Quest’anno la giornata europea della protezione dei dati personali istituita dal Consiglio d’Europa (28 gennaio) precede esattamente di un giorno la fine della prima metà del mandato – o, se si preferisce l’inizio della seconda metà – del Collegio del Garante per la protezione dei dati personali presieduto da Pasquale Stanzione e insediatosi il 29 luglio del 2020.
Giorno della privacy, un bilancio
È l’occasione per un primo bilancio, naturalmente di parte, come è naturale che sia se a tracciarlo è chi è direttamente coinvolto in un’esperienza del genere e, ovviamente, assolutamente personale perché ciascuno vive certe esperienze in una prospettiva diversa.
Sono stati tre anni e mezzo non convenzionali per le cose della protezione dei dati personali in buona parte perché sono stati tre anni e mezzo non convenzionali nella vita del mondo.
Pandemia e green pass
A cominciare dalla pandemia che ha, indubbiamente, rappresentato uno stress test, in particolare nel rapporto, tra diritto alla salute e diritto alla privacy senza precedenti nell’ambito del quale trovare una posizione di bilanciamento nella rivalità – almeno apparente – tra l’esigenza di garantire la salute dei cittadini e quella di proteggere la loro privacy non è stato sempre facile.
In Italia come, per la verità, nel resto d’Europa e del mondo.
Basti pensare che, per la prima volta nella sua storia ormai ultra venticinquennale, il Garante si è trovato costretto a adottare un provvedimento di avvertimento all’indirizzo del Governo in relazione all’attuazione della disciplina originaria di quello che sarebbe poi divenuto il Green Pass.
Ma da quei giorni e da quell’esperienza, probabilmente, abbiamo tutti imparato molto.
La privacy non cede a compromessi
Abbiamo imparato – o almeno abbiamo avuto l’occasione di imparare – innanzitutto che è sbagliato proporre un antagonismo tra il diritto alla privacy e il diritto alla salute perché un bilanciamento, per quanto talvolta difficile, è possibile e perché, in ogni caso, non si può chiedere alle persone di scegliere tra due diritti fondamentali.
Intelligenza artificiale
Ma questi tre anni e mezzo e, in particolare, l’ultimo, sono stati anche gli anni dell’esplosione del fenomeno dell’intelligenza artificiale nella sua dimensione di tecnologia popolare ancorché certamente non nuova.
E si è trattato di un’esplosione che ci ha posto davanti, in Italia come nel resto del mondo, a sfide inedite.
È indelebile, probabilmente, il ricordo di quel 31 marzo 2023, nel quale il Garante italiano, primo al mondo, ha sollevato il problema della compatibilità di una specifica applicazione di intelligenza artificiale – ChatGPT3 di OpenAI – con la disciplina sulla protezione dei dati personali, adottando un provvedimento d’urgenza nei confronti della società americana.
Un errore o una decisione opportuna?
In tanti almeno nell’immediatezza di quella decisione si sono detti convinti – e lo hanno fatto a gran voce – che si sia trattato di un errore, di una decisione della quale si sarebbe potuto e dovuto fare a meno per non dare a pensare al mondo che l’Italia sia un Paese ostile all’innovazione.
Qualche settimana dopo, tuttavia, la questione della legittimità sotto il profilo della disciplina sulla privacy dell’attività di OpenAI era sotto i riflettori di decine di Autorità di protezione dei dati personali in mezzo mondo.
Inutile cercare oggi una risposta e meglio lasciare il giudizio alla storia.
Qui, però, forse è utile ricordare che a valle di quell’iniziativa a Bruxelles, in seno all’EDPB è stata istituita una task force che sta ora cercando di identificare una posizione europea comune su molte questioni sollevate con l’adozione del provvedimento del Garante italiano e che le Istituzioni europee hanno introdotto una disciplina sui modelli generativi nel draft di regolamento sull’intelligenza artificiale che, sino a quel momento, non affrontava affatto la questione.
A volte anche dagli errori, se così la storia dovesse giudicarlo, nascono cose buone.
Fermo restando che, ma anche questa è una personalissima posizione, che, forse, se vogliamo che l’impatto delle nuove tecnologie sulla società sia sostenibile, dovremmo imparare a considerare davvero innovazione solo quelle forme di nuove tecnologie capaci effettivamente di accrescere il benessere collettivo e tener presente che non si può accrescere il benessere collettivo dimenticando o, peggio, travolgendo dei diritti fondamentali come il diritto alla privacy.
Ma se c’è una certezza è che nella seconda metà del mandato ci si ritroverà a occuparsi di intelligenza artificiale e protezione dei dati personali più di quanto si è fatto sin qui anche perché, in un modo o nell’altro, ci si troverà, per primi, a applicare, per quanto di nostra competenza, l’AI Act, il regolamento europeo, ormai di imminente approvazione, sull’intelligenza artificiale.
La prima metà del mandato, peraltro, ha coinciso anche con i primi venticinque anni di vita del Garante, un compleanno importante e un’occasione preziosa, come si è provato a ricordare con una serie di iniziative pubbliche, in diverse città italiane – Roma, Torino, Napoli – per celebrare le origini dell’Autorità e il ruolo svolto a servizio dell’Italia, in un Paese e in un mondo in continua evoluzione.
Priorità: i più deboli
È difficile cercare, in un intervallo di tempo tanto lungo e intenso come questi primi tre anni e mezzo di mando milestones, temi o provvedimenti che lo abbiano contraddistinto più di altri, senza far torto a qualcuno.
Difficile al tempo stesso dubitare che la difesa del diritto alla privacy dei più fragili della società, gli “ultimi” di Papa Francesco, non sia stata una delle priorità o, almeno, uno dei grandi temi dei quali ci si è occupati di più, con un riferimento particolare alla questione della privacy dei bambini, dell’age verification ovvero dell’esigenza di rendere effettivo il divieto di accesso dei più piccoli a piattaforme che, semplicemente, non sono disegnate per loro.
I più giovani, bambini inclusi, oggi pagano letteralmente il loro diritto a vivere e giocare nella dimensione digitale con i loro dati personali e lo fanno, naturalmente, senza alcuna consapevolezza, incapaci come sono di capire davvero quanto vale ciò a cui rinunciano e quanto ciò che acquistano e lo fanno accettando, naturalmente in maniera inconsapevole, rischi che talvolta si dimostrano enormemente più grandi di loro, a volte fatali.
Inutile, probabilmente, qui ricordare uno dei primi provvedimenti adottati dall’Autorità in questa direzione: quello con il quale si ordinò, in via d’urgenza, a TikTok di mettere alla porta tutti gli utenti italiani e farli rientrare, uno per volta, dopo aver almeno chiesto loro nuovamente di dichiarare la loro età per cercare di tener fuori chi non avesse tredici anni.
Molti utenti infratredicenni, in quei giorni, in effetti, capirono – o lo capirono i loro genitori – che i social potevano aspettare a trattare i loro dati personali.
Un minuscolo passo rispetto alla dimensione della sfida tuttora sul tavolo ma un passo, forse, importante, per alzare una bandiera, segnalare un problema del quale oggi si discute più che in passato e in relazione al quale si sta lavorando, a cominciare dal tavolo che si è istituito tra Autorità per le Garanzie nelle comunicazioni e Garante privacy alla ricerca delle migliori possibili soluzioni di age verification da chiedere alle piattaforme di adottare.
E, d’altra parte, lo stesso Governo, frattanto, è intervenuto, con il Decreto Caivano, ordinando ai siti che diffondono contenuti pornografici di adottare idonee soluzioni di age verification.
Insomma, come generalmente accade, la soluzione a problemi complessi non è né facile, né istantanea ma, identificato il problema, poi, unendo le forze, la si raggiunge per approssimazione successiva anche guardando allo stesso problema da prospettive diverse.
Pagare dati personali
Tra le questioni che hanno tenuto banco in questa prima metà del mandato, in Italia come nel resto d’Europa e alle quali non si è ancora trovata una risposta adeguata, c’è quella che il grande pubblico – si fa per dire – degli addetti ai lavori ha ormai definito – anche se con formula che non rende forse giustizia alla sua poliedricità e complessità – “monetizzazione dei dati personali”.
I dati personali possono essere scambiati – come, peraltro, avviene largamente ormai da anni – sui mercati globali anche in cambio di servizi e contenuti digitali?
È legittimo comprare un giornale o un servizio di social networking “pagando” – l’espressione è utilizzata in senso atecnico ma non troppo – in dati personali o questo rappresenta un’insostenibile forma di “corruzione” di un diritto fondamentale come il diritto alla privacy, capace di svuotarlo di contenuto, privandolo di alcune delle sue caratteristiche più intrinseche, a cominciare da quella dell’universalità e, così facendo, per dirlo con formula di sintesi, rendendo il diritto alla protezione dei dati personali un diritto per soli ricchi?
I grandi editori europei hanno imboccato questa strada e Meta – solo per citare una delle big tech – ha, da qualche mese, iniziato a fare altrettanto.
In giro per l’Europa le Autorità di protezione sono alla ricerca di una soluzione capace di tutelare le ragioni della privacy nel modo più effettivo possibile, senza cercare comodo rifugio in risposte solo di principio ma, poi, difficili da attuare in maniera concreta.
Secondo tanti si sarebbe dovuto essere più veloci.
E, forse, hanno ragione, anche se, spesso, dall’esterno, è difficile cogliere la complessità dei meccanismi di cooperazione internazionale e il prezzo, in termini di tempo, della qualità e uniformità di certe decisioni.
Si tratta di uno dei bivi più difficili davanti ai quali ci si è spesso trovati davanti: esser veloci ma da soli, con il rischio di sentirsi rimproverare l’originalità di una decisione – come accaduto nel caso ChatGPT3 – o esser prudenti e attendere il raggiungimento di posizioni corali europee con il rischio di sentirsi rimproverare di non esser abbastanza veloci rispetto ai tempi di propagazione dei fenomeni come sta avvenendo nel caso della monetizzazione dei dati?
La risposta facile, naturalmente, suggerisce che si dovrebbe cercare una via di mezzo.
Ma farlo davvero è più difficile di dirlo o di scriverlo.
E, purtroppo, quella della “monetizzazione dei dati” non è l’unica questione rimasta aperta alla quale non si è trovata ancora una soluzione adeguata.
C’è tanta strada da fare nell’ambito della ricerca medico-scientifica e ce n’è evidentemente altrettanta nella direzione dell’impiego delle soluzioni di intelligenza artificiale per migliorare, ma in maniera democraticamente sostenibile, il buon governo delle nostre città.
Ci sono, probabilmente, le premesse che renderanno la seconda metà del mandato non meno stimolante della prima metà.
Si poteva fare certamente di più e meglio perché è sempre possibile e si dovrà provare a fare meglio e di più ma determinazione, passione e voglia di proteggere per davvero un diritto sempre più centrale nella vita delle persone non sono mancati.
La necessità di aprire la privacy a tutti
Come non è mancata in nessun momento la certezza che un diritto fragile – anche perché poco conosciuto – come quello alla protezione dei dati personali deve essere raccontato in ogni contesto, insegnato nelle scuole e ai bambini, reso popolare nel senso più pieno del termine e la certezza che farlo, sebbene con l’atavica – e, anzi, sfortunatamente crescente – scarsità delle risorse a disposizione è un compito irrinunciabile del Garante per la protezione dei dati personali in tutte le sue componenti, ciascuna per quanto di propria competenza.
In questi primi tre anni e mezzo, forse una delle scoperte più belle, è stata proprio questa: più l’autorità esce dalla sua torre d’avorio, più si apre al dialogo, più attorno le si stringe una comunità di persone, professionisti, associazioni, enti pubblici e privati straordinariamente diversi ma pronti a fare squadra, a lavorare assieme almeno sul versante della educazione, divulgazione, formazione al valore dei dati e alla centralità della privacy in tutte le dimensioni della vita della società.
È quello che insegnano iniziative come State of privacy o il Manifesto firmato a Pietrarsa proprio nel corso della prima edizione di State of Privacy per raccontare la privacy ai più piccoli o il Privacy Tour, il giro dell’Italia del sud e dei piccoli comuni per portare curiosità e stimoli sul diritto alla privacy dove, normalmente, arrivano di meno, lanciato a Roma, dal Museo di Villa Giulia, nel corso della seconda edizione di State of privacy.
La strada da fare, inutile, probabilmente, scriverlo è enormemente più lunga rispetto a quella fatta sin qui ma questa consapevolezza non può che essere una ragione per continuare a percorrerla, allungando il passo.
E non c’è un modo diverso di percorrerla se non in maniera collettiva, con tutte le donne e gli uomini che lavorano quotidianamente nell’Autorità, con gli straordinari compagni di avventura che mi sono toccati in sorte – il Presidente Pasquale Stanzione, la Vice-Presidente Ginevra Cerrina Feroni, il mio collega Agostino Ghiglia -, la mia meravigliosa segreteria, una squadra, nella squadra.
Ma guai a dimenticare i tanti che non lavorano in Autorità ma che animano quella incredibile comunità che supporta l’Autorità nelle sue sfide quotidiane e quanti, spesso, criticano il nostro operato, stimolandoci a far meglio, a tornare sui nostri passi, a approfondire ogni genere di problemi, dando sempre e dando a tutti, almeno la prima volta, il beneficio della buona fede, della voglia di costruire insieme salvo talvolta dover prendere atto che, purtroppo, non manca mai chi critica per il piacere di criticare, per il gusto della polemica o, magari, con l’obiettivo di ritagliarsi qualche frammento di polvere di stelle nel generoso firmamento dei social.
Grazie a tutte e a tutti, nessuno escluso.
