Oggi, 28 gennaio, è il Data Protection Day.
È la Giornata della protezione dei dati, istituita nel 2006 dal Consiglio d’Europa, che ha scelto come giorno simbolico quello in cui venne aperta alla firma la Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (per tutti, più semplicemente, la Convenzione 108).
Privacy: perché la Convenzione 108+ è cruciale per il libero flusso dei dati
L’evento
Un evento importante, celebrato ormai in tutto il mondo con conferenze, eventi e panel, che quest’anno giunge alla sua sedicesima edizione.
In particolare, il Consiglio d’Europa celebra questo giorno con l’assegnazione di un importante premio. Si tratta dello Stefano Rodotà Award, giunto alla sua quarta edizione. Stefano Rodotà, insigne giurista, padre della protezione dei dati in Europa, primo Presidente del Garante per la protezione dei dati personali, e mio Maestro, con la sua opera ha regalato al mondo un lascito senza prezzo, spesso poco ricordato in patria, ma per fortuna celebrato adeguatamente in Europa e nel mondo.
Altro grande hub di celebrazioni è la IAPP, la International Association of Privacy Professionals, di cui sono Country Leader per l’Italia e nel cui Board of Directors mondiale ho avuto l’onore di sedere per cinque anni. Multipli eventi online saranno trasmessi sui canali della IAPP www.iapp.org per tutta la settimana corrente e quella entrante.
Fra i tanti eventi che andranno in scena in questi giorni, non posso che segnalare quello organizzato dai professionisti del KnowledgeNet Chapter IAPP di Roma. Nel corso del virtual meeting “Garante Talks (con Agostino Ghiglia): Un bilancio di inizio anno”, in programma il prossimo 2 febbraio (17:00-18:30), avremo il piacere di avere come ospite l’On. Agostino Ghiglia, Componente del Collegio del Garante, assieme al quale traccerò un bilancio dell’anno appena trascorso, provando ad anticipare qualche previsione per quello appena iniziato, il tutto sotto l’attenta moderazione dell’Avv. Federico Sartore, co-chair del Chapter romano della IAPP.
Si tratta anche di un’occasione per fermarsi e provare a fare il punto su ciò che è diventato e ancora può, e forse deve, diventare il diritto fondamentale che la parola privacy sottende.
Cosa possiamo festeggiare
Questa giornata speciale consente prima di tutto di guardarsi indietro e attorno per apprezzare quanto si siano profondamente e progressivamente evoluti la concezione e il rispetto della protezione dei dati personali in questa nostra società moderna.
La spinta dei regolatori è stata certamente un motore dominante. A conferire rango primario a tale diritto sono state la già citata Convenzione europea dei diritti dell’uomo, la Carta dei diritti fondamentali dell’Unione europea e la stessa Convenzione 108, il cui Comitato direttivo vede, da anni, come Chairwoman Alessandra Pierucci del Garante italiano. A cascata sono stati poi adottati la Direttiva 95/46/CE (la c.d. Direttiva Madre) ed il Regolamento (UE) n. 2016/679 (il c.d. GDPR), a tratteggiare una disciplina per la prima volta compiuta e vincolante in un ambito ad alto coefficiente di pervasività.
Il progredire dell’armonizzazione normativa a livello europeo, nel ridurre le differenze tra i singoli stati, ha altresì consentito di mantenere impregiudicate talune peculiarità locali, concedendo margini nell’adeguamento di certe disposizioni sovranazionali. Gli stessi contenuti dell’intervento legislativo si sono poi evoluti nel corso degli anni, andando a intercettare il carattere intrinseco di questa materia, vale a dire il suo intimo collegamento con il progresso tecnologico. Il tutto per consegnarci, oggi, una normativa in grado di fornire tutele anche davanti a innovazioni della tecnica fino a poco tempo fa imprevedibili e capace, in definitiva, di governare il fulcro concettuale e operativo della quarta rivoluzione industriale: l’economia dei dati. Attorno a essa sono infatti destinate a ruotare l’economia reale e l’economia finanziaria dei prossimi anni e la normativa sulla protezione e la circolazione dei dati – presto affiancata dai nuovi regolamenti che l’UE ha in cantiere per la governance del digitale – costituisce il primo e più importante riferimento per affrontare le inedite sfide poste dall’avvento della c.d. data economy.
Il ruolo delle Autorità di controllo
Lo stesso impianto legislativo, nel fascio di interazioni fra norme nazionali e sovranazionali, ha avuto il merito di dar linfa al secondo grande motore dell’evoluzione della protezione dei dati personali in Europa. Mi sto riferendo alle autorità di controllo. Un ruolo centrale quello detenuto da ogni authority, singolarmente e nei congressi ove esse si sono trovate ad esprimersi in un’unica voce. L’attivismo delle autorità privacy, tuttora e sempre più veri fari per cittadini e imprese, ha dato forma al maestrale che negli ultimi anni sta attraversando questa materia, interpretando, vigilando, correggendo e, quando necessario, sanzionando. Grazie al lavoro di quanti hanno posto la propria dedizione al servizio dell’impegno istituzionale oggi possiamo tutti contare su autorità di controllo forti ed autorevoli. Penso in particolare al nostro Garante, alla cui storia ho avuto il privilegio di dare il mio personale contributo come Dirigente nei primi anni di attività. L’ammirevole abnegazione manifestata fin dagli anni della sua fondazione dalle donne e dagli uomini del Garante e la guida dei Collegi che si sono succeduti nel tempo hanno reso la nostra Autorità un indiscutibile punto di riferimento per il Paese tutto (e non solo). Ed in questo senso, l’attenzione che l’attuale Collegio sta ponendo anche all’impegno internazionale e alla comunicazione dimostra con tutta evidenza la bontà della rotta intrapresa.
L’attivismo di associazioni e movimenti di categoria
C’è dunque il legislatore, ci sono le autorità, ma ci sono anche le associazioni e i movimenti di categoria. L’attivismo che in questi anni ha circondato e fecondato il settore della protezione dei dati personali è stato per certi versi sorprendente. L’idea di comunità, di scambio di competenze, di missione comune per la divulgazione e la diffusione di questa materia sono tutti indicatori di un ecosistema in costante evoluzione, che al suo centro ha come cuore pulsante un diritto fondamentale. Una militanza che, occorre dirlo, sta iniziando a contagiare anche aziende e gruppi di imprese, esempi virtuosi di realtà che fanno del lecito (ed etico) trattamento di dati personali un punto di forza e di riconoscibilità sul mercato. In primis si segnala la già citata IAPP, grande casa internazionale dei professionisti della privacy. Poi a livello nazionale sono emerse varie realtà dall’IIP Istituto Italiano Privacy guidato da Luca Bolognini, a Federprivacy di Nicola Bernardi, da Privacy Italia fondata da Raffaele Barberio ad AssoDPO presieduta da Matteo Colombo, e altre ancora.
Oggi possiamo e dobbiamo dunque celebrare il punto di arrivo di un sistema ormai avanzato, ove il diritto alla protezione dei dati personali è riconosciuto quale diritto fondamentale, viene tutelato e interpretato dalle autorità di controllo ed è diffuso e condiviso dalle associazioni di categorie e da sempre più imprese.
Cosa non possiamo ancora festeggiare
Si è detto come il percorso di crescita e di maturazione dell’organismo data protection abbia raggiunto risultati degni di grande entusiasmo. Non si tratta tuttavia di un processo compiuto. Ciò che ancora spesso manca, a più livelli, è un’adeguata presa di consapevolezza circa l’importanza e la dignità di questa materia.
Ciò vale, innanzitutto, a livello politico-legislativo. Sembra paradossale, trattandosi di un diritto fondamentale, eppure continuano a ripresentarsi, quasi ciclicamente, convinte manifestazioni di svilimento e mortificazione di questa materia. La privacy come ostacolo, come orpello burocratico, come semplice formalismo. Sono queste posizioni, vecchie e fuori moda, che è giunto il momento di abbandonare una volta per tutte. Dietro di esse si annida infatti l’annichilimento dei diritti, anticamera di un orribile e pericoloso ricordo di un passato da dimenticare.
Che si inauguri dunque una nuova stagione dei diritti, riconoscendo definitiva e non più contestabile dignità anche a quelli di più recente affermazione. Di questo potrà beneficare non solo il sistema Paese, ma anche l’organizzazione statale, la quale ancora presenta, salve rarissime eccezioni, un certo deficit nel livello di adeguamento alla normativa sulla protezione dei dati personali.
Il passo in avanti che ancora manca nella giusta considerazione della cosiddetta privacy riguarda anche molte imprese. Come detto, esistono numerose realtà in cui la fenomenologia del trattamento e della valorizzazione dei patrimoni informativi è asset fondamentale e prioritario.
Si tratta purtroppo di una condizione ancora non sufficientemente diffusa. Molte società, infatti, trascurano del tutto il tema della protezione e della sicurezza dei dati, altre invece se ne occupano saltuariamente o, peggio ancora, soltanto in occasione di una reale o potenziale minaccia. Che si apra allora anche qui una nuova stagione per la privacy nelle aziende, con l’adozione di politiche e programmi in materia di protezione dei dati personali, con lo stanziamento di nuove risorse, adeguate agli obiettivi da perseguirsi, e con l’ingresso di professionisti altamente qualificati all’interno dei Consigli di Amministrazione. Tutto questo permetterà finalmente di comprendere come l’adeguamento alle regole in materia di data protection non è soltanto un importante obbligo normativo ma anche una grande opportunità per ogni business.
Let’s celebrate!
Oltre al tempo per riflettere, il Data Protection Day è anche un momento di confronto, condivisione e festeggiamenti, a cui non ci si può proprio sottrarre. Il cartellone di iniziative, nazionali e internazionali, è peraltro ricchissimo, con conseguente imbarazzo e al tempo stesso piacere della scelta.
