Nella terza settimana di giugno si è svolto in Canada il quinto G7 delle Autorità per la protezione dei dati personali, un importante momento di confronto, teorico e tecnico, dedicato a rafforzare il coordinamento internazionale su tematiche quali la protezione dei minori online, le tecnologie emergenti, l’enforcement e la circolazione dei dati personali e non tra i Paesi partecipanti.
Indice degli argomenti
AI e Quantum al G7 Privacy: il punto di Bengio e Laforest
I lavori si sono aperti con l’intervento di benvenuto del Privacy Commissioner of Canada, Philippe Dufresne e con la benedizione dell’incontro da parte di Claudette Commanda, anziana degli Algonchini, l’insieme di tribù di nativi americani ad oggi più popoloso, riconosciuti “proprietari” delle terre ove si sono svolti i lavori.
Successivamente hanno preso la parola due esperti canadesi: il Professor Yoshua Bengio, tra i massimi studiosi a livello mondiale di intelligenza artificiale e Martin Laforest, esperto di tecnologie quantistiche.
In particolare, Bengio si è soffermato sulla relazione tra AI e potere, evidenziando la necessità di rafforzare i meccanismi di governance globale dell’AI e sottolineando i rischi di un controllo eccessivo da parte delle grandi piattaforme. Si è dialogato anche sulla possibilità tecnica di garantire il cosiddetto “unlearning” dell’algoritmo, ovvero la capacità dello stesso di disapprendere ed eliminare le informazioni precedentemente raccolte, garantendo così i diritti di cancellazione o rettifica dei dati personali degli interessati. Un tema, questo, che richiama l’attenzione sulla necessità di soluzioni tecnologiche e modelli di accountability in grado di rendere effettivi tali diritti e al quale numerosi studiosi stanno tentando di dare risposte concrete.
Laforest ha poi illustrato come le tecnologie quantistiche porranno sfide sempre più complesse per la crittografia e quanto sia necessario per le Autorità muoversi con anticipo su questo versante.
Lo Statement del G7: privacy by design e protezione dei minori
Tra i principali risultati del Roundtable figura l’adozione dello Statement “Promoting Responsible Innovation and Protecting Children by Prioritizing Privacy”. Il documento sottolinea che la protezione dei dati deve essere integrata fin dalla progettazione e dallo sviluppo di nuove tecnologie, ribadendo il valore della privacy come fattore abilitante dell’innovazione economica e sociale. Particolare attenzione è riservata alla protezione dei minori nell’ambiente digitale, con l’invito a sviluppare misure tecniche adeguate, trasparenti e proporzionate per l’età, evitando tuttavia approcci invasivi che possano minare i diritti dei più giovani.
I tre pilastri del G7 Privacy
Come per gli ultimi anni, le aree tematiche sulle quali si sono concentrati i lavori dei working group del G7 sono state tre, corrispondenti a quelli che vengono considerati i “pilastri” del G7 Privacy: Data Free Flow with Trust, Emerging Technologies ed Enforcement Cooperation. Ognuna di esse vedrà la probabile pubblicazione dei rispettivi documenti in seguito alla loro approvazione a dicembre 2025, quando si terrà una seconda riunione dei sette Paesi, sempre organizzata – ma da remoto – dall’Autorità canadese.
Data Free Flow with Trust (DFFT): convergenze e sfide
I lavori del gruppo DFFT si sono concentrati sulla ricerca di elementi di convergenza tra i diversi regimi giuridici per facilitare flussi di dati transfrontalieri sicuri, in linea con la dichiarazione OCSE sull’accesso ai dati da parte delle autorità pubbliche. È stato evidenziato che, nonostante permangano differenze normative, è possibile identificare principi comuni che favoriscano la fiducia tra i Paesi, come la trasparenza nelle richieste governative e la tutela giurisdizionale effettiva. La discussione ha confermato la volontà di approfondire l’interoperabilità degli strumenti giuridici esistenti, con il contributo attivo anche dei membri non OCSE. Tuttavia, da parte di alcune delegazioni (UK e USA su tutte) è stata riscontrata anche la complessità dei lavori di questo gruppo in merito alla individuazione di soluzioni concrete che possano soddisfare i requisiti richiesti dai diversi ordinamenti.
Emerging Technologies Working Group (ETWG): AI, dispositivi connessi e fornitori terzi
Il gruppo sulle tecnologie emergenti ha affrontato tre temi prioritari: l’impatto dei dispositivi connessi e, in particolare degli smart home devices; la valutazione dei fornitori di tecnologie di terze parti, compresa la garanzia di una solida protezione della privacy quando le organizzazioni utilizzano o implementano tecnologie emergenti fornite da terzi; la condivisione delle conoscenze sui rispettivi approcci all’IA, compresa l’esplorazione di temi emergenti, come l’agentic IA.
In attesa del meeting di dicembre nel quale saranno finalizzati i documenti sui primi due aspetti, le Autorità hanno condiviso approcci e buone pratiche per garantire che lo sviluppo e l’adozione delle citate tecnologie non minino la protezione dei dati e la fiducia pubblica. In particolare, è emersa la necessità di rafforzare le valutazioni d’impatto sulla protezione dei dati (DPIA) e le misure di accountability nella catena di fornitura tecnologica.
Enforcement Cooperation Working Group (ECWG): cooperazione sì, ma con garanzie
Ampio spazio è stato dedicato, infine, a quello che è, probabilmente, il progetto più importante di questo G7: la definizione di un format condiviso per lo scambio di informazioni su casi investigativi e di enforcement, al fine di addivenire, in alcuni casi, anche alla conduzione di istruttorie congiunte. Durante la discussione, diverse Autorità, tra cui quella italiana, hanno illustrato le proprie posizioni in merito ai requisiti di confidenzialità e riservatezza da rispettare in base alla normativa nazionale e alla necessità di addivenire a un format che consenta di non violarli. È stato tuttavia espresso un pieno sostegno al progetto, con l’impegno di lavorare nei prossimi mesi per definire, attraverso strumenti ad hoc, le condizioni giuridiche e operative per una cooperazione efficace.
Il Communiqué finale: cooperazione, innovazione e tutela dei diritti
I lavori si sono conclusi con l’adozione del Communiqué finale che, oltre a indicare le principali tematiche oggetto di discussione, valorizza il contributo delle Autorità per la protezione dei dati come attori chiave per garantire che le nuove tecnologie si sviluppino in modo trasparente, sicuro e nel pieno rispetto dei diritti degli individui.
Il Canada-Japan-OECD Expert Workshop su PETs e AI
Nella stessa settimana, sempre a Ottawa si è svolto il “Canada-Japan-OECD Expert Workshop and High-Level Roundtable on Privacy Enhancing Technologies and AI”. Un incontro di due giorni, organizzato dall’OCSE e dalle Agenzie per l’innovazione giapponese e canadese, ha messo in evidenza il ruolo centrale delle Privacy Enhancing Technologies (PETs) nel consentire lo sviluppo di modelli di intelligenza artificiale rispettosi, fin dalla progettazione, della privacy, in particolare nei settori ad alto impatto come la sanità e la finanza.
Nel mio intervento ho evidenziato il legame profondo tra privacy e potere. Infatti, chi oggi controlla i dati controlla anche le scelte, le opportunità e, in ultima analisi, il futuro delle persone e delle società. I dati non sono più una questione meramente tecnica o giuridica: sono dunque un elemento di potere, di asimmetria e di influenza. Le PETs, se implementate in modo efficace e diffuso, possono contribuire a riequilibrare questa dinamica. Possono restituire alle persone controllo, autonomia e capacità decisionale rispetto ai propri dati. In altre parole, la privacy non è solo protezione passiva: è anche potere attivo, è la possibilità per l’individuo di non essere oggetto, ma soggetto nel mondo digitale.
Privacy Symposium
La settimana dei lavori ad Ottawa si è chiusa con il Privacy Symposium, organizzato sempre dall’Office of Privacy Commissioner of Canada, incentrato sulla privacy dei giovani nell’era digitale, ed aperto ad organizzazioni imprenditoriali e della società civile. Numerosi e tutti di interesse i panel che si sono susseguiti nel corso della giornata, ma sicuramente degno di menzione è il primo in cui protagonisti assoluti sono stati alcuni ragazzi che hanno espresso in prima persona preoccupazioni e speranze di fronte all’avanzare della società digitale.
G7 Privacy: prospettive future
Il G7 Privacy, giunto alla sua quinta edizione, è un forum internazionale giovane, ma con un potenziale davvero alto. Il fatto che non sia eccessivamente proceduralizzato, infatti, lo distingue da molti altri contesti decisionali e consente di sviluppare progetti in modo più agevole, come dimostrato nel corso di questi primi anni.
Proprio da tale caratteristica deriva l’importanza di continuare a mantenerlo un terreno fertile di confronto ma, soprattutto, un luogo di ricerca di soluzioni concrete da proporre alla collettività.
L’individuazione, su tutti, di metodi di condivisione di informazioni che portino alla collaborazione delle Autorità sui casi transnazionali, con la ricerca (nel rispetto delle singole normative locali) di orientamenti comuni, rappresenta un ottimo esempio del costante progresso fatto dai sette Paesi nell’ambito di questo importante organismo.
