09.01. La rilevanza sociale delle platform: una storia americana [DEMO]

Tutti i capitoli inclusi nell'abbonamento

Nel 2019 un giovane professore statunitense di cybersecurity law, Jeff Kosseff, ha pubblicato un saggio dal titolo suggestivo: “The Twenty-Six Words that Created the Internet” (“Le ventisei parole che hanno creato Internet

Cfr. i considerando C26, C27, C30. ↑

).

Ebbene, le ventisei parole in questione – più che aver creato Internet in senso letterale

Gli indirizzi IP sono stati qualificati dati personali dalla Corte di Giustizia dell'Unione Europea nella sentenza Patrick Breyer, causa C-582/2014. L'indirizzo IP è un'etichetta numerica che identifica univocamente un dispositivo detto host collegato a una rete informatica che utilizza internet come protocollo di rete. ↑

–, hanno permesso ad alcuni soggetti di acquisire un enorme – prevedibile

L'art. 4 del GDPR preannuncia, indicandole, le categorie particolari di dati: quali i dati genetici, biomedici e relativi alla salute. Compare il concetto di «pseudonimizzazione» quale necessaria procedura di trattamento dei dati che, di fatto, impedisce di attribuirli «ad un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile» (cfr. C26, C28, C29). ↑

potere sul web mediante la gestione delle piattaforme (degli Internet Service Providers) che oggi conosciamo e (ci) siamo “costretti” ad usare quotidianamente soprattutto quali c.d. content provider (ossia come inserzionisti o creatori di contenuti digitali).

Ciò è accaduto facendo sì che nessun fornitore e nessun utilizzatore di servizi Internet potesse considerarsi responsabile, come editore o autore, di una qualsiasi informazione inserita sul web da parte di terzi poiché, infatti, le citate ventisei parole lo hanno impedito prevedendo testualmente che: «No provider or user of an interactive computer service shall be treated as the publisher or speaker of any information provided by another information content provider»

Quando da un dispositivo (computer, tablet, telefonino) si accede ad una c.d. pagina web si lascia una traccia dell'accesso effettuato che consente di identificare l'indirizzo IP del terminale, orario e tempo di frequenza della pagina, il browser usato dall'utente navigante, il tipo di terminale utilizzato per l'accesso ed il sistema operativo che lo stesso ha. Tali tracce si possono raccogliere mediante i c.d. cookies. ↑

.

Si tratta di un breve inciso che potrebbe dire poco. Eppure, se volessimo paragonare Internet ad un vasto sistema di strade cittadine, esso darebbe la metaforica possibilità ad ognuno di noi di percorrerle con mezzi veloci e gratuiti, senza alcun limite o specifica regola di modo resa realmente applicabile dalle istituzioni.

E' stato il legislatore statunitense degli anni 90 che ha voluto assicurare la possibilità di immettere sulle web platform contenuti di “terze partipressoché di ogni tipo

In realtà è lo stesso GDPR che, in alcuni suoi considerando, utilizza ancora la nota parola «sensibili» riferendosi a certi dati personali di cui, oggi, alle categorie particolari ex art. 9 del medesimo GDPR. ↑

senza attribuire responsabilità ai gestori delle stesse, i quali, perciò, hanno avuto gioco facile a consolidare in pochi anni – ossia dal 1993 al 2004 circa – l’intrapresa colonizzazione della c.d. “Infosfera

C37 della Direttiva UE 680/2016: «Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Tra tali dati personali dovrebbero essere compresi anche i dati personali che rivelano l'origine razziale o etnica, essendo inteso che l'utilizzo dei termini «origine razziale» nella presente direttiva non implica l'accettazione da parte dell'Unione di teorie che tentano di dimostrare l'esistenza di razze umane distinte. Detti dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia soggetto a garanzie adeguate per i diritti e le libertà dell'interessato stabilite per legge e non sia autorizzato in casi consentiti dalla legge; se non già autorizzato per legge, salvo che non sia necessario per salvaguardare un interesse vitale dell'interessato o di un'altra persona; o riguardi dati resi manifestamente pubblici dall'interessato. Garanzie adeguate per i diritti e le libertà dell'interessato potrebbero comprendere la possibilità di raccogliere tali dati unicamente in connessione con altri dati relativi alla persona fisica interessata, la possibilità di provvedere adeguatamente alla sicurezza dei dati raccolti, norme più severe riguardo all'accesso ai dati da parte del personale dell'autorità competente e il divieto di trasmissione di tali dati. Il trattamento di tali dati dovrebbe inoltre essere autorizzato per legge qualora l'interessato abbia esplicitamente dato il proprio consenso al trattamento che sia particolarmente invasivo per questi. Il consenso dell'interessato non dovrebbe tuttavia costituire di per sé la base giuridica per il trattamento di tali dati personali sensibili da parte delle autorità competenti». ↑

 (o spazio cibernetico), sino a diventarne i percepiti “dominanti padroni”.

Nello specifico è la “Sezione 230” del Titolo 47 dello “United States Communications Decency Act

Al proposito non è dato comprendere il singolare motivo in base al quale alcuni primi commentatori della normativa, post entrata in vigore e, poi, in applicabilità del GDPR, abbiano sostenuto (e pure con un certo fervore) che, ad esempio, i dati afferenti alla salute non si sarebbero più potuti chiamare sensibili ma esclusivamente di natura particolare quando, per contro, sia nel GDPR che nella DPDPG il termine “dati sensibili” è utilizzato parecchie volte (si confronti, ad esempio, il considerando n. 37 della DPDPG), e ciò unitamente al concetto ben predicato dalla normativa circa l’uso di terminologia il più possibile colloquiale, chiara, comprensibile e, dunque, che fosse già nota alla collettività. ↑

che, dal 1996, in omaggio alla libertà di parola e, quindi, di espressione del pensiero – quali principi “sacri” in nord America e, infatti, inseriti nel primo emendamento della Costituzione USA

Linea guida 2/2019 sul trattamento di dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati. ↑

ha deresponsabilizzato gli Internet service provider.

Gli USA si sono limitati a considerare l’ascesa del nuovo eco-sistema cibernetico quale opportunità generale, utile a tutti i consociati per esprimersi e comunicare in maggiore libertà: o almeno questa è stata la narrazione ufficiale che, astrattamente, è sembrata e potrebbe ad oggi apparire nobile, nonché da difendere con fermezza

Come già affermato dal Gruppo di lavoro «Articolo 29»: La finalità della raccolta deve essere indicata in maniera chiara e specifica: deve essere sufficientemente dettagliata da consentire di stabilire quale tipo di trattamento è incluso nella finalità specifica e quale no, nonché da consentire di valutare il rispetto della legge e l’applicazione delle garanzie in materia di protezione dei dati. ↑

.

Del resto, risultò da subito arduo considerare le “social web platforms

Gruppo di lavoro «Articolo 29», Working Party Opinion 03/2013 on purpose limitation (Parere 03/2013 sulla limitazione delle finalità, WP203), pagg. 15 e 16 (versione inglese). ↑

” al pari d'una testata giornalistica: il confronto è sembrato improponibile e, perciò, se l’editore di un qualsiasi giornale occidentale è rimasto responsabile per i contenuti presenti sulla sua testata giornalistica analogica o digitale, i gestori delle piattaforme web, da allora, non lo sarebbero stati pressoché mai, poiché da considerarsi meri distributori di contenuti immessi da altri.

Affatto “poca cosa” venne, dunque, in tal modo, prevista: soprattutto in quei primi anni di “colonizzazione selvaggia” che ha permesso a pochi di acquisire una posizione dominante nell’Infosfera ‘‘virtuale’’, mantenerla e, oggi, come tenteremo di argomentare, proteggerla in un gioco di equilibrio geopolitico il cui baricentro poggia ancora sul Congresso federale degli Stati Uniti e sulle direzioni delle principali agenzie governative statunitensi, Pentagono compreso.

In tale scenario, come vedremo meglio in seguito, i dati personali assumono un valore cruciale.