le tecniche crittografiche consentono cioè, di trasformare un documento leggibile (in chiaro) in uno non più comprensibile al lettore (cifrato) e di risalire dal documento cifrato a quello in chiaro.
Si distinguono due tipi di sistemi crittografici: i sistemi a chiave simmetrica, che usano la stessa chiave sia per la cifratura che per la decifratura del documento e i sistemi a chiave asimmetrica, che usano due chiavi diverse, tra loro complementari, per effettuare con una la cifratura e con l’altra la decifratura.
Un esempio di sistema a chiave simmetrica è il semplice metodo crittografico utilizzato per trasmettere messaggi segreti da Cesare: con tale metodo un messaggio veniva cifrato spostandone tutte le lettere di un certo numero di posizioni nell’alfabeto (in particolare Cesare prediligeva spostamenti di tre posizioni, es. ROMA à URPD).
Essendo un sistema a chiave simmetrica la chiave per la cifratura e la decifratura è la stessa, cioè il numero che indica l’ampiezza dello spostamento dei caratteri (chi è in grado di compiere una delle due operazioni è necessariamente in grado di compiere anche l’altra operazione).
Invece, nei sistemi a chiave asimmetrica le due chiavi sono complementari (l’una è in grado di decifrare solo documenti cifrati con l’altra).
Pertanto, le funzioni di cifratura e decifratura sono indipendenti, quindi chi conosce solo una delle due chiavi non può svolgere entrambe le funzioni con riferimento allo stesso documento.
La crittografia asimmetrica consente di realizzare i sistemi a chiave pubblica, nei quali ciascuno dei soggetti che scambia informazioni ha la titolarità di una diversa coppia di chiavi.
Una chiave della coppia rimane segreta (chiave privata) e conosciuta solo dal titolare, l’altra è resa pubblicamente accessibile (chiave pubblica) e conoscibile da tutti coloro che intendano comunicare con il titolare.
Questi sistemi consentono di garantire tanto la riservatezza delle comunicazioni, quanto l’autenticità e l’integrità dei messaggi.
Alcuni anni fa le tecniche crittografiche più avanzate erano riservate agli usi militari e ne era anzi vietata la comunicazione al pubblico.
Le esigenze delle comunicazioni elettroniche e la facile disponibilità di software per la crittografia hanno reso impraticabile il divieto dell’uso della crittografia, così oggi potenti sistemi crittografici sono accessibili a tutti, il che consente a chi lo desideri di ottenere la desiderata riservatezza, ma allo stesso tempo mette nelle mani di potenziali malintenzionati strumenti di grande incidenza.
I computer “classici” non sono in grado di fattorizzare grandi numeri in tempi efficaci e su questo si basa la nostra sicurezza in rete, dalle transazioni bancarie alla protezione dei dati personali.
Tuttavia, nel 1994 Peter Shor dimostrò che un computer quantistico, avendo una capacità di fattorizzazione esponenzialmente superiore rispetto ai computer “classici”, potrebbe implementare un algoritmo (algoritmo di Shor) in grado di risolvere lo stesso problema in tempi molto rapidi mettendo così in crisi la sicurezza informatica mondiale.
Questo evento portò il mondo scientifico a cercare di sviluppare nuove tecniche di crittografia che fossero fisicamente sicure, nacque così la crittografia quantistica.
L’origine del problema diventò così anche soluzione e già tra il 2003 e il 2004, tra Boston e Cambridge, la prima rete a crittografia quantistica è stata attivata.
Basata su QKD (Quantum Key Distribution), la rete quantistica DARPA in Massachusetts è completamente compatibile con la tecnologia di rete standard e può essere utilizzata per fornire dati protetti da QKD per formare reti quantistiche virtuali, supportare il protocollo di sicurezza online e molto altro.
Ad oggi QKD network sono presenti in varie parti del mondo, Vienna, Tokyo, Ginevra, Wuhu, implementando diversi protocolli di QKD e portando avanti la ricerca per la sicurezza dei dati online e un ampliamento sempre maggiore della protezione dei dati personali degli utenti del web.

Metti in mostra la tua 
professionalità!