Privacy bistrattata, ma è perno del nostro futuro: cosa serve per una svolta - Agenda Digitale

le priorità

Privacy bistrattata, ma è perno del nostro futuro: cosa serve per una svolta

In Italia la privacy è un tema banalizzato e sminuito a cui ci si approccia in modo sciatto. Serve consapevolezza che la stragrande maggioranza dei fenomeni della società contemporanea passano (e sempre più passeranno) dal trattamento dei dati personali. Serve un impegno corale di istituzioni, autorità e operatori economici

07 Set 2021
Rocco Panetta

avvocato, managing partner di Panetta & Associati, esperto di Internet e Privacy, Country Leader per l’Italia di IAPP International Association of Privacy Professionals

Tempo di pandemia, tempo di riflessioni, tempo di bilanci e ripartenze. Ed ecco emergere diverse priorità, nuove disparità, ma anche opportunità inedite. Nondimeno, il difficile periodo dal quale tutti noi siamo ora chiamati a ripartire ha finalmente reso evidente, anche ai più scettici o distratti, un dato incontrovertibile: l’era della data economy è qui. Ciò significa sostanzialmente due cose, la prima è che occorre prendere atto di non poter interpretare questo nostro tempo senza tenere costantemente in considerazione, secondo l’insegnamento sempre presente e più che mai vivo e attuale di Stefano Rodotà, la dialettica tra tecnologia e diritti fondamentali, primo fra tutti quello alla protezione dei dati personali. La seconda è che per calarsi in tale dimensione occorre disporre dei giusti strumenti con cui guardare sia al presente che al futuro.

Chiedersi oggi quali debbano essere le priorità per i prossimi sei mesi nel mondo della data economy è un esercizio necessario e che deve guardare congiuntamente a tutti gli stakeholder di questo complesso ecosistema, e dunque istituzioni, autorità ed operatori economici, pubblici e privati.

Privacy e antitrust nell’era della data economy, due strade parallele ma distinte: ecco perché

Il programma per una rinnovata politica istituzionale

Il primo punto all’ordine del giorno nell’agenda del prossimo semestre del nostro legislatore ha un carattere prettamente sistematico, il quale tuttavia si riverbera in cruciali conseguenze pratiche. Il tema è quello della ancora parziale e del tutto insufficiente comprensione del contesto tecnologico in cui viviamo e dei risvolti che tale situazione determina sia a livello di tutela dei diritti individuali che sul piano della ripresa economica.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

La questione non è certamente nuova, né tantomeno si esaurisce in una dimensione esclusivamente nazionale, e tuttavia è proprio in quest’ultimo contesto che se ne possono saggiare maggiormente gli effetti. Si tratta cioè di evidenziare come le nostre istituzioni non abbiano ancora adeguatamente metabolizzato l’indissolubile fascio di conseguenze che scaturiscono dalla sempre più stretta interazione tra uomo e macchina. Un fenomeno che da molti pensatori e operatori del diritto e dell’economia, è stato sempre e giustamente descritto nella sua struttura binaria. Da un lato ci sono le nuove e grandiose opportunità che la tecnica è in grado di offrire all’essere umano. E di questo tutti facciamo esperienza ogni giorno. Dall’altro, con forza eguale e contraria, emergono una quantità crescente di vulnerabilità e pericoli inediti. Invero, di tale secondo aspetto stiamo iniziando solo ora a saggiarne la dirompente portata. L’esempio dell’attacco hacker ai sistemi della Regione Lazio è di fin troppo facile formulazione (mutatis mutandis, può valere anche quanto accaduto [1]all’oleodotto della Colonial Pipeline negli Stati Uniti qualche mese fa).

Sia ben chiaro, non può certo dirsi che il legislatore nazionale non abbia contrattaccato, anche sulla scia di un percorso avviato in sede di Unione europea. Senza scomodare l’iter giuridico e politico che ha condotto dalla Direttiva 95/46/CE al Regolamento Generale sulla Protezione dei Dati (GDPR), basta guardare a quanto accaduto in un altro ambito di cui in passato ho avuto modo di avanzare qualche riflessione[2], ossia quello della cybersecurity. Dall’approvazione nel 2016 della Direttiva NIS alla recentissima istituzione[3] dell’Agenzia per la cyber sicurezza nazionale, non sono mancati gli interventi normativi in una materia che, al pari e di pari passo con quella sulla privacy, assume sempre maggiore rilevanza e che si inizia finalmente a delineare quale corpus normativo autosufficiente.

Dare alla privacy il giusto peso: una sfida ancora da vincere

Tale impegno non è tuttavia in grado di elidere dallo scenario una seria preoccupazione. E cioè che lo sforzo regolatorio sia stato introdotto per dare corso ad un obbligo di recepimento sovranazionale, senza cioè dedicare alla materia il giusto peso, la giusta attenzione, anche (e soprattutto) in chiave programmatica. Sullo sfondo è infatti in agguato il rischio di infilarsi in un tunnel dove per anni potrà continuare a rimbalzare la banalizzazione di questa materia. E ciò non potrà che andare a svantaggio tanto dei diritti e delle libertà delle persone – che si troverebbero così sempre più esposti ad insopportabili pericoli di contrazione – quanto della sicurezza cibernetica di enti pubblici ed imprese – sicurezza che in tal senso è sinonimo e precondizione di crescita economica e competitività internazionale.

Il timore trova fondamento per via di un precedente storico che non può essere trascurato. Per anni, infatti, la materia del diritto alla protezione dei dati personali e l’attività dell’Autorità Garante per la protezione dei dati personali sono state al centro di un’incresciosa campagna di sminuimento, una costante e intollerabile messa in discussione di cui sono figlie, ancora oggi, quelle pericolose prese di posizione rimbalzate negli ultimi mesi sui profili social di tanti protagonisti della nostra contemporaneità. Affermazioni che hanno dimostrato – occorre dirlo, con un certo sconforto – che il percorso di metabolizzazione ed apprezzamento del lavoro quotidiano del Garante è ancora lungi dall’essere completato, a più di vent’anni dalla sua istituzione. Ciò è il frutto di un atteggiamento sciatto e superficiale e che oggi non è ammissibile possa ripetersi nel rapportarsi al diritto cibernetico, così come rispetto a tutte le nuove sfide poste dalla data economy.

Tutto questo serve dunque a dire che fino a quando in Italia non maturerà la consapevolezza che la stragrande maggioranza dei fenomeni della società contemporanea passano (e sempre più passeranno) attraverso la vicenda del trattamento dei dati personali – quella che viene comunemente chiamata, da amici e detrattori, privacy – il Paese non andrà nella direzione auspicata né dagli economisti, né dai sociologi, né dai politici illuminati e né, soprattutto, in quella sognata dai padri della patria e riversata nella nostra Costituzione.

Difatti, tanto la tutela e la manifestazione dei diritti e delle libertà degli individui, tanto la possibilità per le istituzioni di adempiere ai propri doveri di solidarietà, quanto l’occasione per le imprese di esercitare in un ambiente sicuro e competitivo la propria funzione sociale hanno quale inevitabile e necessario casello comune quello della protezione e della valorizzazione dei dati. Solo in questo modo sarà possibile governare un mondo dalle vulnerabilità crescenti e asimmetriche. Solo attraverso un simile uso dei dati, che vada di pari passo con un rafforzamento delle autorità preposte a presidiare e controllare che tale uso avvenga nel perfetto bilanciamento tra le diverse esigenze in gioco, il Paese potrà avere una crescita, e allora potranno avere senso tutte le riforme sul tavolo, PNRR in primis.

Serve un salto di qualità

Insomma, è (e non può che essere) la privacy la vera testata d’angolo dell’edificio su cui poggia il futuro della nostra società. Che cosa serve allora fare per un salto di qualità? È innanzitutto compito delle istituzioni abbandonare ogni riduzione negativa del termine privacy: lo dice chi siede nel Board of Directors della IAPP, la grande associazione mondiale dei professionisti della privacy la International Association of Privacy Professionals, e ne è Country Leader per l’Italia. A chi scrive la privacy sta a cuore, se non fosse perché ha rappresentato e rappresenta, nella sua declinazione attuale, una delle grandi intuizioni di due Maestri indimenticati, quali Stefano Rodotà e Giovanni Buttarelli. Ma se serve a fare un salto di qualità, che si abbandoni pure del tutto il termine privacy a favore di un maggior focus sui concetti di uso ed economia dei dati. A ciò si lega inscindibilmente la necessità di comprendere la rinnovata complessità della privacy, che non è più solamente uno strumento universale di appello alla riservatezza, accessibile da chiunque per il solo fatto di essere umano, ma che è ormai divenuto anche un elemento determinante per l’andamento economico, di uno Stato così come di un’impresa. Tale mutamento di prospettiva può essere raggiunto solo applicandosi ad uno studio aperto e senza preconcetti e che si traduca in un approccio umile ma al tempo stesso globale, che vada di pari passo con la riscoperta della tradizione e della storia della materia e di quanto negli anni prodotto dalle Autorità che la incarnano. Si tratta di un programma ambizioso, ma realizzabile, con le giuste intenzioni, già nei prossimi mesi.

Alcuni propositi per il Garante

Dell’Autorità privacy si è già parlato in veste di destinataria dell’auspicata azione delle istituzioni. Quanto invece al piano di priorità semestrale del nuovo Collegio, l’obiettivo – che è anche un augurio – è che il Garante possa innanzitutto proseguire con la consueta attenzione e il solito rigore nell’attività di controllo intelligente ed interpretazione flessibile della normativa data protection. Si tratta infatti di continuare a mantenere ferma la consapevolezza che il perno e il senso dell’attività dell’Autorità è la costante ricerca del miglior bilanciamento tra la tutela dei diritti e delle libertà degli individui, da un lato, e la possibilità, per le pubbliche amministrazioni, di espletare efficacemente i propri compiti istituzionali e per i privati di poter valorizzare, se possibile eticamente, i dati trattati in chiave competitiva, dall’altro.

Come detto, nei prossimi mesi tale approccio dovrà continuare ad applicarsi tanto nella fase del controllo quanto in quella dell’attività esegetica. Rispetto al primo profilo, è la stessa Autorità ad aver tracciato la propria linea d’azione per il secondo semestre del 2021 con la pubblicazione del nuovo piano ispettivo[4]. A quanto già previsto[5] per i primi sei mesi del corrente anno, il Garante ha aggiunto tra gli ambiti oggetto di ispezioni anche i trattamenti di dati personali effettuati da società per attività di marketing e profilazione, il trattamento di dati personali effettuati da società private in tema di banche dati reputazionali (materia peraltro già presente nei piani ispettivi riferiti al primo[6] ed al secondo[7] semestre dello scorso anno) e il trattamento di dati relativi alla salute effettuati da Istituti di Ricovero e Cura a carattere scientifico (IRCCS), sia pubblici che privati. Sarà sicuramente interessante osservare come si svilupperà l’attività del Garante nei prossimi mesi, considerato anche che, come emerso dall’ultima relazione annuale[8] dell’Autorità a guida di Pasquale. Stanzione, nel corso del 2020 causa Covid-19 sono state solo 21 le ispezioni condotte (rispetto alle 147 dell’anno precedente).

Che altro fare

L’impegno nell’attività di controllo e repressione delle violazioni non dovrà tuttavia essere l’unica linea d’intervento per il Garante. Servirà infatti intensificare anche l’impegno nel fornire agli operatori del mercato, sia pubblici che privati, istruzioni su come interpretare correttamente la normativa data protection. L’Autorità, ad esempio, potrebbe incentivare la produzione, da parte dell’industria, di nuovi codici di condotta, strumenti ormai indispensabili per governare la complessità che ci circonda. Così come già avvenuto per il settore delle informazioni creditizie, anche in altri ambiti gli sforzi di imprese e Autorità potrebbero convergere in un impegno comune alla regolamentazione di fenomeni emergenti e diffusi, assicurandosi così una tutela anticipata del tutto favorevole allo sviluppo economico.

Con lo stesso spirito, il Garante potrebbe inoltre dedicarsi alla manutenzione di alcuni provvedimenti quadro ormai risalenti nel tempo e che tuttavia, nonostante il mutare del contesto storico e tecnologico, continuano a orientare in maniera pressoché univoca gli operatori economici, innescando spesso non poca incertezza nella prassi quotidiana. Si tratta semplicemente di ripetere quanto portato di recente a termine in materia di cookie. Tale ammodernamento potrebbe ad esempio riguardare la disciplina dei trattamenti per finalità di marketing e profilazione.

Gli ultimi provvedimenti di carattere generale in materia risalgono infatti a una quindicina di anni orsono ed un aggiornamento di tali disposizioni – che potrebbe spingersi ad assumere le forme di un vero e proprio codice di condotta – oltre ad essere necessario, appare anche realizzabile, senza particolare affanni, nell’orizzonte temporale che qui si sta analizzando.

Merita infine di essere citato un ulteriore punto sulla lista programmatica per i prossimi sei mesi del Garante. Si tratta di un profilo su cui più volte, anche per questa testata, ho auspicato un netto cambio di rotta da parte dell’Autorità.

Gdpr nel 2020: così il Garante italiano potrà riavere un ruolo chiave

E sono oggi più che mai felice di constatare che la direzione intrapresa si sta iniziando ad allineare a tali aspettative. Il nostro Garante sta infatti tornando ad occupare il posto che gli spetta in Europea per storia, tradizione e caratura umana e professionale dei suoi funzionari. Si tratta di un tanto atteso ritorno a quell’epoca d’oro in cui il diritto alla privacy era appannaggio pressoché esclusivo della nostra Autorità, tanto a livello comunitario quanto globale. Erano i primi anni 2000, anni in cui l’allora Gruppo di lavoro articolo 29 (l’odierno European Data Protection Board) e il Garante italiano brillavano sotto la guida di Rodotà, coadiuvato da chi lo avrebbe da lì a poco succeduto in una posizione di altrettanto splendore europeo, ovvero Giovanni Buttarelli, allora Segretario Generale dell’Autorità e qualche anno dopo Garante europeo della protezione dei dati. Anni in cui ebbi in prima persone l’enorme privilegio di contribuire a gettare le fondamenta di una materia allora pioneristica e che oggi si impone da protagonista, lavorando alla creazione di istituti fondamentali della materia, come le Binding Corporate Rules, il Safe Harbor (poi diventato Privacy Shield), le Standard Contractual Clauses. Ed è motivo di grande orgoglio vedere come di tali strumenti, nati tra Roma e Bruxelles, oggi non solo ci si continui ad avvalere, ma come addirittura essi mantengano la propria caratura di modello internazionale (l’ICO è solo l’ultima in ordine di tempo ad aver guardato alle SCC, di recente tale strumento è stato importato anche negli Emirati Arabi Uniti[9]).

E dunque non può che essere accolta positivamente la rinnovata presenza internazionale della nostra Autorità, la quale è tornata a far sentire la propria voce fuori dai confini nazionali, anche su temi di assoluta importanza e delicatezza. Un esempio in tal senso è stata l’azione intrapresa nel caso TikTok, terminato con la decisione, sulla base di valide e motivate ragioni, di non richiedere l’intervento d’urgenza dell’EDPB. Si è così creato un importantissimo precedente, che ha fatto e farà scuola per chi si occupa di tali temi.

È dunque assolutamente prioritario che il Collegio nel prossimo semestre mantenga e, ove possibile, rafforzi tale presidio internazionale, da un lato non potendosi rinunciare ad affrontare certi temi di matrice prettamente transnazionale nel buio della propria giurisdizione, dall’altro non risultando accettabile un’abdicazione alla propria tradizione e al proprio valore.

Un post-it per imprese e pubbliche amministrazioni

Se è vero che l’agenda delle priorità deve riguardare primariamente istituzioni ed autorità, il cui operato è in grado di orientare poi a cascata l’azione degli operatori economici, al tempo stesso non è possibile non dedicare anche a questi ultimi qualche raccomandazione. Più che di una vera e propria lista di priorità, ciò che per le imprese e gli enti pubblici sarà importante compiere nei prossimi mesi è un’attività di consolidamento proattivo.

La normativa sulla protezione dei dati personali non deve essere infatti vista come un monolite da inglobare puramente e semplicemente nel proprio organigramma e nei propri archivi documentali. È al contrario importante percepirne il carattere estremamente dinamico, il quale se correttamente valorizzato può portare non solo alla messa in sicurezza dei propri trattamenti e quindi dei propri asset informativi, ma anche a rendere tali operazioni sui dati una fonte di esternalità positive in termini di efficientamento, sia organizzativo che economico.

Di tali risultati in tanti abbiamo esperienza diretta ogni giorno nell’attività di assistenza e consulenza prestata a grandi imprese e gruppi internazionali o come Data Protection Officer. Dunque se da un canto è vero che si debba auspicare un superamento dell’uso della parola privacy, troppo poco compresa nella sua capacità di evocare una complessità che sfugge al controllo e alla comprensione di tanti, dall’altro canto, sarebbe bello vedere, tra gli ordini del giorno di consigli di amministrazione e organi direttivi, comparire un post-it con la parola privacy scritta a chiare lettere, nella speranza che qualcosa si muova; così come sarebbe ora di avere nei CdA (ne sono in scadenza circa 200 di rilevanza pubblica) non solo esperti di finanza, economia e diritto societario, ma anche professionisti di privacy e cybersecurity, in grado di raccogliere le sfide che il mondo ci lancia e di prevenire il prevedibile.

Note

  1. https://www.cybersecurity360.it/nuove-minacce/ransomware/se-un-ransomware-minaccia-gli-equilibri-del-petrolio-la-nostra-fragilita-ci-puo-costare-carissima/
  2. https://www.corrierecomunicazioni.it/cyber-security/it-security-non-solo-tecnologia-serve-rifondare-cyberdiritto/
  3. https://www.cybersecurity360.it/cybersecurity-nazionale/ecco-lagenzia-per-la-cybersicurezza-nazionale-come-cambia-la-sicurezza-cibernetica-dellitalia/
  4. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9689657
  5. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9521843
  6. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9269607
  7. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9468750
  8. https://www.agendadigitale.eu/sicurezza/privacy/relazione-annuale-garante-privacy-i-punti-chiave-per-il-futuro/
  9. https://www.adgm.com/media/announcements/adgm-office-of-data-protection-adopts-new-standard-contractual-clauses-for-data-transfers
WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4