20 minute read
Consenso al trattamento dei dati personali e analisi giuridico-comportamentale*
Spunti di rilessione sull’effettività della tutela dei dati personali
Lucilla Gatt, Roberto Montanari, Ilaria Amelia Caggiano
Advertisement
1. Le ragioni di una ricerca sul consenso al trattamento dei dati personali
In Italia il tema del consenso dal trattamento dei dati personali, sommariamente deinito privacy, è affrontato prevalentemente con una prospettiva metodologica tradizionale dello studio della materia giuridica, vale a dire: 1) considerando come un dato la sua sussistenza, necessità e opportunità; 2) analizzando in modo più o meno critico ma sempre in una prospettiva de iure condito la normativa vigente sia a livello nazionale sia a livello europeo e internazionale, accentuando con contenuti inopportunamente ideologici le diversità di approccio USA/EU; 3) insistendo sui concetti di chiarezza e consapevolezza delle informative a più livelli di fruibilità e di somministrazione.
Nelle analisi menzionate manca del tutto – o quasi – una consapevolezza delle differenti articolazioni che il tema assume in relazione alla fattispecie concretamente esaminata e al tipo di “dato” oggetto della richiesta di trattamento (es.: la richiesta di consenso al trattamento dei propri dati sanitari posta all’ingresso di una sala
* Lucilla Gatt ha scritto i paragrai 1, 2, 3 e 8; Roberto Montanari i paragrai 4 e 5; Ilaria A. Caggiano i paragrai 6 e 7.
Nodi virtuali, legami informali: Internet alla ricerca di regole operatoria appare diversa dalla richiesta di consenso al trattamento di un dato relativo ai propri gusti musicali posta all’apertura di un’APP per scaricare canzoni dal web che a sua volta appare ancora diversa rispetto alla informativa alla video-ripresa della propria immagine posta all’ingresso di una farmacia dotata di telecamere in cui si è entrati per comperare un farmaco magari di fascia A).
Del pari appare mancante, o quantomeno deicitaria negli studi suddetti, la consapevolezza sul funzionamento effettivo e potenziale di un qualsiasi device in grado di porre problemi di c.d. privacy, così come manca un’attenzione ai comportamenti degli utenti che concedono il proprio consenso al trattamento dei dati personali nonché – ancor più gravemente – una valutazione del grado di tutela effettiva degli utenti che operano nel mondo digital e non-digital, avendo riguardo alla vigente normativa1 .
2. Le ragioni della scelta di un metodo ibrido di indagine e il rapporto possibile tra tecnologia e ricerca giuridica
Con il Progetto Privacy and the Internet of Things: a behavioural and legal approach, commissionato da un importante partner tecnologico, il Living Lab Utopia2, istituito presso il Centro di Ricerca di Ateneo
1 Le considerazioni espresse nel testo sono indicative di un generale atteggiamento della dottrina italiana. Non mancano voci che dedicano particolare attenzione ad aspetti più problematici sul tema della protezione dei dati personali. In questo ilone e con particolare riguardo al rapporto tra tutela della privacy e tecnologia vi è, ad esempio, G. Comandè, Tortious Privacy 3.0: A Quest for Research, in Essays in Honour of Huldigingsbundel vir Johann Neethling, LexisNexis, 2015, 121 ss., ma v. infra anche nota 3.
2 Il Living LAB_Utopia sviluppa itinerari di ricerca sulle possibili interazioni tra diritto e nuove tecnologie. Dotato delle più moderne strumentazioni tecnologiche, Utopia è luogo di cooperazione e collaborazione tra esperti e ricercatori, in ambito giuridico e tecnologico, nel segno della ricercata interrelazione tra saperi. I temi affrontati dal gruppo di ricerca giuridica di Utopia sono diversi. A titolo esempliicativo si segnalano: tutela dei dati personali nell’era della informatizzazione, responsabilità civile e dispositivi automatici, sistemi aerei a pilotaggio remoto (SAPR) e responsabilità civile, biodiritto e biotecnologie, tutela delle invenzioni biotecnologiche e brevettabilità del vivente, diritto, computazione e simula-
Consenso al trattamento dei dati personali...
Scienza Nuova, ha inteso proporre un diverso metodo di studio del tema, ispirandosi ad un modello diffuso in area anglo-americana, in cui l’analisi dei dati normativi è strettamente connessa se non, più propriamente, condizionata da un’analisi preliminare e/o contestuale dei comportamenti degli utenti nell’interazione con device il cui utilizzo pone un problema di autorizzazione/consenso al trattamento dei dati personali3 .
Le ragioni di questa scelta metodologica vanno ricercate, da una parte, nella presa d’atto dell’incidenza della tecnologia sulle categorie giuridiche tradizionali (come sta avvenendo esemplarmente con riguardo ai settori robolaw e automotive liability) nonché delle ricadute della c.d. neurolaw. Dall’altra nella consapevolezza di dover proceder ad un’analisi, per così dire, tecnologica delle norme vigenti in quanto esse sono volte a disciplinare realtà la cui modalità operativa ed i cui sviluppi rappresentano sia dei presupposti conoscitivi necessari per la conigurazione delle norme stesse sia degli elementi di valutazione della loro effettiva capacità di tutelare determinati soggetti ed interessi.
Sì è voluto, poi, tentare di andare oltre l’orientamento della ricerca giuridica dagli anni ’70 ad oggi, orientamento che appare più circolare che lineare, presentandosi come riproposizione ad ininitum degli stessi temi, trattati dai ricercatori, pur di scuole diverse, con metodo afine se non identico. Tali ricerche, dunque, si rilevano, di frequente, incapaci di pervenire a risultati scientiicamente rilevanti nel senso di originali.
L’assunzione di una tale prospettiva induce a valorizzare gli aspetti di effettiva originalità (alias avanzamento rispetto allo stato dell’arte) di un’attività di ricerca, considerando la possibilità di affermare l’idea di “risultato scientiico” (cioè di punto di arrivo di una attività di zione, Online Dispute Resolution (cd. O.D.R), neuroscienze e diritto (cd. neurolaw), eredità digitale, start-up e trasferimento tecnologico.
3 Ex multis, Acquisti, Privacy, in Riv. pol. econ., 2005, 319; D.J. Solove, Privacy
Self-Management and the Consent Dilemma, in Harv. Law Rev., 2013, 126, 1880; ricerca dal quale partire per una ricerca ulteriore e diversa) presente in altre branche del sapere4 e che, invece, appare decisamente opaco in area umanistica, con speciico riguardo a quella giuridica.
A. Mantelero, Personal Data for Decisional Purposes in the Age of Analytics: From an Individual to a Collective Dimension of Data Protection, in Computer Law & Security Rev., 2016, 32, 238-255; L.J. Strahilevitz, Toward a Positive Theory of Privacy Law, in Harv. Law Rev., 1999, 113, 1; F. Borgesius, Informed Consent: We Can Do Better to Defend Privacy, in IEE, 2015, 13, 103-107; Id., Behavioural Sciences and the Regulation of Privacy on the Internet, Amsterdam, in Law School Research Paper, 2014, 54.
Si è inteso, poi, sviluppare una maggiore consapevolezza del ricercatore circa il contributo da apportare all’effettivo sviluppo della rilessione giuridica, attraverso la proposizione di problematiche e relative soluzioni realmente funzionali alle esigenze della società contemporanea. Si è, anche, desiderato conferire alla ricerca, almeno in potenza, una rilevanza internazionale, dialogando, anche sul piano metodologico oltre che tematico, con altri ordinamenti che potrebbero, quindi, avere interesse ai risultati di codesto studio.
Inine, la peculiarità metodologica dello studio che si va ad esporre sta a nell’aver considerato la tecnologia, in senso lato, da un doppio punto di vista, vale a dire come oggetto dello studio prescelto e come strumento per la conduzione del medesimo.
3. Segue. Analisi normativa ed indagine sperimentale in materia di consenso al trattamento dei dati personali
Più speciicatamente la ricerca intrapresa intende misurare la consapevolezza e sensibilità degli utenti nei confronti della privacy (nell’accezione di richiesta di consenso al trattamento dei dati) nell’interazione con un sistema interattivo installato su device in Italia.
Ciò allo scopo di veriicare come la normativa italiana (e, in prospettiva, quella europea), incentrata sul consenso, e attuata in questo sistema interattivo, sia tale da supportare un certo grado di tutela effettiva degli utenti con riguardo al trattamento dei dati personali e, ancor prima, se sussistono realmente problemi di tutela per gli utenti con riguardo ai loro dati personali (quantomeno ad alcuni), là dove la richiesta di trattamento avvenga in ambiente digital.
È superluo rilevare che tale indagine, pur circoscritta, abbia, comunque, valore esempliicativo se non, addirittura, esemplare, considerato il grado di omologazione raggiunto nel funzionamento di software e device.
Consenso al trattamento dei dati personali...
Va, poi, sottolineato che l’imitazione della metodologia già utilizzata negli studi stranieri è stata, soltanto, parziale in quanto il tipo di indagine che il Gruppo di ricerca ha tentato (e sta tentando) di porre in essere è caratterizzato da una effettività sperimentale che appare mancante negli studi menzionati. Si è, infatti, scelto un campione di utenti5 numericamente molto inferiore rispetto a quello utilizzato dalle già svolte analisi comportamentali in materia di privacy e sono stati adottati un Protocollo sperimentale e un Questionario articolato in due macro-sezioni (una parte legal e una behavioral) molto dettagliati e, dunque, complessi che hanno richiesto almeno un anno e mezzo di sperimentazioni prima di poter giungere all’analisi di una quantità suficiente di dati in quanto ogni esperimento ha una durata di circa un’ora.
A ciò si aggiunga l’impiego di strumentazioni di alta tecnologia che consentono l’attuazione di metodi come l’eye-tracking. Per esaminare le modalità di prestazione del consenso al trattamento dei dati personali ovvero, più precisamente, per veriicare le azioni degli utenti riguardo ai setting privacy durante l’interazione con il supporto informatico, le dimensioni che si sono sottoposte alla valutazione sono: attenzione (analizzabile attraverso rappresentazioni graiche di heatmap); tempo di esecuzione dei task; ordine di lettura all’interno delle schermate (grazie alle sequenze di gaze plot); consapevolezza e conoscenza della materia di privacy; usabilità.
Attraverso questa analisi pluristrumentale sarà possibile veriicare, tenendo conto della diversità dei dati, se il singolo, cui si riferiscono i dati personali oggetto di potenziale trattamento, sia in grado di comprendere, ovvero sia, nell’atto in cui gli viene somministrata l’informativa o in cui presta il consenso, realmente interessato a conoscere le informazioni che gli vengono fornite e se percepisce tale mancata comprensione come una mancanza di tutela. Tutto ciò considerando anche l’ambiente digital in cui tali operazioni avvengono nonché il device con cui determinate scelte sono poste in essere.
5 Tale campione è rappresentativo della popolazione italiana per età, professione, livello di reddito, livello culturale, livello di capacità di interazione con ambienti digitali e supporti informatici.
Nodi virtuali, legami informali: Internet alla ricerca di regole
La prospettiva metodologica adottata è quella dell’interrelazione del diritto con l’analisi del comportamento, sulla scorta della psicologia cognitiva, con lo scopo di veriicare i risultati di quest’ultima nel dominio giuridico. L’indagine si articola, dunque, in due fasi: una a carattere fortemente sperimentale, fondata sull’esame complesso del rapporto tra utente e tecnologia nonché sull’impiego del suddetto Questionario e nella raccolta ed elaborazione dei dati in formato digitale; un’altra a carattere analitico, fondata sull’esame e sul commento dei dati raccolti nel quadro della normativa vigente in materia di privacy sia a livello nazionale sia a livello europeo in una prospettiva de iure condendo.
In estrema sintesi, si è assunta una prospettiva funzionale di analisi normativa che consente di valutare l’eficienza giuridica delle scelte (essenzialmente fondate sul c.d. consenso) sino ad oggi poste in essere a livello legislativo in materia di tutela dei dati personali, avvalendosi dell’Analisi comportamentale (A.C.) e dell’Analisi del dato applicato (A.G.).
4. Consenso al trattamento dei dati personali e analisi comportamentale (A.C.)6
La parte di analisi comportamentale ha riguardato il coinvolgimento di un campione di utenti, proilato secondo diversi gradi di conoscenza in relazioni ai temi di indagine, ossia alcuni a conoscenza di aspetti collegati alla privacy anche dal punto di vista legale, altri sostanzialmente ignari, sebbene a conoscenza del tema della riservatezza dei dati per il peso sociale che l’argomento ha. Il campione è stato composto da individui volontari provenienti dall’Università Suor dei dati: obiettivi, materiali, metodo, risultati
6 Si ringrazia per il contributo nella predisposizione dei materiali della ricerca e per la gestione degli esperimenti la Dottoressa Federica Protti. Si ringraziano per il lavoro di conduzione degli esperimenti, sin dall’inizio, Andrea Castellano ed Emanuele Garzia. Per la sola parte inale, l’esperimento si è avvalso anche del contributo di Vincenzo Pascale, Marianna La Rocca, Ilenia Nigro, Valentina Platella, Marcella Capizzuto, Raimondo Casaceli. Un ringraziamento particolare, per lo studio preliminare, la predisposizione dei questionari della ricerca, l’organizzazione dell’esperimento va alla dott.ssa Maria Cristina Gaeta, al not. Doriana De Crescenzo e all'avv. Anita Mollo.
Orsola Benincasa, tra cui vi sono studenti, docenti e personale non docente, oltre a persone sempre volontarie provenienti dall’esterno. La struttura del test fatto con gli utenti ricalca i cosiddetti test di usabilità7, ossia un’esperienza di analisi controllata in cui si chiede al campione di eseguire alcuni compiti (i.e. operazioni da svolgere sul sistema interattivo presumibilmente familiari per gli utenti), a valle dei quali si raccolgono dati che mettono in evidenza situazioni relative all’uso dello strumento, alla comprensione dell’esperienza in termini di interazione, al grado di consapevolezza circa quanto è stato fatto e agli errori commessi in modo più o meno sistematico. In relazione all’esperienza svolta nel progetto qui presentato, si è operato al ine di comprendere sia aspetti di usabilità legati all’uso del sistema interattivo (ossia eficacia, eficienza e soddisfazione espressa durante l’uso), sia il grado di consapevolezza che il sistema consente di ricavare da parte degli utenti nell’uso consapevole dei propri dati personali, utilizzando misure qualitative che quantitative.
I compiti eseguiti da parte degli utenti hanno riguardato aspetti relativi al set up del sistema interattivo, l’attivazione di alcune funzionalità collegate e soprattutto la richiesta di operare rispetto ai requisiti di privacy proposte dal sistema e in coerenza con i requisiti di legge. In particolare, si voleva osservare in questo ambito quale fosse i comportamenti degli utenti e confrontarlo rispetto alle indicazioni espresse in materia di privacy.
Quanto invece alle variabili dipendenti sottoposte ad analisi, oltre al questionario sugli aspetti di comprensione delle problematiche legali di cui si dirà in seguito, vi sono di pertinenza principalmente ergonomica:
- Raggiungimento dell’obiettivo, comprendendo se ed in che modo l’utente completa l’attività assegnata;
7 Per un ragguaglio metodologico si veda: http://www.usabile.it/212003.htm
Nodi virtuali, legami informali: Internet alla ricerca di regole
- Eficienza dell’attività, in particolare il tempo necessario per portarla a termine;
- Attenzione degli utenti durante l’interazione con il sistema, rilevata attraverso dispositivo di eye-tracking e in particolare la costruzione delle heatmap;
- Ordine di lettura all’interno delle schermate, rilevato mediante il gaze plot consentito dall’eye-tracking;
- Livello di consapevolezza dell’utente nel momento in cui effettua la prestazione del consenso al trattamento dei dati personali;
- Percezione dell’usabilità da parte degli utenti al termine delle attività.
La ricerca ha assunto un carattere molto articolato e complesso, richiedendo l’utilizzo combinato di diversi metodi di rilevazione. In particolare sono stati utilizzati:
- Rilevazione di aspetti legati alla performance quali tempi di esecuzione, grado di eficacia dei compiti, etc.
- Eye-tracking, ovvero il ricorso ad un sistema portatile di rilevazione dei movimenti oculari;
- Questionari, necessari per la proilazione del campione rispetto ad aspetti socio-graici, alle competenze giuridiche, alla percezione dell’usabilità e a valutazioni nelle materie legali oggetto dello studio;
- Thinking-aloud, ossia la raccolta delle valutazioni estemporanee ma molto utili in quanto contestualizzate ed effettuate dagli utenti durante lo svolgimento delle attività di sperimentazione.
In sintesi, la fase sperimentale intende esaminare e valutare le modalità di interazione dei soggetti e il loro livello di consapevolezza (awareness) durante l’esecuzione di alcuni compiti con il supporto tecnologico in esame, specie nei casi in cui emergono scelte di impostazione della privacy alla luce della vigente normativa italiana.
In questo senso, questa analisi fornisce supporto ed elementi all’analisi giuridica. Come verrà dettagliatamente descritto e discusso nel prossimo paragrafo, per esempio, con gli strumenti di analisi della performance è stato possibile rilevare il ridotto numero di soggetti che ha disabilitato la funzione “Installazione veloce” o l’altrettanto limitato numero che non ha letto l’informativa sulla privacy quando proposta durante il task da parte dell’interfaccia utente. Dal punto di vista interazionale questo dato potrebbe aprire il campo ad attività di riprogettazione dell’interfaccia stessa basata sui riscontri degli utenti, preigurando in tal senso scenari di miglioramento per i dispositivi interazionali incaricati di proporre e presentare le informazioni in materia di privacy, arricchendo con una componente ergonomico-interazionale i recenti approcci della c.d. privacy-by-design.
Allo scopo di fortiicare l’analisi con evidenze più accurate viene impiegato – oltre ai riscontri basati su azioni e performance degli utenti – uno strumento innovativo come l’eye-tracking che consente l’esame dei comportamenti oculo-motori in termini di numero, tempo e durata delle issazioni, tempo impiegato per elaborare le informazioni su un’area issata, identiicazione delle mappe di interesse per osservare dove l’attenzione si concentra maggiormente, individuazione dei percorsi visivi creati dagli utenti e frequenza dei ritorni su porzioni già viste. Questi dati saranno esaminati in dettaglio nella fase successiva dell’esperimento e comparati con i dati performance relativi all’eficacia ed eficienza delle operazioni eseguite, cosi come alla valutazione dell’esperienza interazionale compiuta.
6. Analisi giuridica (A.G.) dei risultati parziali dell’analisi comportamentale: introduzione
Come già illustrato, la ricerca condotta si pone in linea di continuità con modelli e metodi di indagine sull’informativa e sul consenso al trattamento dei dati personali già presente nella letteratura straniera e pluridisciplinare.
Va tuttavia speciicato, con riguardo alla metodologia e in particolare all’incidenza dell’analisi comportamentale, che il presente studio non utilizza i risultati, derivanti dall’osservazione del comportamento dei soggetti, all’interno di un modello economico di analisi della normativa (come normalmente avviene nell’ambito dell’analisi economica comportamentale) ma si è proposto di interpretarli secondo la loro rispondenza al comportamento che la previsione normativa intende incentivare al ine di realizzare speciici bisogni di tutela.
Ciò al ine di fornire un quadro valutativo dell’effettività della tutela del singolo utente-persona isica, considerato anche in relazione alla posizione rispetto ai soggetti imprenditoriali che operano sul mercato dei dati personali.
Con la formulazione di apposite domande, che tengono conto di una serie di variabili, l’esperimento ha inteso testare il grado di eficienza della “espressione del consenso al trattamento dei propri dati personali” quale forma di esercizio del diritto del singolo alla protezione dei dati personali, come conigurato nella normativa nazionale ed europea in materia8 .
Qui di seguito si proveranno ad illustrare i risultati relativi ai primi 12 soggetti, sottoposti all’espletamento del test successivamente al pilota (pilot). Si tratta di risultati assolutamente preliminari che non consentono di giungere a conclusioni signiicative sui risultati complessivi dell’esperimento.
La lettura proposta consiste solo in un tentativo iniziale rispetto ad alcuni degli item esaminati, ma nessuna conclusione a veriica dell’ipotesi di ricerca può esservi fatta con caratteri di deinitività. I dati analizzati, per quanto non signiicativi, hanno quindi la funzione di fornire alcune iniziali rilessioni sull’oggetto della ricerca.
La somministrazione dell’esperimento, ino alla data della presentazione, è stata effettuata su 43 soggetti9, di cui:
- 12 sono stati testati per il test pilota;
- 12 per il test inale, i cui risultati sono oggetto di commento nella presentazione;
- 19 test sono stati condotti e saranno oggetto di ulteriore valutazione.
Va peraltro precisato che la composizione del campione sottoposto all’esperimento necessiti di essere integrata, essendo la sezione inora scrutinata composta principalmente da giovani (di età compresa tra i 18 e i 24 anni) la maggioranza dei quali dichiarano di aver ricevuto una formazione in ambito giuridico, o al limite di avere una certa familiarità con argomenti di carattere giuridico e con la tecnologia.
8 Si utilizza il termine “eficienza” nel senso di capacità di rispondenza, veriicata in action, della normativa ai bisogni di tutela che la medesima intende tutelare.
9 Alla data in cui viene consegnata la trascrizione dell’intervento, l’esperimento è stato ultimato, sul campione preissato.
7. Segue. Alcuni esempi e criticità varie
Alcune considerazioni sull’aggregazione dei dati raccolti possono essere poste sul tavolo della discussione sin da ora. In generale, può notarsi come, già con riguardo alla sezione di campione analizzata (come detto, composta da giovani millenials), sia possibile rilevare una contraddittorietà tra comportamento e dichiarazioni d’interesse (nella proilazione), con riguardo ad argomenti di privacy e tecnologia.
La maggioranza del campione dichiara di aver molto interesse alla protezione dei propri dati e, anche quando il campione è stato richiesto di porre a confronto la protezione dei dati personali e la sicurezza, la maggioranza tende a preferire la prima rispetto alla seconda [si veda infra Tavv. 1 e 2].
1. Tuttavia, solo una minima percentuale (16%) ha disabilitato la funzione di “Installazione veloce” [Tav. 3]10 .
2. In relazione al compito di modiicare l’impostazione di privacy e sicurezza scelta, o automaticamente predeinita, al momento dell’installazione, il 58% del campione non legge l’informativa privacy, pur trovandosi in una situazione indotta. In ogni caso, il 100% di questa sezione del campione modiica comunque le impostazioni privacy. Il dato rivela come possa non esservi un collegamento tra informativa e autodeterminazione dell’utente [Tav. 4]11 .
3. Dalla veriica analitica delle opzioni privacy modiicate, vi sono
10 Va precisato, tuttavia, che il 50% del campione dichiara di non comprendere che essa implichi una scelta nella impostazione dell’accesso ai dati personali.
11 Peraltro, quanto ad autovalutazione della capacità di gestire i propri dati personali, i 2/3 del campione auto-valutano sé stessi in grado di gestire i propri dati, sebbene questo dato sia poi contraddetto in risposte a domande di carattere più generale, e la quasi totalità (90%) ne riconosce l’utilità. Questo, come altri dati parzialmente contraddittori, sarà oggetto di maggiore approfondimento negli appositi Focus Group, condotti da uno psicologo, in cui i soggetti saranno chiamati a meglio spiegare alcune delle loro scelte. I Focus Group costituiscono l’ultima fase dell’esperimento.
Nodi virtuali, legami informali: Internet alla ricerca di regole quelle di geo-localizzazione e le informazioni date al software di assistenza e riconoscimento vocale e graia, pur in precedenza valutate come di certa utilità o pienamente utili dai medesimi soggetti. Complessivamente, il 75% del campione aveva, in un quesito precedente, espresso un giudizio di una qualche positività o totalmente positivo, in termini di utilità, proprio delle funzioni di rilevamento posizione e riconoscimento vocale12 .
4. Sul presupposto che risultati deinitivi non possano essere inferiti dai dati in commento, è possibile avanzare le seguenti considerazioni.
Dalle risposte raccolte e dai comportamenti osservati, si rileva una generale tendenza a prediligere la scelta operativa che implichi la modalità più semplice e breve.
Con speciico riguardo alla comprensione dei passaggi relativi alla informazione e gestione sul trattamento dei dati nel contesto analizzato, molti di questi non vengono compresi sebbene possa rilevarsi, da parte dei soggetti analizzati, la percepita consapevolezza di una autonoma capacità di controllo e modiica delle opzioni di trattamento (setting privacy).
L’esperimento, sebbene nella sua fase iniziale, evidenzia come anche coloro che dichiarano di aver interesse per la protezione dei propri dati personali (supra n. 1), di regola non prestano attenzione o, in ogni caso prescindono dall’informativa sulla privacy, anche in un ambiente non naturale (l’esperimento) ove i soggetti sono espressamente richiesti di eseguire il compito. Le decisioni in materia di consenso al trattamento dei dati personali prescindono totalmente dai giudizi più generali sulle attività cui il trattamento dei dati è funzionale e sulle scelte in proposito, nonché sul tenore stesso dell’informativa13. Questo contrasto può indurre a meglio rilettere
12 Per quanto riguarda l’attivazione del software di assistenza con funzioni di Assistente digitale personale, il campione è piuttosto equamente diviso tra coloro che comprendono che i propri dati personali verranno utilizzati (58%) e la restante parte che risponde negativamente.
13 Si valuti in proposito come la risposta sul grado di comprensione dell’informativa non appaia, per ora, discriminante, collocandosi il 50% del campione sul livello intermedio (il 3 in una scala da 1 a 5) di valutazione sulla chiarezza della informativa e un ulteriore 30% su una valutazione di apprezzamento positivo o su quanto, in media, l’astratta propensione del singolo sulla propria privacy (recte sul trattamento dei propri dati) possa incidere sulle decisioni riguardanti il compimento di attività quotidiane, considerando altresì i casi di necessità del trattamento, per talune di queste attività, come può avvenire in ambiente digitale. pienamente positivo.
Consenso al trattamento dei dati personali...
Il riscontrato atteggiamento verso la lettura o consultazione dell’informativa privacy nonché il più generale collegamento con le singole attività cui il trattamento afferisce può indurre a considerare come il miglioramento delle modalità di redazione e della chiarezza dell’informativa, che pure rappresenta un costante obiettivo delle politiche comunitarie e nazionali anche attraverso le autorità di controllo, ragionevolmente non sia destinata a produrre signiicativi cambiamenti nel grado di consapevolezza degli utenti.
In verità, l’ineficacia dei warnings in materia di privacy è stata approfonditamente dimostrata da studi di analisi economica e comportamentale14, tenendo anche conto dell’argomento dei dati aggregati, cioè del numero degli enti che raccolgono e utilizzano dati personali, specialmente in ambiente digitale, il quale rende impossibile per l’individuo gestire e controllare l’utilizzo dei propri dati personali, i quali vengono a riguardare – nella sostanza – ogni attività della vita del singolo15. Tali studi rivelano che, in modo più o meno consapevole, l’informativa non è letta e pertanto il consenso prestato non è consapevolmente fornito.
Come detto, l’esperimento condotto, quindi, in linea con questa letteratura intende analizzare, con un setting sperimentale relativamente più complesso e in un ambiente indotto, il comportamento degli utenti in materia di informativa e impostazioni privacy e veriicare quanto i tentativi di intervento normativo che mirano di potenziare la libertà di scelta dell’individuo (i.e. attraverso il miglioramento dell’informativa) siano prospetticamente in grado di realizzare tale scopo.
14 O. Ben-Shahar, A.S. Chilton, Simpliication of Privacy Disclosures: An Experimental Test (April 13, 2016), in University of Chicago Coase-Sandor Institute for Law & Economics Research Paper, 737, disponibile su SSRN: https://ssrn.com/abstract=2711474 o http://dx.doi.org/10.2139/ssrn.2711474 e in The Journal of Legal Studies, 45 b, 52, 541-567.
15 D.J. Solove, Privacy Self-Management, cit.
Nodi virtuali, legami informali: Internet alla ricerca di regole
Vi è, a completamento della lettura degli iniziali dati raccolti nell’esperimento (ovvero dell’A.C.), la valutazione, sul piano interamente dell’analisi giuridica (A.G), del grado di tutelabilità per il singolo della situazione giuridica riconosciuta rispetto ai propri dati personali, cioè dell’effettivo pregiudizio derivante da una violazione della normativa di protezione dei dati personali.
Questo accostamento è funzionale a veriicare, accanto degli strumenti di tutela ex ante per l’individuo persona isica (come l’espressione del consenso), il livello di effettività della tutela ex post, rappresentata, sul piano civilistico, dal risarcimento dei danni per lesione della cd. privacy (art. 15 cod. privacy e art. 82 GDPR)16. La giurisprudenza, in proposito, è scarna17 e in ogni caso non univoca. Dai provvedimenti di rigetto delle richieste risarcitorie si rileva, in via preliminare, ove non derivante da questioni procedurali, una dificoltà a ottenere ristoro per la lesione dei dati personali, non risultando nella maggior parte dei casi suscettibile di prova (recte giuridicamente rilevante) il pregiudizio subito, ove esso non riguardi il diritto alla riservatezza in senso stretto18 .
8. Interazione
tra A.G. e A.C. e prospettiva funzionale delle norme con conseguenti aperture verso modelli di tutela dei dati personali alternativi al consenso
Con la conclusione della fase sperimentale sarà avviata una analisi completa e approfondita di tutti i dati raccolti ma già dall’analisi parziale – come sopra illustrata – emergono validi elementi utili
16 G. Comandè, sub art. 15 (danni cagionati per effetto del trattamento), co. 1, in C.M. Bianca, F. Busnelli (a cura di), La protezione dei dati personali – Commentario al D.lgs. 30 giugno 2003, n. 196 (“Codice della privacy”), Padova, CEDAM, 2007, 362 ss.
17 Si registrano 106 risultati a partire dall’entrata in vigore del d.lgs. 196/2003 [fonte DeJure].
18 all’elaborazione un ipotetico scenario economico-giuridico che sia diretta conseguenza dello sviluppo tecnologico in atto dove il trattamento dei dati personali non dipenda – quantomeno non sempre – dal consenso dell’utente persona isica.
In proposito, Cass., sez. III civ., 05.03.2016, n. 4443, in DeJure: «Dalla violazione della normativa sul trattamento dei dati personali non deriva automaticamente un danno risarcibile ma deve essere data la prova del pregiudizio subito alla propria immagine».
L’indagine in qui condotta evidenzia i limiti del consenso preventivo sia perché reso inconsapevolmente sia perché – anche quando è reso consapevolmente – non si traduce in un effettivo impedimento alla dannosità del trattamento per la persona dell’utente, dannosità che continua a potersi veriicare. Al contrario, la prestazione del consenso potrebbe avere un effetto distorsivo perché esso viene prestato senza che l’utente abbia cognizione degli strumenti di tutela ex post ed anzi sulla base della convinzione che la sola concessione del consenso elimini a priori la possibilità stessa di una lesione.
In altre parole il consenso preventivo genera nell’utente, certamente, una comprensione non univoca e probabilmente un falso convincimento.
A ciò si aggiunga che l’ambiente digital ed il supporto tecnologico utilizzato, vale a dire, in senso lato, il contesto di interazione uomo-macchina necessario per lo svolgimento di determinate attività volute dall’utente nonché il funzionamento in senso tecnico del device in tutte le sue componenti19, rappresentano un punto di partenza imprescindibile per misurare l’eficienza del dato normativo che non sarà mai elevata là dove esso consista in regole “non compatibili” nel senso di non adeguate al suddetto contesto e al suddetto funzionamento.
La sperimentazione condotta e le analisi giuridico-comportamentali dei dati raccolti evidenziano, in da ora, l’ineficienza di una tutela ex ante che si sostanzi in un divieto di trattamento dei dati (sicuramente di quelli non-sensibili) e fanno propendere per l’ideazione di uno speciale statuto di circolazione (regolamentazione del
19 Il trattamento di alcuni dati personali, in particolari quelli non-sensibili, rappresenta – quasi sempre – un (pre)requisito di funzionamento, in alcuni casi a ini di sicurezza, del dispositivo utilizzato. Si pensi al tutta la questione della c.d. telemetry il cui raggio di azione va ad incidere ineluttabilmente su quello della c.d. privacy, rimettendo in discussioni (apparenti) certezze raggiunte anche e soprattutto a livello di regolamentazione di quest’ultima.
Nodi virtuali, legami informali: Internet alla ricerca di regole trattamento) sensibili, un’ottica di elaborazione di un rimedio privatistico risarcitorio/restitutorio in funzione di deterrenza ai trattamenti dannosi per l’utente (vale a dire, di un effettiva ed eficiente tutela ex post.
Risposta alla domanda: Quanto è importante per lei proteggere i suoi dati personali quando naviga in Internet?
Tav. 1. Importanza di proteggere i propri dati.
Risposta alla domanda: È più importante preservare la sicurezza del suo PC o preservare la privacy?
Tav. 2. Importanza di preservare la sicurezza del suo PC e la privacy.
Tav. 3. Gestione delle impostazioni di privacy durante l’installazione.
Tav. 4. Gestione impostazioni di privacy.
