Nel precedente articolo sono state analizzate le Linee guida sviluppate dal Garante europeo per coadiuvare i legislatori nella ricerca di soluzioni che minimino, nel rispetto del principio di proporzionalità, il conflitto tra misure limitative della privacy e tutela del fondamentale diritto alla protezione dei dati personali.
Di seguito approfondiremo scopi e funzionamento della lista di controllo, uno strumento analitico in quattro fasi che mira anche a stimolare il pensiero “out of the box”, portando a scelte ex ante innovative e aiutando nel monitoraggio e nella valutazione ex post delle misure stesse.
La valutazione generale della necessità e della proporzionalità (visione sinottica) è la seguente:
Test 1: per quanto riguarda la necessità (test di necessità), i passaggi raccomandati nel Necessity Toolkit sono:
Test 2: per quanto riguarda la proporzionalità (test di proporzionalità), i passaggi sono:
Qui lo Step 2, valutare portata e intensità dell’interferenza in termini di impatto effettivo della misura sui diritti fondamentali della privacy e della protezione dei dati, è l’altra fase chiave del test di proporzionalità.
Ricordando che i diritti e le libertà fondamentali limitati dalla misura sono già stati identificati nella fase 2 del test di necessità (test 1), in questa fase, vanno riconsiderati questi diritti e libertà fondamentali al fine di accertare, ancora ex ante, ma in concreto, come sarebbero interessati. In effetti, la misura non dovrebbe imporre un onere sproporzionato ed eccessivo alle persone colpite dalla limitazione in relazione all’obiettivo perseguito.
È importante notare che l’impatto può essere “minore” per l’individuo in questione, ma comunque significativo o altamente significativo collettivamente/per la società nel suo complesso (impatto sugli individui vs impatto sulla società nel suo insieme).
Esempi ipotetici potrebbero riguardare:
Come si vede, l’impatto di questa fase riguarda anche il potenziale effetto dannoso della misura su una base più ampia di quella della protezione della privacy, includendo quindi i rischi per altri diritti fondamentali. Ciò è in linea con l’approccio adottato dal GDPR che si riferisce esplicitamente e in più occasioni ai “rischi per i diritti e le libertà delle persone fisiche”, sottolineando così il fatto che un effetto dannoso per il diritto alla privacy è spesso indissolubilmente legato a danno ad altri diritti fondamentali, come i diritti alla libertà di espressione, alla libera circolazione e ai principi generali del diritto dell’UE come il principio di “non discriminazione”. In questo senso, queste Linee guida adottano un “approccio ai diritti fondamentali”.
L’impatto dovrebbe essere sufficientemente descritto per consentire una chiara comprensione della portata e del livello di invadenza dell’interferenza sui diritti fondamentali della privacy e della protezione dei dati personali. È particolarmente importante identificare con precisione:
Nei casi in cui alcuni (o parte degli) impatti non possono essere accertati in anticipo, potrebbe essere utile applicare il cosiddetto principio precauzionale. Come esempio di applicabilità di questo principio, si potrebbe suggerire al legislatore, secondo tutte le circostanze rilevanti del caso, di adottare un “approccio incrementale”, optando per l’uso di uno strumento IT già sperimentato e verificato piuttosto che di uno strumento IT la cui efficacia (falsi negativi, falsi positivi) non sia stata ancora completamente testato.
Quando (e solo allora) il legislatore ha raccolto tutte le informazioni richieste ed eseguito la valutazione dell’importanza, dell’efficacia e dell’efficienza della misura e della sua interferenza sulla privacy e sulla protezione dei dati personali, dovrebbe procedere all’esame del giusto equilibrio di questi due aspetti.
In pratica, il principio di proporzionalità richiede di stabilire un equilibrio tra la portata e la natura dell’interferenza e le ragioni della stessa (i bisogni), tradotte in obiettivi effettivamente perseguiti dalla misura. La CGUE ha sottolineato che “[w] qui sono in discussione numerosi diritti e libertà fondamentali protetti dall’ordinamento dell’Unione europea, la valutazione della possibile natura sproporzionata di una disposizione del diritto dell’Unione europea deve essere effettuata al fine di conciliare i requisiti della protezione di questi diversi diritti e libertà e un giusto equilibrio tra loro”.
In altre parole, il principio funge da strumento per bilanciare gli interessi in conflitto secondo uno standard razionale nei casi in cui la precedenza non è data a priori a nessuno di essi.
Lo stesso approccio, consistente nel trovare l’ottimizzazione dell’interferenza sul diritto alla privacy e alla protezione dei dati personali con l’obiettivo perseguito dalla misura (ad esempio, la sicurezza dei locali), è applicato nelle Linee guida del GEPD sulla videosorveglianza: “Utilizzando un approccio pragmatico basato sui principi gemelli di selettività e proporzionalità, i sistemi di videosorveglianza possono soddisfare le esigenze di sicurezza rispettando al contempo la nostra privacy. Le telecamere possono e devono essere utilizzate in modo intelligente e devono solo indirizzare i problemi di sicurezza specificamente identificati, riducendo così al minimo la raccolta di filmati non pertinenti. Ciò non solo riduce al minimo le intrusioni nella privacy, ma aiuta anche a garantire un uso più mirato e, in definitiva, più efficiente, della videosorveglianza”.
Per concludere con l’esempio, appare ora altamente esemplificativa di tutto il complesso processo retrostante l’affermazione (sintetica) fatta nelle “Guidelines 3/2019 on processing of personal data through video devices”, secondo cui “la videosorveglianza non è di default una necessità quando esistono altri mezzi per raggiungere lo scopo sottostante. Altrimenti rischiamo un cambiamento nelle norme culturali che porta all’accettazione della mancanza di privacy come principio generale.”
Articolo a cura di Sergio Guida
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…