il quadro

Data economy, il 2022 delle regole e delle sfide: cosa ci attende

Sarà un anno di svolta per privacy e data protection. I segnali 2021 sono chiari. Sullo sfondo ci sono Data Governance Act, il Digital Services Act, il Digital Markets Act, ma anche azioni che le autorità faranno e dovranno fare per dare confini più certi alle aziende per operare nella data economy

10 Gen 2022
Rocco Panetta

avvocato, managing partner di Panetta Studio Legale, esperto di Internet e Privacy, Country Leader per l’Italia di IAPP International Association of Privacy Professionals

dati data big data data scraping

Abbiamo da poco voltato l’ultima pagina del copione di un anno, il 2021, purtroppo ancora dominato dal monologo di un protagonista che tutti vorremmo eliminare o almeno silenziare, un po’ come Emily Blunt magistralmente nel film il Diavolo veste Prada invita Anne Hathaway a star zitta e sparire. E tuttavia, in questi dodici mesi, altri attori hanno lasciato un indiscusso segno sul palco della vita di cittadini ed imprese. In questo senso, non c’è dubbio che il mondo della privacy e quello della data economy sarebbero candidati per la statuetta da migliori attori non protagonisti.

Quanta privacy c’è nel covid-19

Per un verso, sono state proprio le vicende legate alle misure di prevenzione e contrasto al Coronavirus a portare in auge il tema della protezione dei dati, tanto nella collettività quanto nel reticolato di aziende e pubbliche amministrazioni. Pensiamo solo ai dibattiti su green pass e vaccini e all’impatto sulle relative norme sui luoghi di lavoro. Per altro verso, l’implacabile progresso dei mercati digitali ha ulteriormente stressato l’importanza di considerare attentamente la fenomenologia del trattamento e della valorizzazione dei dati. A tal riguardo, la sfida della regolamentazione dei margini di manovra delle grandi società di internet è l’esempio di sicuro più calzante. Completano il quadro le crescenti minacce cibernetiche ai patrimoni informativi pubblici e privati, forse il dato più d’impatto per una necessaria presa di consapevolezza circa il valore della sicurezza di dati e trattamenti.

WHITEPAPER
Efficienza, sostenibilità e sicurezza con la gestione e tenuta dei libri sociali digitali
Dematerializzazione
Digital Transformation

Cyber security, i trend del 2022: un anno critico per la sicurezza digitale

Date queste premesse, il 2022 si prospetta allora come l’anno “swing” della data economy. Siamo infatti giunti ad un punto di inevitabile reazione rispetto alle innumerevoli sfaccettature di tal fenomeno. Alcuni processi sono stati già avviati, altri si spera potranno trovare compimento nei prossimi (dodici) mesi. Ciò che fin da oggi è certo è che nell’anno in corso si parlerà davvero molto di privacy e di dati, sperando poco a sproposito e più in maniera appropriata e costruttiva.

Ecco, dunque, quelli che a mio parere potranno essere i trending topic (con qualche auspicio) per il 2022.

Nuove regole europee per la data economy

Tra il 2020 e il 2021 le istituzioni dell’Unione Europea, ed in particolare la Commissione, hanno profuso sforzi quasi inediti per introdurre una serie di nuovi atti normativi volti a disciplinare il mutato scenario legato al digitale e all’economia dei dati. Un impegno che si è principalmente concretizzato in quattro proposte di regolamento presentate nell’arco di pochi mesi. Con il Data Governance Act, il Digital Services Act, il Digital Markets Act e l’Artificial Intelligence Act l’UE si è dimostrata pronta a cambiare radicalmente le regole del gioco nel mondo della data economy. L’impatto potrà addirittura essere pari a quello raggiunto dal Regolamento Generale sulla Protezione dei Dati (GDPR), ad oggi indiscusso punto di riferimento internazionale per il comparto data protection.

Il 2022 sarà dunque cruciale per l’approvazione di queste nuove regole. Non ci è dato ancora sapere se entro la fine dell’anno tutti questi regolamenti saranno già pienamente efficaci. Il travagliato iter di approvazione del Regolamento ePrivacy, ormai eterno atteso al varco, suggerisce cautela. Una cautela che può tuttavia bilanciarsi con la speditezza che sta caratterizzando il varo del primo dei quattro atti citati, ossia il Data Governance Act. L’Unione Europea sembra dunque avere fretta, uno spirito che si spera possa coinvolgere anche l’ePrivacy Regulation. Ragion per cui è ragionevole prevedere che tali proposte normative, e le relative tematiche sottostanti, saranno al centro del dibattitto politico e sociale dei prossimi mesi.

“Scacco matto” alla deregulation

Il 2021 è stato altresì contraddistinto da una sorta di climax di tensione nei rapporti tra istituzioni e autorità, da un lato, e grandi piattaforme digitali, dall’altro. Non ci sono state però solo le prospettate nuove regole che disciplineranno anche le attività dei colossi della Rete. La stretta sanzionatoria ha infatti registrato picchi quasi senza precedenti, peraltro sottoponendo le big tech ad una sorta di fuoco incrociato. Ciò in quanto tanto le autorità privacy quanto quelle antitrust hanno affondato il colpo. Un colpo che in molti casi è stato da record, come testimoniano la sanzione da 774 milioni comminata dal Garante lussemburghese ad Amazon o quella recentissima da 1 miliardo della nostra Autorità Garante della Concorrenza e del Mercato (AGCM), sempre ad Amazon. Si tratta peraltro di un fenomeno diffuso in tutta l’Unione, con alcune autorità, come il nostro Garante, a confermarsi istituzioni trainanti, e altre autorità – irlandese in primis – che hanno iniziato finalmente a destarsi dopo alcuni anni di torpore.

Non c’è dubbio che la tendenza non abbia ancora raggiunto il proprio picco. Il 2022 è dunque un grande atteso in questo senso. È infatti prevedibile che i garanti e le autorità europee continueranno sulla linea già tracciata, presumibilmente allargando ancor di più il campo visuale della propria lente di ingrandimento.

La figura del DPO e le competenze 

Nonostante il nome, la data economy è un fenomeno che per essere compreso, governato e valorizzato richiede un presidio di professionalità ed esperienze umane. Figura preposta a reggere la bussola di imprese e pubbliche amministrazioni è e sarà sicuramente ancora il Data Protection Officer (DPO), funzione di consulenza e controllo istituita dal GDPR ed entrata ormai stabilmente nell’organigramma di pressoché ogni organizzazione evoluta, pubblica o privata che sia. L’anno appena trascorso ha confermato il trend di fiducia verso i DPO, siano essi interni o esterni, con il numero delle comunicazioni al Garante dei relativi dati di contatto che al 30 settembre 2021 ha toccato quota 61.376 (esattamente un anno prima, sempre secondo le rilevazioni dell’Autorità, si era arrivati a 57.998). La tendenza trova riscontro anche a livello internazionale: secondo il “Privacy Governance Report” prodotto dall’International Association of Privacy Professionals (IAPP), il 74% delle aziende ha nominato un DPO, dunque tre su quattro (nel 2018 erano il 75%, contro il 71% nel 2020 e il 72% nel 2019).

Professionisti della privacy, ecco i dati per essere preparati al 2022

Il 2022 vedrà auspicabilmente questi numeri aumentare ancora, poiché parallelamente stanno crescendo le complessità che imprese e PA sono chiamate ad affrontare quotidianamente nella catena di trattamento dei dati. L’ormai indubitabile pregnanza di tali questioni imporrà tuttavia l’arruolamento di nuovi ambasciatori della data economy, che dovranno operare direttamente nel cuore decisorio delle organizzazioni. Penso in particolare ai Consigli d’Amministrazione, i quali dovrebbero popolarsi di soggetti altamente specializzati in queste materie, al fine di prevedere ed attuare, by design e by default, politiche sensibili ai nuovi equilibri portati dalla rivoluzione digitale (e presto artificiale).

Allo stesso tempo, il tema della sicurezza cibernetica, destinato a raggiungere picchi di urgenza ed interesse inediti, dovrà essere opportunamente piantonato con professionalità altamente preparate e in grado di coniugare le esigenze della sicurezza con quelle della valorizzazione del patrimonio informativo detenuto da imprese ed enti pubblici.

Il tutto a beneficio della tanto agognata maturazione di una piena consapevolezza circa il valore e l’importanza della protezione e della sicurezza dei dati. In altre parole, l’auspicio è che il 2022 possa essere l’anno di definitivo abbandono di ogni forma di pericolosa banalizzazione di diritti e materie fondamentali per il nostro tempo.

La partita della monetizzazione

Non c’è dubbio che uno degli argomenti che terrà maggiormente banco nei prossimi mesi è quello della cosiddetta monetizzazione. La possibilità di “scambiare” i propri dati personali con un bene o un servizio è una novità normativa del nuovo anno, con il D.Lgs. 4 novembre 2021, n. 173 che, attuando la Direttiva (UE) 2019/770 (relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali), ha aggiunto al Codice del Consumo, tra gli altri, il nuovo articolo 135-ocites, il quale considera proprio i casi in cui «il professionista fornisce o si obbliga a fornire un contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si obbliga a fornire dati personali al professionista».

Appena poche settimane fa, sempre per questa testata, accennavo ai possibili impatti di tale novella per i trattamenti in ambito marketing e profilazione. E sempre in quella sede, auspicavo una riflessione accurata su tale cruciale tematica, visti i potenziali impatti che la stessa è in grado di generare sulle libertà fondamentali dei cittadini. No agli estremismi e alle demonizzazioni a priori su questa tematica, ma attenzione massima dei regolatori e velocità di azione nel loro auspicato inquadramento del fenomeno, a partire dall’EDPB, per evitare trend rapaci e sistematico sciacallaggio di dati personali da parte di malintenzionati o furbi della prima o dell’ultima ora.

L’anno che ci si presenta davanti dovrà dunque essere sfruttato pienamente in tal senso, stimolando la riflessione e il confronto in seno ad istituzioni e autorità e sfruttando le contingenze temporali ed economiche a disposizione per raggiungere soluzione soppesate e di equilibrio, con una regola aurea da non corrompere mai: non sacrificare i diritti fondamentali.

I temi operativi

Ed eccoci arrivati alle previsioni più operative, e per questo anche più difficili.

Dovendo operare una necessaria selezione di alcune fra le tematiche data protection che con più alta probabilità occuperanno le agende di aziende e professionisti della privacy nel 2022, un posto di riguardo lo ricoprirà certamente la compliance con le regole in materia di trasferimenti internazionali di dati. Un task cruciale ed in Italia sempre troppo sottovalutato da operatori e regolatori – e stando a quanto rilevato dal citato report della IAPP, il più complesso per la maggioranza dei privacy professionals – che semestre dopo semestre aggiunge nuove carte al mazzo.

Pensiamo solo al nuovo set di Standard Contractual Clauses, alle conseguenze ancora in atto dall’invalidazione del Privacy Shield, o al post Brexit, fino alle ultime decisioni di adeguatezza adottate dalla Commissione Ue. La dimensione del fenomeno potrà inoltre comportare la necessità di confrontarsi con normative privacy straniere, anche di nuovo conio, come quella cinese, senza dimenticare che anche negli Stati Uniti questo fronte negli ultimi anni è sempre più caldo.

Altro tema sicuramente battuto in Italia nel nuovo anno sarà quello dei cookie (si vedano le nuove linee guida del Garante, con il termine per l’adeguamento dei sistemi e dei trattamenti già in atto ai principi espressi dalle linee guida che scade proprio a gennaio), mentre marketing e profilazione resteranno probabilmente ancora gli osservati speciali a livello di impatto sanzionatorio, con conseguente grado di priorità altissima per le aziende rispetto a detti ambiti. A tale ultimo proposito, come scritto in passato, ci si auspica che il nuovo anno possa portare ad un ammodernamento dei provvedimenti generali in materia da parte del Garante, magari proprio con l’adozione di un codice di condotta ad hoc. Ci sarà poi sicuramente spazio per nuovi approcci improntati alla privacy e alla sicurezza by design e by default, anche per far fronte a data breach (secondo le stime del Garante, sono state 4.778 le notifiche di data breach dal 25 maggio 2018 al 30 settembre 2021, al 30 settembre 2020 erano invece 3.039) e attacchi informatici.

Il grande assente

Non sarà sfuggita l’assenza dell’Intelligenza Artificiale dalla rosa dei trending topic. Non si tratta di una svista, piuttosto di una sospensione del giudizio sul suo impatto concreto. Il tema dell’IA è costantemente presente intorno a noi ed in continua crescita. Anche il nostro Garante ha istituito lo scorso anno un dipartimento ad hoc che dovrà focalizzare la sua azione sul tema. Ma è ancora presto per poter realmente comprenderne l’impatto reale. Che questo nuovo anno ci possa portare in dote, grazie all’impegno civile collettivo, anche una migliore messa a fuoco etica di questa sfida, al tempo stesso bella e terribile.

WHITEPAPER
I documenti aziendali che condividi durante le video riunioni online sono davvero al sicuro?
Amministrazione/Finanza/Controllo
CIO
@RIPRODUZIONE RISERVATA

Articolo 1 di 2