Sembra che imprese e DPO che operano presso strutture coinvolte nell’evoluzione digitale siano lente a comprendere i riflessi che la tecnologia digitale ha sulla tutela dei dati personali.
Qualcosa di analogo si registra anche nei corsi di specializzazione finalizzati a preparare gli iscritti alla professione di DPO.
Ovviamente questo segna un’incredibile lentezza del mercato a comprendere gli effetti dell’evoluzione digitale anche rispetto al trattamento dei dati, siano essi personali o no.
La fiducia da tutelare, nello scambio di dati
Il fatto è che la società digitale si caratterizza proprio perché basata su relazioni fra i soggetti che ne fanno parte, consistenti in scambi di dati digitali, il che significa che la società digitale non può limitarsi a tutelare i dati personali considerando la loro tutela essenzialmente come tutela di un diritto di libertà, ma deve comprendere che diventa centrale la tutela di tutti i sistemi di trasmissione digitale delle informazioni così come di tutti i dati scambiati con modalità digitali per consentire ai “cittadini digitali” di potere aver fiducia non solo nella tutela dei loro dati personali ma nella società digitale come tale.
Persino nel quadro del GDPR è chiarito più volte che lo scopo non è solo assicurare il rispetto della vita privata e familiare, ma anche quello di consentire ai cittadini di avere fiducia nella società digitale, il che spiega anche perché molte parti del GDPR si siano mostrate singolarmente idonee a reggere anche la prima fase della evoluzione digitale.
Figuriamoci dunque se non è sempre più essenziale, man mano che la tecnologia digitale evolve, ampliare la visione degli operatori e dei regolatori anche a questa nuova prospettiva essenziale: quella cioè che al centro della attenzione regolatoria e dell’opera delle Autorità di vigilanza deve esservi soprattutto il graduale e costante irrobustimento della tutela degli scambi di dati tra i cittadini proprio al fine di consentire ad essi di accrescere la loro fiducia nella società digitale e quindi alla società digitale stessa di evolversi rapidamente e offrendo adeguate certezze ai cittadini che sempre più sono costretti a far uso delle tecnologie che la caratterizzano.
Il responsabile transizione digitale
In questo quadro, ovviamente, si comprende bene perché il CAD (Codice dell’Amministrazione Digitale) prevede all’interno della PA la figura del Responsabile della transizione digitale: figura dirigenziale che deve garantire la trasformazione digitale dell’amministrazione coordinando lo sviluppo dei servizi pubblici digitali e l’adozione di modelli trasparenti e aperti di relazione con i cittadini che assicurino la erogazione di servizi fruibili a tutti, utili e di qualità.
Ovvio che il CAD non si applica direttamente in tutte le sue parti alle imprese private cosicché la figura del Responsabile della transizione digitale non è obbligatoria per le imprese private. È evidente però che anche i privati, e specialmente le grandi e medie imprese, sono interessate a garantire servizi adeguati alla necessità degli utenti, fruibili e di qualità. È altresì evidente che i servizi erogati dovranno anche garantire la tutela dei dati scambiati e, soprattutto per quanto riguarda i dati personali eventualmente trattati, essere conformi alla prescrizioni del GDPR.
La sovranità dell’Europa
A questo va aggiunto che la Conferenza sul futuro dell’Europa, conclusasi il 9 maggio 2022, ha posto tra i settori strategici che l’Europa deve individuare come settori di interesse comune quelli dello spazio, della robotica e dell’intelligenza artificiale in un quadro che mira a rafforzare l’autonomia della UE in una serie di settori strategici chiave fra i quali quello delle tecnologie digitali e ambientali, nonché dell’energia.
Dunque è del tutto evidente che siamo di fronte a una evoluzione rapida del sistema europeo che non riguarda solo le tecnologie ma anche le norme relative alla tutela delle tecnologie digitali e ambientali nel quadro stesso della società digitale in una visione che mira anche a garantire la sovranità digitale dell’UE.
Come cambiare il ruolo del DPO
In questo contesto è evidente che anche il ruolo del DPO deve essere rivisto e irrobustito.
L’art. 39 del GDPR stabilisce infatti che il DPO deve informare e offrire consulenza al titolare o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR, fra i quali ovviamente, ma non solo, la tutela dei dati personali, compresa la valutazione di impatto e tutti gli obblighi con essa connessi.
Non a caso del resto il Manuale per RPD, predisposto da Korff e Georges e presente anche sul sito del Garante italiano come guida ai DPO operanti nel nostro territorio, individua ed elenca ben 12 “compiti specifici” ai quali il DPO deve assolvere. Tra questi compiti, elencati ai numeri 9 e 10, vi è quello di “sostegno e promozione dei principi di “Data Protection by Design & Default”, al numero 9, e quello di assicurare “Consulenza e monitoraggio della conformità delle politiche di protezione dei dati, dei contratti tra contitolari, tra titolari, tra titolare e responsabile, norme vincolanti di impresa e clausole per il trasferimento dati” al numero 10.
È evidente che l’evoluzione delle tecnologie in atto nella società digitale riguardano direttamente e in modo profondo i punti elencati.
Soprattutto è chiaro che l’evoluzione, ormai inarrestabile, verso la AI e la sua regolazione, avvenga essa secondo il modello “concordato” che si persegue in USA sia nella previsione di specifici Executive Orders del Presidente, sia seguendo la visione regolatoria UE che sta approvando il nuovo Regolamento sulla AI, comporta sia una centralità dell’analisi di impatto da parte delle imprese che utilizzano la AI, sia una approfondita conoscenza dei dati utilizzati dalla AI, delle modalità della loro raccolta e delle misure adottate per la loro tutela e la loro successiva cancellazione.
Specialmente ove tali dati, come sempre più avviene, siano dati personali o, per le modalità di funzionamento della AI, possano sempre più essere dati trattati anche per trarne informazioni relative alle persone alle quali si riferiscono.
Come deve cambiare la formazione del DPO
In questo quadro è evidente che dobbiamo prepararci a un forte incremento delle competenze e dei compiti dei DPO, ai quali non saranno più sufficienti solo competenze giuridiche specializzate in materia di GDPR e di regole nazionali di protezione dei dati, ma occorreranno anche, e sempre di più, competenze tecnologiche che li mettano in grado di dare un supporto efficace e adeguato soprattutto in sede di DPIA, fase prevista sia dal quadro in corso di elaborazione negli USA, che nel caso delle discussioni in atto sul Data AI Act della UE.
Non solo: è evidente anche che i DPO dovranno sempre più conoscere adeguatamente tanto la legislazione USA quanto quella UE sulla AI, per poter fornire un adeguato e valido supporto ai titolari che intendano attivare anche trasferimenti di dati dalla UE agli USA avvalendosi del recente e nuovo Data Privacy Framework approvato dalla Commissione UE il 10 luglio scorso.
Dunque occorre molto lavoro ai DPO o agli aspiranti DPO operanti in UE per adeguare le loro competenze, ed è assolutamente urgente che i numerosi corsi per DPO disponibili in UE e in Italia, organizzati da Università o da Organizzazioni, anche private, specializzate siano rivisti e adeguati alle evoluzioni in atto.
Allo stesso tempo è assolutamente urgente e necessario che siano predisposti in UE e, per quanto ci riguarda, in Italia, corsi di aggiornamento periodico e frequenti per DPO. Non vi è dubbio, infatti, che la società digitale nella quale siamo ormai entrati, e dalla quale non usciremo più, è destinata ad evoluzioni continue, tutte incentrate sui dati e gli scambi relazionali che essi consentono.
Tutto questo, infine, è ancora più importante in UE perché proprio la società digitale pone alla UE una sfida decisiva: quella di creare uno spazio unico digitale UE, senza il quale le stesse ragioni storiche della UE vengono meno.
È proprio per questo, infine, che la Presidenza francese della UE ha organizzato tra il 1 gennaio e il 30 giugno 2022 la Conferenza sul futuro dell’Europa, le cui conclusioni sono state accompagnate da una lista di proposte delle quali la Commissione e il Parlamento UE hanno preso atto mentre il Consiglio europeo ha cominciato, nella riunione del 23 e del 24 giugno 2022, ad esaminare la proposta presentata dal Governo francese finalizzata ad istituire una più ampia “Comunità politica europea” .
Insomma la UE è certamente una realtà che è messa fortemente in tensione dalla società digitale, tanto da spiegare bene l’attivismo regolatorio che la UE sta dimostrando proprio sui temi più sensibili della società digitale rispetto all’uso dei dati.
In questo quadro però non basta riempirsi la bocca di altisonanti dichiarazioni ma occorre, specialmente da parte degli esperti, e in prima linea dei DPO, prepararsi a uno studio attento e approfondito sia delle nuove regole che della nuova realtà per la quale esse sono predisposte, così come occorre che Università e centri di ricerca e formazione pubblici e privati prestino sempre più attenzione alla formazione digitale dei cittadini UE e quindi anche dei DPO. Non a caso proprio la formazione digitale dei cittadini UE e i mutamenti necessari nell’ambito del sistema scolastico sono uno dei punti più interessanti e importanti delle raccomandazioni contenute nelle proposte per il futuro dell’Europa.
Non è difficile peraltro rendersi conto di quanto stretti siano i legami tra il PNRR, che tanta attenzione dedica anche all’istruzione digitale, e la evoluzione della società digitale europea.
Dunque i DPO non pensino neanche per un momento che la loro attività, finora dominata da una visione essenzialmente tecnico-giuridica sia al tramonto, né gli organizzatori di corsi per DPO pensino che possa bastare rieditare anno dopo anno percorsi formativi sempre incentrati essenzialmente sugli aspetti tecnico-giuridici della tutela del diritto alla privacy visto come diritto di libertà.
Al contrario mai come nell’evoluzione in atto verso la società digitale il ruolo del DPO è essenziale e mai come in questa realtà è necessario garantire un costante aggiornamento delle competenze di DPO, essenzialmente incentrato sull’evoluzione tecnologica della società.
Dunque DPO e organizzatori di corsi di formazione per DPO si preparino, nella consapevolezza di poter e dover offrire un contributo essenziale all’evoluzione della Unione Europea nella società digitale.
