Convegno La sicurezza e il diritto, 23-25 Novembre 2016, Ravenna – Relazione su “La protezione dell’identità del minore nella società dell’informazione”

Nell’ambito del Corso di Studio Magistrale in Giurisprudenza Campus di Ravenna è stato organizzato il Convegno “La sicurezza e il diritto: Prospettive multidisciplinari di un concetto in evoluzione”.

In questo ambito in particolare si è tenuta una sezione dedicata a “La sicurezza nell’universo virtuale” nella quale ho avuto l’onore di presentare una relazione dal titolo “La protezione dell’identità del minore nella società dell’informazione“.

Link al Programma del Convegno

Di seguito il testo della mia relazione.

Per quanto concerne la mia relazione, occorre in primis una necessaria puntualizzazione, anche per circoscrivere il tema del mio intervento.

Laddove mi riferisco al concetto di IDENTITÀ intendo fare riferimento a quello più ridotto di IDENTITÀ PERSONALE e, nel caso specifico, nella sua doppia accezione di IDENTITÀ PERSONALE e di IDENTITÀ DIGITALE.

La “multidisciplinarietà” che evoca il titolo del convegno mi agevola poi nel sottolineare che, anche rimanendo nell’alveo del solo Diritto, non esiste una definizione univoca di IDENTITÀ PERSONALE e nemmeno una definizione univoca di IDENTITÀ DIGITALE.

Se poi si considera che al fine di una definizione giuridica compiuta di questo concetto occorre affondare le radici nella filosofia, nella filosofia del diritto, nella sociologia, nella psicologia sociale, nella storia delle idee, nell’informatica, etc., diviene evidente come sia molto facile cadere in analisi superficiali e/o a-tecniche rispetto al settore che si assume come punto di riferimento.

Per adesso questo problema definitorio possiamo permetterci di accantonarlo, e, prima di scegliere la caratterizzazione del termine più adeguata all’indagine, è necessario soffermarsi sul secondo elemento che specifica questa relazione e cioè quello di “Società dell’informazione”.

Oggi possiamo parlare di società dell’informazione o ancora più correttamente di società dei dati, e ciò a significare che tutto il nostro interagire online e offline è codificabile in dati in quanto mediato e quindi digitalizzato tramite strumenti tecnologici.

La nostra interazione con strumenti online genera dunque dati.

Ma lo stesso può dirsi per la nostra interazione offline che sempre più spesso è tracciata ed intercettata da strumenti tecnologici: il gps dell’auto, il traffico dati generato dagli elettrodomestici, il traffico dati generato dai dispositivi elettronici wearable o dalle etichette intelligenti, etc.

A supporto di questo passaggio vorrei portare due suggestioni che ci giungono dall’etica dell’informazione postulata da luciano floridi (filosofo dell’informazione e membro del Comitato consultivo per il diritto all’oblio di Google).

In primis la definizione di “INFOSFERA” e di “DIMENSIONE ONLIFE”.

E secondariamente la definizione della persona come “OGGETTO INFORMAZIONALE”.

In connessione a quest’ultima, il soggetto è ricondotto ad una propria struttura dati che ne costituisce la natura.

Per questo l’universo viene definito – sempre con le parole di Floridi – come INFOSFERA.

La struttura dati è poi generata dalle molteplici interazioni e interconnessioni. Quindi non solo fra soggetti ma anche fra dispositivi, come avviene ad esempio nell’ambito dell’IOT.

L’uomo di fatto viene ridotto ad un dispositivo fra tanti dispositivi in grado di generare dati. E esso stesso è considerato come un insieme di dati, una visura o visione dei propri dati.

Quindi il primo punto è che la persona è rappresentata dai propri dati – o per dirla con le parole di Rodotà “è i propri dati” – generati dentro e fuori dalla rete ma comunque interconnessi tra loro.

L’ “identità personale” quale oggetto informazionale, poi, agendo o anche solo esistendo, produce effetti che si possono ripercuotere nuovamente, non solo nella dimensione dei dati ma anche nella dimensione del corpo biologico (che possiamo contrapporre al “corpo elettronico”, citando nuovamente Rodotà e Marturano).

Il secondo punto è che il venire meno di questa barriera logico-giuridica fra elettronico e biologico, porta con sé molteplici aspetti dal punto di vista etico e giuridico del tutto peculiari.

Chiarito il contesto d’azione e i suoi confini evanescenti, ritorniamo al tema dell’identità DIGITALE e alle sue definizioni.

Il decreto legislativo 82/2005, all’art. 1, nel tentativo di mutuare nell’ordinamento italiano, il regolamento comunitario n. 910/2014, definisce l’IDENTITÀ DIGITALE come “la rappresentazione informatica della corrispondenza tra un utente e i suoi attributi identificativi, verificata attraverso l’insieme dei dati raccolti e registrati in forma digitale”.

Siamo nell’ambito del c.d. SPID, e cioè il c.d. Sistema Pubblico di Identità Digitale.

Sostanzialmente si tratta di un sistema che consente, anche ai minori, di accedere ai servizi, oggi della PA, domani anche dei Privati, tramite l’impiego di apposite credenziali di accesso, rilasciate dai c.d. identity provider.

In questa accezione sarebbe probabilmente stato più corretto adottare il termine di “IDENTIFICAZIONE DIGITALE”, in quanto lo SPID è appunto un sistema per l’accesso ai servizi previa identificazione informatica dell’utente.

Definizione che infatti ritroviamo proprio in questi termini nel citato regolamento eIDAS.

La giurisprudenza si è invece trovata ad affrontare il tema dell’identità digitale in due diverse tipologie di fattispecie.

Nel primo caso sotto l’aspetto del c.d. furto di identità, rientrando quindi in una definizione molto simile a quella dianzi tratteggiata per lo SPID e dunque come furto di credenziali di accesso ad un servizio.

Nel secondo caso la giurisprudenza si è misurata con questioni che maggiormente mettono in relazione il tema dell’identità digitale a quello del trattamento dei dati e dunque della creazione di un profilo o di una rappresentazione in rete della persona sulla base di dati disponibili sul medesimo soggetto.

È in questo solco che si collocano ad esempio pronunce in materia di diritto all’oblio, tutela della reputazione online, e, anche con la recente introduzione del regolamento 679/2016, la disciplina sulla profilazione, la normativa sul trattamento automatizzato dei dati, la salvaguardia da forme di discriminazione digitale, etc.

La Dichiarazione dei diritti in Internet del 14 luglio 2015 a tal proposito, al proprio articolo 9, ha distinto fra identità digitale, identità e identità in rete (indicato volutamente al plurale).

La definizione di identità digitale è di fatto riconducibile a quanto visto in materia di Spid e dunque ad un sistema di identificazione e di accesso a servizi.

Mentre con riferimento all’identità si è inteso fare riferimento alla “libera costruzione della personalità” rievocando le definizioni coniate dalla giurisprudenza in materia di identità personale.

Quello che ancora non ha incontrato la giurisprudenza, con particolare riguardo alla protezione del minore, e alla sua identità, è il ruolo che le tecnologie possono svolgere nella fase genitiva, di creazione, di determinazione – e dunque di orientamento – dell’identità personale del minore, e come, pertanto, lo stesso possa essere protetto e posto in una posizione di consapevolezza e di sicurezza.

Se la ragionassimo in termini di una ipotetica analisi dei rischi, potremmo indicare come RISCHI SPECIFICI:

  • i rischi di relazione
    1. e vi rientrano casi come il cyberbullismo, il cyberstalking, la sextorsion, etc.
  • i rischi di contenuto – che possono discendere dal materiale che può essere visionato online e che potrebbe non essere idoneo al minore
  • il rischio di essere influenzato dalle modalità di funzionamento degli algoritmi alla base dei diversi servizi e che sono in grado di incidere sulla libera determinazione, del minore che viene condotto in una sorta di mondo apparentemente libero ma in realtà predeterminato o predeterminabile, in una sorta di videogame o di giardino segreto. Si pensi alla filter bubble o alle note tecniche di design delle interfacce che sono in grado di orientare , in modo più o meno subdolo, le scelte del minore. Rodotà scrisse della c.d. “dittatura dell’algoritmo”
  • Collegato al rischio precedente c’è il rischio di subire discriminazioni proprio sulla base di queste elaborazioni digitali
  • Vi è poi il rischio di un eccesso di esposizione che il minore non è in grado di gestire e governare
    1. Perché l’interfaccia del servizio lo induce a esporsi
    2. Perché è portatore di un limite cognitivo fisiologico (la persona seleziona e rifiuta le informazioni) rispetto alla complessità di policy e contratti di servizio, dove l’impostazione prescelta dal fornitore del servizio è quella più garantista (per il medesimo) della massima informazione non mediata da un modello magari ispirato invece alla miglior comprensione
      Un esempio a tal proposito può essere individuato nella c.d. Cookie Law. L’obbligo informativo ivi prescritto, così come onorato, ha anestetizzato l’utente rispetto a quei contenuti che vengono ormai accettati senza alcun sindacato di merito.
      In argomento il GDPR ha dato ad esempio indicazioni sulla modalità di informativa tramite l’utilizzo di ICONE.

(*) Vella: Il diritto ci vuole considerare razionali, ma non lo siamo. Il diritto è una cosa troppo seria per lasciarlo alla sola ragione. V.: “Il Giudice Emotivo”, Il Mulino, 2016

  1. Infine l’eccesso di esposizione è agevolato anche dalla ignoranza del reale valore dei dati anche in termini commerciali.

Nella definizione dei rischi occorre poi tenere conto di due ulteriori elementi:

  • non corrisponde al vero che i nativi digitali siano degli abili informatici. Si tratta, infatti, molto spesso, di “acritici” spingitori di icone;
  • le caratteristiche che tali rischi hanno, ed in particolare l’enorme cassa di risonanza rappresentata dal web e la permanenza nel tempo dei dati prodotti e condivisi, nonché la difficoltà (rectius: impossibilità) di rimuovere tali contenuti (pur non trattandosi di un minore è recente il caso di Tiziana Cantone)

Occorre ora soffermarsi sulle forme di protezione per fronteggiare i rischi indicati.

Certamente larga parte dei rischi tracciati potrebbe trovare una contromisura nella disciplina in materia di trattamento dei dati personali e nella normativa a tutela del consumatore.

In particolare tutte quelle disposizioni che prescrivono l’assolvimento di taluni obblighi informativi.

D’altra parte proprio a tal riguardo occorre richiamare quel limite cognitivo dianzi citato che si frappone come un ostacolo fra la forma e la sostanza della tutela.

Il legislatore e la politica si stanno muovendo su un doppio piano di azione.

Quello normativo con il DDL Ferrara sul Cyberbullismo (n. 3139, ora al Senato) e con le recenti modifiche al decreto legislativo n. 82/2005 apportate dal decreto legislativo n. 179/2016.

Quello strategico sull’ambito formativo con il decreto sulla “buona scuola” e il piano nazionale scuola digitale (PNSD).

A questi si possono poi aggiungere i c.d. codici di autoregolamentazione quali in particolare quello promosso nel 2003 in seno al Ministro innovazione e tecnologie e quello promosso in seno al Ministero dello Sviluppo Economico nel 2014.

Con riferimento al DDL Ferrara, peraltro oggetto di molte critiche, si occupa di sanzionare condotte di bullismo e cyberbullismo, non solo nei confronti di minori, definendo procedimenti di gestione e contenimento delle conseguenze degli atti illeciti, coinvolgendo a tal proposito anche il Garante per la protezione dei dati personali e al contempo riconoscendo alla Scuola un ruolo centrale nella persona del Dirigente e della costituenda figura del “Referente scolastico per la prevenzione ed il contrasto del bullismo e del cyberbullismo” e prevedendo altresì un percorso insieme alla famiglia. Lo stesso prevede inoltre un coinvolgimento diretto da parte del Gestore del Sito Internet, dei social media, dei servizi di messaggistica e di altri servizi online, il quale potrà essere chiamato a rimuovere determinati contenuti entro un termine di 24h.

Nel medesimo DDL a tal proposito è prevista anche la predisposizione di un codice di regolamentazione per la prevenzione e il contrasto del cyberbullismo a cui dovranno attenersi gli operatori che forniscono servizi online.

Da ultimo il DDL prevede che i regolamenti delle istituzioni scolastiche e il patto educativo di corresponsabilità scuola-famiglia siano integrati con specifici riferimenti a condotte di bullismo e cyberbullismo e relative sanzioni disciplinari.

Il decreto legislativo n. 82/2005 nelle recenti modifiche allo stesso apportate dal decreto legislativo n. 179/2016 ha previsto che il minore debba essere oggetto di un’azione formativa specifica sui temi informatico-giuridici, anticipando quindi la protezione dalle misure sanzionatorie alle politiche preventive.

Nel medesimo solco si colloca anche il “piano nazionale scuola digitale” e la riforma sulla “Buona scuola”. In particolare laddove, fra le misure attuative, prospetta la realizzazione di curriculi che prevedono di affrontare temi quali:

  • diritti in rete,
  • educazioni ai media,
  • educazione all’informazione,
  • big e open data, nell’ottica della partecipazione

Il limite di questo piano è che lo stesso pare demandare a progettualità locali, l’attuazione dei curriculi, prestando così il fianco a criticità quali:

  • zone geografiche che non faranno nulla
  • progetti parziali, incompleti, monotematici
  • discontinuità dell’azione, dovuta a buchi temporali intercorrenti tra un progetto e l’altro
  • tempi attuativi incompatibili con i tempi della vita, in particolare della vita online

E dunque si tratterà di una iniziativa (temo) costosa, non sistemica e inadeguata che non potrà e non riuscirà a entrare nella routine e nella cultura.

La Dichiarazione dei diritti in Internet, ancora, dispone in un suo passaggio molto importante che i diritti fondamentali di ogni persona – che ovviamente devono essere garantiti – debbano essere “interpretati in modo da assicurare l’effettività nella dimensione della rete”.

Tale disposizione va letta anche alla luce di quel GAP cognitivo cui ho già fatto riferimento.

Gap del quale si occupano poi, tra gli altri, gli articoli 3 e 12.

L’art. 3 laddove riconosce il “diritto alla conoscenza e alla educazione in rete” e l’art. 12 laddove riconosce taluni “diritti e garanzie delle persone sulle piattaforme”.

Da ultimo la Dichiarazione dei diritti in Internet , nell’ottica della protezione dell’identità della persona, riconosce agli articoli 5 e 6, il c.d. diritto all’autodeterminazione e all’autodeterminazione informativa, inteso come il diritto della persona a conoscere i propri dati, le modalità di elaborazione degli stessi e gli esiti cui queste elaborazioni giungono, in quanto tali dati, tali profili, tali proiezioni, lo rappresentano.

In conclusione la protezione dell’identità del minore in rete al fine di essere effettiva ed efficace richiederebbe:

  • misure di privacy by default e di privacy by design effettive ed efficaci;
  • obblighi informativi chiari e soprattutto che privilegino l’effettiva conoscenza da parte della persona;
  • la previsione di attività formative sistematiche e permanenti in capo alle strutture preposte all’istruzione e quindi la scuola;
  • la prescrizione di diritti con corrispondenti doveri e sanzioni effettive proporzionate.

La sicurezza va costruita perché ripristinarla in questo ambito è estremamente complesso e soprattutto non è indolore.

In termini etici e politici i principi sono stati tracciati.

Ora al legislatore spetta il compito di attuarli e di dar loro effettività.

Non solo con misure ex post ma al contrario con misure ex ante e preventive proprio alla luce del fatto che i danni procurati tramite i bit non sono facilmente rimediabili e, soprattutto, con riguardo al minore, possono produrre conseguenze gravi ed irreversibili.

Grazie.

MM

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *