In città non c’è privacy?

I dati possono aiutare gli agglomerati urbani nella lotta al cambiamento climatico, nell’ottimizzazione degli spazi, nello sviluppo ed utilizzo sostenibile di tutte le fonti di energia, nonché nella fornitura dei servizi. Ciò avviene perché le “città intelligenti”, ovvero le cosiddette smart cities, collocano sensori nell’arredo urbano (dai cestini dei rifiuti ai lampioni), tracciano gli identificatori telefonici e i sistemi di mobilità, basandosi su ampi apparati di geolocalizzazione, e quindi riescono a ottimizzare le risorse disponibili. Ma poiché i sistemi di sorveglianza intelligente, come le telecamere di videosorveglianza, registrano e analizzano tutte le attività dei cittadini, il loro uso determina potenziali implicazioni circa la privacy degli stessi.

E quindi c’è un problema: come contemperare i vantaggi offerti dalla tecnologia con la tutela della privacy dei cittadini? Sono in corso alcuni tentativi di normare i due aspetti per evitare, da un lato, di ingessare il progresso e dall’altro di non sopprimere i diritti delle persone. Se ne sono occupati di recente, per esempio, autorità al digitale tedesche e olandesi, mentre nel 2021 al World Economic Forum è stato presentato un report di Deloitte che riassume alcune raccomandazioni sul tema destinate a sindaci, governi, rappresentanti civici e compagnie private che raccolgono i dati.

Nel mondo digitale la privacy non è un diritto assoluto

In Italia l’orientamento è quello di cercare un bilanciamento tra le esigenze di indirizzo e governo e la privacy. «Si tratta di un diritto fondamentale anche se non è direttamente espresso nella carta costituzionale» ha detto a Changes Oreste Pollicino, Ordinario di Diritto Costituzionale e Diritto dei Media e Direttore del Master in Law of Internet Technology all’università Bocconi di Milano. «In pratica, si mira a una restrizione del diritto alla riservatezza dei dati proporzionale e giustificata, ovvero che sia la minore possibile, nel rispetto di obiettivi di interesse generale».
Insomma, in un contesto digitale la privacy non è un diritto assoluto perché il suo rispetto totale implica di non attivare servizi fondamentali. Pensiamo a tutto ciò che richiede necessariamente l’attivazione dello Spid: se non cediamo parzialmente i nostri dati non possiamo accedere al fascicolo elettronico e ad altri documenti e servizi. D’altra parte, va anche evitato che la tecnologia (o meglio, in un contesto digitale la sua mancata conoscenza) determini distinzioni tra cittadini di serie a e serie B, ovvero che il digital divide impedisca ad alcuni di godere dei diritti di cui godono gli altri. Come pure che, per timore di sottostare a un controllo pervasivo, aumenti nelle città il Chilling effect, ovvero la resistenza di coloro che, per non cedere dati personali, decidono di ritirarsi dalla vita comunitaria.

Come si fa? «In primo luogo dobbiamo guardare alla base giuridica del Gdpr (il regolamento europeo sui dati, ndr)» ha detto Pollicino, «che enuncia: i dati sono tutelati e personali se riferibili univocamente a un individuo. Il che in nuce contiene un tentativo di andare oltre il dato personale. Questo vuol dire che è necessaria un’anonimizzazione dei dati, che porti le autorità cittadini a elaborare un idealtipo che risponde alle preferenze dei cittadini su cui costruire servizi ad hoc. La condizione per arrivare fin qui, però, è che vi sia molta attenzione all’irreversibilità del processo e che dal dato anonimo non si possa tornare a individuare l’utente» ha sottolineato Pollicino.

Siamo sicuri che i cosiddetti idealtipi restino tali, invece, quando a raccogliere i dati sono soggetti privati o un partenariato tra pubblico e privato? «Ove possibile, è auspicabile che si applichi il principio di privacy by design e privacy by default, un approccio concettuale innovativo che impone alle aziende l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti e le corrette impostazioni a tutela dei dati personali» ha detto Pollicino.
Ma questo approccio è applicabile solo ex ante, secondo Pollicino, e non sempre questo si verifica in una città.

Quando si tratta di regolamentare sistemi di raccolta e trattamento dati che già sono in uso, i titolari dei dati devono garantirne trasparenza, sicurezza ed effettuare valutazioni d’impatto sui potenziali rischi associati all’uso della tecnologia proposta adottando adeguate misure tecniche e organizzative in grado di preservare la riservatezza, la disponibilità e l’integrità dei dati raccolti. Finora, come segnala uno studio della G20 Global Smart City Alliance, un gruppo di esperti del settore smart city, la maggior parte delle città interpellato per mappare il tema non ha implementato un piano per la sicurezza informatica aggiornato e non ha nominato esperti in materia. Inoltre, pur essendo l’80% delle città intervistate consapevoli degli obblighi legali in materia di protezione dei dati personali, solo meno del 25% conduce effettivamente delle valutazioni d’impatto a fronte dell’implementazione di nuove tecnologie, creando così incertezza nei cittadini circa le modalità e la tutela dei propri dati personali, di cui restano oscure e poco trasparenti le relative modalità di trattamento.

La principale sfida che dovrà affrontare il legislatore europeo dunque equivarrà ad accertarsi che lo sviluppo delle tecnologia includa tutti gli interessi in gioco, favorisca lo scambio di informazioni tra sistemi di governance toccati dalla rivoluzione digitale e preveda la collaborazione tra attori pubblici e privati. Occorre agire da subito, però, perché gli sviluppi tecnologici sono più veloci dei legislatori. E solo accelerando verso linee guida europee, per riprendere une citazione dell’architetto Richard Fuller, diventeremo costruttori, e non vittime, del futuro.