"Esistere" non è un data breach. Riflessioni sul dato manifestamente pubblico.
Sono tornato al mare, al mio mare, e, a distanza di un anno, ho incontrato persone che conoscevo e che sono cambiate rispetto all'immagine e al ricordo che ne conservavo nella memoria. In particolare mi ha colpito un amico che, non so per quale malattia, da sportivo atletico e tatuato ironman è diventato, purtroppo, uno dei tanti flagellati dalla sorte che fanno fatica ad allacciarsi le scarpe o bere da un bicchiere.
La mente si è subito intasata di pensieri e, tra questi, uno riguarda la privacy... e mi trovo a riflettere su un aspetto, magari marginale, ma rilevante quando ti scopri a vivere nell'imbarazzo costante e nel disagio incolpevole di una malattia visibile a tutti.
Mi chiedo quanto la sua voglia di uscire di casa, di guardare il mare, di continuare a vivere una vita libera possa essere mal interpretato e confuso con una ipotetica volontà di manifestare pubblicamente un dato personale: la sua malattia. Come può essere confuso con un "consenso" all'uso del dato che tutti vedono? Come si può pensare che ciò che è manifestamente pubblico sia anche esente dai vincoli che la normativa impone per trattare un dato, specialmente se il dato è così sensibile e particolare?
Nel GDPR c'è un passaggio che mi impensierisce: i dati particolari (cioè i dati sensibili) possono essere trattati se sono "resi manifestamente pubblici dall'interessato".
È una follia applicare questo concetto al mio amico. È ripugnante che qualcuno possa pensare di leggere la norma in tal senso e possa interpretare in modo così capzioso la mera esistenza di una persona.
Non sono impazzito e la questione non è peregrina e da anni questo accade impunemente. Fin dai tempi del telefono a rotella, gli elenchi pubblici sono stati utilizzati per proporre enciclopedie, investimenti, prodotti di ogni tipo. Quegli elenchi, bianchi o gialli, erano raccolti e pubblicati per permettere a amici e parenti di trovarsi o affinché le aziende potessero essere contattate dai possibili clienti. Solo la fantasia e la malizia umana hanno permesso di "reinterpretare" l'uso corretto del dato invertendone la finalità.
Più tardi, i siti web sono stati "fraintesi" nello stesso modo, e con tecnologie più raffinate. Sono stati creati web crawler in grado di scandagliare quantità gigantesche di siti web e raccogliere indirizzi e dati da usare per qualsiasi possibile finalità e senza troppi scrupoli. ...tanto sono pubblici!
E ancora, sono serviti specifici interventi del garante per impedire che venissero usate le anagrafi (quella delle persone, il PRA, il catasto, gli albi pretori) per usi distorti e decisamente lontani dalla finalità della pubblicazione del dato originario.
Le cronache sono piene di "interpreti" dello stato di salute di personaggi famosi. Sono note le diagnosi a distanza, basate su fotografie, della malattia di Steve Jobs; sono numerosi i profili psico-patologici di Donald Trump; si parla molto in questi giorni del lungo segreto sulla malattia di Sergio Marchionne e in molti non digeriscono il fatto che nessuno si sia accorto di nulla e che l'informazione non sia stata resa nota. Resa nota? Forse, il fatto che non si potesse intuire nulla dalle pubbliche apparizioni ha destabilizzato chi era abituato ad utilizzare senza troppi scrupoli i dati maliziosamente ritenuti "manifestamente resi pubblici".
Con occhi onesti, è impossibile giustificare abusi simili e il buonsenso suggerisce che questi comportamenti non siano limpidi. La norma, tuttavia, è sempre rimasta un passo indietro rispetto alla fantasia e sono stati necessari interventi specifici del Garante per limitare gli abusi.
Il GDPR ha un approccio differente e riesce, senza bisogno di interpretazioni o adattamenti, a disciplinare e limitare questi abusi... ma quello strano comma è troppo facile da fraintendere per chi ha così tanti anni di esperienza nel fraintendere norme e nello stiracchiare giustificazioni poco plausibili...
Credo che ci sia un'ipocrisia di fondo nel voler leggere ciò che è visibile sotto la luce del sole come pubblico e disponibile, come se ci fosse una manifestazione esplicita e consenziente di un dato riservato. Non è lecito pretendere che la protezione del dato debba richiedere la sua segretezza. Non è giusto che una persona debba chiudersi in casa per non rendere visibile al mondo ciò che, agli occhi di tutti, è comprensibile con uno sguardo.
Personalmente vedo un abisso tra il fatto di andare ad una manifestazione di piazza imbracciando una bandiera e il semplice fatto di esistere mostrandosi al mondo.
Il GDPR, letto con onestà, non ci autorizza a considerare come manifestamente pubblico tutto ciò che è visibile e non ci autorizza a fare qualsiasi cosa con un dato pubblicamente visibile. Forse è necessario rileggere quell'articolo del GDPR con la stessa logica che applichiamo al consenso: forse bisogna essere certi che chi rende manifesto un dato, lo faccia in modo attivo, volontario, consapevole, libero, specifico, inequivocabile, per una finalità chiaramente individuata e condivisa.
Rivedo il mio amico e penso che, in caso contrario, mancherebbe qualcosa: la legittimazione all'utilizzo di quel dato.
Fino a che punto è una manifestazione pubblica del proprio pensiero il rifiuto di parlare al citofono con un fedele che predica casa per casa il proprio credo? Questo comportamento potrà legittimare una mappatura della città segnando gli indirizzi ostili e quelli affini al suo pensiero? Anche senza scomodare le recenti sentenze sui testimoni di Geova, penso che la trasparenza richiamata dal GDPR contenga già la risposta.
Decisamente non si può dire che ciò che avviene alla luce del sole sia una manifestazione volontaria di un dato personale e del implicito consenso all'uso che chiunque possa fare di quella informazione.
Decisamente nessuna norma chiede alle persone di limitare alla sfera più privata il proprio comportamento libero, anzi, semmai è vero il contrario.
È molto più corretto entrare nell'ordine di idee opposto: la norma oggi garantisce alle persone di poter vivere serenamente, alla luce del sole, sapendo di godere di una tutela forte che garantisce loro che le informazioni colte da ogni osservatore non possono essere utilizzate in modo malizioso.
Forse è poco evidente, ma la libertà richiede questo tipo di protezione del dato e delle persone. Senza questa tutela, non potremmo andare ad una messa, mandare i bambini all'oratorio, leggere un certo giornale seduti al parco, ascoltare una certa canzone, andare in vacanza in un certo periodo dell'anno, digiunare dall'alba al tramonto, utilizzare un copricapo particolare, prendere il sole mostrando un tatuaggio evocativo... non potremmo cercare di vivere la propria vita alla luce del sole, combattendo un dolore o una malattia.
CB.