martedì 17 febbraio 2015

Articolo 10 - Diritto all'oblio

commento di Susanna Pagiotti

Ogni persona ha diritto di ottenere la cancellazione dagli indici dei motori di ricerca dei dati che, per il loro contenuto o per il tempo trascorso dal momento della loro raccolta, non abbiano più rilevanza.
Il diritto all’oblio non può limitare la liberta di ricerca e il diritto dell’opinione pubblica a essere informata, che costituiscono condizioni necessarie per il funzionamento di una società democratica. Tale diritto può essere esercitato dalle persone note o alle quali sono affidate funzioni pubbliche solo se i dati che le riguardano non hanno alcun rilievo in relazione all’ attività svolta o alle funzioni pubbliche esercitate.
Se la richiesta di cancellazione dagli indici dei motori di ricerca dei dati è stata accolta, chiunque ha diritto di conoscere tali casi e di impugnare la decisione davanti all’autorità giudiziaria per garantire l’interesse pubblico all’informazione.
(Art.10 della bozza della Dichiarazione dei diritti in internet)

Affrontare il tema del diritto all’oblio significa muoversi all’interno di uno dei più accesi dibattiti che nel mondo giuridico e istituzionale sta scaldando non solo giuristi, ma anche sociologi (informatici, storici, filosofi etc.). Negli ultimi anni questo tema, di carattere prettamente giuridico, è riuscito a trovare un proprio posto anche nelle cronache nazionali e internazionali, si pensi prima di tutto all’ambito europeo, gettando le basi e i presupposti di un sempre più largo dibattito che, piuttosto che semplificare la questione, ha contribuito a sottoporla ad un ventaglio di sfaccettature sempre più ampie coinvolgendo anche pareri di sociologi e antropologi che di questo diritto e della sua garanzia ne hanno fatto base per una riflessione sull’identità umana e sulle sue implicazioni ai tempi del web.
Ma procediamo con ordine: per diritto all’oblio si intende, in ambito giuridico, una particolare forma di garanzia mirata alla non diffondibilità di informazioni pubblicate nel passato e nel passato di lecita diffusione, che potrebbero ad oggi però essere pregiudizievoli per il soggetto e lesivi del proprio onore, laddove non si riscontri nel presente un nuovo interesse diffuso legato alla conoscenza di tali informazioni e laddove quindi la notizia abbia perso attualità e rilevanza. Sono quindi elementi fondamentali e intrinsechi nel diritto all’oblio, il trascorrere del tempo dal fatto avvenuto e dalla pubblicazione della notizia e con esso una possibile e progressiva perdita di attualità della notizia diffusa. Nel diritto sono sottoposte a questa garanzia informazioni soprattutto riferibili a precedenti giudiziari. Proprio in base a questo principio si considera reato la diffusione e la pubblicazione di informazioni la cui conoscenza non risponda a principi di pertinenza, di interesse pubblico o diffuso e di proporzionalità nel caso in cui, in situazioni particolari ricollegabili al diritto di cronaca, ci sia il bisogno di riportare la notizia sotto i riflettori. Tradizionalmente, invece, questo diritto è visto come il diritto a che nessuno riproponga nel presente un episodio che riguarda la nostra vita passata e che, per le ragioni più disparate, si vorrebbe rimanesse radicato nella storia ritendendo la notizia non più rilevante ai fini di una interesse collettivo alla conoscenza del fatto. Ma il diritto all’oblio è anche più generalmente conosciuto come il “diritto ad essere dimenticati”, allocuzione questa, che ha dato il via all’interesse e alla curiosità di numerosi esperti del sistema giuridico ma non solo.
Per comprendere appieno questo diritto e la sua natura, è necessaria però una riflessione, o meglio, un passo indietro che riesca bene ad inquadrare la natura di questo misterioso strumento di garanzia. Questo diritto infatti ha l’interessante caratteristica di essere mutevole al mezzo (media) al quale si adatta. Sarebbe quindi del tutto inappropriato condurre una riflessione sull’oblio che guardi indifferentemente alla sua applicazione nei casi dei media tradizionali di carta stampata, ad esempio, e in quelli della rete. Essere dimenticati dai quotidiani è una cosa, essere dimenticati dal web è tutt’altra cosa. Nel caso dei media tradizionali infatti è più appropriato rivolgere l’attenzione della riflessione circa il problema dell’archiviazione degli articoli pubblicati nel passato, archiviazione che richiede particolari criteri riguardo il suo ordine e soprattutto la sua accessibilità. Cambia invece tutto se l’archivio è il web.

Riflessioni primo e secondo comma

Parlare oggi di diritto all’oblio, alla luce dell’evoluzione dei media di comunicazione ed in primis con l’avvento del web, ha un’accezione del tutto diversa, che implica anche una diversa riflessione dal punto di vista giuridico; non si tratta più della sola e univoca chiave di lettura data a questo diritto nel tempo come diritto a che non vengano riproposti fatti accaduti nel passato, ma il focus si sposta proprio sul diritto di ciascuno di noi di gestire e riprendersi pezzi della propria storia pubblicata online. Per trattare quindi di questo diritto, nuovo e sottoposto alle caratteristiche del web, è però importante affrontare le riflessioni necessarie che il suo riconoscimento e la sua garanzia portano con sé, andando spesso a contrapporsi ad altri diritti e principi riconosciuti e che in questo conflitto rischierebbero di venire soffocati.
Interessante a questo proposito è un articolo di Luciano Floridi, professore di filosofia ed etica dell’informazione all’università di Oxford, nonché uno dei più grandi esperti al mondo di media digitali e filosofo dei tempi del web. Il diritto all’oblio è per Floridi un diritto che già fin dalla sua origine e più che mai con l’avvento di internet, pone più domande che risposte; tra queste, una delle riflessioni più importanti che riguarda la sedimentazione delle informazioni sensibili e private prodotte e pubblicate nel passato e che si vorrebbe rimanessero tali. Il web infatti può essere visto come una “pianura” priva di profondità storica, nella quale, quindi, le informazioni prodotte nel tempo, non si sovrappongono alle altre provocando lo sprofondamento delle informazioni più obsolete, ma la sua struttura è talmente dinamica da riproporre immediatamente un’informazione giacente nei meandri del web riportandola ad un’attualità e ad una rilevanza straordinaria. Ecco che quindi lo stesso Floridi si pone un primo importante interrogativo: come garantire che i propri dati personali possano essere rintracciati senza essere costantemente ricordati? E’ inevitabile quindi collegare questo tipo di riflessione e questa garanzia al diritto alla privacy contrapposto da sempre alle libertà di opinione e di espressione. Ma non solo. Ancora più interessante infatti è la contrapposizione che questo diritto ha, non solo nei confronti di diritti e libertà individuali (comunque di eguale importanza e di necessaria tutela), ma nei confronti di diritti collettivi e diffusi che mette di fronte ad un interesse del singolo, quale il diritto all’oblio, un interesse che appartiene alla collettività. Non è infatti possibili de-linkare un’informazione personale dal web, rendendola così inaccessibile, nel caso in cui questa sia di interesse pubblico. Il quesito si trova proprio qui: come si stabilisce che un determinato dato sia di effettivo interesse pubblico (la “rilevanza” di cui al comma 1)? Questo è forse uno dei più grandi e indistricabili nodi che la riflessione del diritto all’oblio porta con sé, in quanto ragionare sugli interessi pubblici connessi ai dati archiviati nel web significa accettare di dover riflettere su tante implicazioni che questo porta con sé. Sembra infatti semplice giungere alla conclusione che se, nel rispetto del diritto di cronaca, un’informazione passata è di nuovo attuale, questi dati debbano essere riproposti nei confronti di un pubblico che è tenuto e legittimato a conoscere; è invece più difficile comprendere, nella concretezza del caso, quando sia veramente necessario riportare alla ribalta queste informazioni senza rischiare di ledere senza motivo ed oltremisura il diritto del singolo a che quei dati non vengano riproposti.
Ancora più ingarbugliato è poi il dibattito che si apre riguardo i diversi trattamenti che le informazioni possano ricevere nel caso in cui si tratti di dati personali (soprattutto se giudiziari) appartenenti a personaggi pubblici, a cui appartiene un ruolo influente rispetto ad un normale cittadino (public life vs private life per lo psichiatra Tisseron che interpreta questo quesito legando il suo possibile scioglimento alla natura del soggetto in questione). Quando un soggetto può dirsi personaggio pubblico (c.d. personaggio noto nel secondo comma dell’articolo)? Si tratta semplicemente di soggetti appartenenti al mondo della politica e delle istituzioni le cui informazioni, ad esempio giudiziarie, possano essere di grande interesse per l’elettorato, o anche di personaggi dello spettacolo? Se quindi l’informazione veicolata non è attinente al ruolo pubblico e sociale del soggetto, può considerarsi di interesse pubblico? In altre parole, interessa a noi cittadini sapere che il cantante Tizio sia stato indagato per frode venti anni fa quanto sapere che ad essere indagato per frode è stato il famoso Caio esponente di un partito che nel governo ha largo consenso? Questi sono alcuni dei tanti quesiti che il riconoscimento di questa garanzia lascia senza risposte e che, anche secondo Floridi, porta a dover contrapporre questo diritto ad uno dei diritti più cari ai paesi di stampo democratico, baluardo di tante libertà connesse, il diritto all’informazione (il “diritto dell’opinione pubblica a essere informata”, comma 2); è importante quindi che venga bilanciato il diritto del singolo ad essere dimenticato alla necessità di garantire che le informazioni che sono o sono state di cronaca e che hanno o hanno avuto rilievo civile o sociale, non siano oggetto di opere di censura improprie (così come sostiene anche l’Esecutive Chairman di Google Eric Schmidt nell’apertura della seconda conferenza del Comitato Consultivo per il diritto all’oblio tenutasi a Roma).
Con queste riflessioni si apre, a mio avviso, una delle sfaccettature più interessanti dello studio del diritto all’oblio, quella che vede scendere in campo professionisti della sociologia e della psicologia per riflettere sulle conseguenze del riconoscimento di questa garanzia ai tempi di internet, il quale ha sconvolto non solo i processi di comunicazione, ma in primis il nostro modo di vivere la realtà e di confrontarci con l’altro ma anche con noi stessi.
Un apporto importante e originale in materia è quello dato dallo psichiatra francese e dottore in psicologia Serge Tisseron che nel terzo incontro del comitato consultivo di Google riguardo al diritto all’oblio tenutosi a Parigi, interrogato sulla questione, apre lo sguardo e la prospettiva della previsione di questo strumento di garanzia affermando che “se cediamo alla tentazione di permettere di rimuovere le informazioni che loro stessi hanno messo su internet, otterremo una cultura in cui le persone hanno l’impressione che sia possibile dire e fare qualsiasi cosa, tanto dopo è possibile rimuoverlo”. Il suo punto di vista, che distingue anche tra informazioni pubblicate da altri su se stessi e informazioni pubblicate in prima persona, si concentra sulla conseguenza psicologica che questa possibilità in mano a tutti i soggetti, soprattutto ai più giovani che vivono nel web e che nella rete hanno immesso un’enorme quantità di dati sin dalla più giovane età, possa portarli a cancellare e modificare senza criterio tutti quei dati che ritengono scomodi creando così un profondo gap tra la realtà e ciò che viene mostrato nel mondo di internet facendo di quest’ultimo un mondo parallelo per niente integrato con la vita di tutti i giorni; questo è il presupposto per la creazione di un profondo trauma nella psicologia degli individui che, anche non volendo, sono costretti a fare i conti con una rete divenuta sempre più presente nella vita e nelle scelte della società. E’ su questo punto che si inserisce Guido Scorza, avvocato e dottore di ricerca in Informatica giuridica e Diritto delle nuove tecnologie, che a riguardo parla di educazione digitale (tesi sostenuta anche da uno dei sociologi di internet più conosciuti ed ex allievo di McLuhan, Derrick de Kerckhove), forse una delle migliori tesi opposte al più largo riconoscimento del diritto all’oblio; occorre infatti acquisire “un'attitudine a convivere in un contesto tecnologico diverso rispetto a quello a cui eravamo abituati. Nessuno di noi ha mai pensato di chiedere a qualcun altro di cancellare dalla sua memoria qualcosa che aveva sentito sul suo conto Possiamo farlo accettando che oggi esiste uno strumento di supporto alla memoria collettiva. D'altra parte i libri e gli archivi esistono da secoli. Ecco, oggi c'è anche Internet”. Scorza getta le basi per quello che è il discorso più ampio, che qui non approfondirò, sull’educazione ai nuovi media, al web, uno strumento che si propone non più come una struttura parallela nel quale l’individuo si muove saltuariamente, ma come la possibilità che la tecnologia ci concede di ampliare i nostri confini e i nostri sensi della quale oggi non possiamo più fare a meno. La nostra percezione quindi di poter cambiare il nostro passato, o meglio, poterlo cancellare, deve essere educata dalla consapevolezza che con il passato dobbiamo fare necessariamente i conti, ma che è possibile convivere con il web in maniera serena, consapevoli che ciò che vi immettiamo resterà impresso in una memoria che appartiene a tutti. Il contrario invece, e quindi la cancellazione o la modificazione di questa memoria, che Scorza riconduce ad un diritto collettivo alla storia “se consentiamo a chiunque di pretendere la rimozione di un contenuto sgradito che lo riguarda, tra cento anni quando guarderanno a questa epoca attraverso internet sembreranno tutti bravi e buoni. Le storie di corrotti e delinquenti saranno sparite”, porterebbe a conseguenze ben più gravi di quelle che un più moderato riconoscimento del diritto all’oblio porterebbe al soggetto titolare del diritto.
E’ infatti, con la massima e più alta garanzia del diritto all’oblio che forse si giunge a quello che lo psichiatra Tisseron definisce come il pericolo più grande (“sarebbe drammatico se i legislatori facessero di questo internet la regola”), il diritto alla smentita. Il rischio è dunque quello di lasciare che le persone abusino di questo strumento, finendo così per rimuovere, grazie alla smentita, non solo le informazioni, ma il fatto stesso.
Leggere e inquadrare il diritto all’oblio in questo senso, significa riconoscere che internet è divenuto nel tempo il nostro database di informazioni che la memoria non riesce a immagazzinare e mantenere per sua natura, che non si oppone però al diritto più che legittimo di pentirsi e soprattutto di essere perdonato. Per pentirsi occorre accettare di aver commesso errori, e riconoscerli. Per perdonare occorre ricordare.

Una trattazione sul diritto all’oblio, non può pertanto prescindere da riflessioni che non siano prima di tutto di carattere sociologico e psicologico. Non si tratta infatti di un semplice diritto sul quale le istituzioni nazionali e internazionali sono chiamate a legiferare, ma molto di più. Ragionare giuridicamente sul diritto all’oblio significa prima di tutto aver riflettuto su quali implicazioni e conseguenze il suo eventuale riconoscimento possa comportare.

L’ostacolo più grande che la previsione della tutela di questo diritto porta con sé, è forse quello rintracciabile nelle parole di Floridi circa la territorialità della legge contro la non-territorialità di internet. E’ veramente utile ed efficace proporre una regolamentazione (con effetti territorialmente delimitati) che disciplini il diritto in materia se internet è per eccellenza lo strumento a-territoriale? Nel tempo, enti nazionali e sovranazionali hanno comunque provato a proporre loro normazioni per inquadrare la materia del diritto all’oblio.
L’Unione Europea il 25 gennaio 2012 su proposta della Commissaria per la giustizia e i Diritti Fondamentali Viviane Reding, ha elaborato una riforma generale che tratta anche del diritto all’oblio concentrandosi sulla più ampia tutela della privacy degli utenti nel web, non ancora definitivamente approvato. La proposta consta di una direttiva ed un regolamento. La prima, che dopo l’eventuale approvazione dovrà essere quindi recepita da ciascun paese, riguarda la protezione dei dati elaborati successivamente a provvedimenti giudiziari prevedendo un trattamento dei dati fortemente tutelante da parte delle autorità. Il regolamento invece riguarda tutti gli altri casi, in particolare riguardanti il trattamento dei dati nel web ed ha l’ambizione di proporsi come quadro di riferimento per tutti coloro che vorranno operare in ambito europeo nel trattamento dei dati. All’art. 17 il regolamento disciplina il diritto all’oblio e alla cancellazione, prevedendo il diritto del soggetto interessato di ottenere dal responsabile la cancellazione di dati personali che lo riguardano e la rinuncia a un ulteriore diffusione di tali dati, laddove i dati non siano più necessari rispetto alle finalità, laddove l’interessato ne revochi il consenso all’utilizzo o si opponga ai sensi dell’articolo 19 (per finalità di marketing) o nel caso in cui il trattamento non sia conforme al regolamento. Infine se il responsabile del trattamento ha reso pubblici i dati, dovrà adottare tutte le misure ragionevoli, anche tecniche, per informare i terzi che stanno trattando i dati, della richiesta dell’interessato al fine di cancellare qualunque link, copia o riproduzione dei suoi dati. Il regolamento introduce quindi la possibilità di effettuare direttamente l’operazione di cancellazione dei dati e non solo un mero diritto di opposizione.

Ma a dare una forte scossa in tema di diritto all’oblio è stata sicuramente la sentenza conosciuta con il nome di “Sentenza Google Spain” (causa C-131/12 Mario Costeja Gonzales e AEPD contro Google Spain e Google Inc.). Mario Costeja Gonzalez si era rivolto all’equivalente del nostro Garante per la Privacy in Spagna, ritenendo di avere diritto a che i suoi link, che comparivano nella pagina dei risultati di Google cercando il suo nome, venissero rimossi. Tra questi link, alcuni rimandavano a pagine di giornale in cui si raccontava della messa all’asta per motivi di necessità economica della sua casa 16 anni fa. Per Costeja Gonzalez il contenuto violava la sua privacy e non era più rilevante dopo che i suoi problemi economici si erano risolti. I giudici della Corte Europea hanno stabilito in merito che i cittadini europei hanno il diritto di richiedere che alcune informazioni siano rimosse se queste sono “non adatte, irrilevanti o non più rilevanti”. Secondo la Corte deve essere possibile richiedere la de-indicizzazione alla società che gestisce il motore di ricerca nel quale sono state trovate le informazioni. In caso di inadempienza del motore di ricerca si può ricorrere alle autorità competenti per ottenerne la rimozione. Quella che è stata definita da Viviane Reding come “una vittoria per la protezione dei dati personali” è stata invece commentata dagli operatori del motore, in questo caso di Google, come una sentenza deludente che minaccia la tutela della libertà all’informazione online.

Le conseguenze della sentenza Google Spain non hanno tardato ad arrivare anche in Italia.
Da sempre l’istituzione preposta a giudicare in materia di diritto all’oblio e più ampiamente in tema di dati sensibili è il Garante della privacy che, con la sentenza della Corte di Giustizia Europea, ha rivisto il suo operato alla luce di quanto stabilito per il caso Costeja Gonzales. Tra il novembre e dicembre 2014 il Garante si è trovato a dover produrre un giudizio su nove casi assimilabili; in sette di questi casi il Garante ha respinto la richiesta di prescrivere a Google la deindicizzazione, facendo prevalere l’interesse pubblico ad accedere alle informazioni giudicando il caso come ancora recente e non concluso, mentre negli altri due casi la richiesta è stata accolta essendo presenti informazioni eccedenti su persone estranee alla vicenda giudiziaria e per dati inseriti in un contesto non idoneo alla pubblicazione di tali informazioni (in questo caso riguardanti la sfera sessuale).

Riflessioni sul terzo comma

Il problema della deindicizzazione è il tema toccato dal terzo comma dell’articolo 10 della bozza della Dichiarazione dei diritti in internet. Il fatto che a questo strumento sia dedicato uno specifico comma, è già di per sé significativo; la deindicizzazione, e cioè la rimozione dei link dal motore di ricerca, è spesso utilizzata impropriamente come strumento coincidente e perfettamente aderente all’esercizio del diritto all’oblio nel web. Sarebbe meglio intendere il diritto alla deindicizzazione, però, come un sottoprodotto del diritto all’oblio, e non come un continuum di quest’ultimo. E’ da tenere bene in mente che l’indicizzazione è per sua natura un elemento consustanziale al web (visto come struttura informativa indicizzata), che appartiene ad esso e con il quale il web si esprime e organizza. E’ un elemento imprescindibile della rete senza la quale diventerebbe impraticabile e caotica a tal punto da non riuscire più a svolgere le attività e garantire i servizi per la quale è nata. Mettere mano sull’indicizzazione delle informazioni in rete e quindi su questa struttura portante, significa in primis andare a modificare e a “manomettere” lo scheletro della rete. Per ovviare a questo, il comma proposto nella bozza, suggerisce quello che può essere considerato un escamotage che riesca a riequilibrare la scomparsa di alcune informazioni dagli indici del web proponendo che, in caso di cancellazione degli indici dai motori di ricerca, chiunque potrà esercitare il proprio diritto a conoscere e impugnare tali casi di fronte all’autorità giudiziaria per garantire l’interesse pubblico. Questo comma desta, a mio avviso, non poche perplessità; sottintende infatti che il soggetto richiedente ed esercitante il diritto a conoscere, sia effettivamente a conoscenza che tali informazioni non siano presenti nel motore di ricerca; questa formulazione sembra infatti attenere a tutti quei casi in cui nel motore di ricerca si cerchino informazioni che riguardano persone conosciute dal soggetto richiedente, che ha quindi delle aspettative ben chiare circa quello che troverà e che desidera trovare nel web. Il comma esclude quindi, a mio parere, tutti gli altri casi in cui il soggetto che ricerca informazioni online, non conosca nulla del soggetto che sta cercando, per cui non avrà pregiudizi circa le informazioni che troverà o non troverà online non potendo quindi esercitare di partenza il proprio diritto a conoscere come accadrebbe invece nel primo caso. Tale previsione si collega però anche ad un’ulteriore soluzione al tema; la soluzione proposta dal comma si connette indirettamente alla più ampia possibilità (portata avanti e difesa dallo stesso Tisseron) di prevedere una struttura in internet che funga da archivio di tutte quelle informazioni che nel tempo sono state cancellate e deindicizzate in modo da tutelare l’interesse privato da un lato e quello pubblico dall’altro. In sostanza dai diversi incontri dei Comitati Consultivi di Google è emersa la possibilità di trovare uno spazio in “google.com” nel quale, chi sia deciso e determinato nel ricercare informazioni circa una persona fisica o giuridica, abbia uno spazio nel quale poter trovare tutto ciò che cerca, in modo da esercitare così, il proprio diritto all’informazione. Anche questa soluzione però lascia spazio a non pochi dubbi; prevedere uno spazio in cui raggruppare informazioni che la persona a cui si riferiscono ha voluto cancellare, è veramente rispettoso del diritto all’oblio di cui la deindicizzazione è uno strumento? Trovare delle informazioni in questo database, non produce forse effetti contrari a quelli che la deindicizzazione ha lo scopo di produrre? Venire a conoscenza infatti che un soggetto abbia richiesto la cancellazione di alcune informazioni sul proprio conto, rischia di aumentare il pregiudizio nei confronti del soggetto in questione, per cui potrebbe dare l’impressione che lo stesso abbia magari commesso un reato ben più grave di quello che forse ha veramente commesso; per fare un esempio, se viene accolta la mia richiesta di cancellazione di informazioni circa un pignoramento avvenuto nei confronti dei miei beni, in coloro che vengono a conoscenza di questa cancellazione nascerà il pregiudizio per cui penseranno probabilmente che il pignoramento sia avvenuto in seguito ad una commissione di reato grave che io soggetto titolare non voglio si venga a sapere.

La disciplina prevista dalla proposta della Camera all’articolo 10 della bozza della Dichiarazione dei diritti in internet, si muove da una parte verso il giusto obiettivo di bilanciare gli interessi contrapposti dando rilievo anche al diritto all’informazione, ma risulta ancora vaga, in base alle riflessioni sopra riportate. A mio parere un diritto di questo tipo non può essere “costretto” nei confini di una regolamentazione nazionale che sembra voler porre limiti giuridici territoriali (ad esempio con le autorità giudiziarie nazionali) laddove non esistano nel web e sembra voler ricondurre temi di interesse sovranazionali alla regolamentazione del nostro ordinamento giuridico. Ma anche laddove entrino in campo enti sovranazionali, forse non si sta ancora tenendo conto di quello che a mio parere è il più grande interrogativo: è giusto riconoscere un diritto all’oblio in internet?







Riferimenti :
-definizione diritto all’oblio http://www.ildirittoalloblio.it/diritto-all-oblio
-intervista Guido Scorza su diritto all’oblio
-Serge Tisseron su public life vs private life-Conferenza comitato consultivo Google Parigi (min. 51.10) https://www.google.it/intl/it/advisorycouncil/
-Eric Schmidt su Conferenza comitato consultivo Google Parigi (min. 45.41) https://www.google.it/intl/it/advisorycouncil/
-Serge Tisseron e approccio psicologico al diritto all’oblio (min.56.05) https://www.google.it/intl/it/advisorycouncil/
-Guido Scorza su educazione digitale http://www.unacitta.it/newsite/altritesti.asp?id=213
- Serge Tisseron e diritto alla smentita su Conferenza comitato consultivo Google Parigi (min. 1:05:36) https://www.google.it/intl/it/advisorycouncil/
-Sentenza Google Spain, causa C-131/12 Mario Costeja Gonzales e AEPD contro Google Spain e Google Inc.








Arrticolo 9 - Anonimato

commento di Francesca Baiocchi

Trattando un argomento, tanto ampio e complesso quanto fluido e ricco di contraddizioni, come quello dell’anonimato, è necessario soffermarsi su alcune premesse delle quali non possiamo non tenere conto se il nostro obiettivo è quello di comprendere meglio il contesto di partenza della nostra analisi.
Innanzi tutto è opportuno chiarire in che modo l’introduzione dei nuovi media ha sconvolto il precedente assetto comunicativo, che trovava la propria giustificazione e realizzazione tecnica attorno ad una divisione netta e precisa tra comunicazione pubblica e privata; all’interno dello scenario dei media tradizionali, questa scelta accompagnava due importanti conseguenze: la garanzia della segretezza delle comunicazioni private e delle fonti di informazione e, conseguentemente, l’assunzione di una certa responsabilità nell’ambito delle comunicazioni pubbliche. Il soggetto che operava questa scelta era consapevole di poter contare, a seconda del tipo di comunicazione, su due regimi di tutela differenti. Con l’espandersi dei nuovi media è andata via via perdendosi quella linea di demarcazione appena accennata. Essi hanno favorito la proliferazione di un numero potenzialmente infinito di spazi in cui questa distinzione fatica ad emergere; il fatto che un contenuto possa essere condiviso all’interno di una comunità di utenti, anche molto estesa, non significa necessariamente che il suddetto contenuto sia fruibile alla generalità della cittadinanza1. E’ perciò plausibile la rivendicazione di un trattamento diverso in relazione a contesti comunicativi differenti. Se tali contesti potessero essere delimitati senza opacità.
In presenza, dunque, di una mancanza, più o meno totale, di protezione per quanto concerne le comunicazioni private, quanto è ragionevole pretendere un obbligo all’identificazione nell’ambito pubblico2? La risposta pare essere negativa e non priva di contraddizioni.
Chiarite queste brevi premesse, è inevitabile chiederci: esiste un reale e riconosciuto diritto all’anonimato?
Attualmente, la Costituzione Italiana non prevede espressamente alcun riferimento specifico al diritto in questione; sono tuttavia rintracciabili, all’interno della Direttiva 95/46/CE e della Carta dei Diritti Fondamentali dell’Unione Europea, numerosi riferimenti indiretti, mediati cioè dalla tutela di altri diritti appartenenti alla sfera individuale. In questo senso, è utile rifarsi ai contesti che hanno caratterizzato e reso diversi nel bilanciamento dei diritti, gli Stati Uniti e l’Europa; in entrambi è presente una c.d. tutela dell’anonimato, tuttavia, questo principio è penetrato nel tessuto normativo battendo strade diverse. Negli Stati Uniti esso rappresenta, insieme a network anonimi come TOR, il principale strumento di salvaguardia della libertà di espressione e manifestazione del proprio pensiero, tutelata giuridicamente dal Primo Emendamento della Costituzione. “… esso realizzerebbe il sogno dell’identità postmoderna, consentendo a ciascuno di sfuggire alle gabbie della propria “biografia”, costruendo un’identità fluida, à la carte, plasmata su un io desiderato e libero da tutti i vincoli e le convenzioni sociali circa il modo di apparire3. Non solo. L’anonimato può offrire numerosi benefici anche all’autonomia dei gruppi; consentendo alle minoranze di esprimere le proprie critiche e organizzare forme di mobilitazione altrimenti impossibili, inciderebbe positivamente sulla partecipazione politica e, perciò, sulla redistribuzione sociale4. In Italia, viceversa, questo principio è entrato a far parte del nostro ordinamento in quanto protezione del diritto alla Privacy, o meglio, necessario alla protezione dei dati personali e alla volontà del singolo individuo di celare alla dimensione pubblica tutte quelle informazioni attinenti la propria identità e che lo caratterizzano in maniera univoca. Potenzialmente infinite, tuttavia, possono essere le utilità derivanti dall’utilizzo di uno strumento come l’anonimato. Esso è indubbiamente funzionale al mantenimento della nostra corretta identità, proteggendola da furti, intrusioni illecite, accessi abusivi, molestie pubbliche quanto private5, ed è altresì indispensabile per mantenere intatta la nostra reputazione, quale estensione della nostra identità all’interno dello spazio pubblico. Un esempio, in tal senso, è rappresentato dagli ormai noti casi di diffamazione online, in cui “… il diritto all’anonimato, normalmente connesso con il diritto di manifestare il pensiero …, soccombe al diritto al rispetto della reputazione e dell’onore altrui6.
Non è difficile, inoltre, che accada di trovarsi in situazioni in cui, il diritto all’anonimato ceda nei confronti di alcuni diritti patrimoniali, come nel caso, appena accennato, di attacchi di temporanea inutilizzabilità dei siti web (episodi di danneggiamento da defacement, o da Ddos attack), a volte per sfida, a volte per manifestare, in modo del tutto anonimo, una qualche contestazione più o meno politica7.
Un ruolo determinante è ricoperto dall’anonimato anche in funzione della protezione del dissenso politico, soprattutto all’interno di contesti caratterizzati da regimi autoritari e non democratici. Infatti, una possibile strada che i regimi democratici possono intraprendere al fine di mantenere attivo il dissenso per l’eventuale regime, è la messa a disposizione di “ … blog allocati in server posti al di fuori del controllo dei governi autoritari e dei loro servizi di sicurezza e polizia: occorrerà però che anche tali spazi siano protetti e gestiti con estrema cautela, anche dal punto di vista delle garanzie dell’anonimato, per evitare che si trasformino in preziose miniere di informazioni per l’intelligence dei regimi autoritari”8. Secondo quest’ottica potrebbe essere plausibile parlare di “rifugiati digitali9” che, ricevendo una speciale protezione grazie all’anonimato, possono contribuire ad esportare informazioni nel resto del mondo, così da rendere partecipi un numero sempre maggiore di persone sulle vicende che sconvolgono alcune parti del nostro pianeta e a conservare intatto il sentimento di rivolta.
E’ fuorviante pensare, tuttavia, che l’anonimato si circondi solamente di aspetti positivi. Come quasi tutte le novità introdotte con l’avvento della rete, soprattutto quelle apportate nell’ambito giuridico, anche il principio oggetto di questa breve trattazione è caratterizzato da un rovescio della medaglia. Riprendendo, ad esempio, il discorso del dissenso politico, è possibile che il regime stesso, attraverso la tecnologia e la copertura offerta dall’anonimato, si adoperi al fine di distrarre la cittadinanza e distoglierla dall’impegno politico, promuovere un’attività di propaganda con l’obiettivo di manipolare la coscienza del popolo ed anche monitorare la comparsa di focolai di ribellione di cui parlavamo pocanzi. Altrettanto rilievo ricopre la possibilità, per i maggiori social network mondiali, di poter consentire un accesso, una navigazione ed una pubblicazione di contenuti in forma del tutto anonima e difficilmente rintracciabile; Robert Hannigan, capo dell’ufficio dell’ Intelligence Britannica, ha espresso il suo disappunto nei confronti di questa eventualità, sottolineando l’importanza per i social network di non prestarsi a fini di utilizzo da parte di organizzazioni terroristiche quali l’Isis, in grado, grazie all’anonimato, di muoversi nella rete e comunicare tra di loro. D’altra parte “… chi vive nei paesi dove i social media sono vietati o molto ostacolati, avrà una possibilità in più per comunicare con il mondo10.
Anche vicende ambigue come il caso Wikileaks o Anonymous, offrono materiale di riflessione. Non vi è dubbio sull’importanza delle informazioni divulgate in seguito al caso Snowden, tuttavia molte correnti di pensiero hanno sviluppato con il tempo una linea più distante e contraria nei confronti della vicenda, sostenendo l’altrettanta importanza del mantenere celati sistemi di sorveglianza governativi e contatti diplomatici, al fine di non sconvolgere gli equilibri mondiali e porre in subbuglio menti non sufficientemente preparate a tutto ciò. Nel caso in cui si riuscisse, utopisticamente parlando, a districare questo complesso intrigo di pericoli e diritti, restano comunque in essere azioni emblematiche come quelle intraprese dal gruppo Anonymous. Di fatto si tratta di progetti illegali ma che, in concomitanza con il fenomeno Isis, apportano un notevole contributo in termini di censura, chiusura e blocco di account, forse, altrimenti impossibile da realizzare. Anche in questo caso, prendere una decisione univoca è pressoché impossibile.
A complessità concettuali inoltre, si accostano difficoltà tecniche dovute a molteplici ostacoli che impediscono, in alcuni casi, di rintracciare il responsabile del contenuto illecito. Infatti, non sempre si è in grado, anche qualora si riesca a risalire alla postazione utilizzata per la pubblicazione, di stabilire univocamente chi ha compiuto l’atto. A questo si aggiungono impedimenti legati all’utilizzo di Ip statici o dinamici che, nella metropoli digitale, intensificano la fluidità (e la non tracciabilità) dei protagonisti in gioco. In proposito, così da rendere definitivamente impossibile risolvere la questione, si è recentemente aperto un acceso dibattito relativo alla considerazione o meno dell’indirizzo Ip quale dato personale. Di fatto, è ritenuto dato personale tutto quanto colleghi, direttamente o indirettamente, il suddetto ad una determinata persona per questo identificabile. L’indirizzo Ip, in questo senso, se incrociato con altri dati a disposizione, come orario di connessione, tempistiche ed altro, potrebbe potenzialmente portare al disvelamento dell’identità e questo lo renderebbe un dato personale a tutti gli effetti, con tutti i pro e i contro che derivano dalla sua conseguente necessità di tutela11. In sintonia con quanto appena spiegato, si comprende l’atteggiamento ostile dei vari reparti mondiali dell’Intelligence e dei Servizi di Sicurezza, che si troverebbero impossibilitati, o comunque sottoposti a diverse limitazioni, qualora l’utilizzo di quel determinato dato sia il principale presupposto per l’individuazione di un indiziato.
In accordo con quanto espresso nella bozza per la Dichiarazione dei Diritti di Internet, ritengo necessaria la tutela che deriva dal riconoscimento ufficiale di un diritto all’anonimato all’interno della rete. Non solo perché è uno strumento di protezione, ma perché, proprio per questa sua caratteristica intrinseca che lo rappresenta e lo rende così prezioso, ovvero la possibilità di celarsi al mondo, è la diretta premessa per la tutela di tutti quei diritti fin d’ora analizzati. Senza, essi non avrebbero la garanzia che meritano ed esisterebbero, nella realtà digitale, come “diritti-dimezzati”. Su questo punto si inserisce un’ultima riflessione relativa alla protezione di un ulteriore diritto, forse il più importante: l’interesse pubblico. All’interno della bozza sono previsti casi eccezionali di fronte ai quali il diritto all’anonimato, così come molti altri diritti in gioco, si trovano nella condizione di dover retrocedere, sempre rispettando i criteri di un assetto democratico, per consentire il perseguimento di interessi ed obiettivi ritenuti, per così dire, superiori, in quanto coinvolgono la dimensione della collettività e vanno a toccare delicati equilibri. Uno di questi casi è certamente la sicurezza. A tal proposito si propone una visione concettuale che giustifica il bilanciamento dei diritti in gioco in funzione di un duplice ruolo di premessa svolto dalla sicurezza. Abbiamo detto che il diritto all’anonimato è una rivendicazione lecita e coerente con l’espansione dei media digitali, ed è garanzia di tutela per tutti gli altri diritti affrontati, tuttavia anch’esso è, a parer mio, legato, in maniera bidirezionale, al mantenimento della sicurezza nazionale quanto globale. In un contesto in cui si privilegi soltanto la sfera individuale e gli interessi ad essa attinenti, si decide consapevolmente di rinunciare, almeno in parte, alla tutela dell’interesse generale; ma, come l’anonimato è premessa e garanzia dell’individualità, così anche la sicurezza, se tutelata, è a sua volta presupposto di tutte le altre garanzie. Ciò che si intende confermare è, ovviamente, l’impossibilità di regolamentare la disciplina nei minimi dettagli, in quanto, come abbiamo potuto comprendere, si tratta di una materia assai eterogenea nella sua composizione e che necessita, perciò, di un bilanciamento degli interessi caso per caso, lasciando alla giurisprudenza ampio spazio di manovra decisionale e, contemporaneamente, l’esigenza di compiere questo bilanciamento nell’ottica di una spirale di presupposti.
Concludendo, ritengo che la bozza dell’articolo proposta, seppur migliorabile, sia coerente con quanto appena detto. All’interno del primo periodo, elencherei in maniera più specifica i diritti e le libertà in gioco, così come nel secondo, dedicherei qualche parola in più nel trattare gli interessi pubblici che possono, in via eccezionale e per esigenze particolari, limitare e restringere il campo di azione i diritti individuali.
Personalmente, anche se di difficile realizzazione, avrei cercato di introdurre, tramite questa bozza, il concetto di una certa responsabilità nei confronti, non soltanto delle azioni individuali perpetrate durante l’utilizzo, ormai quotidiano, della rete, ma anche dello strumento stesso coinvolto in questa pratica. Ritengo infatti che troppo spesso si tenda a non riflettere molto sul legame diretto di causa-effetto che intercorre fra la persona proprietaria dello strumento e lo strumento stesso. C’è ancora una scarsa coscienza delle reali capacità della rete, soprattutto quando utilizzata illegalmente e irresponsabilmente; ed è necessario dunque incentivare una consapevolezza del ruolo che essa gioca all’interno, non solo delle nostre vite, ma anche della società, ormai globalizzata, in cui viviamo.
1 Diritto dell’informazione e dell’informatica (Il), fasc.2, 2014, pag.111, Marco Cuniberti.
2 Ibidem.
3 Diritto dell’informazione e dell’informatica (Il), fasc.2, 2014, pag.171, Giorgio Resta.
4 Ibidem.
5 Si pensi, ad esempio ad un lavoratore dipendente che critichi, all’interno di un social network, le politiche della propria azienda, segnali abusi o comportamenti illegali; questo pone l’esigenza di una protezione nei confronti di soggetti deboli o comunque predisposti a discriminazione e/o eventuali ritorsioni. Diritto dell’informazione e dell’informatica (Il), fasc.2, 2014, pag. 111, Marco Cuniberti.
6 Diritto all’anonimato. Anonimato, nome e identità personale, pag. 293, G.Finocchiaro.
7 Ibidem.
8 Diritto dell’informazione e dell’informatica (Il), fasc.2, 2014, pag. 111, Marco Cuniberti.
9 Potremo parlare di una traslazione concettuale del tema di asilo politico (art.10, comma 3, cost.)
10 Social network, anonimato in Rete e terrorismo: la tripletta che fa paura, Hawk Thomas.
11 Ip Addresses – Just a number?, P. Lundevall-Unger and T. Tranvik.

Articolo 6 - Inviolabilità dei sistemi e domicili informatici


Commento di Giovanni Gulino

Il 13 ottobre scorso presso Palazzo Montecitorio si è riunita la Commissione in materia dei diritti fondamentali per discutere sulla necessità di proteggere i nuovi diritti e i nuovi bene informatici, come l’accesso alla rete, la protezione dei dati e le libertà e i limiti connessi a questi. La Bozza si suddivide in 14 articoli. Il sesto punto di tale dichiarazione che si andrà a commentare riguarda l’inviolabilità dei sistemi e domicili informatici che recita: “senza l’autorizzazione dell’autorità giudiziaria, nei soli casi e modi previsti dalla legge, è vietato l’accesso ai dati della persona che i trovino su dispositivi personali, su elaboratori remoti accessibili tramite credenziali da qualsiasi elaboratore connesso a Internet o simultaneamente su dispositivi personali e, in copia, su elaboratori remoti, nonché l’intercettazione di qualsiasi forma di comunicazione elettronica”. Il bisogno di stilare una bozza per il riconoscimento dei diritti di e su Internet è maturato in seno al potenziale e ai rischi connessi al nuovo mezzo elettronico, ma soprattutto dovuto al fatto di poter finalmente difendere i diritti di chi di questo mezzo ne fa costantemente uso e “la garanzia di questi diritti è condizione necessaria perché sia assicurato il funzionamento democratico delle Istituzioni, e perché si eviti il prevalere di poteri pubblici e privati che possano portare ad una società della sorveglianza, del controllo e della selezione sociale”. Per domicilio informatico “si intende la tutela concessa al legislatore all’inviolabilità di un sistema informatico”; l’idea che si viene affermando è che lo spazio cibernetico, luogo in cui la persona deposita e custodisce i propri dati personali, fotografie ecc., venga considerato come un’estensione della proprietà individuale. La comunicazione digitale ha avuto molti pregi, primo fra tutti quello di abbattere le barriere fisiche creando uno spazio alternativo dove le persone sono “libere” di scambiare informazioni, dati o solamente curiosità; tutto alla portata di un click; tutti parliamo di tutto e di tutti e forse anche troppo. È grazie a Tim Berners-Lee se oggi possiamo navigare nel selvaggio mondo del web. Siamo nel marzo del 1989 quando egli presentò la prima bozza al CERN di Ginevra, il documento che da lì in avanti modificò il concetto di comunicazione senza frontiere, consentendo a tutto il mondo di esplorare il cyber spazio tramite una fitta rete di collegamenti ipertestuali; i cosiddetti link. La giurisprudenza nazionale e transnazionale si è trovata a fronteggiare, purtroppo, un nuovo nemico, molto più infido di quelli fisici e “reali”, che ha preso vita con la nascita e lo sviluppo del nuovo mezzo informatico: i computer crimes. Se vale la regola paese che vai, usanze che trovi, allo stesso modo il legislatore si è dovuto adattare alle nuove forme criminose dettate dalla possibilità di ricavare profitto indebitamente in maniera più sofisticata. È sorta l’esigenza di proteggere la libertà informatica, definita come “libertà di avvalersi delle tecnologie informatiche per il soddisfacimento delle esigenze della persona, compreso il diritto ad essere tutelati nell’esercizio di quella libertà” e allo stesso modo la necessità di tutelare anche i sistemi informatici in quanto tali. Molti sono stati i tentativi per porre soluzione al problema, cercando di far entrare nella sfera di salvaguardia i sistemi informatici, come la legge n.547/93. Questa sostanzialmente modifica e amplia le norme del codice penale proponendo due diverse forme di reato, definite una necessaria per gli illeciti particolarmente gravi (frode informatica, intercettazione non autorizzata di comunicazioni provenienti all’interno di un sistema informatico, ecc.) e l’altra facoltativa per i reati ritenuti non eccessivamente gravi come l’alterazione dei dati (cosa già di per sé ambigua), con specifiche sanzioni previste agli artt.614-615 c.p.
CASI CONCRETI SULLA NORMATIVA PER LA TUTELA DEL DOMICILIO INFORMATICO
L’articolo preso in esame ad una prima lettura non introduce nulla di nuovo rispetto alla normativa vigente in Italia né per quanto riguarda ciò che è sancito a livello costituzionale dall’art.14 che afferma: Il domicilio è inviolabile. Non vi si possono eseguire ispezioni o perquisizioni o sequestri, se non nei casi e modi stabiliti dalla legge secondo le garanzie prescritte per la tutela della libertà personale. Gli accertamenti e le ispezioni per motivi di sanità e di incolumità pubblica o a fini economici e fiscali sono regolati da leggi speciali”.Prima delle legge n.547 nel nostro ordinamento non esisteva nessuna disposizione in materia di tutela nei confronti di illeciti avvenuti per mezzo Internet perché non esisteva un bene effettivamente materiale da poter tutelare, per cui non rientravano né nel contenuto dell’art.635 c.p. per il danneggiamento di cose mobili o immobili, né dell’art 624 c.p. per il furto di qualcosa che potesse arrecare danno o pregiudicare la persona che deteneva quel bene, in quanto rubare dei dati personali altrui, non se ne cancellava gli originali, bensì ne creava una copia. Per essere oggetto di tutela il sistema informatico viene concepito come l’insieme delle componenti di un calcolatore, hardware annesso, entrando perciò nell’ambito di tutela dell’art.615 ter per il quale “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni”, perseguendo penalmente chi si introduca in un sistema informatico violando le misure di sicurezza seppur minime. Il titolare di diritti manifesta la sua volontà di escludere soggetti terzi dalla sua proprietà appellandosi al proprio “ius escludendi omnes alios” ovvero il diritto di estromettere tutti gli altri. Questo qualora il titolare del diritto abbia apposto delle semplici misure protettive al suo computer, la violazione da parte di soggetti terzi ne configura l’illecito e ne sorge la conclusione che la mancanza delle stesse ne vanifichi la punibilità giudiziaria: problema? A parer mio si. In questo caso la tutela non si manifesta nei confronti dei dati personali indebitamente violati, ma sulla “espressa volontà contraria del soggetto di far accedere altri al proprio sistema”. Qui si viene a creare una discrepanza notevole, che separa da un lato il diritto alla riservatezza dei dati e dall’altro la libertà personale sul proprio domicilio, che vede la vittoria di quest’ultima a scapito della prima. Se prendiamo in considerazione ciò che viene espresso inizialmente nell’articolo della Bozza qui esaminato, ovvero “senza l’autorizzazione dell’autorità giudiziaria, nei soli casi e modi previsti dalla legge, è vietato l’accesso ai dati della persona”, siamo portati a pensare che già i modi previsti dalla legge siano chiari e definiti nei dettagli per meglio comprendere le forme di tutela del nuovo bene. Invece nei casi concreti che si riporteranno qui a breve si coglie la difficoltà che spesso si incontra nel circoscrivere l’ambito di applicazione penale. La Corte di Cassazione ha dichiarato inoltre che il domicilio è tutelato anche ai sensi dell’art.51 c.p. quando un crimine è stato commesso per l’adempimento di un diritto o di un dovere imposto da un’autorità giuridica, automaticamente se ne esclude la punibilità. Non basta quindi che l’intenzione sia meramente quella di visionare i dati e non quella di distruggerli, ciò che conta è l’autorizzazione da parte di un giudice o di chi ne fa le veci. Ciò di fatto non ha escluso dalla condanna di un commercialista introdottosi nella casella email di un collega per carpire dati a lui necessari ad un suo procedimento penale. Di seguito, presi a modello esplicativo, cito due sentenze che illustrano due differenti modi di interpretare l’accesso abusivo ad un sistema informatico. La prima è una Sentenza del 2000 del GIP di Roma, dove si portava in giudizio G.C. il quale si era introdotto dalla sua abitazione e dal suo personal computer, nel sito telematico della RAI sostituendo il file contenente il radio Giornale delle 13:00 con un altro di sua creazione contenente critiche alla Società Microsoft. Il tutto è stato reso possibile perché gli allora computer dotati di sistema operativo Windows 95 e che avevano attivato l’opzione di condivisione file e stampanti senza definire una password, potevano dare visibilità dei propri file a tutti gli altri computer con stesse caratteristiche connessi ad Internet; G.C. con un programma di ricerca dei computer connessi ha potuto rintracciare quello della RAI che aveva un programma firewall difettoso e non riportava chiavi di sicurezza, se non una che era perfettamente visibile una volta connesso per accedere al server e quindi modificarne il contenuto dei file. L’accusa mossa a G.C. era la violazione dell’accesso abusivo al sistema, imputandogli la violazione dei commi 2 e 3 dell’art.615: il fatto sussiste se si usa violenza su cose o persone; se dal fatto deriva la distruzione o danneggiamento totale o parziale del sistema, dei dati o dei programmi in esso contenuti. Il giudice infine decise di rigettare le accuse mosse all’imputato secondo quanto stabilito dalla norma per la violazione del domicilio informatico; l’illecito non sussiste quando non sono definite chiare misure di sicurezza a vietarne l’accesso abusivo da parte di terzi e quindi non c’è tutela effettiva per qualsiasi domicilio informatico, ma solo di alcuni ovvero quelli protetti, sicché infine l’imputato affermò che non era sua intenzione danneggiare il materiale o il sistema informatico in generale, ma semplicemente sostituire un file con un altro e quindi non era punibile né secondo l’art. 635 bis c.p. per il danneggiamento ai sistemi informatici e telematici, né per l’art. 640 ter c.p. per la Frode informatica. La situazione si inasprisce quando a commettere l’illecito è un pubblico ufficiale o un incaricato di pubblico servizio o un operatore di sistema, tutti aventi in comune l’abuso di potere qualora si verifichi il delitto (art.615 ter comma 1), o chi abbia finalità differenti da quelle per il quale gli era stato concesso l’accesso al sistema, come alterarne il contenuto per trarne profitto e recarne un danno. A supporto di ciò qui riporto il secondo esempio: quello della Sentenza di Cassazione n.42021 di un tecnico condannato a 10 mesi di reclusione per essersi introdotto abusivamente nel server di posta elettronica dell’agenzia per cui aveva lavorato (la Spark spa) come responsabile del personale con abilità di tecnico informatico, violando molti degli account e-mail del personale, interni all’agenzia, dalla sua residenza. Il giudice ha deciso di condannare il tecnico che, per quanto risulta agli atti, aveva effettuato l’accesso con i dati personali dei dipendenti in date e orari che non coincidevano con la presenza degli stessi negli uffici, l’introduzione abusiva nel server dell’azienda e la trasmissione dei dati personali, per cui il dolo è stato effettivamente commesso. A differenza del primo caso esposto in precedenza, adesso c’è stata una vera e propria forzatura delle chiavi di sicurezza del server dell’impresa, violando anche l’ambito di pertinenza delle sue mansioni, considerando che l’accusato non lavorava più nell’azienda da mesi, e l’acquisizione e divulgazione di dati sensibili interni all’azienda. L’ imputato è stato accusato di aver violato il domicilio informatico per l’art. 615-ter. La norma inoltre prevede che per configurarsi il reato è necessario il semplice dolo generico, ovvero si manifesta l’accesso abusivo ad un sistema informatico e/o telematico con la semplice intrusione che non richieda necessariamente né una lesione alla riservatezza degli utenti né che il fine ultimo sia quello di violarne la privacy (diritto per altro tutelato dall’art.8 della Carta dei Diritti Fondamentali dell’Unione Europea, Pubblicata il 18/12/2000 sulla Gazzetta Ufficiale delle Comunità Europee) secondo quanto stabilito dalla Corte di Cassazione. Una controversia questa, che forse il giudice non ha tenuto bene in considerazione quando ha assolto l’imputato nel primo esempio suddetto (accesso al sito telematico della RAI). Benché lo stesso non abbia avuto intenzione di danneggiare i file del sistema, ma semplicemente quello di sostituirlo con un altro, giacché si era già introdotto “abusivamente” la condanna sarebbe dovuta essere chiara a norma di legge; o forse in giurisprudenza la questione di adottare due pesi e due misure è sentita molto più forte che in altri campi. A mio avviso questa disciplina doveva essere meglio definita dal nostro legislatore, perché il domicilio informatico se ormai rientra nella sfera di tutela a livello costituzionale della proprietà personale, non tutelarlo sarebbe come lasciare le chiavi fuori la nostra casa e qualcuno abbia il permesso di entrare e spostare ciò che vuole. Deve configurarsi in questa prospettiva che l’illecito è commesso anche quando i sistemi protettivi sono posti al di fuori del sistema informatico stesso, come ad esempio specifici locali adibiti ai calcolatori, porte chiuse che ne vietino l’accesso ecc. Vero è che le sentenze possano ricondurre a due diverse visioni del domicilio, dove nel primo caso la nuvola dove erano inseriti i file può essere concepita come spazio pubblico e nel secondo caso quello delle caselle di posta elettronica come spazio privato, ma la norma attuale esplicita anche l’introduzione abusiva senza il consenso esplicito o tacito del titolare, il che personalmente rende un paradosso l’idea di assolvere uno in un caso e punirne un altro in una situazione quasi analoga. Inizialmente sembra quindi che il futuro art.6 della bozza dei diritti di Internet non introduca nulla di nuovo rispetto a quanto già espresso dalla normativa vigente, che già appare confusa nel definire i limiti di applicabilità della stessa per la tutela di questo o di quel diritto. Penso sarebbe stato più efficace definire prima una normativa più adeguata nel riconoscere i termini di reato più che rimarcare qualcosa già espresso in partenza. Più che una tutela informatica, della sicurezza dei dati, il codice penale sembra proteggere il solo desiderio del titolare di diritto a escludere gli altri dalla sua proprietà (da qui l’associazione con il domicilio fisico).
DISPOSITIVI PERSONALI, ELEBORATORI REMOTI E DIVULGAZIONE DELLE CONVERSAZIONI ELETTRONICHE Quello che di nuovo si introduce con l’art.6 della Bozza, è la distinzione tra “dispositivi personali” ed elaboratori remoti, piattaforme che rimandano ad un server o ad un proprietario “diverso” e spesso straniero (problema che più avanti cercherò di trattare). Quando al suddetto articolo si afferma che è vietato l’accesso ai dati che stanno su dispositivi personali, si afferma che tutti quegli apparecchi che personalmente e legalmente sono di proprietà della persona, quali cellulari, tablet per esempio, non necessitano di chiavi di sicurezza per farne configurare l’illecito in quanto sono di proprietà del soggetto titolare. Sono concetti che a livello costituzionale in effetti sono presenti e ben esplicitati in materia di protezione dei dati, che in questo lavoro ho riportato come l’art.16 del TFUE, l’art.14 della Costituzione e l’art.8 della Carta dei diritti fondamentali, e sebbene a livello normativo del codice penale, la distinzione di quale sia il domicilio informatico da tutelare spesso risulta complicato per i casi descritti, con l’approvazione di questo articolo si “imporrebbe” al c.p. di adottare misure applicative più rigide e di seguire una condotta esemplare quando si tratta di definire tale proprietà. Come stabilito dallo stesso “è vietato l’accesso ai dati della persona che i trovino su dispositivi personali, su elaboratori remoti accessibili tramite credenziali da qualsiasi elaboratore connesso a Internet o simultaneamente su dispositivi personali e, in copia, su elaboratori remoti”. I social, o meglio l’account personale che la persona crea in quella nuvola, risultano essere spazi “privati”, dove nonostante la condivisione di notizie con il mondo, il soggetto tramite credenziali di accesso sta di fatto limitando l’intrusione di estranei nella sua piccola realtà. La distinzione principale è che gli account come quelli di Facebook, Twitter ecc. a cui l’utente accede tramite password possono essere considerati come spazio riservato e quindi oggetto di tutela (domicilio), insieme a tutte quelle informazioni quali conversazioni private a cui solo il titolare del diritto può usufruire e l’intrusione abusiva ne configura l’illecito, così come dati presenti nei cellulari, tablet. Mentre la piattaforma pubblica (cloud) dove sono contenuti questi dati no; sta in questo caso al gestore della nuvola la responsabilità di non divulgare le conversazioni elettroniche. Inoltre proprio perché la maggior parte dei proprietari di questi server hanno la loro sede in paesi esteri da quello italiano, risulta difficile individuare l’ambito giurisdizionale sul quale fare ricadere la responsabilità nel caso in cui si verifichi un procedimento penale. Nel caso invece della triste dipartita del titolare di un account web, il Consiglio Nazionale del Notariato riunitosi il 4 dicembre 2014, si è chiesto che fine facciano i dati di quest’ultimo dopo la sua morte. Si parla di eredità digitale: una sorta di testamento su Internet. Diviene però complicato capire se effettivamente i dati debbano essere tramessi agli eredi o semplicemente distrutti. Il Consiglio si è proposto di stabilire un protocollo che agevoli agli eredi la comunicazione nei confronti dell’operatore, considerando che molti di questi servizi di rete hanno sede in paesi quali Stati Uniti, il che rende ardua e dispendiosa in materia legislativa la successione informatica. Google per esempio ha attivato un’opzione di disattivazione dell’account dopo un determinato periodo di tempo, che stabilisce prima il titolare, scaduto il quale l’account viene eliminato e i dati possono venire distrutti o passare in mano ai successori.
Ritornando in tema di divulgazione di dati e di informazioni è utile accennare al fatto che molti Stati di fatto hanno dei programmi di sorveglianza delle comunicazioni elettroniche che vengono attuate dalle agenzie di
intelligence, come dimostrato dalle rivelazioni di Edward Snowden (Informatico statunitense ex agente della CIA, famoso per aver divulgato notizie sui programmi di sorveglianza americana e britannica ), che fanno riflettere circa la legalità delle loro azioni. Stati Uniti, Gran Bretagna, Francia, Australia ecc. sono solo alcuni paesi che adottano misure di sorveglianza più restrittive nei confronti dei propri cittadini rispetto ad altri, tramite sistemi come il programma PRISM dell’NSA. All’interno dell’Unione Europea la protezione dei dati è sancita dalla Carta dei diritti fondamentali come già citato all’inizio, nonché dall’art.16 del Trattato sul funzionamento dell’UE secondo il quale “ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano” e questi dati sono protetti in ogni caso salvo situazioni di sicurezza nazionale, di difesa, per rilevante interesse economico e pubblica sicurezza. Secondo un report del sito thewebindex.org, la percentuale dei Paesi la cui garanzia di privacy è risultata debole è cresciuta di 20 punti percentuali passando dal 63% del 2013 ad un 83% nel 2014; inoltre sono sempre più le agenzie di comunicazione web, tra cui i social, che trasmettono ai governi informazioni circa i loro utenti: Twitter in cima alla lista con un 78%, seguito da Yahoo, Microsoft e Facebook se la giocano alla pari e infine il ricercatissimo Google. Si presenta l’illecito anche tramite spyware che non necessariamente violano le misure si sicurezza, ma che si mantengono nella macchina elettronica senza il consenso del proprietario, introducendosi all’insaputa di questo e avendo così libero accesso ai nostri dati. Lo stesso vale per i siti di phishing che attirano le persone ingannandole e “costringendole” a svelare i propri dati. Paypal è stato il sito che nel Gennaio del 2012 ha registrato il maggior numero di URL fasulli e gli Stati Uniti mantengono il primato per tale attività. Germania, Olanda e Spagna invece sono tra gli Stati che adottano misure di sicurezza particolari per tutelare la privacy degli utenti, ritenuta di fondamentale importanza e violabile sono in casi di estrema necessità, come quando sussiste un illecito grave, nel qual caso le misure di sorveglianza sono giustificate dall’autorizzazione del giudice. Ad esempio in Spagna la sorveglianza deve essere autorizzata dal Tribunal de Garantìas per una durata massima di 10 giorni, specificandone il motivo dell’indagine, i dati soggetti a sorveglianza e l’oggetto da monitorare.
Per molto tempo si è ragionato fino a dove estendere la tutela del domicilio informatico e quali apparecchi sono meritevoli di protezione. Il problema però è un altro: nel caso in cui i verifichi un illecito e quindi una violazione del domicilio informatico da parte di terzi, dove e quando si consuma il “delitto”? Da quale strumento informatico viene commesso il reato e qual è quello oggetto di tutela? La Corte di Cassazione a tal proposito si è espressa con la sentenza n.40303 del 27.09.2013, che vedeva coinvolto il Tribunale di Firenze e il Tribunale di Roma per l’accesso abusivo e l’acquisizione di dati riservati del Ministero dell’Interno con sede a Roma. In questo caso specifico il server dove erano contenuti i dati violati era ubicato proprio a Roma. I pareri erano all’inizio contrastanti perché non era ben chiaro se l’illecito era da configurarsi nel luogo dove i dati erano custoditi, e quindi nella sede di Roma, oppure da dove l’effrazione ha avuto inizio, in questo caso in maniera remota da un sistema informatico terzo. Partendo dal presupposto che già un illecito si era configurato secondo l’art.615-ter, alla fine si è concordato che
“nel caso di acquisizione illegale di dati riservati al Sistema di informazione di Interforze del Ministero dell’Interno avente sede a Roma, il locus commissi delicti, si determina con riferimento al luogo in cui è ubicato il server e non quello in cui sono inseriti i dati o le credenziali che consentono l’introduzione nel sistema”. Scorrendo la sentenza, ci si accorge, che non si è tenuto conto della visualizzazione di dati riservati e della loro successiva divulgazione, prendendo in esame in questo caso specifico la mera introduzione abusiva ad un sistema informatico (dolo generico), a discapito della riservatezza personale dei danneggiati. Qui mi viene in mente la frase di Martin Luther King: “la mia libertà finisce dove inizia la vostra”, e in effetti personalmente credo che niente riassuma meglio la dimensione soggettiva della libertà informatica. Sicuramente il politico-attivista americano non aveva in mente questi casi quando la pronunciò, ma credo che la violazione alla riservatezza, alla privacy sia una limitazione alla mia (alla loro) liberà, un diritto più che una libertà spesso non riconosciuto da un ordinamento troppo criptico e fallace in alcuni punti.
CONCLUSIONIIn questo lavoro si è discusso sulla proposta avanzata dalla Bozza dei diritti di Internet che prevede la tutela del moderno “domicilio informatico” e si sono analizzate le situazioni nelle quali esso è oggetto di controllo da parte del legislatore; fino a che punto esso si estende fisicamente quindi quali parti di esso considerare meritevoli di protezione a livello giuridico e sulla possibilità di considerare i vari sistemi informatici quali computer, cellulari, account Twitter ecc. come estensione fisica della persona, paragonabili alla facoltà fisiche tutelate a norma di legge. Il risultato è che spesso si fa fatica ad individuare il bene da tutelare: se il sistema informatico propriamente detto (hardisk, dati danneggiati e/o cancellati ecc. (art.635-bis)) o la riservatezza personale, bene forse per diritto più prezioso. I casi qui riportati dimostrano la tesi di un ordinamento forse troppo complicato da interpretare e inabile di provvedere alla giusta protezione nei casi specifici. Forse la cosa più idonea da fare era creare a parer mio un ordinamento a sé in materia di domicilio informatico che comprendesse tutti quei casi particolari qualora questo venga violato o danneggiato, ponendo maggiore attenzione sulla privacy del soggetto leso, facendo rientrare in questa accezione tutti i dati personali di qualsiasi natura a prescindere dal fine per il quale abusivamente se ne è preso visione da parte di terzi senza ricorrere a troppi articoli normativi che per convesso tendono a creare più disordine che altro. Mi rendo conto che riformare un ordinamento quasi da zero sia più facile a dirsi che a farsi e infatti lo scopo essenziale della Bozza dei diritti di Internet e di questo articolo 6 in particolare, è che la normativa si adegui alle direttive espresse dalla stessa per far maggiore chiarezza per i casi futuri. Una proposta diversa secondo me poteva essere: “senza l’autorizzazione dell’autorità giudiziaria, è vietato l’accesso ai dati della persona che si trovino su dispositivi personali, anche privi di credenziali di accesso una volta confutato il delitto, su elaboratori remoti da qualsiasi elaboratore connesso ad Internet, con particolare riferimento all’art. 14 della Costituzione e all’ art.8 della Carta dei Diritti Fondamentali dell’Unione Europea, nonché l’intercettazione di qualsiasi forma di comunicazione. È da considerarsi un’aggravante la violazione compiuta ad opera di un operatore di sistema”. Sul sito airesis.it, il social network dove è anche possibile avanzare proposte nel rispetto dell’E-Democracy, un utente ha suggerito come l’articolo 6 dovesse puntare molto sulla segretezza informatica e sulla libertà individuale: “Il domicilio informatico, la libertà e la segretezza della corrispondenza elettronica sono inviolabili. E' vietato l'accesso ai dati della persona che si trovino su dispositivi personali, elaboratori remoti, o su ogni altro strumento idoneo, connessi o no ad Internet e accessibili tramite credenziali, se non nei casi e modi stabiliti dalla legge secondo le garanzie prescritte per la tutela della libertà personale. E' da considerarsi un'aggravante la violazione compiuta ad opera di un operatore di sistema”. Questa a parer mio potrebbe essere comunque un’ idea molto interessante sulla quale vale la pena riflettere, perché sebbene rivanghi quasi le stese cose già espresse dall’articolo della Bozza, specifica meglio quello che l’articolo stesso intende proteggere e quello che è l’obiettivo primo della Costituzione, il che non fa mai male.
Potenzialmente credo anche che sarebbe stato più opportuno fondere l’articolo 4 sulla tutela dei dati personali e l’articolo 6 della stessa Bozza che oltre alla tutela del domicilio informatico punta molto, per quello che esprime, anche alla protezione dei dati personali. Allo stesso modo l’art.4 mira a tutelare i dati personali presenti anche su dispositivi, nel rispetto della legge e in base ai principi di proporzionalità, necessità, pertinenza e finalità e come cita lo stesso “
ogni persona ha diritto alla protezione dei dati che la riguardano, per garantire il rispetto della sua dignità, identità e riservatezza […] comprendono anche i dati identificativi dei dispositivi […]I dati possono essere raccolti e trattati solo con il consenso effettivamente informato della persona interessata o in base a altro fondamento legittimo previsto dalla legge”. Proporli in un’unica soluzione a parer mio creerebbe meno confusione e la lettura di un unico articolo ne trarrebbe vantaggio anche per la comprensione di ciò che si sta tutelando. Nel 2015 infatti i 28 paesi membri dell’UE cercheranno di accordarsi per dar forma ad un insieme di leggi che trattino la protezione dei dati, definendo quali siano i dati oggetto di difesa e i casi di violazione, considerando che secondo una ricerca del Centre for Media, Data and Society School of Public, Policy Central European University in Europa tra il 2005 e il 2014 sono stati persi oltre 645 milioni di dati personali.






















NOTE:
  1. Art.16 direttiva 1995/46/CE; limiti alla protezione dei dati per la sorveglianza di massa da parte degli Stati membri
  2. C.Sacchetto “Esteroverione societaria- disciplina tributaria e profili politico-amministrativi” Giappichelli Editore-Torino
  3. M.Farina “I reati informatici” maggio 2010
  4. Parlamento Europeo, commissione per le libertà civili, la giustizia e gli affari interni, “documento di lavoro 3 sulla relazione tra le prassi di sorveglianza nell’UE e negli Stati Uniti e le disposizioni dell’UE sulla protezioni dei dati” 12/12/2013
  5. P.Scognamiglio “Criminalità informatica” commento organico alla Legge 18 marzo 2008 n.48
  1. Rivista trimestrale 3-4/2014, diritto penale contemporaneo, Luca Santa Maria Editore
  2. S.Sbordoni “Web, libertà e Diritto”