Sovranità digitale tra accountability e valore dei dati

Il testo dell’intervento tenuto da Nicola Fabiano, Presidente dell’Autorità Garante Privacy della Repubblica di San Marino, al convegno ‘I Dati tra Sovranità Digitale e Interesse Nazionale. Le Persone, le Pubbliche Amministrazioni e le Imprese’, svoltosi il 25 novembre all’Università Milano-Bicocca.

Cosa intendiamo per “sovranità digitale“?
Sebbene il tema della sovranità sia risalente, quello connesso al digitale ha fatto registrare nell’ultimo periodo una particolare attenzione e anche una discreta produzione scientifica. L’argomento, peraltro, è stato anche oggetto dell’evento organizzato dal Garante privacy italiano in occasione della Giornata europea della protezione dei dati personali (Roma – 29/1/2019).

Il proposito del presente contributo è la ricerca di una definizione adeguata, che parta dalla “sovranità” per poi giungere alla declinazione “digitale”.

Privacy Italia@italiaprivacy

Nicola Fabiano (Presidente Autorità Garante Privacy Repubblica di San Marino) “relazione che lega indissolubilmente sovranità digitale e protezione dei dati è accountability, ovvero un’azione programmatica e quindi come elaborazione e attuazione di policy”.#sovranitadigitale

Visualizza l'immagine su Twitter

618:00 – 25 nov 2019Informazioni e privacy per gli annunci di TwitterVisualizza altri Tweet di Privacy Italia

È noto che con “sovranità”, genericamente, si fa riferimento alla espressione di un potere (dello Stato, del popolo, economico, ecc.) che si esplica con la manifestazione di una volontà originaria e indipendente da ogni altro.

Da tempo c’è un utilizzo molto disinvolto della parola “digitale” (nell’accezione contrapposta ad “analogico”), con la quale comunemente si fa riferimento alla possibilità di rappresentare informazioni in forma di numeri. La parola digitale deriva dall’inglese “digital” e, questa, a sua volta dal latino “digit” (dito), per indicare la possibilità di avere un riferimento numerico. Il termine “digitale”, tuttavia, è stato utilizzato con le accezioni più disparate, ma principalmente per identificare tutte quelle attività che si intersecano con le tecnologie; nel linguaggio più comune e diffuso si è soliti intercettare il vocabolo “digitale” quando viene utilizzato per descrivere, con uso a-tecnico, unicamente l’utilizzo di un device (smartphone, tablet, computer) e/o di Internet. In linea di massima, il termine digitale rappresenta nell’immaginario collettivo un senso generico di innovazione nelle sue più eterogenee manifestazioni e applicazioni. Le diverse definizioni di “sovranità digitale” hanno in comune unicamente l’espressione di una primazia su qualcosa ma non sul dominio digitale in senso esteso, come a rilevanza delle tecnologie il cui sviluppo o diffusione comporta l’espressione di un potere. Il principale riferimento è allo scenario tecnologico che vede un’attuale agguerrita competizione tra USA, Cina e Europa, auspicando da quest’ultima interventi efficaci per migliorare lo sviluppo tecnologico e contrastare il primato degli altri Paesi. Si ha l’impressione che tali posizioni siano rivolte a sollecitare delle politiche europee di sviluppo che siano adeguate a sostenere il confronto con gli altri Stati piuttosto che finalizzate alla espressione di un potere su un dominio. In sostanza, l’aumento della competitività in Europa comporta un miglioramento sia nel mercato interno sia in quello globale: la sovranità, pertanto, si esplicherebbe come una primazia sul mercato. Ad alcuni è sorto il dubbio che non ci si trovasse di fronte a ipotesi di protezionismo.

È, inoltre, molto diffuso il timore di perdere il “controllo” sulle tecnologie sia a livello nazionale sia europeo o internazionale e di ciò vi sono numerose tracce in rete; del resto, Ursula von der Leyen nel documento dal titolo “My agenda for Europe” afferma “It may be too late to replicate hyperscalers, but it is not too late to achieve technological sovereignty in some critical technology areas”. Sono numerosi i contributi pubblicati sulla stampa che esprimono la medesima preoccupazione e, tra i più recenti,  l’articolo dal titolo “Digital sovereignty does not need EU champions” pubblicato il 14 novembre 2019 sul Financial Times si legge “Building an ecosystem of services which protect user data would fill a neglected niche between the corporate wild west of the US and the state panopticon of China. Its appeal would not be restricted to Europe, either”.

Le posizioni evidenziate, in sintesi, possono considerarsi convergenti, in quanto il comune denominatore è costituito da una diffusa volontà di non consentire alle note società di oltreoceano il trattamento dei dati personali di cittadini europei; timore, mercato e primazia tecnologica convergono verso l’esigenza di una maggiore sicurezza per i dati personali.

Quindi cosa si intende per digitale?

Si perviene così ad una definizione convenzionale, anche se non abbastanza profonda, ampia o di base, secondo la quale il digitale è sinonimo di un insieme di tecniche di calcolo elettronico.

Considerato il panorama sinteticamente descritto e senza velleità di autorevolezza scientifica, emergerebbe il concetto di una “sovranità digitale” qualificabile come un potere espresso in un contesto innovativo. Il breve excursus condurrebbe, quindi, ad affermare che con l’espressione “sovranità digitale” si intende fare riferimento al potere attribuito allo Stato nella sfera che concerne qualsiasi attività classificabile come “digitale”, ossia connessa all’utilizzo delle tecnologie o derivata da esse.

Il significato del dominio “digitale”

L’esito di una sommaria indagine sulla produzione scientifica internazionale riferita all’argomento, volta a considerare se sussiste una convergenza teorica nella qualificazione della sovranità digitale, ha prodotto risultati interessanti.

Tra le più recenti pubblicazioni, alcuni autori affermano che l’espressione “sovranità digitale” sia connotata da 5 prospettive diverse (“Cyberspace Sovereignty”, “Digital Sovereignty, Governments and States”, “Indigenous Digital Sovereignty”, “Social Movements and Digital Sovereignty” e “Personal Digital Sovereignty”). Non volendo scendere nel dettaglio, emerge il riferimento costante al termine digitale prospettato da Peters e cioè una generica e convenzionale definizione basata sul calcolo.

Sembrerebbe che solo negli anni ’90 dello scorso secolo sia stata introdotta la locuzione sovranità digitale, utilizzata per prospettare la rete internet come una opportunità per esercitare l’indipendenza dal controllo dello Stato (all’inizio della “Declaration” si legge: “Governments of the Industrial World, you weary giants of flesh and steel, I come from Cyberspace, the new home of Mind. On behalf of the future, I ask you of the past to leave us alone. You are not welcome among us. You have no sovereignty where we gather”.). 

cloud-nazionale-Francia

Sovranità digitale e cyberspazio

Il riferimento al potere dello Stato sul dominio digitale ha indotto a circoscrivere l’ambito di tale potestà al cyberspazio (o spazio cibernetico), tanto che il recente D.L. 105/2019 recante “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica”, con l’articolo 1, comma 1, istituisce il “perimetro di sicurezza nazionale cibernetica“. Un simile assetto, che merita indubbiamente altri spazi di approfondimento, ha condotto all’affermazione di una sovranità digitale intesa come potestà dello Stato sul cyberspazio. Tuttavia, recentemente parte della dottrina ha affermato che ci si trova di fronte ad un approccio «stratificato della sovranità nel cyberspazio», individuando strati logici e sociali del cyberspazio “che possono essere aperti all’esercizio dell’autorità statale basata su un criterio di prossimità, vale a dire ogni volta che lo Stato può stabilire un legame reale con gli oggetti digitali o il personaggio online su cui deve essere fatta valere l’autorità”.

Ad avviso di chi scrive, anche in relazione a quanto ora richiamato, è possibile identificare ulteriori profili di esercizio della sovranità digitale che non devono necessariamente essere avocati allo Stato. Del resto, altra dottrina afferma che «la nozione di “sovranità” nel regno del digitale viene sempre più utilizzata per descrivere varie forme di indipendenza, controllo e autonomia su infrastrutture, tecnologie e dati digitali» non necessariamente statali (NDR) e «i significati e le definizioni di sovranità possono differire in modo significativo».

Questa dottrina, nell’avere registrato quale denominatore comune della sovranità tecnologica (di cui è parte quella digitale) l’autonomia, l’indipendenza e il controllo, conclude la propria ricerca con la seguente domanda: “Sovranità tecnologica inquietante?”.

Ciò dovrebbe far riflettere.

Sovranità digitale: proposta di una definizione

Alla luce di ciò è possibile affermare che la “sovranità digitale” – in termini generali – non si identifica esclusivamente con il potere esercitato dallo Stato, ma può esplicarsi anche nei modelli adottati da soggetti privati attraverso i quali viene esercitato (in autonomia e con il pieno controllo) il potere sul proprio dominio digitale, sia riguardo alle azioni intraprese sia rispetto alle scelte di particolari tecnologie per l’attività e quindi sul patrimonio digitale da custodire.

Questo approccio incide sensibilmente anche sugli aspetti connessi alla protezione dei dati personali nell’esercizio della sovranità digitale.

Sovranità digitale: i limiti

La sovranità digitale nelle sue “stratificazioni” o diverse prospettive, qualificandosi come un potere sul dominio digitale, non può comunque costruire un limite alla protezione dei dati personali, inteso come preminenza rispetto all’individuo e ai suoi diritti. I soli limiti sono quelli previsti dalla legge e, con riferimento alla sovranità digitale dello Stato e specificamente alla sovranità sul cyberspazio, è evidente che la disciplina in materia di protezione dei dati personali non si applichi nei casi di sicurezza nazionale. Peraltro, ciò è espressamente previsto dal considerando n. 16, nonché dagli articoli 2 e 23 del GDPR.  

Sovranità digitale e inclusione

La sovranità digitale, quindi, dovrebbe anche essere caratterizzata da un processo di inclusione dei diritti fondamentali degli individui – e tra essi quello alla protezione dei dati personali  – nel proprio dominio, evitando, quindi, di confinarli al di fuori.

Sin qui si è descritto il fenomeno della sovranità digitale come il potere sul dominio, ma il concetto è talmente versatile tanto da non poter escludere che essa possa anche costituire l’opportunità per uno o più individui di acquisire autonomia e sovranità digitali. In questa direzione, al fine di far aumentare la conoscenza agli individui, le sovranità potrebbero essere impreziosite da campagne di sensibilizzazione e in questo modo acquisire valore aggiunto. Infatti, secondo Nitot la sensibilizzazione è parte integrante di ciò che significa sovranità tecnologica.

La (piena) consapevolezza della attuale condizione digitale dell’utente inciderà favorevolmente sulle sue scelte anche relative alle tecnologie e ai propri dati personali; l’interessato consapevole sarà in grado di decidere esercitando il proprio potere di autodeterminazione anche nel contesto della sovranità digitale, non semplicemente rifiutando le tecnologie, ma attuando scelte opportune finalizzate ad evitare di farsi espropriare (in parte o del tutto) dei propri dati personali, perdendo il controllo su di essi. Secondo Nitot il principio “privacy by design” va proprio in questo senso, in quanto costituisce lo strumento per indurre l’utente ad aumentare la propria consapevolezza per acquisire gli strumenti necessari per difendersi.

Sovranità digitale e le norme sulla protezione dei dati personali Il GDPR disciplina la protezione delle persone fisiche e pone al centro dell’intero sistema l’interessato, la persona che ha il potere sui propri dati. La protezione è rivolta alle persone non ai dati. Evoluzione tecnologica non significa prevaricare l’individuo, ma assicurare un necessario bilanciamento tra innovazione e protezione delle persone fisiche. Nell’attuale sistema globalizzato che induce all’acquisizione di una visione complessiva e non analitica, è necessario far riferimento ad un framework di principi generali in materia di privacy e protezione dei dati personali che abbia un’ampia validità. Uno strumento è disponibile da tempo: la Convenzione 108 (attualmente identificata come 108+ successivamente al processo di modernizzazione) e si può procedere dai principi in questa enunciati. Altro importante framework è certamente il GDPR.

Il dato personale costituisce un valore assoluto in quanto appartiene alla persona ed è ad essa inscindibilmente e ontologicamente legato. Il dato personale, inoltre, contribuisce a caratterizzare la primazia della dignità umana dalla quale non si può prescindere e neppure tentare maldestramente di dequalificare trattando tali informazioni come se fossero un aspetto secondario rispetto alla persona.

Come già affermato in altro contributo, si discute di protezione dei dati personali e privacy solo e unicamente in quanto esistono norme ad hoc, diversamente non ci si porrebbe il problema di soffermarsi sulla essenza e sul rilievo dei dati personali. Non si può trascurare, però, che il dato personale debba essere considerato come valore in senso assoluto, anche attraverso un approccio etico e comunque prescindendo da qualsiasi norma. Va considerato quale “prerequisito” il criterio preventivo basato sul principio secondo il quale il dato personale è un valore assoluto e richiede consapevolezza ed etica: ciò costituisce il vero e reale punto di partenza, non codificato, che si pone come elemento ultra-giuridico.

Il “livello zero”, vero punto di partenza, è la considerazione anche etica dell’alto valore attribuibile al dato personale; senza questo assunto difficilmente si può avere un idoneo approccio alla normativa. Il “livello uno” sarà quello delle norme giuridiche.

Sovranità digitale e accountability: una sfida possibile

Il titolare del trattamento deve attenersi al principio di “responsabilizzazione” (accountability, nel testo inglese) così come previsto dall’art. 5, par. 2, del GDPR. A tale concetto non dovrebbe essere attribuita unicamente una portata normativa, in quanto previsto dal GDPR, ma anche natura programmatica. Infatti, nel qualificare l’accountability e, quindi, considerare il titolare del trattamento come accountable, si dovrà effettuare una valutazione circa le misure organizzative da porre in essere al fine di favorire il rispetto di ogni strumento utilizzabile (buone prassi, linee guida, standard, ecc.), con l’obiettivo di ridurre al minimo i rischi e proteggere le informazioni personali appartenenti all’individuo.

A ciò si aggiunga non solo il rispetto dell’etica ma anche, allo stesso modo, lo sviluppo di una coscienza veramente etica: applicati unitamente alle norme giuridiche, valgano a connotare in concreto i principi enunciati dalla Convenzione 108+ e dal GDPR.

Non è un caso che la 41ma Conferenza internazionale dei Garanti, tenutasi a Tirana in ottobre, abbia adottato la «Risoluzione internazionale sulla privacy come diritto umano fondamentale e precondizione per l’esercizio di altri diritti fondamentali» con la seguente, esplicita precisazione: “Reaffirm a strong commitment to privacy as a right and value in itself, given various international obligations“.

In conclusione, il principio di accountability risulta essere compatibile con la sovranità digitale pubblica o privata, ove il valore primario di riferimento resta la persona fisica e la dignità umana. Una sovranità digitale che si ponga in contrasto con il rispetto della dignità umana non è accettabile.

Fonte: Key4biz | di Nicola Fabiano, Presidente dell'Autorità Garante Privacy Repubblica di San Marino

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL