Introduzione
Il mio lavoro di tesi ha come argomento la Privacy, il modo in cui viene affrontata e
compromessa nel mondo online, il motivo per cui è a rischio e le modalità di tratta-
mento dei dati personali. Il motivo per cui ho deciso di condurre un’attività di analisi
e in questo ambito è quello di studiare il gap che esiste da sempre tra il mondo giuri-
dico e quello informatico, molto diversi nel loro modus operandi ma spesso coesistenti
all’interno di diverse discipline, poiché complementari. Il mio lavoro di analisi si è oc-
cupato in prima istanza degli aspetti legali e tecnici della Privacy, per poi concentrarsi
su un’applicazione mobile che ha reso il mondo vittima dei Social: Pokémon GO. Que-
sto gioco, oltre a rappresentare una grossa fetta di utilizzatori di Internet, rappresenta
anche un mondo virtuale non ideale nel quale la grossa parte degli utenti è vittima
inconsapevole di una continua profilazione con scopi pubblicitari e di marketing. La
ricerca è stata fatta utilizzando un campione eterogeneo di utenti che ha compilato un
questionario online in forma anonima.
Il primo capitolo verte sull’importanza degli aspetti legali della Privacy nella Rete, in
particolare vengono esplicate – oltre alla definizione e al concetto in sé di Privacy -
le regolamentazioni a livello italiano, europeo e statunitense. Quando si parla di Rete
si parla inevitabilmente degli utenti che la compongono, utenti che nel momento in
cui decidono di esporsi senza approfondire il rapporto che li unisce alla Rete, risultano
vulnerabili. I dati personali, dal punto di vista del proprietario dei dati, sono spesso
compromessi o violati anche se regolamentati da un consenso espresso. Infatti i diritti
e i doveri talvolta non esplicitati, fanno sì che l’utente si ritrovi a non sapere che in
quel momento rappresenta l’anello debole della Rete. Ciò che lo rende vulnerabile è
la sua inconsapevolezza, il suo non essere a conoscenza del rischio che corre ogni volta
che è online. A tal proposito Edward Snowden, ex dipendente di CIA ed NSA, ha
messo in luce anni di silenzio sul tema della sicurezza nazionale decidendo di mettere a
rischio la propria libertà per denunciare l’oppressione mondiale esercitata dalle agenzie
di sorveglianza nazionale (non solo americane).
Il secondo capitolo, invece, verte sugli aspetti tecnici della Privacy che si intrecciano
a quelli descritti nel primo capitolo, marcando quindi la correlazione tra questi due
mondi: informatica e giurisprudenza. Il concetto di profilazione online apre questo
5
capitolo, mentre in seguito si parla di informativa sulla Privacy. Un utente che si trova
a navigare in Rete ha spesso a che fare con scelte che ha compiuto magari molti anni
prima – ancora una volta inconsapevolmente. Questo perché le informative o i consensi
che si prestano per accedere ad un determinato servizio sono una tantum, nonostante
sia legalmente possibile al gestore del servizio cambiare parti di Policy nel corso del
tempo senza dover tempestivamente avvisare l’utente. Tutto ciò è legato all’ingenuità
dell’utilizzatore che, fidandosi e sbagliando, non considera che una Policy letta anni
prima potrebbe essere cambiata.
Un aspetto importante della profilazione online è il modo in cui le tecniche sono attute,
ovvero i “metodi di profilazione”. Un esempio sono i Cookie, spesso usati come oggetto
di titoli di giornale a causa della loro Policy obbligatoria su tutti i siti che ne fanno uso,
ma non così pericolosi come i device fingerprinter, ad esempio, non ancora del tutto
regolamentati. Infatti, la categoria di fingerprinting è ampia e questi metodi hanno
la particolarità di insidiarsi all’interno della pagina Internet che l’utente sta visitando,
non essendo visibili, talvolta neanche ispezionando superficialmente il codice, perché
nascosti all’interno di script ben scritti e implementati anche a lato server. L’utente,
ignaro dei meccanismi e dei poteri della Rete, ne ignora i vertici (come i data broker),
tutto ciò che si nasconde dietro lo schermo, dove finiscono i dati e da dove passano
per poi finire nei “server sicuri”. Vengono inoltre presentati alcuni degli attacchi e delle
contromisure in materia di profilazione, attacchi non sempre applicabili e contromisure
non sempre efficaci. Per non calcare troppo sul concetto di user not smart enough
vengono riportati poi due casi positivi: il caso Schrems e il caso Google Spain. È stato
inoltre citato il Safe Harbur, accordo che rende l’Europa un paese più tutelato rispetto
agli Stati Uniti, nonostante le loro leggi siano "anti-Privacy" e coinvolgano qualsiasi
utilizzatore che inoltra informazioni su server americani (Google, Facebook, Skype ...
).
Nel terzo capitolo si descrive il caso di studio: Pokémon GO. La prima parte dello
studio riguarda la comprensione effettiva delle funzionalità di gioco e del modo in cui
un nuovo utente possa avventurarsici cercando di tutelarsi. Successivamente sono stati
riportati alcuni dati relativi all’America (in Italia non sono ancora stati effettuati studi
a riguardo) e le condotte illecite degli utenti che hanno coinvolto il mondo intero, come
ad esempio i furti, gli accessi abusivi e le frodi. La Privacy di Pokémon GO è ben
6
regolamentata da una snella Policy che però racchiude tutto ciò che dovrebbe servire
per far decidere di non giocarci; tuttavia una grossa fetta degli intervistati è stata o
è tutt’ora giocatrice. Per poter confrontare i dati ottenuti con i dati globali, è stato
fatto un paragone con l’America, riscontrando (per fortuna) una situazione migliore,
se si considerano entrambi i campioni eterogenei e ben distribuiti. Le conclusioni di
questo capitolo vertono sulla costante inconsapevolezza dell’utente che, lamentandosi
degli illeciti connessi a Pokémon GO, denuncia la sua stessa indifferenza.
Nel capitolo conclusivo si parla del futuro della profilazione: l’apprendimento automa-
tico. Spesso si parla di Machine Learning, Pattern Recognition, Big Data, Data Mi-
ning senza pensare all’aspetto legale che questa innovazione implica; infatti la Privacy,
almeno ufficialmente, non è tutelata.
7
1 Privacy e Rete: aspetti legali
Sommario
Questo capitolo ha come mission quella di chiarire il concetto di Privacy e
la sua regolamentazione a livello nazionale, europeo e statunitense. Verranno
trattate le tematiche relative all’utente come i dati personali, i diritti nonchè
i doveri che lo caratterizzano dal punto di vista legale, sottolineando come la
vulnerabilitàdell’umanospessoloportaasbagliareeasottovalutarelacondizione
dei suoi dati personali. L’ultima sezione parlerà di CitizenFour, Grande Fratello
e più in generale di sicurezza nazionale.
1.1 Significato del termine Privacy
Nell’uso italiano del termine Privacy sono racchiusi il concetto di il diritto alla priva-
tezza, di anonimato, di controllo dell’accesso ai propri dati. È necessario considerare
come ulteriore aspetto la protezione dai rischi derivanti dall’uso delle nuove tecnologie
della comunicazione.
A questo punto, risulterebbe opportuno l’utilizzo delle numerevoli definizioni aventi
come fondamenta le parole di Samuel D. Warren e Louis D. Brandeis enunciate
nell’articolo “The right to Privacy” il 15 dicembre 1890 a Boston, ovvero “the right to
be let alone”[1]. Nell’era moderna questo principio è conosciuto come jus solitudinis
[2], o semplicemente come diritto ad essere lasciati soli per godere in pace della propria
vita
1
. I due giovani avvocati, nello scegliere come punto di partenza la Common Law,
distinsero il diritto alla riservatezza dal diritto di proprietà privata, giungendo così a
definire il valore giuridico della sensibilità umana. Nel definire la Privacy invocano la
protezione della privatezza e quella di ogni individuo.
Inoltre, sebbene utilizzato nel caso di detenzione di persone, è lecito citare l’habeas
corpus contenuto nella Magna Charta Libertatum del 1215 in quanto rappresenta il
principio della tutela dell’inviolabilità personale e la relativa sua libertà.
«"Non metteremo la mano su di te". Questa era la promessa della Magna
Charta: rispettare il corpo nella sua integralità: "Habeas corpus". Questa
promessa sopravvive ai mutamenti tecnologici. Ogni trattamento di singoli
dati dev’essere considerato come se si riferisse al corpo nel suo insieme, ad
1
Lo Jus solitudinis è il diritto a non subire ingerenze altrui nella propria sfera di riservatezza.
9
una persona che deve essere rispettata nella sua integrità fisica e psichica.
È nata una nuova concezione integrale della persona, alla cui proiezione
nel mondo corrisponde il diritto al pieno rispetto di un corpo che ormai
è, al tempo stesso, "fisico" ed "elettronico". In questo nuovo mondo la
data protection adempie alla funzione di assicurare quell’"habeas data"
che i tempi mutati esigono, diventando così, com’è avvenuto con l’habeas
corpus, un elemento inscindibile dalla civiltà.»
2
Quasi quarant’anni dopo il discorso di Warren e Brandeis ci fu la Notte dei Cristalli (9
novembre 1938) durante la quale, i nazisti usarono informazioni ottenute impropria-
mente per distruggere le vetrine dei negozi di proprietari ebrei. Questo evento, seppur
non correlato al concetto originario di Privacy, ne rafforza ancora di più il concetto
attuale, poichè illustra come il passaggio di informazioni illecito possa favorire una
rivolta.
Argomento più recente è the right to be forgotten, applicato sia all’interno dell’Unio-
ne Europea che in Argentina. Il diritto ad essere dimenticati, detto anche diritto
all’oblio, è dedicato alla tutela della persona che è libera di scegliere se continua-
re ad esistere in Rete oppure sparire. Concetto diverso dalla revoca del consenso al
trattamento dei dati personali, perchè il diritto all’oblio ha effetto retroattivo.
Essendo la Privacy intesa come diritto “personale”, l’utente si sente libero di esercitarlo
quando gli conviene, ovvero quando la legge è in suo favore. Nonostante la Privacy
dell’utente sia tutelata tramite policy scritte ad hoc, non esiste un sistema puro che
non cercherà in qualche modo di raggirarla.
Diritto all’oblio Considerando che la Rete è un insieme di utenti che sono vittime
consapevoli, succede spesso che vogliano cancellare le proprie tracce e la propria esi-
stenza virtuale, riconducendo l’intera identità della persona alla definizione di persona
stessa (identità reale). Su Internet siamo prigionieri del nostro passato, condannati
all’obbligo del ricordo. Nasce l’esigenza di un diritto all’oblio, un diritto al non essere
tracciati, al non sapere. Un oblio forzato, come nel caso della damnatio memoriae,
ovvero la diffamazione della memoria e la distruzione di una sua qualsiasi traccia: pe-
2
Estratto da [3].
10
na riservata ai nemici della Repubblica romana mentre oggi è, ai nostri occhi, una
redenzione per coloro che vogliono semplicemente sparire dalla Rete
3
.
In quanto persone, vogliamo governare i nostri ricordi, dandoci una seconda possibilità
che ci permette di reinventarci, ricostruirci o semplicemente sbagliare. Non sempre si
è soggetti ad una Privacy by design e non sempre i nostri dati vengono eliminati dopo
l’utilizzo: la soluzione sta nel mezzo, nel non sfociare per forza in un drastico destino
simile a quello di Funes di Borges, obbligato a ricordare tutto. La giusta via è quella
della memoria sociale selettiva, ovvero il rispetto dei fondamentali diritti della persona.
Diritto alla Privacy Il diritto alla Privacy è collegato al diritto alla riservatezza
perchè quest’ultimo ne è parte integrante. In Italia è regolamentato dal 1975 dopo
un caso deciso dalla Corte di Cassazione che riguardava il diritto alla riservatezza
dell’immagine[4]. La sentenza n. 4487 del 1956 negò l’esistenza di un diritto alla
riservatezza mentre la sentenza dalla Corte di Cassazione n. 2129 del 27 maggio 1975
identificò tale diritto con le parole:
«[...] nella tutela di quelle situazioni e vicende strettamente personali e
familiari, le quali, anche se verificatesi fuori dal domicilio domestico, non
hanno per i terzi un interesse socialmente apprezzabile contro le ingeren-
ze che, sia pure compiute con mezzi leciti, per scopi non esclusivamente
speculativi e senza offesa per l’onore, la reputazione o il decoro, non sono
giustificati da interessi pubblici preminenti.»
1.1.1 Dati personali
Secondo una definizione generica, i dati personali sono l’insieme di tutte quelle infor-
mazioni che caratterizzano un utente online; possono essere di varia natura, come ad
esempio:
3
Sebbene la damnatio memoriae fosse una pena che cancellava il ricordo di un individuo, aveva
come ripercussione forti tendenze alla diffamazione della vittima in questione. Considerando la Rete
un luogo astratto, le sue vittime non devono temere la diffamazione in quanto l’oblio rappresenta una
cancellazione definitiva e non apparente.
11
identificativi: permettono l’identificazione diretta dell’utente (anagrafica e fo-
to);
� sensibili: sono tutte quelle informazioni che riguardano l’origine razziale ed et-
nica, le convinzioni religiose, filosofiche, politiche, l’orientamento sessuale, la vita
sessuale e lo stato di salute;
� giudiziari: riguardano tutto ciò che prevede l’iscrizione al casellario giudiziale
(provvedimenti penali, detenzioni, qualità di imputato o di indagato, ecc...).
Con l’evoluzione della Rete e del suo utilizzo sono diventate dati personali anche tutte
le comunicazioni elettroniche e di geolocalizzazione.
Il Garante per la protezione dei dati personali italiano ricorda che il diritto alla prote-
zione dei dati personali è un diritto fondamentale dell’individuo e, per l’articolo 5 del
Codice in materia di protezione dei dati personali, sono importanti anche i dati perso-
nali detenuti all’estero (con limitazioni, adeguamenti ed eventuali collisioni). Rimane
da chiarire cosa intende il Garante italiano per dato personale, poichè una definizione
univoca (sia a livello tecnico che giuridico) non esiste.
Secondo quanto detto durante il Consiglio d’Europa ed espresso poi nella lettera A
della Convenzione 108 sull’elaborazione automatizzata dei dati personali, essi sono così
descritti:
«[...] i dati a carattere personale che rivelano l’origine razziale, le opinioni
politiche, le convinzioni religiose o altre convinzioni, nonchè i dati a ca-
rattere personale relativi alla salute o alla vita sessuale, [che] non possono
essere elaborati automaticamente a meno che il diritto interno preveda delle
garanzi appropriate.»
Inoltre, secondo un Gruppo di lavoro OCSE (tavola rotonda tenutasi nel 2014), i dati
personali sono:
«[...] qualsiasi informazione che identifica un individuo, che potrebbe essere
ragionevolmente usata per identificare un individuo, o che è connessa a dati
che identificano un individuo e usata in qualsiasi maniera tale da incidere
su quell’individuo.»[3]
12
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
