Soro: GDPR risposta di diritto alla rivoluzione digitale. Bilancio del settennato presieduto da Antonello Soro, punto sullo stato di attuazione della legislazione in materia, anche alla luce del nuovo Regolamento UE (GDPR), nuovi scenari che si aprono per la protezione dei dati personali: questi in estrema sintesi i temi della Relazione sull’attività svolta nel 2018 dal Garante della Privacy presentati il 7 maggio a Roma alla Camera dei Deputati. Con l’occasione il Presidente Soro nel suo discorso ha fatto una serie di considerazioni di scenario sull’evoluzione del contesto digitale (si v. estratti del discorso), sui limiti dell’algocrazia (termine già introdotto dal nostro Presidente Franco Siddi), sulle “servitù volontarie” cui ci sottoponiamo in cambio di servizi “gratuiti”, sul ruolo che la protezione dei dati personali come delineata dal diritto europeo può giocare anche in tema di tutela della concorrenza e della democrazia.
GDPR, pietra miliare del diritto digitale. Il 2018 ha rappresentato per l’Autorità una tappa di grande importanza con la piena applicazione del nuovo Regolamento UE in materia di dati personali (25 maggio 2018). Il GDPR ha introdotto nuovi diritti per gli individui e nuove responsabilità per chi, soggetti privati o pubblici, tratta i dati. Il regolamento costituisce “la prima e più importante risposta che il diritto abbia espresso nei confronti della rivoluzione digitale” aveva anticipato il Presidente Soro a una intervista al Sole 24 Ore. “Alcune categorie del regolamento stanno diventando quelle del diritto europeo e il GDPR è applicabile anche a soggetti stabiliti al di fuori dell’Europa che operano raccogliendo i dati di cittadini europei” ha sottolineato il Presidente che ha aggiunto che nel mondo sono 120 i Paesi che hanno adottato o stanno adottando leggi sulla falsariga del regolamento europeo. La notifica dei data breach è cresciuta in modo esponenziale e anche i gestori delle grandi piattaforme, che ora hanno più vincoli, hanno cominciato a modificare le loro policy. Il regolamento, in definitiva, può fare la differenza.
GDPR, la privacy fattore reputazionale. Le grandi aziende hanno fatto una forte azione di lobby sul GDPR, ottenendone qualcosa, ammette Soro, ma sono ormai consapevoli delle conseguenze, non solo economiche, delle nuove pesanti sanzioni. Il riferimento è, tra l’altro alle recenti dichiarazioni di Zucherberg sintetizzabili nello slogan “il futuro è la privacy’.
GDPR, fine del periodo di tolleranza. Creata una maggiore consapevolezza delle nuove regole e finito il periodo di tolleranza di 8 mesi per l’applicazione del GDPR, partiranno le ispezioni in collaborazione con la Guardia di finanza, i criteri: grandi numeri (maggiori banche dati,) e settori più importanti (pubblico, istituti di credito, chi fa profilazione con sistemi di fidelizzazione su larga scala).
GDPR, criticità sportello unico. Il Presidente identifica nel “one stop shop” istituito dal Regolamento un punto critico del GDPR da vagliare nelle applicazioni future: “se, per esempio, un cittadino italiano ha un problema di dati con Facebook o Google, deve rivolgersi all’Autorità nazionale, che poi investe, in questo caso, quella irlandese, dove le due società hanno la sede principale in Europa si tratta di un indubbio vantaggio per le aziende e un disagio per il cittadino”.
Sul settennato e l’attività dell’ultimo anno. Le rivelazioni di Snowden, lo scandalo Cambridge Analytica, l’esplosione dell’Internet delle cose e dell’intelligenza artificiale, l’esperienza dell’oblio e il varo del nuovo regolamento europeo sono alcuni dei maggiori temi che hanno interessato il settennato dell’attuale collegio del Garante.
Nella sintesi delle attività nel 2018 di maggiore rilevanza per il comparto radiotv si citano: il consolidamento dei criteri per l’esercizio del diritto all’oblio e per la sua tutela al di là dei confini europei; le implicazioni etiche della tecnologia; le grandi piattaforme; i big data; gli algoritmi ad uso sociale; la pervasività delle diverse forme di controllo e la raccolta dei dati; la profilazione on line, anche a fini di condizionamento dell’opinione pubblica; le fake news; la cybersecurity; l’Internet delle cose; il revenge porn.
Un capitolo importante ha anche riguardato il rapporto tra privacy e diritto di cronaca: il Garante è intervenuto più volte per stigmatizzare gli eccessi di morbosità che caratterizzano un certo modo di fare informazione e per assicurare le opportune tutele, innanzitutto nei confronti delle vittime di violenza sessuale e dei minori coinvolti in fatti di cronaca.
Sotto il profilo degli utilizzi illeciti dei dati personali sulle piattaforme social, va ricordato infine il caso Cambridge Analytica, che ha visto l’intervento dell’Autorità volto ad accertare le responsabilità e a mettere in guardia sui rischi per la libertà delle persone da forme distorte di influenza politica. Il Garante ha vietato a Facebook l’ulteriore trattamento dei dati degli utenti italiani, riservandosi di avviare un procedimento sanzionatorio.
E’ proseguito infine il lavoro svolto per assicurare la protezione online dei minori inclusi gli smart toys e per combattere il fenomeno del cyberbullismo – il Garante ha predisposto, alla luce dei nuovi compiti assegnati dal legislatore, misure e procedure per la rimozione di contenuti lesivi.
Privacy, concorrenza e geopolitica. “Nel mercato globale il sistema asimmetrico costruito dalle multinazionali del web non può vivere a lungo” ha detto il Garante. La protezione dei dati diventa anche una potente leva a favore della concorrenza, contro le informazioni in mano a pochi. Le considerazioni si rivolgono alle aziende ma anche agli Stati, e agli equilibri geopolitici: non a caso il Presidente ha richiesto di lavorare con forza a un “privacy shield” con la Cina: “non può essere che l’abbiamo preteso dagli Stati Uniti e invece consegniamo liberamente alla Cina le nostre informazioni senza preoccuparci del loro destino”.
Riflessioni e spunti per il prossimo collegio dell’Authority, l’attuale termina il proprio mandato il 19 giugno prossimo.
| “L’universo dei dati e la libertà della persona”
(estratti dal discorso del Presidente Antonello Soro) Sorveglianza e algocrazia […] Le esperienze di questi ultimi anni rendono sempre più urgente affrontare il tema della democrazia nella società digitale e gli effetti distorsivi dello slittamento, della profilazione e del nudging, dal piano commerciale a quello politico. Significativa, in tal senso, la vicenda Facebook-Cambridge Analytica, oggetto di un nostro provvedimento inibitorio ed alla base della recente norma dell’Unione, che sanziona l’uso illecito di dati personali per condizionare i risultati elettorali. La prospettiva è aggravata dalla concentrazione di tali informazioni (e del conseguente potere di condizionamento) in capo a poche imprese, capaci così di spiegare effetti determinanti su questioni di rilevanza pubblica primaria. Si destrutturano, così, presidi democratici essenziali, quali quelli volti a garantire la libera formazione del consenso elettorale e la fisiologica competizione tra partiti.[…] Sul piano sociale, ne risulta un effetto di polarizzazione estremistica dovuta alla prevalenza, accordata dall’algoritmo, a contenuti aggreganti, fondati sull’ostilità nei confronti del “nemico opportuno”. […] Neutralità, statuto proprietario e, più in generale, sostenibilità etica e giuridica della tecnologia divengono, quindi, una questione democratica ineludibile.[…] È questo l’obiettivo dell’Europa che, non solo con il codice etico per l’intelligenza artificiale ma soprattutto con i principi fondativi della disciplina di protezione dati, intende coniugare innovazione e dignità. Determinante, in questo senso, il principio di trasparenza algoritmica e il diritto di contestare la decisione assunta in via automatizzata, consentendo anche l’intervento umano per sottrarre le decisioni sulle persone al totale determinismo delle macchine. Che, se da un lato possono ridurre il rischio di errori e di un uso scorretto della discrezionalità, dall’altro non possono sostituire l’attività valutativa dell’uomo, nella sua complessità, assicurando quelle garanzie di partecipazione, trasparenza e accesso, in cui si esprime la democrazia. Del resto, se in questo campo l’Europa potrà assumere un ruolo trainante sarà non tanto e non solo per le risorse stanziate, quanto piuttosto per la leadership culturale che può promuovere, mettendo la tecnica al servizio dell’uomo, secondo il principio di responsabilità. Questo è il contesto in cui la protezione dei dati ha visto mutare profondamente il proprio orizzonte di senso, sino a divenire essenziale presidio di libertà e democrazia nella complessità della società digitale. Il prezzo della libertà Il diritto alla protezione dei dati personali viene sempre più invocato di fronte alle innumerevoli “servitù volontarie” cui rischiamo di consegnare noi stessi, in cambio di utilità e servizi che paghiamo al prezzo di porzioni piccole o grandi della nostra libertà. Emerge così un nuovo sottoproletariato del digitale, un “Quinto Stato” formato da quanti siano disposti a cedere, con i propri dati, la libertà, in cambio dei servizi offerti in rete solo apparentemente ‘a prezzo zero’. Si muove in questa ambiguità la proposta di attribuire un “dividendo dei dati” agli utenti della rete, per consentire loro di beneficiare almeno in parte della ricchezza prodotta, con i propri dati, dai big tech. E, pur mirando a riequilibrare rapporti – quali quelli tra utenti e titolari delle piattaforme – caratterizzati da un’incolmabile asimmetria, anche questa proposta non si emancipa dall’idea della monetizzazione dei dati personali, che rappresenta oggi un tema ineludibile per le democrazie. Non più la merce ma il dato incorpora, infatti, una relazione tra persone e assume il ruolo tradizionalmente svolto da capitale e lavoro, nella sua duplice veste, tuttavia, di risorsa economica e di oggetto di un diritto fondamentale. Di qui anche la funzione pro-concorrenziale della privacy: si pensi al diritto alla portabilità che, soprattutto se accompagnato dall’interoperabilità dei sistemi, potrebbe contrastare i fenomeni anticompetitivi del lock-in. Si pensi anche alla possibile qualificazione, come pratiche commerciali scorrette, delle informative reticenti o, come abuso di posizione dominante, di illecite concentrazioni di data set anche di terze parti, secondo dinamiche emerse, ad esempio, nel provvedimento sul caso Facebook-Whatsapp. Gli obblighi di correttezza e trasparenza del trattamento, imposti dalla disciplina di protezione dati, possono in questo senso rappresentare una risposta determinante ai principali fallimenti del mercato digitale, superando lo schermo della territorialità, grazie alla prevista applicazione del Regolamento a chiunque offra beni, servizi o monitori il comportamento di quanti si trovino in Europa. In questo senso, la protezione dati può rappresentare un requisito di tutela del consumatore e “antitrust by design” in quanto consente il governo dell’elemento fondativo dell’ “economia del prezzo-zero”: il dato personale. Regolarne le condizioni di utilizzo, l’ambito di circolazione, le garanzie per l’identità che riflette, significa dunque armonizzare economia e persona, tecnologia e umanità, sicurezza e libertà. […] Norme e confini Muta la stessa natura delle nostre Autorità, proiettate, ancor più nettamente rispetto al passato, in ambito europeo, ove grazie alle procedure di cooperazione e coerenza potranno rivolgersi davvero, con una voce sola, a interlocutori, come le grandi piattaforme, attratte in altri e ben diversi ordinamenti. In questa prospettiva, sarà sempre più determinante l’azione di enforcement, per verificare che il principio di responsabilizzazione sia interpretato davvero nel segno dell’incremento delle garanzie. […] Il parere obbligatorio del Garante sulla normativa primaria si è dimostrato, in questo primo anno di applicazione, un passaggio essenziale per delineare il miglior equilibrio possibile tra la protezione dati e gli altri diritti e interessi di rilevanza costituzionale, nel rispetto del canone di proporzionalità, valorizzato di recente dalla stessa Consulta in relazione alla trasparenza. Numeri e uomini Alla crescita del patrimonio informativo pubblico si è affiancato, parallelamente, un altrettanto rilevante aumento delle banche dati e dei sistemi di profilazione gestiti da privati. Sono innumerevoli, infatti, le classificazioni e schedature cui ciascuno di noi è soggetto per il semplice fatto di essere o di essere stato parte di un rapporto commerciale, con la conseguente moltiplicazione esponenziale dei profili che ci riguardano. Tanto più di fronte alla rapidissima diffusione di oggetti intelligenti – dagli elettrodomestici agli assistenti vocali fino agli smart speaker – che stanno entrando progressivamente nelle nostre case e i cui potenziali rischi per la riservatezza di abitudini e scelte ci sono spesso ignoti. I nostri dati, così raccolti per i fini più vari, concorrono a ridefinire le nostre identità: quelle “transattive” derivanti dalla ricostruzione del profilo di consumatore di ciascuno e quelle “predittive” che anticipano comportamenti, scelte e persino responsabilità. Sono, del resto, ricorrenti i tentativi – di cui ci siamo occupati – di immettere nel mercato servizi fondati su banche dati per la misurazione del rating reputazionale. In gioco vi è, certamente, l’inadeguatezza di un algoritmo a svolgere valutazioni necessariamente discrezionali e complesse, quali quelle relative all’affidabilità professionale ed economica, con il rischio di errori e false attribuzioni. Ma soprattutto vi è la sfida, culturale e antropologica, di non ridurre la complessità di una biografia al ranking attribuitole dall’algoritmo […].
|
