g-docweb-display Portlet

''Comunicare la protezione dei dati e potenziarne l'efficacia'' - Conferenza internazionale delle autorità di protezione dei dati Londra, 2-3 nove...

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

28ma Conferenza internazionale delle autorità di protezione dei dati
Londra, 2-3 novembre 2006

"Comunicare la protezione dei dati e potenziarne l´efficacia"

Da dove nasce questa iniziativa
Questa iniziativa trae origine dal discorso pronunciato da Alex Türk, il Presidente dell´Autorità francese per la protezione dei dati, in occasione di una conferenza organizzata a Varsavia nel mese di maggio 2006 dall´Autorità polacca per la protezione dei dati, sul tema "Sicurezza pubblica e privacy". Alex Türk in quella circostanza intese rendere pubblici i profondi timori da lui nutriti rispetto alle sfide che oggi devono affrontare le autorità di protezione dati, sottolineando l´assoluta necessità di un´urgente modifica nei meccanismi utilizzati da tali autorità per fare fronte alle sfide in questione, onde evitare che i principi alla base delle norme di protezione dati siano rapidamente svuotati di ogni sostanza.

Nelle settimane successive alla conferenza, il Garante europeo per la protezione dei dati invitò la CNIL a sviluppare un´iniziativa congiunta per presentare l´esigenza di tali interventi urgenti alla Conferenza di Londra. L´Information Commissioner del Regno Unito dette il proprio immediato sostegno a tale iniziativa. La presente dichiarazione è stata redatta in stretta collaborazione dalle tre autorità sopra menzionate.

Associandosi a questa iniziativa, le autorità partecipanti si impegnano a coordinare le proprie attività in vista dei seguenti obiettivi:

  • Sviluppare attività di comunicazione sulla base di idee condivise, alcune delle quali sono illustrate nei paragrafi seguenti.
  • Adattare prassi e metodi analizzando a fondo la rispettiva efficacia ed efficienza, e rafforzando le capacità connesse alle competenze tecniche, alla previsione delle linee di tendenza, e agli interventi nel settore tecnologico.
  • Contribuire al riconoscimento istituzionale delle autorità di protezione dati a livello internazionale, e promuovere il coinvolgimento di altri attori a livello nazionale ed internazionale.

Attualmente le seguenti autorità per la protezione dei dati hanno offerto il proprio sostegno di principio all´iniziativa in oggetto:

  • Commission nationale de l´informatique et des libertés (CNIL, Francia)
  • Garante europeo per la protezione dei dati (GEPD, UE)
  • Information Commissioner (Regno Unito)
  • Privacy Commissioner of Canada (Canada)
  • Incaricato federale per la protezione dei dati e la libertà di informazione (Germania)
  • Agenzia spagnola per la protezione dei dati (Spagna)
  • Garante per la protezione dei dati personali (Italia)
  • College Bescherming Persoonsgegevens (Paesi Bassi)
  • Privacy Commissioner (Nuova Zelanda)
  • Incaricato federale per la protezione dei dati e la trasparenza (Svizzera)

La presente iniziativa congiunta sarà presentata durante la sessione a porte chiuse della Conferenza internazionale di Londra, il 2 e 3 novembre 2006. Non è redatta sotto forma di risoluzione e sarà presentata come un´iniziativa congiunta della CNIL, del GEPD, e dell´Information Commissioner del Regno Unito, sostenuta dalle autorità di protezione dati sopra ricordate, che pertanto si impegnano a modificare le rispettive attività al fine di tenerne adeguatamente conto. Le altre autorità presenti alla Conferenza saranno invitate ad offrire il proprio sostegno e, se lo desiderano, potranno unirsi all´iniziativa stessa. Tuttavia, non sarà loro chiesto di adottare formalmente il presente documento.

Dopo aver ricordato perché la protezione dei dati è indispensabile nella nostra società (I), verranno passati in rassegna in modo approfondito i rischi che oggi pesano in tutto il mondo sulle libertà personali e la protezione dei dati, e che rappresentano altrettante sfide per le autorità di controllo (II). Da queste analisi discendono varie proposte di iniziative ed azioni coordinate (III) finalizzate anche alla messa a punto di una nuova strategia congiunta di comunicazione (IV).


I – La protezione dei dati è indispensabile alla società

1. La tutela dei dati personali dei cittadini è di importanza vitale per qualsiasi società, al pari della libertà di stampa o della libertà di circolazione. Poiché le nostre società dipendono in misura crescente dalle tecnologie dell´informazione, e i dati personali sono raccolti o generati su scala crescente, è divenuto più essenziale che mai assicurare il rispetto adeguato delle libertà individuali e degli altri interessi legittimi dei cittadini in questo contesto.

2. La protezione dei dati non è, né deve essere considerata, un tema astratto, teorico, men che mai "teologico". Le norme sulla protezione dei dati riguardano la protezione delle persone. Il loro obiettivo è assicurare il diritto a non essere schedati o controllati in modi illegittimi o al di fuori di ogni regola. Esse mirano a difendere la dignità umana ed a permettere alle persone di esercitare i propri diritti e tutelare gli interessi legittimi.

3. La protezione dei dati può tradursi in realtà soltanto se le norme che la definiscono sono rispettate in concreto. Alle autorità di protezione dei dati compete un ruolo essenziale nel garantire tale rispetto, tuttavia esse possono riuscire nell´impresa soltanto se saranno in grado di comunicare il messaggio della protezione dei dati e di coinvolgere le altre parti in causa, se necessario facendo uso dei poteri di accertamento e controllo loro riconosciuti.


II – Due ondate, tre sfide

4. Le libertà personali, e le stesse autorità di protezione dei dati, sono esposte a rischi senza precedenti. Due ondate minacciano di travolgerle, ma c´è anche una terza sfida che sono chiamate ad affrontare.

A – La prima sfida deriva dai numerosi e diversi fattori associati al ritmo dei mutamenti tecnologici

5. Accelerazione: Internet, RFID, nanotecnologie, ecc. Le autorità di protezione dei dati non sono ostili all´innovazione o al progresso tecnologico. Tuttavia, l´arco di tempo intercorrente fra la scoperta di un fenomeno e la sua implementazione tecnica, fra un´innovazione e la successiva, fra la messa a punto di un prototipo e la sua realizzazione su scala industriale diviene sempre più breve. Appare sempre più difficile far coincidere l´evoluzione tecnologica con i tentativi di adattamento o interpretazione di un impianto giuridico. Il ritmo della tecnologia continua a crescere, mentre quello della legge resta particolarmente lento poiché è modellato sul ritmo imposto dai processi democratici.

6. Globalizzazione: La rilocalizzazione dei trattamenti di dati è in pieno boom. Non v´è dubbio che sia molto difficile controllare i trasferimenti internazionali di dati. Questa tendenza alla globalizzazione contrasta con una delle caratteristiche principali delle norme di diritto, ossia il limite connesso all´applicazione territoriale della legge.

7. Ambivalenza: L´innovazione tecnologica è foriera al tempo stesso di vantaggi e di rischi. Le persone subiscono talora la tentazione dei benefici e delle comodità generate dalla tecnologia, ma non sempre hanno sufficiente coscienza dei rischi finché non patiscono un danno ovvero quando è ormai troppo tardi. A molti non importa di essere rintracciabili e potenzialmente oggetto di una sorveglianza continua rispetto ai propri spostamenti, comportamenti o rapporti. Questa ambivalenza nei confronti della tecnologia mal si concilia con il diritto, che tende, per definizione, a fornire risposte univoche.

8. Imprevedibilità: Gli impieghi della tecnologia prendono spesso direzioni che inizialmente non erano prevedibili, neppure da chi l´aveva progettata. Questa imprevedibilità è quindi difficile da regolamentare, soprattutto qualora gli impieghi in oggetto siano totalmente diversi da quelli per cui la tecnologia era stata inizialmente sviluppata, e rispetto ai quali non sembravano esservi inizialmente difficoltà quanto all´applicazione della norma.

9. Invisibilità (virtuale / reale): Le informazioni sono trattate in modi sempre più invisibili ed immateriali, ma anche sempre meno controllabili. La tecnologia tende all´invisibilità, in primo luogo perché molti trattamenti sono effettuati all´insaputa delle persone interessate (si pensi alla tracciabilità degli spostamenti attraverso i trasporti pubblici, della navigazione su Internet, delle comunicazioni elettroniche e telefoniche, ecc.). In questo caso si può parlare di invisibilità virtuale, in quanto si tratta di processi invisibili. Tuttavia, la tecnologia tende a divenire invisibile anche a causa della sempre più spinta miniaturizzazione: in tal caso, si può parlare di invisibilità fisica o reale. Da qui a qualche anno, lo sviluppo delle nanotecnologie renderà impossibile vedere ad occhio nudo la presenza stessa di un dispositivo tecnologico in uno specifico oggetto. Come potremo allora controllare il dispiegarsi delle operazioni di trattamento effettuate attraverso tecnologie invisibili?

10. Irreversibilità: Il progresso tecnologico è irreversibile. Non vivremo mai più in un mondo senza computer, Internet, telefoni cellulari, identificatori biometrici, geolocalizzazione, videosorveglianza. La progressiva convergenza e la crescente interconnessione fra tali tecnologie potrebbe comportare rischi assai concreti per le nostre società.

B – La seconda sfida è di natura giuridica, ed è connessa in modo particolare allo sviluppo di nuove norme anti-terrorismo

11. L´introduzione di nuove norme anti-terrorismo pone una sfida alle autorità di protezione dei dati, che in questo campo devono guardarsi dalle trappole, denunciare le illusioni e fare opera di smitizzazione.

12. Necessità di un bilanciamento: Non svolgendo funzioni né di legislatori, né di autorità giudiziarie, né di attivisti, le autorità indipendenti per la protezione dei dati hanno comunque una funzione molto specifica cui assolvere. Raramente è loro consentito di dirimere una questione con un approccio "tutto o nulla". Pertanto, le autorità per la protezione dei dati riconoscono la legittimità delle politiche anti-terrorismo messe in atto nel corso degli ultimi anni. Tuttavia, coerentemente con la missione affidata loro dalla legge, e per conto dell´intera società, è loro compito ricercare costantemente il giusto equilibrio fra le esigenze di sicurezza pubblica e, d´altro canto, le esigenze della privacy e della protezione dei dati. Esse devono farsi carico di tale ruolo con piena indipendenza, opponendosi alle accuse inaccettabili di irresponsabilità che talora sono loro rivolte.

13. Il pericolo di rimanere intrappolati in una spirale: Il meccanismo funziona così: viene costituito, in una certa fase, un database che ha fondamento legale, in presenza di specifiche circostanze. L´autorità di controllo è coinvolta nella messa a punto del database. Successivamente, l´ambito del database viene ampliato, ad esempio prima ampliando le categorie di interessati, poi le motivazioni dell´inserimento dei dati, e successivamente ancora le categorie di soggetti autorizzati ad accedere al database. Durante queste fasi successive l´argomentazione utilizzata rispetto all´autorità di controllo è che quest´ultima non può opporsi ad una semplice estensione, visto che ha accettato il principio sotteso alla creazione del database iniziale, e così via. Eppure, fra la fase iniziale e l´ultima fase di sviluppo del sistema, l´ambito inizialmente accettabile si è modificato in misura tale da divenire inaccettabile.

14. L´illusione dell´"esemplarità" dei precedenti stranieri: I governi nazionali utilizzano spesso l´argomentazione che quel certo Paese ha già messo in atto un determinato sistema, al fine di contrastare la riluttanza delle autorità nazionali per la protezione dei dati ad accettare lo stesso sistema senza discussione. Ciò comporta gravi problemi di armonizzazione e impone alle autorità di riflettere congiuntamente sulla base di denominatori comuni.

15. Il miraggio del database quale cura miracolosa: Le autorità per la protezione dei dati devono ricordare continuamente all´opinione pubblica ed ai governi che la creazione di banche dati contenenti sempre più dati personali non è una panacea. L´aura sacra della supposta infallibilità informatica risulta spesso puramente illusoria. Inoltre, con l´aumentare dei trattamenti di dati personali, aumentano i rischi di falsi positivi, obsolescenza delle informazioni, ed altri errori. Tutto ciò può comportare gravi lesioni per le opportunità, la salute, la prosperità, e persino la libertà delle persone.

16. Il mito dell´archivio infallibile (problema della maggioranza e della minoranza): Troppo spesso si presume, senza alcun fondamento, che le persone siano registrate in un database per un motivo valido. Il risultato è che chiunque sia inserito in un database senza motivo o necessità ("la minoranza") talvolta finisce per trovarsi in situazioni impossibili, poiché tutti sono convinti che sia praticamente impossibile essere inserito in un sistema di tale efficienza senza una valida giustificazione. Pertanto, è fondamentale in termini etici che si continui a ribadire la fallibilità della tecnologia ed a proibire le decisioni automatizzate, soprattutto in ambiti quali sicurezza e giustizia.

C – La terza sfida riguarda la reputazione delle autorità di protezione dati

17. Almeno in alcuni Paesi, la protezione dei dati e le autorità di controllo non godono di una buona reputazione, come invece si meriterebbero. Le norme possono apparire complesse e difficilmente applicabili in concreto secondo meccanismi coerenti, prevedibili e realistici. Alcuni criticano le norme in materia di protezione dati perché eccessivamente astratte e non abbastanza attente alle lesioni reali o potenziali che possono colpire i singoli o la società nel suo complesso in caso di mancata osservanza. Altri criticano le modalità di applicazione ed attuazione delle norme stesse, tali da disincentivare al rispetto delle norme o agli investimenti finalizzati a garantire un rispetto adeguato. Questa percezione negativa è ritrovabile nel mondo della politica, delle amministrazioni, fra le imprese, i media, e talora anche presso i singoli cittadini. È necessario contrastare queste percezioni dimostrando l´importanza pratica della protezione dei dati, traducendo in realtà il linguaggio dei diritti e delle libertà fondamentali, e rivedendo, se del caso, alcune delle prassi correnti.


III – Linee di azione ed iniziative per le autorità di protezione dei dati

18. Le autorità di protezione dati devono attivarsi urgentemente per risvegliare nei cittadini una maggiore coscienza e conoscenza dei rischi che minacciano le libertà personali nei singoli Paesi, proprio alla luce della gravità di tali rischi. Inoltre, le autorità devono analizzare il loro metodo di lavoro e migliorare efficacia ed efficienza degli interventi.

A – Le autorità per la protezione dei dati devono proporre congiuntamente cambiamenti e strategie coordinate così da operare secondo modalità innovative, più efficaci e maggiormente mirate

19. Potenziare le capacità di analisi esperta, studi avanzati ed intervento nel settore tecnologico: La protezione dei dati oggi soffre di un´immagine eccessivamente "giuridica"; tuttavia, la credibilità delle nostre istituzioni è legata, e sempre più lo sarà, alla capacità di comprendere, analizzare e prevedere gli sviluppi tecnologici.

20. Per analizzare queste nuove tendenze, le autorità per la protezione dei dati devono elaborare strategie di condivisione del lavoro in rapporto alle problematiche sollevate dal caso specifico, alle rispettive esperienze e responsabilità ed agli strumenti concreti di intervento.
21. Devono riflettere sulle relazioni che desiderano sviluppare con il mondo della ricerca e delle imprese nel campo delle nuove tecnologie. Devono sottolineare i benefici che imprese e soggetti pubblici possono trarre da una tutela corretta dei dati personali.

22. Valutare la nostra efficacia e modificare i comportamenti: è assolutamente necessario condurre una valutazione approfondita ed imparziale dell´efficacia delle singole autorità. La nostra autorità esercita un´influenza concreta, fa in qualche modo la differenza? Sappiamo tradurre le nostre affermazioni in azioni concrete? Queste valutazioni ci consentiranno di imparare come migliorare i risultati ottenibili.

23. La valutazione dell´efficacia delle singole autorità comporterà senz´altro che alcune fra esse chiedano al legislatore poteri e risorse sufficienti, e potrebbe anche sollevare interrogativi sulle prassi seguite da talune autorità. Dobbiamo tutti individuare le priorità, soprattutto con riguardo alla gravità ed alla probabilità della lesione. Dobbiamo concentrarci in via primaria sui rischi principali che oggi incombono sulle persone, ed evitare irrigidimenti eccessivi rispetto a tematiche che non li meritano. Dobbiamo essere pronti a fare uso di maggiore pragmatismo e flessibilità.

B – Le autorità per la protezione dei dati devono riflettere congiuntamente sui meccanismi atti a garantire un più incisivo riconoscimento istituzionale della loro attività a livello internazionale, nonché sulle strategie finalizzate al coinvolgimento di altri attori

24. Necessità di ripensare la Conferenza internazionale: A sfide globali occorre rispondere con soluzioni globali. La Conferenza internazionale delle autorità di protezione dei dati deve divenire la punta di diamante della nostra attività a livello internazionale. Dobbiamo garantirne la visibilità, migliorarne il funzionamento, renderla più visibile ed efficace, ed elaborare un piano d´azione ed un programma di comunicazione. Tutto ciò potrebbe comportare una riflessione in merito all´istituzione di un Segretariato permanente per la Conferenza. La Conferenza deve divenire un interlocutore inevitabile in tutte le iniziative internazionali che incidano sulla protezione dei dati. Deve esserci spazio per la discussione e la formulazione di suggerimenti e proposte concrete, al fine di dare un seguito più efficace alle iniziative internazionali, armonizzare le prassi e adottare posizioni comuni.

25. Elaborazione di una Convenzione internazionale e di altri atti a valenza globale: Nella Dichiarazione di Montreux (2005), le autorità per la protezione dei dati invitavano alla messa a punto di una Convenzione universale per la protezione dei dati. Questa iniziativa deve essere supportata da tutte le autorità unitamente alle istituzioni competenti, tenendo nel debito conto i rispettivi ruoli istituzionali e le necessarie precondizioni ai fini del coordinamento nazionale, se del caso. In questo contesto, le autorità per la protezione dei dati dovrebbero adoperarsi al fine di promuovere tale iniziativa nelle rispettive sfere d´influenza, ed in particolare nell´ambito degli organismi regionali o delle aree linguistiche di appartenenza. L´esigenza di soluzioni globali che rispettino privacy e protezione dei dati potrebbe manifestarsi in settori specifici (ad esempio, la governance di Internet, le operazioni finanziarie, il trasporto aereo), e dovrà essere affrontata dalle autorità per la protezione dei dati utilizzando ogni opportuno strumento.

26. Coinvolgimento di altri attori (società civile, ONG, ecc.): Attualmente vi sono altri soggetti che, in sede nazionale ed internazionale, si occupano di protezione dei dati e privacy a livelli diversi ed in settori diversi.  Questi soggetti possono fungere da partner strategici e contribuire in misura sostanziale al potenziamento dell´efficacia delle autorità per la protezione dei dati. Pertanto, è necessario promuovere o, in taluni casi, sviluppare attivamente la collaborazione con altri attori in questo contesto.

IV – Verso una nuova strategia comunicativa

27. La comunicazione rappresenta un presupposto fondamentale per rendere più efficace la protezione dei dati. Un messaggio che non viene ricevuto e compreso è come se non esistesse. Un parere o una decisione che non siano accessibili avranno un impatto limitato, e forse non valgono gli sforzi effettuati per giungere alla loro definizione.

A – È urgente sviluppare ed implementare una nuova strategia comunicativa a livello sia nazionale sia internazionale

28. Comunicazione come obiettivo. Migliorare in misura consistente la comunicazione con il pubblico deve divenire un obiettivo primario per le autorità di protezione dati. Non è accettabile che, in alcuni Paesi ove il diritto alla protezione dei dati ha rango costituzionale al pari della libertà di circolazione o della libertà di stampa, la stragrande maggioranza dei nostri concittadini non sia assolutamente consapevole dell´esistenza di tale diritto o della sua importanza. Ciò è ancora meno accettabile ove vi siano atteggiamenti negativi nei confronti della protezione dei dati.

29. Dobbiamo dare inizio a forti campagne di sensibilizzazione nel lungo periodo con l´obiettivo di informare i cittadini dell´esistenza e dei contenuti dei diritti loro riconosciuti. Occorre anche misurare gli effetti di tali iniziative. Due sono gli obiettivi specifici di questa azione:

a. I rappresentanti eletti in sede nazionale e locale, che hanno specifiche responsabilità in questo campo e devono ricevere migliori informazioni.

b. I giovani, che mostrano scarso interesse per questi temi in quanto abituati all´utilizzo delle nuove tecnologie. Dobbiamo intervenire quanto prima nel settore dell´istruzione.

30. La comunicazione come leva potente. È importante ed urgente che alle nostre autorità di protezione dati siano garantiti migliori strumenti d´azione, e che esse ottengano un riconoscimento a livello internazionale. La fiducia ed il sostegno dell´opinione pubblica sono assolutamente fondamentali. La protezione dei dati deve assumere connotati più concreti. Soltanto quei soggetti che comunicano, solitamente attraverso i media, in modi comprensibili, accessibili e tali da suscitare interesse fra il pubblico sono in grado di acquisire un potere tale da influenzare l´opinione pubblica e, quindi, farsi sentire e prendere sul serio dagli Stati e dalla comunità internazionale. Soddisfare a tale requisito è una necessità se vogliamo ottenere gli strumenti d´azione che ci sono indispensabili.

31. Tutto ciò significa che dobbiamo ricorrere a professionisti della comunicazione presso le nostre autorità, nonché garantire la massima coerenza possibile nelle comunicazioni provenienti dalle nostre autorità.

B – Un approccio interessante potrebbe consistere nel parallelismo fra conservazione delle libertà individuali e conservazione dell´ambiente

32. L´impunità non esiste nella materia ambientale. Analogamente, è necessaria la massima cautela nel settore della protezione dei dati rispetto ad ogni evoluzione tecnologica priva di controlli o ad ogni norma che sia emanata senza una chiara percezione dei rischi ad essa associati. Corriamo il rischio di vedere ridotto, o addirittura annientato, il nostro "capitale" in termini di libertà e identità. E questo capitale non potrà essere rinnovato, proprio perché l´innovazione tecnologica è irreversibile.

33. In realtà, la privacy e la protezione dei dati sono altrettanto preziose dell´aria che respiriamo. Entrambe sono invisibili, ma una volta che vengano a mancare le conseguenze possono essere  egualmente catastrofiche.

V – Programma di attività

34. Il dibattito sulla presente iniziativa in occasione della sessione a porte chiuse della Conferenza internazionale di Londra dovrebbe rappresentare il primo passo verso la creazione di un sempre più comune sentire rispetto all´esigenza di assumere iniziative e mettere a punto strumenti per comunicare meglio ed aumentare l´efficacia della protezione dei dati.

35. Le autorità per la protezione dei dati che sostengono la presente iniziativa si impegnano a sviluppare ulteriormente e, se necessario, farsi carico di una serie di attività congiunte, sulle quali riferiranno per gli opportuni seguiti in occasione della prossima Conferenza di Montreal:

a. Workshop sulle questioni strategiche: prerequisiti per assicurare una maggiore efficacia alle autorità per la protezione dei dati; possibile messa a punto di "principi per un corretto controllo" nel campo della protezione dei dati; informazioni sulle buone prassi (presidenti/commissari e staff responsabile delle analisi strategiche); riflessioni sulla messa a punto di una convenzione internazionale;

b. Workshop sulla comunicazione: esperienze e competenze disponibili nel settore della comunicazione rispetto alla protezione dei dati (ad esempio, campagne, sondaggi di opinione); messa a punto di un messaggio congiunto e di strumenti efficaci ai fini della sua disseminazione (professionisti della comunicazione);

c. Workshop sulle attività di controllo e ispettive: esperienze e competenze disponibili per monitorare e garantire l´osservanza delle norme; strumenti efficaci ai fini ispettivi (comprese le attività di audit) e di intervento (presidenti/commissari e staff responsabile delle attività di controllo e ispettive);

d. Workshop sull´organizzazione interna: esperienze recenti in tema di modifiche organizzative; progetti finalizzati al miglioramento dell´efficienza e dell´efficacia (presidenti/commissari e staff responsabile delle materie organizzative);

e. Ogni altra attività giudicata pertinente in merito.

Scheda

Doc-Web
1362276
Data
03/11/06

Tipologie

Scheda informativa