La sentenza Dobbs contro Jackson è un pasticcio per la privacy

Image of Carlo Cilento

Pubblicato il 29 ago 2023 e modificato il 13 set 2023 da Carlo Cilento

L'anno scorso la sentenza Dobbs contro Jackson della Corte Suprema ha segnato un drastico cambiamento nel diritto costituzionale degli Stati Uniti per quanto riguarda il diritto all'aborto.

La decisione in sé ha avuto un'ampia copertura mediatica in tutto il mondo, ma la crisi della privacy che ha scatenato è passata inosservata al di fuori degli Stati Uniti. Ecco quindi cosa sta succedendo negli Stati Uniti dopo la sentenza Dobbs v. Jackson e cosa può imparare l'UE.

  1. Premessa
  2. Dobbs v. Jackson è una crisi della privacy
  3. Le Big Tech non aiutano
  4. L'HIPAA non è sufficiente
  5. Cosa stanno facendo gli Stati Uniti per limitare i danni?
  6. Cosa può imparare l'Europa da questa crisi della privacy?
    1. I "dati sanitari" sono una categoria ampia
    2. La privacy by design deve essere applicata meglio
    3. I dati di localizzazione sono più pericolosi di quanto si pensi
    4. Riflessioni finali

Premessa

Il 24 giugno 2022 la Corte Suprema degli Stati Uniti ha deciso il caso Dobbs v. Jackson. In questo modo, ha rovesciato Roe vs. Wade, un precedente del 1973 che proteggeva il diritto all'aborto negli Stati Uniti. Come risultato di Dobbs, la Corte ora ritiene che la Costituzione degli Stati Uniti non protegga il diritto all'aborto e che gli Stati siano liberi di regolamentare la materia a loro piacimento.

La controversa sentenza ha aperto le porte a un'ondata di leggi anti-aborto negli Stati conservatori**.** A un anno dalla decisione, circa la metà degli Stati ha leggi che limitano o vietano l'aborto e, in alcuni casi, criminalizzano chi cerca di abortire e chi fornisce aiuto.

La decisione è stata aspramente criticata dai governi, dalle organizzazioni internazionali e da molte voci del mondo accademico e della società civile. Una lettera firmata da quasi 200 ONG sottolinea il duro impatto di Dobbs sui diritti delle donne e sull'autonomia corporea, nonché il suo impatto sproporzionato su comunità già svantaggiate.

Dobbs v. Jackson è una crisi della privacy

La sentenza Dobbs v. Jackson ha inferto un duro colpo ai diritti e all'autonomia delle donne e ha dato il via a una crisi della privacy su vasta scala.

Le forze dell'ordine degli Stati conservatori stanno attualmente utilizzando le impronte digitali delle donne per perseguire chi chiede l'aborto, compresi i dati di localizzazione, le ricerche su Google e le chat con i membri della famiglia. I dati delle donne vengono raccolti attraverso un mandato o semplicemente acquistati sul mercato, il che è fin troppo comodo e non richiede il coinvolgimento di un tribunale. Anche i civili a volte acquistano questi dati per denunciare alle autorità chi cerca di abortire, per incassare le taglie offerte da alcuni Stati.

Come è possibile una crisi della privacy così drammatica in un Paese del primo mondo?

Una questione fondamentale è che gli Stati Uniti non hanno una legge federale sulla protezione dei dati, ma solo leggi per settori specifici come la sanità e la finanza, oltre a leggi statali come la CCPA della California e la CPA del Colorado. È stata proposta una legge federale sulla privacy (l'American Data Protection and Privacy Act), ma non è ancora stata finalizzata.

Senza alcuna protezione della privacy a livello federale, la privacy online della maggior parte dei cittadini statunitensi dipende in larga misura dalla cultura della privacy e dalle pratiche delle aziende a cui affidano i loro dati, e questa è una cattiva notizia. Molte aziende sono disposte a vendere i dati al miglior offerente e la maggior parte degli Stati non ha leggi che impediscano loro di farlo.

Gli Stati con leggi sulla privacy non se la passano molto meglio. Le leggi tendono a inquadrare i diritti alla privacy in termini di diritti di opt-out piuttosto che di divieti. Ma la maggior parte delle persone è semplicemente troppo occupata per rinunciare a pratiche invasive di raccolta dati da parte di ogni singolo servizio che utilizza e di ogni sito web che visita.

In conclusione, i servizi online accumulano enormi quantità di dati personali a scopo di lucro, e la maggior parte di essi è un gioco da ragazzi se si dispone di denaro.

Non è una novità. I difensori della privacy hanno da tempo sensibilizzato l'opinione pubblica sugli enormi pericoli dell'economia della sorveglianza online. La causa Dobbs contro Jackson ha reso questi rischi drammaticamente tangibili per le donne americane.

Le Big Tech non aiutano

Nonostante le promesse di onorare e salvaguardare la privacy, le Big Tech non stanno facendo molto per proteggere le donne. Un recente articolo di Insider ha rilevato che Meta riceve oltre 400.000 richieste governative di informazioni personali all'anno e raramente le contesta in tribunale.

A peggiorare le cose, anche quando Big Tech tenta di controllare i danni, può funzionare o meno.

L'anno scorso Google ha promesso di eliminare dalla cronologia di Google Maps luoghi sensibili come le cliniche abortive. In seguito, sia il Washington Post che Accountable Tech hanno sperimentato Google Maps e hanno scoperto che la cancellazione dei dati di localizzazione sensibili è incoerente e molto inaffidabile.

Perché Google non riesce a mantenere la promessa dopo un anno?

I servizi di Google sono invasivi per la privacy. Sono stati costruiti per acquisire i dati per primi e preoccuparsi della privacy e della governance dei dati in un secondo momento, se mai. Ora sono necessarie misure di tutela della privacy, ma sono difficili da implementare se all'inizio erano completamente assenti. È come cercare di installare i freni su un'auto che non è mai stata progettata per averli e che ora va a tutta velocità.

Lafame di dati è il problema principale. Ed è molto, molto più grande di Google. Innumerevoli altri servizi accumulano tutti i dati possibili senza preoccuparsi minimamente della privacy e della governance dei dati. Di conseguenza, l'impronta digitale dell'utente cresce al punto che nemmeno le stesse aziende riescono a tenere sotto controllo i dati.

Lo stesso problema è emerso di recente in una causa contro Meta, in cui l'azienda ha sostanzialmente ammesso di avere poco o nessun controllo sulle quantità mostruose di dati che raccoglie.

Anche in questo caso, Google e Meta sono la regola piuttosto che l'eccezione. Le aziende sono incentivate ad accumulare tutti i dati da cui possono trarre profitto. La fame di dati porta a una cattiva governance dei dati e una cattiva governance dei dati porta a disastri della privacy, perché non è possibile proteggere i dati su cui non si ha alcun controllo.

L'HIPAA non è sufficiente

Ma gli Stati Uniti non hanno l'HIPAA? Perché non risolve il problema?

Ecco come stanno le cose. L'Health Insurance Portability and Accountability Act (HIPAA) non è una legge sulla privacy in senso proprio, ma piuttosto una legge settoriale per i fornitori di servizi sanitari (come abbiamo spiegato in un altro blog). Le sue norme sulla privacy hanno un ambito di applicazione molto ristretto, perché l'HIPAA riguarda solo i fornitori di servizi sanitari e le aziende che lavorano con loro.

Sebbene le violazioni dell'HIPAA abbiano un ruolo nella crisi della privacy negli Stati Uniti, il problema principale è rappresentato dalle grandi quantità di dati sanitari che non rientrano nell'HIPAA. Cercare su Google informazioni sui farmaci che si stanno assumendo o utilizzare Google Maps mentre si guida verso l'ospedale può aggiungere alla propria impronta online alcuni dati pericolosamente sensibili. Eppure, questi dati non rientrano nell'HIPAA perché Google non è un fornitore di servizi sanitari.

Leapp per le mestruazioni sono un esempio importante del problema. Queste app raccolgono informazioni molto dettagliate sullo stato riproduttivo dei milioni di donne che le utilizzano. Queste informazioni non rientrano nell'HIPAA e possono essere vendute con poche o nessuna restrizione nella maggior parte degli Stati.

In poche parole, l'ambito di applicazione molto ristretto dell'HIPAA, unito alla mancanza di leggi federali sulla privacy, si traduce in una pericolosa mancanza di protezione dei dati sensibili.

Cosa stanno facendo gli Stati Uniti per limitare i danni?

Washington è stato il primo Stato a reagire alla crisi della privacy adottando il My Health, My Data Act nell'aprile 2023. Il My Health, My Data Act prevede una maggiore protezione dei dati sanitari e vieta il geofencing in prossimità dei fornitori di assistenza sanitaria, ossia l'uso dei dati di localizzazione (in genere provenienti dagli smartphone) per capire chi ha visitato un determinato luogo. Gli Stati del Connecticut e del Nevada hanno poi seguito l'esempio e hanno approvato leggi simili per proteggere i dati sanitari.

Da un lato, si spera che questa tendenza legislativa porti a una forte protezione dei dati sanitari (e delle informazioni sensibili in generale) nella proposta di legge americana sulla protezione dei dati e della privacy. Dall'altro lato, gli Stati che già dispongono di forti protezioni per i dati sanitari probabilmente si opporranno a qualsiasi bozza dell'ADPPA che indebolisca tali protezioni. Pertanto, queste leggi potrebbero avere l'effetto perverso di ritardare i negoziati politici alla base della legge, rendendo ancora più complicata la già spinosa questione della prelazione statale.

Altri importanti sviluppi arrivano dalla California. Dopo la causa Dobbs contro Jackson, la California ha rafforzato la sua tradizionale posizione di Stato santuario, approvando leggi che impediscono di perseguire le donne che cercano assistenza sanitaria riproduttiva nello Stato.

In questo momento, lo Stato sta lavorando a un emendamento al Codice penale californiano che proteggerebbe le aziende californiane dai mandati per le richieste di inversione delle parole chiave e di localizzazione. In altre parole, le aziende californiane potranno ignorare alcuni mandati di perquisizione altamente invasivi provenienti da altri Stati.

L'emendamento potrebbe cambiare le carte in tavola perché riguarda le aziende della Silicon Valley che controllano grandi quantità di dati personali. Proteggendo le Big Tech, come Apple e Meta, dai mandati di perquisizione, l'emendamento potrebbe avere un impatto sostanziale sulla privacy delle donne al di fuori della California. Ma le trattative politiche intorno al disegno di legge sono complesse, perché ha il potenziale di ostacolare le indagini sui crimini non legati all'aborto.

Cosa può imparare l'Europa da questa crisi della privacy?

A differenza degli Stati Uniti, l'Europa ha una legge generale sulla privacy, il GDPR, che prevede norme specifiche e rigorose per i dati sensibili. Ma questo non significa che i nostri dati sensibili siano al sicuro. L'Europa dovrebbe guardare con attenzione a ciò che sta accadendo negli Stati Uniti in questo momento, perché ci sono alcune lezioni importanti da imparare da questo pasticcio.

I "dati sanitari" sono una categoria ampia

Quando pensiamo ai dati sanitari, di solito pensiamo alle cartelle cliniche, alle radiografie e così via. Ma questi dati non sono il problema principale della crisi della privacy negli Stati Uniti. Infatti, alcune delle minacce più urgenti alla privacy provengono dalle cronologie di ricerca, dai dati di localizzazione e dalle comunicazioni personali (non crittografate end-to-end) come le chat e le e-mail.

In Europa, il GDPR non elenca (esplicitamente) questi dati come sensibili. Di conseguenza, molte organizzazioni in Europa non pensano troppo a questi dati e non li gestiscono con la necessaria attenzione.

Due importanti sentenze della Corte di giustizia dell'UE potrebbero cambiare la situazione. Alla luce della recente giurisprudenza della Corte, i dati che potrebbero rivelare dati sensibili sono essi stessi dati sensibili (per maggiori informazioni, consultare i nostri blog sui dati sensibili e sulla sentenza del Bundeskartellamt ).

Questa giurisprudenza è un passo importante nella giusta direzione e amplia in modo sostanziale la portata della nozione di dati sensibili. Tuttavia, l'approccio della Corte è ben lontano dall'approccio più formalistico che la maggior parte delle aziende adotta nel trattare i dati sensibili. Probabilmente ci vorrà del tempo prima che il paradigma cambi nella pratica, e nel frattempo i nostri dati sensibili non saranno così sicuri come dovrebbero.

La privacy by design deve essere applicata meglio

Ènecessario pianificare la privacy in anticipo. Se non si imposta un sistema in modo favorevole alla privacy, diventa molto difficile implementare una privacy solida in futuro, come dimostra il fiasco della cancellazione dei dati da parte di Google.

Ecco perché il GDPR insiste sul principio della privacy by design. Privacy by design significa che è necessario pianificare il trattamento dei dati personali tenendo conto della privacy fin dall'inizio.

La privacy by design non è un semplice suggerimento, ma un principio giuridico vincolante. Tuttavia, la privacy by design è spesso ignorata dall'industria. È un peccato, perché un approccio privacy by design può ridurre notevolmente le impronte digitali. Possiamo solo sperare che l'applicazione del GDPR alla fine ci raggiunga e riporti le organizzazioni in linea.

Lo stesso vale per altri principi legati alla privacy by design. Ad esempio, la minimizzazione dei dati significa che si possono raccogliere solo i dati personali di cui si ha realmente bisogno e la limitazione della conservazione significa che non si possono conservare i dati personali più a lungo del necessario. Troppe organizzazioni violano questi principi e le cose non cambieranno finché non inizieranno ad arrivare altre multe.

I dati di localizzazione sono più pericolosi di quanto si pensi

I dati di geolocalizzazione svolgono un ruolo fondamentale nel panorama della privacy post-Dobbs. Per questo motivo la legge My Health My Data Act vieta la geolocalizzazione dei fornitori di servizi sanitari e le modifiche proposte al codice penale della California riguardano le richieste di localizzazione inversa da parte delle forze dell'ordine.

Per quanto riguarda l'Europa, il GDPR non prevede disposizioni specifiche per la protezione dei dati di localizzazione e non li considera dati sensibili (a differenza del CCPA della California). Pertanto, i dati di localizzazione sono soggetti solo alle regole generali del GDPR.

Queste regole generali probabilmente non sono sufficienti a proteggere i dati di localizzazione. O meglio: lo sarebbero se venissero applicate. I principi della privacy by design e della limitazione dell'archiviazione potrebbero svolgere un ruolo fondamentale nella protezione dei dati di localizzazione, ma ancora una volta sono troppo poco applicati per avere un impatto reale.

In conclusione, sia i consumatori che le aziende dovrebbero fare molta attenzione ai dati di localizzazione. E ancora una volta, l'applicazione del GDPR deve essere al passo con i tempi!

Riflessioni finali

Alla fine della giornata, le persone vulnerabili pagano il prezzo più alto per l'economia della sorveglianza. Per parafrasare il podcast Grumpy GDPR: se pensate di non avere nulla da nascondere, allora siete molto, molto privilegiati.

Non è una novità: l'impatto delle pratiche di privacy sugli individui e sulle comunità vulnerabili è ben studiato da studiosi di diritto e scienziati sociali ed è un importante argomento di discussione nella comunità della privacy.

Purtroppo, questo aspetto si perde nel dibattito pubblico sulla privacy. Si spera che la causa Dobbs contro Jackson - e il pasticcio sulla privacy che ha causato - serva a ricordare che la privacy è una condizione necessaria per una società giusta e che tutti noi dovremmo impegnarci per ottenerla.