7 domande sulla protezione dei dati
Le dinamiche della digitalizzazione hanno portato a una certa fissazione del dibattito pubblico sui fenomeni tecnologici, per la cui valutazione ai sensi della legge sulla protezione dei dati le conoscenze tecnologiche sono utili, ma senza una comprensione di base delle peculiarità della protezione dei dati si rivelano solitamente insufficienti. In questo contesto, riteniamo che sia utile rispondere a sette domande frequenti sulla protezione dei dati:
1. Quali dati tutela la «protezione dei dati»?
La protezione dei dati protegge la personalità e i diritti fondamentali delle persone fisiche, regolando il trattamento dei dati personali e proteggendo le persone interessate dai trattamenti con cui lo Stato interferisce con i loro diritti fondamentali o le aziende private interferiscono con la loro sfera privata e il loro stile di vita autodeterminato.
La protezione dei dati tutela la personalità umana, non i dati stessi; questi, infatti, non possono essere portatori di diritti. A differenza del diritto della proprietà intellettuale, la protezione dei dati non tutela neppure la proprietà dei dati, né quindi i titolari di diritti esclusivi sui dati. In genere non sono rilevanti in termini di protezione dei dati neppure le informazioni che i privati tutelano con il segreto di fabbricazione o d’affari, o che lo Stato tutela con il segreto di polizia o militare poiché, in questi casi, l’interesse a mantenere il segreto riguarda solitamente il contenuto informativo materiale, ad esempio una ricetta di fabbricazione o la tecnologia di un’arma.
2. Cosa si intende per «personalità» umana e da cosa è protetta?
La personalità umana come il vero nucleo della protezione dei dati è ciò che i bambini, poco dopo aver imparato a pronunciare il proprio nome, chiamano «io». Definire giuridicamente l’«io» umano rappresenta una sfida. La Costituzione federale, il Codice civile e la legge sulla protezione dei dati garantiscono la protezione giuridica della personalità, ma non la definiscono. Dalla dottrina e dalla giurisprudenza si evince tuttavia che per «personalità» si intendono le caratteristiche individuali – il profondo dell’animo – dell’essere umano, che lo rendono tale e al contempo lo distinguono dai suoi simili.
3. Dove inizia e dove finisce la sfera intima e privata?
L’«io» umano è definito da corpo, viso, voce e comportamento. Da un punto di vista medico l’«io» umano ha sede negli organi interni, ad esempio nel cervello, da dove il nucleo della sfera intima e privata si estende all’involucro esterno e agli spazi abitativi personali dell’individuo. La protezione dei dati impedisce e rende più difficili le intrusioni nel nucleo con mezzi invasivi di raccolta di dati come le macchine della verità e gli impianti cerebrali. Tuttavia, in linea di principio, è illecito anche l’uso di apparecchi come droni muniti di telecamera, teleobiettivi e sensori usati per osservare il comportamento delle persone in questa sfera.
Nel mondo digitale – in veste di consumatori, passanti, passeggeri o pazienti – generiamo e lasciamo ogni giorno numerose tracce elettroniche, che rendono tecnicamente possibile trarre conclusioni sulla nostra persona. Di conseguenza la nostra sfera intima e privata, e quindi anche la protezione dei dati, si estende dal nostro corpo alla nostra abitazione, al nostro smartphone e da lì al cloud, dove chi gestisce centri di calcolo privati tratta un numero immenso di messaggi di testo e vocali, immagini e metadati, ad esempio relativi alle pagine web visitate o alle chiamate telefoniche o chat effettuate. La protezione dei dati pone dei limiti al trattamento dei dati e al collegamento tra essi anche in questi ambiti che costituiscono un’estensione della sfera intima e privata.
4. Le persone maggiorenni possono rinunciare ai loro diritti in materia di protezione dei dati?
Per quel che riguarda il trattamento di dati personali da parte dello Stato non è prevista una rinuncia volontaria ai diritti in materia di protezione dei dati. Lo scopo, l’entità e l’intensità del trattamento da parte dello Stato risultano da basi legali vincolanti per le autorità che, nel caso concreto di applicazione, non possono validamente essere esonerate dall’osservarle.
Se il trattamento che lede la personalità è eseguito da privati, invece, le persone interessate possono acconsentirvi. Questa rinuncia è tuttavia valida ai sensi del diritto in materia di protezione dei dati soltanto se la persona interessata è stata previamente informata in modo completo e adeguato e se il consenso è stato dato in modo libero. Per determinare se il consenso a un trattamento di dati specifico sia effettivamente stato dato in modo libero, occorre considerare le condizioni di vita, ad esempio le possibilità finanziarie degli utenti delle offerte digitali; non tutti possono infatti permettersi di rinunciare alle importanti riduzioni di prezzo che i fornitori di prodotti e servizi propongono in cambio di informazioni personali nell’ambito dei programmi di fedeltà digitali. Analogamente, nel quadro della stipulazione di un contratto di lavoro, di locazione o assicurativo, una forte domanda non giustifica intrusioni eccessive nella sfera privata; non è quindi ammesso chiedere ai candidati di fornire «volontariamente» informazioni sulla propria sfera privata. In questi casi il consenso di una persona interessata può rivelarsi nullo dal punto di vista del diritto in materia di protezione dei dati.
5. La protezione dei dati è superata visto il crescente numero di persone che condivide tutto di sé sui social media?
Milioni di persone documentano la propria vita con messaggi di testo, immagini e audio, che condividono quotidianamente in rete con amici o clienti paganti, o che rendono addirittura accessibili al grande pubblico. Tuttavia, bisogna considerare che, se una persona maggiorenne decide, presumibilmente di sua volontà, di presentarsi e mostrare la propria vita a un pubblico così vasto, in genere si premura di farlo in un contesto che ha lei stessa definito. Quando succede che dati della sfera intima reale sono raccolti e diffusi senza consenso, la grande maggioranza delle persone interessate si mostra vulnerabile e si difende con forza.
Vi è dunque un aumento, non una riduzione, della necessità di proteggere i dati e di vigilare affinché i gestori delle reti sociali rispettino le loro condizioni di utilizzazione e non trattino i dati personali che gli utenti condividono con famigliari, clienti e amici per scopi propri vendendoli ad esempio a terzi.
6. Esistono trattamenti di dati vietati?
La Costituzione federale sancisce il diritto fondamentale alla protezione della sfera privata e all’autodeterminazione informativa, garantendo così una vita privata e autodeterminata alla popolazione. Nel disciplinare il trattamento dei dati personali da parte delle autorità il legislatore deve tenerne conto. Se una legge prevedesse trattamenti di dati da parte dello Stato che andassero a limitare diritti fondamentali come la libertà di espressione o partecipazione politica sarebbe anticostituzionale.
Purtroppo chi promuove i progetti di digitalizzazione delle autorità non sempre comprende fino in fondo le regole costituzionali e democratiche. Nel quadro della sorveglianza di questo tipo di progetti, le autorità di protezione dei dati devono continuamente ribadire che i meccanismi democratici di limitazione del potere, quali la separazione dei poteri, il federalismo e la ripartizione del potere amministrativo tra uffici specializzati non vanno scartati perché obsoleti, ma integrati nell’automatizzazione dei flussi di dati.
La situazione è invece diversa per i trattamenti di dati personali da parte di privati. In Svizzera sono fondamentalmente consentiti. Fondandosi su principi, il diritto in materia di protezione dei dati può fornire solo una risposta generale e astratta alla domanda circa il momento in cui l’ingerenza nella personalità delle persone interessate dovuta al trattamento diventa tale da non potere più essere giustificata con il consenso o da un interesse preponderante.
Negando il carattere vincolante del consenso nei casi in cui, sfruttando l’ignoranza o rapporti di dipendenza, vengono raccolti dati personali in misura maggiore a quanto necessario per il trattamento, il diritto in materia di protezione dei dati stabilisce un limite alquanto graduale di ciò che è ammissibile.
Un limite assoluto è raggiunto quando la persona che dà il proprio consenso aliena la propria libertà, o si assoggetta nell’uso della medesima ad una limitazione incompatibile col diritto o con la morale, secondo la formulazione del Codice civile.
7. Quanto è politica la protezione dei dati?
Le autorità di vigilanza sulla protezione dei dati devono svolgere i loro compiti in maniera imparziale dal punto di vista politico. La protezione dei dati stessa è tuttavia riconducibile all’ordine politico liberale.
Negli Stati di diritto liberali come la Svizzera la protezione dei dati e della personalità conferisce all’individuo il diritto a una vita privata e autodeterminata, che va oltre il mero diritto di esistere. In tal modo, da un lato, la società liberale si distingue dai modelli di governo e di società totalitari che assoggettano l’individuo a un sistema collettivista. Dall’altro, un modello sociale fondato sul diritto alla felicità individuale tramite l’autorealizzazione si contrappone a forme organizzative efficienti di altre specie come gli insetti o a sistemi tecnici privi di vita come l’intelligenza artificiale.
In un ordine sociale statale ed economico nel quale, mediante l’automonitoraggio e la sorveglianza continui, i cittadini divenissero lo strumento per raggiungere obiettivi collettivi come l’assoluta sicurezza in termini di sanità, economia e polizia e forse anche l’assoluta sostenibilità ecologica, si assisterebbe all’erosione totale della libertà e alla fine della protezione dei dati.
A prescindere da questa derivazione storica della protezione dei dati, in uno Stato costituzionale democratico le autorità di protezione dei dati adempiono ai loro doveri di legge in modo apolitico.