Scorza: "Come sarà il 2021 per la protezione dati personali" | Agenda Digitale

ipotesi e auspici

Scorza: “Come sarà il 2021 per la protezione dati personali”

Dal ritorno all’equilibrio tra diritto alla salute e privacy al trasferimento dati Ue-Usa, dal regolamento ePrivacy alla monetizzazione dei dati personali: i sei nodi da affrontare quest’anno nel dominio della protezione dei dati personali

14 Gen 2021
Guido Scorza

Autorità Garante Privacy

L’anno della pandemia insegna che fare previsioni nella società globale e connessa nella quale viviamo è sempre più difficile e, pandemia a parte, il ritmo dell’evoluzione tecnologica – e non solo tecnologica – è, ormai, tale che provare a identificare trend topic annuali è diventato più un esercizio da veggenti che da addetti ai lavori.

Non è facile, in questo contesto, provare a mettere in fila le principali questioni che ci si troverà ad affrontare nei mesi che verranno nello sconfinato dominio della protezione dei dati personali.

Ecco, però, alcune ipotesi, in alcuni casi, forse, auspici.

Riportare in perfetto equilibrio i diritti a salute e privacy

La prima. Nel 2021, prima o dopo – speriamo prima – l’emergenza Covid-19 finirà o, almeno, scemerà di intensità.

Sarà fondamentale, a quel punto, cancellare ogni compressione, deroga e eccezione introdotta nell’ordinamento, in nome dell’esigenza di un’efficace tutela del diritto alla salute, alle regole ordinarie di protezione dei dati personali.

WEBINAR
[WEBINAR, 4 maggio] Operatori ICT: ruolo chiave nella protezione dei dati per le aziende
Sicurezza
Trade

La bilancia tra i due diritti fondamentali – la salute e la privacy – finita la fase di emergenza deve tornare in perfetto equilibrio anche laddove, la pandemia, ha giustificato taluni sbilanciamenti dal lato della salute.

Quanto sta accadendo a Singapore, con i dati raccolti attraverso l’app di contact tracing di Stato a disposizione della polizia per finalità altre rispetto a quelle per le quali sono stati raccolti, è li a ricordarci che se ciò non avverrà, la democrazia sarà a rischio e poco conta quanto, nel nostro caso, il rischio in questione possa considerarsi attuale e concreto.

È un rischio che non ha senso correre e che la Carta dei diritti fondamentali dell’Unione europea non consente di correre.

Trasferimento dati Ue-Usa: quale soluzione dopo Schrems II?

La seconda.

La pandemia e una serie di questioni di scottante attualità europea e internazionale – il completamento della Brexit, le elezioni americane, i procedimenti antitrust avviati contro i giganti del web – hanno, sin qui, tenuto la questione sottotraccia ma da quest’estate la rotta Europa-USA nella circolazione dei dati personali è rallentata, ostacolata, forse bisognerebbe dire interrotta.

Con la nota Sentenza Schrems II del 16 luglio 2020, infatti, la Corte di Giustizia dell’Unione europea ha stabilito che gli Stati Uniti d’America, salvo eccezioni difficili anche solo da mettere a fuoco, non è un Paese di destinazione sicuro per i dati personali dei cittadini europei che, di conseguenza, non dovrebbero esservi esportati.

Le soluzioni per superare tale sostanziale divieto di esportazione sin qui proposte sono poche, insoddisfacenti, parziali e non risolutive.

È facile prevedere che nei prossimi mesi la situazione lungo la rotta Bruxelles – Washington diverrà insostenibile.

È, pertanto, urgente correre ai ripari e farlo, per quanto possibile, in maniera definitiva ovvero scongiurando il rischio che dopo la Sentenza Schrems I e quella Schrems II non si debba leggere anche una Schrems III.

E, a tal fine, non sembrano esservi grandi soluzioni alternative rispetto a un accordo bilaterale Europa-USA che chiarisca, per sempre, in cosa e quanto le regole USA devono cambiare per poter essere considerate equivalenti sotto il profilo della protezione dei dati personali a quelle europee.

Il nodo della data retention nella Ue

La terza.

Per evitare di essere un Paese-bue che dice cornuto a un Paese-Asino, l’Europa deve necessariamente sciogliere e risolvere ogni ambiguità regolamentare ancora esistente in fatto di rispetto dei principi del Regolamento generale di protezione dei dati personali e, più in generale, di Carta dei diritti fondamentali dell’Unione europea.

Questo, tra l’altro, significa che, a casa nostra, dobbiamo affrontare e risolvere definitivamente il problema della retention dei dati relativi al traffico telematico e telefonico, allo stato, semplicemente – e senza tanti giri di parole – incompatibile con la disciplina europea.

Se non lo facciamo difficilmente possiamo essere credibili, sui mercati internazionali, nell’esigere che un Paese extra UE si uniformi a regole che non riusciamo a rispettare integralmente neppure all’interno dell’Unione.

La monetizzazione dei dati personali

La quarta.

C’è una questione della quale da troppo tempo si parla a bassa voce, bisbigliando, quasi a gesti e tra detti, non detti e sottintesi generando confusione e ambiguità: è quella della monetizzazione dei dati personali.

Deve essere affrontata di petto e con chiarezza perché la situazione attuale genera una pericolosa incertezza di diritto e determina intollerabili asimmetrie tra chi si pone il problema e procede con cautela e chi non se lo pone o finge di non porselo e procede senza esitazioni come se potesse considerarsi risolto per come gli fa comodo.

Il consenso al trattamento dei dati personali può avere un prezzo? Può essere scambiato sui mercati a titolo oneroso? Può essere condizione per l’accesso a sconti o altri vantaggi economici?

La risposta non c’è ancora ma va trovata. In un senso o nell’altro ma in maniera definitiva.

E’, probabilmente, uno dei bivi davanti ai quali è più difficile scegliere lungo la strada della protezione dei dati personali ma non si può indugiare oltre fermi al semaforo.

Il regolamento ePrivacy nasce già vecchio?

La quinta.

Il Regolamento e-privacy, quello relativo alla privacy nelle comunicazioni elettroniche, avrebbe dovuto entrare in vigore lo stesso giorno nel quale è entrato in vigore il Regolamento generale sulla protezione dei dati personali perché la sua disciplina è parte integrante di un sistema integrato di protezione della privacy che, in sua assenza, oggi risulta incompleto, asimmetrico, monco.

La “riesumazione” della vecchia Direttiva e-privacy, quella appunto sulla privacy nelle comunicazioni elettroniche, datata 2002 – quasi vent’anni fa – e data per morta alla vigilia dell’ipotizzata entrata in vigore del nuovo Regolamento non è in grado di risolvere i problemi sul tavolo e, anzi, alla lunga, minaccia di crearne di nuovi e ulteriori.

Troppi semestri europei si sono ormai succeduti senza che si sia riusciti a arrivare al varo del Regolamento.

Nel 2021 o si chiude – e non appare semplice – o si cambia approccio perché se si va oltre, specie con le nuove regole europee in materia limitrofa che avanzano – data eGovernment act, digital service act, digital market act – rischiamo di mettere al mondo regole quando già sono vecchie.

Intelligenza artificiale e diritti

La sesta.

Il 2021 sarà l’anno – o, almeno, dovrebbe essere il primo anno – nel quale utilizzare le straordinarie risorse economiche del cosiddetto recovery fund o, come dovrebbe dirsi più correttamente del Next Generation EU plan.

Una parte rilevante di quelle risorse sono destinate all’innovazione tecnologica, a cominciare dalle applicazioni di intelligenza artificiale.

Le modalità attraverso le quali verranno utilizzate le risorse in questione daranno forma alla società del futuro, almeno del futuro prossimo.

Come ha segnalato nelle scorse settimane anche l’agenzia europea per i diritti fondamentali è indispensabile che nel promuovere e progettare l’intelligenza artificiale di domani – ma lo stesso ragionamento vale per ogni altro investimento in innovazione tecnologica – si tenga in più alta considerazione rispetto a quanto accaduto sin qui il tema dei diritti, a cominciare proprio dal diritto alla protezione dei dati personali.

Se questo non avvenisse, se non fossimo in grado di governare gli investimenti anche e soprattutto nel settore dell’innovazione tecnologica sotto il profilo dei diritti, staremmo finanziando l’affermazione di una società democraticamente insostenibile e inesorabilmente destinata a amplificare le discriminazioni, rafforzare i monopoli, comprimere le libertà.

In una parola una società democraticamente, culturalmente e economicamente insostenibile e destinata, nel breve periodo, all’implosione.

Conclusioni

È, per questo, fondamentale costruire il futuro su fondamenta solide la cui realizzazione sia guidata e vigilata da Autorità terze, indipendenti rispetto alle cose dei mercati e a quelle della politica e competenti, Autorità che devono, ovviamente, essere poste in condizione di operare all’altezza dei loro compiti.

WEBINAR
Approccio Zero Trust: quanto è importante in un progetto di security? Scoprilo nel live
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articoli correlati