09.01. La rilevanza sociale delle platform: una storia americana [DEMO]

Tutti i capitoli inclusi nell'abbonamento

Nel 2019 un giovane professore statunitense di cybersecurity law, Jeff Kosseff, ha pubblicato un saggio dal titolo suggestivo: “The Twenty-Six Words that Created the Internet” (“Le ventisei parole che hanno creato Internet

Quando da un dispositivo (computer, tablet, telefonino) si accede ad una c.d. pagina web si lascia una traccia dell'accesso effettuato che consente di identificare l'indirizzo IP del terminale, orario e tempo di frequenza della pagina, il browser usato dall'utente navigante, il tipo di terminale utilizzato per l'accesso ed il sistema operativo che lo stesso ha. Tali tracce si possono raccogliere mediante i c.d. cookies. ↑

).

Ebbene, le ventisei parole in questione – più che aver creato Internet in senso letterale

In realtà è lo stesso GDPR che, in alcuni suoi considerando, utilizza ancora la nota parola «sensibili» riferendosi a certi dati personali di cui, oggi, alle categorie particolari ex art. 9 del medesimo GDPR. ↑

–, hanno permesso ad alcuni soggetti di acquisire un enorme – prevedibile

C37 della Direttiva UE 680/2016: «Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Tra tali dati personali dovrebbero essere compresi anche i dati personali che rivelano l'origine razziale o etnica, essendo inteso che l'utilizzo dei termini «origine razziale» nella presente direttiva non implica l'accettazione da parte dell'Unione di teorie che tentano di dimostrare l'esistenza di razze umane distinte. Detti dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia soggetto a garanzie adeguate per i diritti e le libertà dell'interessato stabilite per legge e non sia autorizzato in casi consentiti dalla legge; se non già autorizzato per legge, salvo che non sia necessario per salvaguardare un interesse vitale dell'interessato o di un'altra persona; o riguardi dati resi manifestamente pubblici dall'interessato. Garanzie adeguate per i diritti e le libertà dell'interessato potrebbero comprendere la possibilità di raccogliere tali dati unicamente in connessione con altri dati relativi alla persona fisica interessata, la possibilità di provvedere adeguatamente alla sicurezza dei dati raccolti, norme più severe riguardo all'accesso ai dati da parte del personale dell'autorità competente e il divieto di trasmissione di tali dati. Il trattamento di tali dati dovrebbe inoltre essere autorizzato per legge qualora l'interessato abbia esplicitamente dato il proprio consenso al trattamento che sia particolarmente invasivo per questi. Il consenso dell'interessato non dovrebbe tuttavia costituire di per sé la base giuridica per il trattamento di tali dati personali sensibili da parte delle autorità competenti». ↑

potere sul web mediante la gestione delle piattaforme (degli Internet Service Providers) che oggi conosciamo e (ci) siamo “costretti” ad usare quotidianamente soprattutto quali c.d. content provider (ossia come inserzionisti o creatori di contenuti digitali).

Ciò è accaduto facendo sì che nessun fornitore e nessun utilizzatore di servizi Internet potesse considerarsi responsabile, come editore o autore, di una qualsiasi informazione inserita sul web da parte di terzi poiché, infatti, le citate ventisei parole lo hanno impedito prevedendo testualmente che: «No provider or user of an interactive computer service shall be treated as the publisher or speaker of any information provided by another information content provider»

Al proposito non è dato comprendere il singolare motivo in base al quale alcuni primi commentatori della normativa, post entrata in vigore e, poi, in applicabilità del GDPR, abbiano sostenuto (e pure con un certo fervore) che, ad esempio, i dati afferenti alla salute non si sarebbero più potuti chiamare sensibili ma esclusivamente di natura particolare quando, per contro, sia nel GDPR che nella DPDPG il termine “dati sensibili” è utilizzato parecchie volte (si confronti, ad esempio, il considerando n. 37 della DPDPG), e ciò unitamente al concetto ben predicato dalla normativa circa l’uso di terminologia il più possibile colloquiale, chiara, comprensibile e, dunque, che fosse già nota alla collettività. ↑

.

Si tratta di un breve inciso che potrebbe dire poco. Eppure, se volessimo paragonare Internet ad un vasto sistema di strade cittadine, esso darebbe la metaforica possibilità ad ognuno di noi di percorrerle con mezzi veloci e gratuiti, senza alcun limite o specifica regola di modo resa realmente applicabile dalle istituzioni.

E' stato il legislatore statunitense degli anni 90 che ha voluto assicurare la possibilità di immettere sulle web platform contenuti di “terze partipressoché di ogni tipo

Linea guida 2/2019 sul trattamento di dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati. ↑

senza attribuire responsabilità ai gestori delle stesse, i quali, perciò, hanno avuto gioco facile a consolidare in pochi anni – ossia dal 1993 al 2004 circa – l’intrapresa colonizzazione della c.d. “Infosfera

Come già affermato dal Gruppo di lavoro «Articolo 29»: La finalità della raccolta deve essere indicata in maniera chiara e specifica: deve essere sufficientemente dettagliata da consentire di stabilire quale tipo di trattamento è incluso nella finalità specifica e quale no, nonché da consentire di valutare il rispetto della legge e l’applicazione delle garanzie in materia di protezione dei dati. ↑

(o spazio cibernetico), sino a diventarne i percepiti “dominanti padroni”.

Nello specifico è la “Sezione 230” del Titolo 47 dello “United States Communications Decency Act

Gruppo di lavoro «Articolo 29», Working Party Opinion 03/2013 on purpose limitation (Parere 03/2013 sulla limitazione delle finalità, WP203), pagg. 15 e 16 (versione inglese). ↑

che, dal 1996, in omaggio alla libertà di parola e, quindi, di espressione del pensiero – quali principi “sacri” in nord America e, infatti, inseriti nel primo emendamento della Costituzione USA

Quando i titolari del trattamento si apprestano a individuare la base giuridica appropriata in linea con il principio di correttezza, troveranno difficile conseguire tale risultato se non hanno innanzitutto individuato chiaramente le finalità del trattamento oppure se il trattamento di dati personali va al di là di quanto necessario per le finalità specificate. ↑

ha deresponsabilizzato gli Internet service provider.

Gli USA si sono limitati a considerare l’ascesa del nuovo eco-sistema cibernetico quale opportunità generale, utile a tutti i consociati per esprimersi e comunicare in maggiore libertà: o almeno questa è stata la narrazione ufficiale che, astrattamente, è sembrata e potrebbe ad oggi apparire nobile, nonché da difendere con fermezza

Cfr. Gruppo di lavoro «Articolo 29», Linee guida sul consenso ai sensi del regolamento (UE) 2016/679 (WP259), approvate dal comitato europeo per la protezione dei dati, pag. 22. ↑

.

Del resto, risultò da subito arduo considerare le “social web platforms

Il comitato europeo per la protezione dei dati avalla gli orientamenti precedentemente adottati dal Gruppo di lavoro «Articolo 29» sulla disposizione equivalente di cui alla precedente direttiva, secondo la quale la nozione di «necessario all’esecuzione di un contratto stipulato con l’interessato»: [...] deve essere interpretata rigorosamente e non contempla le situazioni in cui il trattamento non è effettivamente necessario all’esecuzione di un contratto, bensì imposto unilateralmente all’interessato dal [titolare] del trattamento. Inoltre, il fatto che alcuni trattamenti di dati siano coperti da un contratto non significa automaticamente che tali trattamenti siano necessari alla sua esecuzione. […] Anche se tali attività di trattamento sono espressamente menzionate in caratteri minuscoli nel contratto, questo fatto, da solo, non le rende «necessarie» all’esecuzione del contratto (WP29, Parere 6/2014 sul concetto di interesse legittimo del titolare del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE - WP217, pag. 20). ↑

” al pari d'una testata giornalistica: il confronto è sembrato improponibile e, perciò, se l’editore di un qualsiasi giornale occidentale è rimasto responsabile per i contenuti presenti sulla sua testata giornalistica analogica o digitale, i gestori delle piattaforme web, da allora, non lo sarebbero stati pressoché mai, poiché da considerarsi meri distributori di contenuti immessi da altri.

Affatto “poca cosa” venne, dunque, in tal modo, prevista: soprattutto in quei primi anni di “colonizzazione selvaggia” che ha permesso a pochi di acquisire una posizione dominante nell’Infosfera ‘‘virtuale’’, mantenerla e, oggi, come tenteremo di argomentare, proteggerla in un gioco di equilibrio geopolitico il cui baricentro poggia ancora sul Congresso federale degli Stati Uniti e sulle direzioni delle principali agenzie governative statunitensi, Pentagono compreso.

In tale scenario, come vedremo meglio in seguito, i dati personali assumono un valore cruciale.