La pandemia da Coronavirus, che ha caratterizzato il passaggio al terzo decennio del XXI secolo e che, probabilmente, è destinata a caratterizzare ancora a lungo la vita e la società globale anche nei prossimi anni e, forse, decenni, ha avuto molti effetti, alcuni dei quali certamente ancora sfuggono a noi, donne e uomini che stanno vivendo questa esperienza e risulteranno invece ben più chiari a chi, fra molti anni, studierà questa nostra epoca.
Quello che noi possiamo dire oggi è che la pandemia è stata ed è un enorme stress test per il mondo attuale e per i grandi player e sistemi geopolitici che se ne contendono il primato.
La gara è in corso e non è possibile ancora prevedere come finirà, così come, malgrado tutta la fiducia del pensiero occidentale nella scienza e nelle sue potenzialità è ancora impossibile dire quanto lo stato di crisi e di blocco delle relazioni sociali, tanto livello locale quanto a livello mondiale, avrà termine o, almeno, tornerà a muoversi su binari che ci sembravano fino a qualche mese fa normali e prevedibili. E’ bene dunque limitarsi a cercare di capire dove siamo ora e quali sono gli aspetti più rilevanti che potranno caratterizzare il prossimo futuro.
La centralità dei dati e dalla data science dopo il covid-19
Da questo, dichiaratamente limitato punto di vista è certo che il mondo coinvolto nella pandemia si è trovato all’improvviso precipitato nell’epoca digitale e, soprattutto, ha scoperto la centralità dei “dati” e della data science.
La stessa lotta alla pandemia ha improvvisamente fatto comprendere a tutti quanto siano importanti i “dati” e cioè le informazioni essenziali relative ai fenomeni che si vogliono conoscere, analizzare e imparare a contrastare. A conferma di ciò basti pensare ai costanti attacchi del Presidente americano alla Cina, accusata di non aver messo in comune con gli altri paesi dati sufficienti a conoscere meglio il fenomeno in atto o alle non poche dichiarazioni di impotenza degli scienziati costretti a dire che le loro ricerche erano ostacolate dalla incertezza sui dati a disposizione, sulla loro esattezza, sulle modalità con le quali essi erano stati raccolti e verificati e, dunque, sulla loro stessa “comparabilità”.
Improvvisamente milioni di persone, che mai avevano capito bene cosa fossero i dati e la scienza dei dati si è resa conto della loro importanza per la vita di tutti.
Contemporaneamente la necessità di raccogliere, conoscere e studiare i dati intesti come informazioni su un fenomeno che spaventava e spaventa tutti, ha spinto milioni di persone a misurarsi con i temi legati all’analisi dei dati e alla loro utilizzabilità rispetto ai fini perseguiti.
In questo modo i temi tipici della data science sono entrati nella vita di tutti e, al medesimo tempo, è diventato chiaro, anche grazie agli strumenti utilizzati da ognuno per informarsi, conoscere, restare in contatto con gli altri anche durante il periodo del lockdown, che larga parte del mondo e comunque tutti i Paesi sviluppati erano ormai parte di unica rete mondiale di interscambio di informazione e di relazioni che producono dati o, meglio, consentono di raccogliere, conoscere e analizzare i dati prodotti da coloro che utilizzano tali reti di comunicazione per le più diverse finalità.
Non solo: proprio le quotidiane informazioni sull’andamento della pandemia, sulle analisi svolte agli scienziati, sulle decisioni assunte sulla base delle analisi fatte, hanno reso consapevoli milioni di persone di cosa significhi potere, nell’epoca digitale, raccogliere e analizzare milioni e miliardi di dati, in tempi estremamente veloci e con costi relativamente contenuti.
Infine, la necessità di continuare, per quanto possibile, una vita sociale e economica accettabile ha spinto molti Paesi e milioni di esseri umani a far ricorsa ai servizi accessibili sulla rete con modalità digitale e a sostituire in larga parte i contatti sociali con contatti virtuali, resi disponibili dal grande sviluppo della realtà digitale negli ultimi decenni.
Tutto questo ha fatto sì che il mondo sia in pochi mesi passato da una epoca all’altra, trascinando con sé nella nuova dimensione tutti, o quasi tutti, gli esseri umani che potevano comunque avere accesso alla rete e alle tecnologie digitali.
Volendo usare una immagine propria della cultura biblica di gran parte dell’Occidente e dei Paesi a cultura giudaico cristiana, potremmo dire che improvvisamente la dimensione e la tecnologia digitale è diventata l’Arca di Noè di una gran parte di umanità e, come fu per l’Arca, le persone hanno improvvisamente dovuto lottare per salire a bordo. Si è scoperto così il valore delle reti di telecomunicazione, l’importanza del diritto di accesso, la necessità di possedere strumenti digitali adeguati. Non solo: come avvenne certamente anche nell’Arca è stato necessario a tutti coloro che sono riusciti a salire a bordo, conoscere o elaborare rapidamente nuove regole di convivenza e nuovi criteri per definire i propri spazi vitali e le proprie condizioni di vita.
E’ diventato in questo modo più facile per tutti capire cosa significhi regolare, raccogliere e tutelare i dati, soprattutto se personali e relativi dunque a persone identificate o identificabili. E’ diventato chiaro a tutti capire il “valore” dei dati, inteso come un sistema di informazioni al quale attingere per analizzare il presente, prevedere il futuro, cercare di conoscere meglio le condizioni di vita di ciascuno e di tutti. Allo stesso tempo, specialmente grazie anche ai provvedimenti restrittivi delle libertà personali adottati dalle Autorità o alle prescrizioni mediche impartite per evitare la diffusione del morbo, è diventato chiaro a tutti quanto fossero importanti le informazioni relative a ciascuno e, soprattutto, quanto fosse necessario che chi ne veniva a conoscenza avesse i mezzi tecnici e culturali idonei per usare tali informazioni in modo utile a tutti e ciascuno.
Insomma, per farla breve, improvvisamente, grazie all’epidemia, gli esseri umani si sono trovati come bambini smarriti in un bosco, obbligati a imparare rapidamente a capire come muoversi nella nuova realtà, come scorgerne i pericoli, come riuscire restare padroni di sé stessi anche in un mondo nuovo e sconosciuto.
I dati, e la scienza dei dati sono diventati improvvisamente essenziali per tutti, così come è improvvisamente cresciuto il bisogno di poter contare su una tecnologia “buona”, umanamente orientata, capace di aiutare gli uomini, senza condizionarne la libertà e il libero arbitrio. In questo quadro ha assunto importanza crescente la speranza che la tecnologia potesse aiutare l’umanità a muoversi nel nuovo mondo ed è così tornata centrale la tematica relativa all’Intelligenza Artificiale, alla robotica e alle tecnologie digitali, viste da un lato con sospetto e timore e, dall’altro, con speranza e ottimismo.
E’ troppo presto per dire oggi come questo quadro potrà evolvere nei prossimi anni, tuttavia alcune cose possono già oggi essere messe in rilievo.
L’importanza della tutela dati personali e non
La prima cosa che appare chiara è che la pandemia ha consentito a chi ha voluto di comprendere che la normativa relativa alla tutela dei dati personali, oggi il GDPR e, per l’Italia, il Codice privacy italiano non sono solo norme a tutela di un diritto fondamentale dell’Unione Europea quale la tutela dei dati personali ma sono anche un raffinato sistema regolatorio basato sui principi fondamentali della data science e del trattamento dei dati, quale che sia la loro natura.
Se riguardiamo ai principi di minimizzazione, necessità e adeguatezza dei dati, intesi come regole che impongono di trattare solo i dati strettamente necessari per le finalità perseguite ci rendiamo conto che sono essenzialmente principi fondamentali di data science applicati ai trattamenti di dati personali. Il loro fine non è soltanto, e neppure essenzialmente, quello di tutelare un diritto quanto quello di evitare errori nei trattamenti legati ai dati oggetto di trattamento. Infatti, come anche la pandemia ha dimostrato, più dati formano oggetto di analisi più c’è il rischio di errori legati anche all’irrilevanza delle informazioni analizzate per raggiungere gli scopi voluti.
Esattezza dei dati
Analogamente si deve dire per quanto riguarda il principio di esattezza dei dati. E’ ovvio che se i dati sono sbagliati anche l’analisi relativa sarà viziata e negativamente condizionata dall’aver avuto come oggetto dati “sbagliati” o comunque non esatti. Lo stesso vale rispetto al principio di attualità dei dati: è pacifico infatti che i dati, per loro natura “invecchiano”, e invecchiando sono sempre più potenzialmente e facilmente inesatti perché rappresentano una realtà che nel frattempo è mutata. Dunque il principio di attualità del dato è fondamentale per assicurare che le finalità perseguite, che sono la base di legittimità dei trattamenti, sia perseguita in modo efficace. Di qui anche il principio di cancellazione dei dati dopo che i trattamenti per i quali essi sono raccolti siano stati posti in essere. Tenere archivi sempre crescenti di dati è di per sé un pericolo per la data science.
Se è vero, infatti, che i dati sono l’oggetto dei trattamenti, e dunque accrescono il valore dei trattamenti stessi, è vero anche che più dati si hanno a disposizione più aumenta il rischio che essi siano invecchiati e non più attuali, e dunque inutili, e anzi pericolosi per i trattamenti che si vogliono porre in essere.
Si potrebbe continuare a lungo ma queste poche righe dovrebbero essere sufficienti a comprendere che in realtà la normativa sulla tutela dei dati personali è stata elaborata negli anni avendo a mente la tutela di un diritto fondamentale, ma è anche sempre stata strettamente connessa all’obiettivo, di rilievo generale, di garantire che i trattamenti posti in essere siano il più possibile coerenti e “in asse” con le finalità perseguite, anche al fine di evitare “bias”, e cioè difetti intrinseci dei dati usati che possono trasformarsi nel rischio di dar vita a trattamenti “sbagliati”, che conducono a risultati viziati dai difetti dei dati usati.
La tutela del diritto fondamentale alla privacy in Europa
Ovviamente la tutela dei dati personali connessa alla tutela del diritto fondamentale affermato dal Trattato di Lisbona che ha recepito la Carta di Nizza non è solo data science e non ha come obiettivo solo la tutela della esattezza, correttezza e affidabilità delle analisi operate sui, e grazie ai, dati trattati. Tuttavia, come si è cercato di dimostrare, la tutela dei dati personali non è solo tutela di un diritto fondamentale ma anche una raffinata normativa, finalizzata a garantire trattamenti il più possibile “corretti” e coerenti con le finalità perseguite.
Mi pare chiaro, tuttavia, che il fatto stesso che la Unione Europea abbia dedicata tanta attenzione al tema della tutela dei dati personali ha consentito all’Unione di sviluppare una particolare sensibilità e attenzione sia al concetto di dato che di trattamento e, soprattutto, alle attività connesse all’analisi dei dati.
Questo da un lato ha certamente spinto la UE a seguire con particolare interesse lo svilupparsi della realtà digitale, anche tenendo conto che i sistemi economici e produttivi dei suoi principali paesi hanno costantemente svolto ruoli di primo piano nello sviluppo delle tecnologie digitali. Da un altro lato ha condotto la UE a considerare sempre come un rischio rilevante il trasferimento di dati personali in altri Paesi che non assicurassero tutela adeguate ai dati personali.
In sostanza la preoccupazione legata alla tutela di un diritto fondamentale è diventata nel tempo per la UE una spinta forte a occuparsi in generale di tutte le tecnologie legate ai trattamenti di dati, prima fra tutte quella legata al sistema delle comunicazioni digitali.
Proprio questa particolare attenzione ai trattamenti dei dati e alle tecnologie ad essi connessi ha costituito da tempo uno dei collanti di maggiore rilievo della UE stessa.
Digital Single Market for Europe e la Strategia europea per i dati
Basti pensare a questo proposito alla fondamentale Comunicazione presentata il 6 maggio 2015 dall’allora Presidente Junker, intitolato “A Digital Single Market for Europe”, che faceva seguito alla Comunicazione, già presentata dalla stessa Commissione Junker nel 2014 “Thowards a thriving data-driven economy ( Comm/2014/0442 final/). A queste Comunicazioni ha fatto seguito il 19 febbraio 2020 la Comunicazione “Una strategia europea per i dati” presentata dalla Commissione presieduta da Ursula von der Lyen e pubblicata il 19 febbraio 2020.
In entrambi i documenti, e nel secondo con la specificazione anche delle date relative a ciascun progetto, è disegnata una strategia molto precisa per la piena digitalizzazione della Unione Europea e, soprattutto, per la sua integrazione digitale finalizzata a fare della UE un grande player mondiale della competizione digitale a livello globale.
Ovviamente in entrambi i documenti il riferimento è all’economia europea dei dati e allo spazio unico europeo dei dati. In questo senso entrambi i documenti vanno ben oltre la prospettiva della tutela dei dati personali.
In sostanza almeno da cinque anni, ma in realtà da molto di più, la Unione Europea è andata oltre la visione dei trattamenti dei dati focalizzata sulla tutela del diritto fondamentale della persona per aprirsi a pieno all’epoca digitale. Si può anzi dire che proprio sul terreno dello sviluppo digitale la UE ha puntato quasi tutte le sue carte, anticipando ampiamente la visione dell’economia dei dati e della competizione digitale come basata sul possesso dei dati oltre che di capacità tecnologiche adeguate.
In questo quadro si può anche comprendere perché proprio la UE sia stata certamente l’area del mondo che ha saputo reagire meglio alla pandemia in questi mesi.
Nella misura in cui la lotta alla pandemia ha implicato anche adeguata apertura delle popolazioni al mondo digitale e alle competenze necessarie per vivervi nonché una adeguata consapevolezza dell’importanza delle analisi dei dati, il sistema europeo, sia dal punto di vista dei singoli Stati che dell’UE nel suo complesso, ha dimostrato grande capacità di comprensione dei fenomeni in atto e di messa a punto di risposte adeguate, anche dal punto di vista economico.
Al contempo la UE, in entrambi i documenti citati ma tanto più nella “Strategia europea in materia di dati”, ha indicato alcuni obiettivi singolarmente anticipatori dello scontro in atto nel mondo nell’ambito dell’economia dei dati.
Ha infatti invitato i Paesi membri non solo a favorire la interscambiabilità dei loro dati e sistemi di conservazione dei dati aggiornati alla tecnologia cloud e tra loro interconnessi ma ha anche spinto a favorire in ogni modo la interoperabilità dei sistemi di telecomunicazione e di quelli dedicati alla conservazione dei dati in una prospettiva pienamente orientata a rendere pienamente accessibili a tutti i Paesi membri e ai loro cittadini e operatori economici i dati posseduti dalle amministrazioni dei diversi Paesi. E’ questo del resto il cuore stesso dell’obbiettivo di dar vita al c.d. “spazio unico europeo dei dati”.
Sulla necessità di rendere accessibili i dati posseduti dalle singole Amministrazioni nazionali a tutti gli operatori economici della UE è stata molto chiara la Presidente von der Lyen quando ha sottolineato che, poiché il possesso delle informazioni non solo è il “nuovo petrolio” ma favorisce anche lo sviluppo di posizioni contrarie ai principi della concorrenza giacchè chi ha più informazioni è per definizione più competitivo nell’economia digitale, o la UE rende accessibili a tutti i dati di tutte le sue Ammi nistrazioni, indipendentemente dal Paese in cui risiede chi chiede di conoscere tali dati o viene meno la sua stessa ragione di essere.
In sostanza la Presidente van der Lyen, fin dal documento “A Union that strives for more, My agenda for Europe, Political Guidelines for the next European Commission 2019-2024” presentato in collegamento alla sua candidatura a Presidente della Commissione, ha sempre sottolineato che avere una economia comune dei dati implica la messa a disposizione di tutti delle informazioni possedute da ciascuno. Questo è, allo stesso tempo, vitale per la UE perché riguarda direttamente le ragioni stesse della sua esistenza e indica una linea di sviluppo economico coerente con la spinta che nel secondo dopoguerra spinse i Padri fondatori ad avviare il processo che ha condotto all’Europa Unita.
Spazio comune dei dati e rafforzata tutela dati personali: obiettivi complementari
Resta fermo comunque che sempre, in ogni Comunicazione e in ogni dichiarazione dei suoi Presidenti la UE ha costantemente precisato e ribadito che la messa in comune dei dati e lo sviluppo di una comune economia dei dati non può compromettere o mettere a rischio il diritto fondamentale alla tutela dei dati personali.
Dunque nella visione della UE lo spazio comune dei dati comporta una comune e rafforzata tutela dei dati personali conforme alla regolazione UE che riguarda questo settore.
Del resto in numerosi Considerando e nei suoi primi articoli anche il GDPR ribadisce costantemente che il suo scopo primario è assicurare una economia dei dati armonicamente compatibile con la tutela del diritto fondamentale della persona, anche allo scopo di rafforzare la fiducia dei cittadini nello sviluppo dell’economia digitale.
Dice infatti il Considerando 6 che “la rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali”, mentre il Considerando 7 afferma “ tale evoluzione richiede un quadro solido e coerente in materia di protezione dei dati nell’Unione, affiancato da efficaci misure di attuazione, data l’importanza di creare un clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno”. A questo fine, aggiunge sempre il Consuderando 7, “è opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto pe le persone fisiche quanto per gli operatori economici e le autorità pubbliche”.
In sostanza dunque vi è nel quadro UE una connessione molto stretta tra sviluppo della società dei dati e dell’economia digitale, protezione dei dati personali, sviluppo e rafforzamento della tutela dei dati personali anche per incrementare la fiducia dei cittadini nell’economia digitale. Economia alla quale la UE intende partecipare come soggetto (player) unitario e globale e per questo rafforza e promuove la messa in comune dei dati tra tutti gli operatori economici e le imprese operanti nell’ambito UE.
Poiché, però, è evidente che nella competizione globale digitale è essenziale, sia per le tecniche di Intelligenza artificiale che per qualunque altra attività legata all’ecosistema digitale, il possesso di dati che, in questo sistema, sono prodotti in quantità sempre più elevata dagli stessi operatori, utenti e fornitori di servizi, la UE ha man mano affiancato la sua attenzione alla tutela dei dati personali in conformità con i suoi valori fondamentali con una attenzione non meno rilevante e significativa al possesso dei dati, alla loro raccolta e alla loro utilizzazione.
Non solo dati personali: ora tutela e regolazione dei dati come asse portante della economia digitale
Tutto questo ha fatto sì che man mano, anche senza renderlo eccessivamente esplicito, la attenzione della UE alla tutela dei dati si sia spostata dalla pura tutela dei dati personali (che è rimasta comunque essenziale per conquistare la fiducia delle persone nella società dei dati) alla tutela e regolazione dei dati come asse portante della economia digitale.
Questo spostamento di prospettiva, che è avvenuto negli anni in modo quasi impercettibile ma molto costante, ha raggiunto il suo punto massimo di esposizione e anche di “disvelamento” proprio col GDPR che, infatti, nei suoi primi considerando lega costantemente la tutela dei dati personali, inteso anche alla luce della Carta come diritto fondamentale delle persone, con la tutela e regolazione della raccolta e dell’uso dei dati come “carburante primo” dell’economia digitale.
Questo spostamento di ottica è del tutto evidente nell’attenzione dedicata al tema della concentrazione di dati in capo ad alcuni operatori, specialmente nell’ambito delle imprese fornitrici di servizi digitali, che ha condotto l’Autorità antitrust UE, e più volte anche il Congresso USA, a sindacare le grandi imprese che forniscono servizi on line accumulando una quantità sempre crescente di dati prodotti sia dai fornitori che dai consumatori dei servizi stessi e da chi utilizza le loro piattaforme.
Privacy shield e caso Schrems
Tutto questo ha accentuato l’attenzione della UE al tema del trasferimento dei dati all’estero, così come ha dimostrato anche la recente sentenza della Corte di giustizia in merito al Privacy shield.
La decisione della Corte di Giustizia del 16 luglio è, per la seconda volta, tutta incentrata sul Privacy shield e sulla conformità della decisione della Commissione che lo ha approvato con le regole GDPR. Tuttavia, se si legge con attenzione questa decisione, certo non casualmente pubblicata il 16 luglio 2020, e dunque in piena pandemia, si vede con chiarezza che il contenuto della decisione di adeguatezza della decisione adotta dalla Commissione nell’ambito della revisione del Privacy shield è considerato inadeguato a garantire che i trattamenti dei dati, in particolare di quelli personali, siano sempre conformi al GDPR, anche e soprattutto quando questi trattamenti avvengano al di fuori del territorio dell’Unione,
Non vi è dubbio che tutta la decisione pubblicata il 12 luglio 2020 sia coerente con la decisione precedente adottata dalla Corte di Giustizia il 30 gennaio 2018 nelle Cause C-463/01 e C-309/02 (Schrems 1) e che ha condotto alla revisione del Privacy shield e all’adozione da parte della Commissione della nuova versione di decisione di esecuzione (UE) 2016/1250 “scudo per la privacy”, adottata in seguito alla controversia tra il Data Protection Officer irlandese, Facebook Ireland e il Sig. M.Schrems relativamente al trasferimento di dati da parte di Facebook Ireland a Facebook Inc. operante nel territorio degli USA.
Qui non è il caso di analizzare la decisione della Corte di giustizia né i numerosi commenti di cui è stata oggetto, così come non è il caso di analizzare le Faq pubblicate sia dallo EDPB che da numerose Autorità UE e USA.
Quello che qui interessa sottolineare è che la decisione della Corte UE, pur muovendosi rigorosamente all’interno delle norme contenute nella Direttiva 95/46 prima e nel GDPR poi, e pervenendo alla sua decisione avendo riguardo essenzialmente alla accessibilità della NSA ai dati personali in violazione delle garanzie contenute nel GDPR, sviluppa una analisi dei trattamenti dei dati negli USA che va oltre i dati personali come tali e che può essere applicata ai dati di qualunque natura.
In sostanza la decisione della Corte di giustizia si basa sulla accessibilità dei dati trasferiti dalla UE agli USA da parte dei servizi di sicurezza USA e comunque sottolinea il fatto che la legislazione USA non contiene alcun limite e alcuna garanzia, azionabile anche in giudizio, a tutela della conoscibilità dei dati trasferiti anche da parte di soggetti estranei ai trasferimenti medesimi.
Inoltre la decisione 16 luglio 2020 della Corte di giustizia sottolinea che in assenza di una idonea dichiarazione di adeguatezza da parte della Commissione che assicuri tutele adeguate alla conoscibilità e trattabilità dei dati in contrasto col GDPR e in genere con la legislazione UE in materia di dati, spetta al titolare dei trattamenti e al responsabile dei servizi di cui il primo si serve garantire che i trasferimenti ma, più in generale, i trattamenti di tali dati, siano in ogni fase compliant col GDPR e con le garanzie che esso contiene.
Di conseguenza, proprio perché la responsabilità è comunque in capo al Titolare e al Responsabile da esso nominato, resta fermo che le Autorità garanti dei Paesi UE, e, ove coinvolto, lo EDPB, sono sempre competenti a verificare il rispetto della normativa contenuta nel GDPR e, più in generale, delle regole UE relative ai trasferimenti di dati e alla tutela garantire agli interessati.
In questo quadro, in sostanza, resta fermo che a giudizio della Corte di Giustizia i trasferimenti di dati dal territorio UE a quello USA non avviene nel rispetto di regole e procedure pienamente compliant col GDPR la decisione di adeguatezza della Commissione è in sé in contrasto col GDPR. Di conseguenza la tutela dei dati alla luce della normativa UE, che il GDPR considera condizione essenziale per la legittimità dei trasferimenti e dei trattamenti dei dati una volta trasferiti in un altro Paese extra UE, ricade tutta e totalmente sul titolare, al quale spetta garantire, anche attraverso clausole contrattuali adeguate sottoscritte dal Reponsabile, che i trattamenti siano compliant col GDPR, a cominciare ovviamente dalle modalità tecnologiche adottate per il trattamento dei dati e le misure di sicurezza poste in essere dal Responsabile.
Altrettanto ovviamente la decisione della Corte di Giustizia specifica che rispetto ai trasferimenti di dati dalla UE agli USA, proprio a seguito della invalidità della decisione di adeguatezza adotta dalla Commissione, spetta alle Autorità garanti di ciascun Stato membro, coordinate dallo EDPB alla luce del meccanismo di coerenza, garantire che i titolari ai quali fanno capo i trasferimenti abbiano adottato tutte le misure idonee a garantire il rispetto del GDPR, così come spetta alle Autorità garanti, anche utilizzando il sistema della Leading Authority previsto dal GDPR, intervenire ove il trasferimento dei dati e i trattamenti successivi non siano compliant col GDPR, provvedendo anche ad adottare i provvedimenti necessari a imporre la cessazione di tali trasferimenti.
Pacifico che in questo quadro lo stesso invito della Corte di giustizia allo EDPB a produrre linee guida idonee a garantire la uniformità dei comportamenti delle Autorità garanti e a rendere più solido il terreno giuridico sul quale i titolari del trattamento devono muoversi è non solo coerente col quadro complessivo della decisione della Corte ma si traduce anche in un ulteriore e forte rafforzamento del ruolo delle Autorità garanti.
In sostanza, la decisione della Corte di Giustizia relativa al Privacy schield si inserisce in una linea giurisprudenziale solo in parte nuova ma certo anche molto promettente. Mentre infatti la precedente sentenza della Corte definita “Schrems I” aveva, in conformità con la lettera dell’art. 45 del GDPR, come effetto quello di rafforzare molto il ruolo della Commissione e della dichiarazione di adeguatezza ad essa spettante, limitandosi a segnarne i limiti procedurali e contenutistici, la decisione “Schrems 2” ha un effetto molto più ampio e sistemico: quello di rafforzare in modo assai significativo il ruolo delle Autorità garanti e soprattutto dello EDPB.
Si può dire, senza alcuna forzatura rispetto al contenuto della decisione, che con la sentenza Schrems II la Corte si colloca in modo deciso sulla linea di rafforzare il ruolo della UE come protagonista globale nel mondo della economia dei dati, sia perché la decisione, pur basata su una questione relativa al trattamento di dati personali, va oltre questa delimitazione e afferma punti di principio che riguardano in generale i trattamenti dei dati, lasciando capire che la tutela delle persone non può limitari solo alla dimensione della tutela del diritto fondamentale individuale ma si estende necessariamente a qualunque trattamento di dati che possa aver riflesso sulle persone fisiche, le quali dunque, proprio per il riflesso che i trattamenti possono avere su di esse, devono essere tutelate contro trattamenti illegittimi di qualunque tipo di dati, a cominciare dai trattamenti di trasferimento dei dati stessi dal territorio UE al territorio di uno Stato terzo.
In secondo luogo è chiarissimo che la decisione “Schrems 2” trova una forza particolare nel sistema di tutela complessivo dei trattamenti di dati assicurato dal GDPR.
Il ruolo assicurato allo EDPB dal GDPR, anche grazie al meccanismo di coerenza e della Leading Authority, diventa infatti quello di garantire trattamenti uniformi dei dati e delle regole del GDPR e della UE relative valide su tutto il territorio della UE e con riguardo a tutti i dati riferibili, direttamente o indirettamente, a cittadini UE anche grazie ai servizi on line da questi acquistati o utilizzati, indipendentemente dal luogo in cui vengono trattati i dati necessari a fornire tali servizi.
In sostanza, è innegabile che se si leggono in modo coordinato la Comunicazione “A digital single market for Europe” del 6 maggio 2016, la Comunicazione “Una strategia europea per i dati” del 19 febbraio 2020 e la decisione della Corte di Giustizia 16 luglio 2020 emerge con chiarezza la scelta netta fatta dalla UE e dalle sue istituzioni di vertice in favore della costruzione di una comunità europea digitale dichiaratamente finalizzata a rafforzare la capacità di affrontare la competizione globale da parte di un sistema economico, tecnologico e regolatorio europeo uniforme.
Questo infatti appare essere il “cuore” del progetto UE legato alla gestione e disciplina dei dati e questo sembra destinato ad essere il cuore del da tempo annunciato Digital Act UE che dovrà appunto definire in modo organico e complessivo i tipi e il ruolo dei trattamenti dei dati nella UE, fornendo anche regole comuni che garantiscano modalità di trattamento uniformi nei diversi Paesi.
I pilastri della data economy europea
Centrale sarà, in questo quadro, la portabilità dei dati e la loro interoperabilità così come la tutela intransigente della capacità di ognuno dei Paesi membri di mantenere il controllo sui trattamenti dei dati che riguardano i suoi cittadini e avvengono sul suo territorio, sulla portabilità dei dati all’interno della UE, sull’accesso a tali dati e sulla loro conservazione secondo modalità accessibili e utilizzando formati standard che accentuino la loro portabilità, aumentando così anche il controllo su di essi da parte di titolari e interessati e favorendo al massimo la circolazione dei dati nell’ambito della UE.
Non si tratta di sogni o di obiettivi puramente rituali: tutti i documenti citati e molti altri che la Commissione ha prodotto in questi anni vanno infatti in questa direzione. E ancora una volta è facile cogliere lo strettissimo rapporto che vi è tra il GDPR e il progetto generale UE di trattamento dei dati legato essenzialmente allo sviluppo di una economia europea e una competizione mondiale basata sui dati e sui loro usi.
E’ fin troppo facile, ma importantissimo, citare a questo proposito l’art. 20 del GDPR, legato appunto al controllo di una persona sui dati che la riguardano e sono ad essi riconducibili (espressione che può anche essere interpretata in modo estensivo con riferimento ai dati prodotti da una persona anche solo accedendo a servizi on line). Grazie all’art. 20 del GDPR il diritto al controllo sui propri dati si estende anche al diritto alla portabilità dei dati. Non meno importanti sono in questo quadro anche l’art.22 in ordine ai trattamenti decisionali automatizzati; gli artt. 21 e 18, relativi ai diritti di opposizione e di limitazione dei trattamenti; l’art. 17 col diritto alla cancellazione dei dati che troppo banalmente molti insistono a definire solo come “diritto all’oblio”.
Se si leggono gli artt. 12, 13 e 14 GDPR dedicati tutti al diritto alla trasparenza e a ricevere informazioni complete sui trattamenti dei dati posti in essere nell’ambito di applicazione della regolazione UE ci si rende conto facilmente che la normativa europea di protezione dei dati personali costituisce chiaramente l’ordito di un sistema di norme che assicura una forte tutela dei dati, compresi quelli prodotti da una persona alla quale i dati siano riconducibili. In sostanza nella regolazione UE, così come nelle più recenti Comunicazioni della Commission Junker e von der Lyen, vi sono già le norme necessarie a presidiare i caposaldi dell’economia dei dati e del controllo su di essi da parte di chi li produce e al quale essi sono sempre facilmente riconducibili.
In una parola: il quadro normativo e regolatorio UE, se letto e applicato con una visione ampia, già oggi consente di andare ben oltre la sola tutela del diritto fondamentale della Carta anche se sempre, in tutte le Comunicazioni e certamente non a caso, si ribadisce che il diritto alla tutela dei dati personali e in particolare la regolazione contenuta nel GDPR deve essere considerata centrale e irrinunciabile.
Il forte salto di qualità necessario
In sostanza quello che ora è assolutamente necessario è operare un forte salto di qualità, abituandosi a considerare la normativa europea di protezione dei dati e in genere qualunque regolazione europea finalizzata essenzialmente a tutelare i dati nel contesto di un ecosistema digitale nel quale certamente i dati personali hanno un valore particolare ma in cui, in generale, assumono rilievo tutti i trattamenti di tutti i tipi di dati essenziali per i servizi propri della società digitale.
Da questo punto di vista è facile rendersi conto che la UE, anche istituendo un numero rilevante di Autorità indipendenti, sta costruendo un nuovo approccio regolatorio all’ecosistema economico e produttivo digitale basato sull’uso dei dati. Questo approccio regolatorio è caratterizzato da principi anche giuridici uniformi, da un forte riconoscimento dei diritti fondamentali dei cittadini UE anche nel nuovo mondo digitale e dalla volontà di acquisire, anche grazie all’attenzione relativa ai dati, che sono la linfa del mondo digitale, una forte capacità competitiva sulla scena mondiale.
Tutto questo ha ovviamente alcune conseguenze sulle quali è bene richiamare subito la attenzione e che d’ora innanzi dovranno sempre essere tenute ben presenti sia da chi voglia studiare e applicare le regole UE in materia di dati, sia da chi, operando nell’ambito pubblico o privato, intende concorrere a sviluppare e irrobustire sempre di più la capacità del sistema economico e produttivo UE di operare come player mondiale.
Le conseguenze del nuovo approccio europeo ai dati e i prossimi passi necessari
La prima cosa sulla quale è necessario richiamare l’attenzione in questo quadro è l’assoluta urgenza di prendere atto che il trattamento dei dati avrà sempre più legato allo sviluppo delle tecnologie digitali e dunque ogni regolazione, pubblica o privata, di rango legislativo o di natura contrattuale che lo riguardi, avrà sempre più un profilo essenziale di carattere tecnologico.
Tanto nell’ambito della Comunicazione “A digitale single market for Europe” del 2016 quanto nella Comunicazione “A European strategy for Europe” del 2020, che per la UE è chiaramente ribadito che è essenziale garantire innanzitutto un ecosistema tecnologicamente omogeneo, uniforme e compatibile con i principi fondamentali della UE.
Non solo: è fondamentale anche garantire che il raccordo tra gli aspetti tecnologici e quelli regolatori, saldamente ancorato innanzitutto a regole giuridiche come il GDPR e il più volte promesso Digital Act atteso per il 2022, sia caratterizzato da una visione valoriale omogenea, alla quale faccia riscontro una tecnologia coerente e capace di garantire la effettiva tutela di tali valori. Proprio questo, del resto, spiega la grande attenzione data negli ultimi anni dalla UE alla discussione sull’etica dell’Intelligenza Artificiale, alla necessità di costituire sistemi di IA antropocentrici e alla necessità che i diversi Paesi UE costruiscano o favoriscano la costruzione di sistemi di IA interoperabili, tra loro compatibili e ispirati a un sistema valoriale omogeneo.
Basti richiamare a questo proposito il fatto che la strategia perseguita dalla Commissione von del Lyen poggia su due documenti fondamentali, non a caso adottati dalla Commissione in stretta connessione tra loro. Il riferimento è ovviamente al pacchetto “Shaping Europe’s digital future” composto, tra l’altro, di due documenti fondamentali già citati: la “European strategy for data” e il “White Paper on Artificial Intelligence”, pubblicati entrambi nel febbraio del 2020, sottoposti a consultazione pubblica tra febbraio e maggio 2020 e infine adottati definitivamente il 27 luglio 2020.
Nell’ambito di questi due documenti e della strategia complessiva che essi delineano costituisce aspetto essenziale la promessa di investire in “norme strumenti e infrastrutture di prossima generazione per l’archiviazione e l’elaborazione dei dati” e, soprattutto, di promuovere “uno sforzo congiunto per creare una capacità di cloud a livello europeo”.
A questo si aggiungono altri due obiettivi legati alla volontà di garantire: a)“la condivisione dei dati europei” in settori chiave, con spazi di dati interoperabili e comuni a livello UE; b) diritti strumenti e competenze offerti, o comunque messi a disposizione degli utenti, per consentire loro di mantenere il pieno controllo sui loro dati”.
Il cloud europeo Gaia X
E’ chiarissimo che entrambi questi due gruppi di obiettivi presuppongono anche un adeguato apparato regolatorio (ed è quello che ci attendiamo dal Digital Act promesso per il 2021) ma anche, e soprattutto, un solido sforzo tecnologico.
Infatti solo una tecnologia adeguata può assicurare che il cloud europeo, specie se concepito come una rete di apparati dislocati nei territori dei diversi Paesi membri; assicuri: a) una adeguata interoperabilità dei dati fra i diversi Paesi e gli operatori che sul loro territorio operano; b) misure di sicurezza idonee a garantire la tutela dei dati soprattutto dal punto di vista del loro uso economico e dell’efficacia delle analisi che li utilizzano, prime fra tutte quelle connesse alle diverse forme possibili di IA.
Se si tengono presenti tutte queste considerazioni si comprende abbastanza facilmente l’importanza sistemica e prospettica della decisione della Corte di Giustizia relativa al caso “Schrems 2 ” del 16 luglio 2020, così come si capisce non meno bene l’importanza strategica dell’iniziativa assunta dalla Ministra italiana Pisano di spingere alcune delle maggiori aziende italiane a incontrare le aziende tedesche e francesi che dal 2018 lavorano al progetto di un cloud “federato”, denominato GAIA-X e destinato essenzialmente a tutelare l’autonomia tecnologica della UE attraverso la creazione di una infrastruttura che sarà posseduta da una Fondazione di diritto belga, con l’intento però di offrire una struttura di pieno diritto UE aperta agli operatori europei che non vogliano ricorrere al mercato americano della Big Tech. Trasferimento che, come la decisione Schrems 2 dimostra, comporta anche il trasferimento massiccio di dati fuori dal territorio della UE e, soprattutto, fuori dal controllo delle Autorità europee.
Insomma, se impariamo a guardare ai fenomeni, anche giuridici, che caratterizzano e sempre più caratterizzeranno l’azione della UE nell’ecosistema digitale nei prossimi anni, possiamo capire facilmente due cose:
- sempre meno basterà una visione solo, o prevalentemente, giuridica dei fenomeni propri dell’economia digitale che è necessario regolare e “governare”.
- Allo stesso tempo meno che mai sarà sufficiente una visione legata soprattutto (o, peggio, soltanto) alla protezione o alla tutela dei dati personali concepita essenzialmente e soltanto come diritto fondamentale UE della persona.
E’ questo il contesto in cui va letta, a mio parere, la decisione del 16 luglio 2020 della Corte di Giustizia UE.
Certo la decisione in questione si fonda per un verso sulla Direttiva 95/46 e, per l’altro, sul GDPR. Inoltre, anche in ragione di come il ricorso è stato prospettato, essa riguarda soprattutto la tutela dei dati personali e il trasferimento in Paesi terzi dei dati personali intesi essenzialmente come dati riferibili, o riferiti, a una persona individuata o individuabile.
Non solo: anche l’oggetto della decisione, che annulla la decisione “scudo per la privacy” 2016/1250 della Commissione riguarda essenzialmente la applicazione dell’art. 45 del GDPR, contenuto nel Capo V intitolato “Trasferimento di dati personali verso Paesi terzi o Organizzazioni internazionali”.
Tuttavia la decisione riguarda più specificamente il trasferimento di dati personali utilizzati da Facebook sia in UE che in USA per fornire un servizio della società digitale e prevede che, nel quadro della dichiarata invalidità della decisione della Commissione UE oggetto della decisione della Corte di giustizia, spetti al titolare dei dati trasferiti accertarsi che i dati, anche successivamente al trasferimento, siano trattati dal Responsabile in modo compliant a tutto il GDPR. Non solo. La stessa decisione precisa anche, come già si è notato, che spetta alle Autorità garanti della UE e, se interpellato all’EDPB; vigilare sulle misure tecniche e le modalità dei trasferimenti così come dei trattamenti in base ai quali i dati trasferiti possono essere utilizzati nel Paese terzo.
Di conseguenza, anche se è incontestabile che la decisione riguarda dati personali, appare chiaro che i principi in essa affermati, sia con riguardo agli obblighi per il Titolare e il Responsabile che per le Autorità di tutela dei dati personali sono applicabili, almeno in linea di principio, al trasferimento di ogni tipo di dati, siano essi personali o no. Nel caso della decisione esaminata peraltro l’effetto giuridico riguarda solo i dati personali in senso proprio e tradizionale, perché sono le specifiche garanzie relative a questi dati che, in base alla decisione, devono essere assicurate comunque sia dai titolari e dai responsabili che dalle Autorità garanti.
In generale però gli stessi obblighi possono essere estesi ad ogni tipo di dati oggetto di trasferimento dal territorio UE a quello di Paesi terzi.
E’ chiaro, almeno a me pare, che perché così avvenga può essere necessario, o almeno opportuno, un nuovo intervento normativo UE, che ben potrebbe essere contenuto nell’annunciato Digital Act. Tuttavia mi pare innegabile che il significato prospettico della decisione della Corte di Giustizia UE vada oltre i dati personali come tradizionalmente intesi sulla scorta della definizione datane prima dalla Direttiva 95/46 e ora dal GDPR. Una definizione e una applicazione della normativa che, nella logica qui più volte richiamata, possa estendersi ad ogni trasferimento di dati dalla UE a Paesi terzi.
Se letta in questo quadro, è chiaro che la decisione 16 luglio 2020 della Corte di Giustizia costituisce un robusto anello giuridico al quale agganciare la futura tutela del cloud europeo. Soprattutto costituisce anche un evidente segnale dato dal Giudice supremo della UE da utilizzare come punto di raccordo con un robusto e definito quadro regolatorio UE a tutela dei dati prodotti sul territorio UE e relativi a cittadini UE o a servizi resi ad essi anche se da parte di titolari stabiliti in altri Paesi esterni al territorio della UE.
Allo stato attuale questo effetto della decisione della Corte di giustizia può apparire non adeguatamente sostenuto dal tenore della decisione stessa anche se essa ha comunque una conseguenza molto rilevante sul trasferimento di dati all’estero e sull’utilizzo da parte di titolari che trattino dati relativi a cittadini UE di servizi anche cloud forniti da operatori stabiliti fuori dalla UE con modalità che comportano il massiccio trasferimento di dati.
Tuttavia a me non pare dubbio che la decisione della Corte, specialmente se letta nel quadro dei numerosi documenti citati, della strategie europea dei dati e del progetto per un cloud UE o un sistema interconnesso e interoperabile di cloud costituiti in territorio UE, sia una segnale forte e chiaro che la Unione, considerata in tutte le sue attività e le sue istituzioni, fa molto sul serio ed è decisa a porre in essere sia gli strumenti tecnologici (progetto Gaia) che le elaborazioni giurisprudenziali necessarie per rafforzare la capacità competitiva del sistema europeo nella competizione globale legata al mondo digitale.
Per questo, mentre concordo pienamente con le preoccupazioni di molti circa la complessità di lettura e applicazione della decisione del 12 luglio 2020, credo importante sottolineare che essa va letta soprattutto come un chiaro segno che la strada delineata nella Strategia europea comune dei Dati è una strada che la UE intende percorrere con determinazione e che ha agganci importanti sia nella legislazione UE già in vigore che in quella anticipata nei documenti già citati della Commissione.
In conclusione
Un’ultima considerazione merita di essere fatta. Se la lettura della decisione del 12 luglio può apparire un poco “azzardata” e, lo si conviene, un po’ troppo “forzante” la lettera e il significato giuridico della decisione del 12 luglio, dalla ricostruzione qui delineata dei processi in atto emerge con chiarezza che, nel futuro della UE, le Autorità di garanzia che hanno ad oggetto i trattamenti dei dati e le tecnologie digitali necessarie per porli in essere sono destinate a giocare un ruolo sempre più rilevante.
Del resto è chiaro che se la strategia UE punta su un sapiente e complesso mix tra regolazione e tecnologia è inevitabile che le Autorità di garanzia, nate proprio per collegare la regolazione normativa all’evoluzione delle tecnologie, sono destinate a vedere costantemente accrescere il loro ruolo.
In questo quadro, inoltre, è altrettanto evidente che anche i rapporti tra le diverse Autorità, diverse per finalità e compiti ma connesse dall’aver in comune la vigilanza su trattamenti di dati, sia pure da punti di vista e per finalità diverse, sono destinati a evolvere, anche in futuro, verso forme di cooperazione e di condivisione degli obiettivi perseguiti, assumendo così un ruolo sempre più essenziale.
Le nuove autorità tlc e privacy italiane
Da questo punto di vista ritengo una fortuna per l’Italia che proprio ora si sia proceduto al rinnovo, di fatto contemporaneo di due Autorità assolutamente strategiche rispetto ai trattamenti dei dati, come Agcom e il Garante per la privacy.
Sono due Autorità che insieme alla terza, la Autorità per la concorrenza, sono già state in più casi coinvolte su temi comuni e non a caso la esperienza di collaborazione, in particolare tra Agcom e Garante per la privacy, ha già dato vita a risultati importanti nello studio di fenomeni specifici come è avvenuto recentemente rispetto al tema delle fake news.
Con le recenti nomine entrambe le Autorità hanno ora collegi rinnovati che hanno davanti un lungo percorso comune. Non vi è dubbio che in entrambi i Collegi siedano persona di lunga competenza e di sicura attenzione per la UE e per lo sviluppo dell’economia digitale.
E’ ragionevole attendersi dunque che per l’Italia possa cominciare un periodo di forte attività e di compartecipazione operativa e cooperativa allo sviluppo di un ecosistema digitale europeo nel quale trovi la massima concretizzazione la tutela dei dati e il rilievo che ha nella cultura europea la tutela delle persone, la responsabilità personale e il libero arbitrio di ciascuno rispetto alla costruzione del proprio futuro.