Finite le vacanze – in realtà mai cominciate per davvero per chi si occupa di protezione dei dati personali e le ha passate in un costante e ininterrotto esercizio di bilanciamento tra la privacy e le misure di Governo volte a garantire una progressiva ripartenza del Paese in condizioni sanitarie sostenibili – è tempo di guardare a un nuovo anno di impegni, confronti e sfide da vincere nell’interesse, innanzitutto, dei cittadini, degli utenti e dei consumatori.
È difficile in un universo come quello di un diritto fondamentale come quello della protezione dei dati personali, stilare un elenco di priorità perché quando in gioco c’è la dignità delle persone, la loro libertà, la loro identità personale, l’eguaglianza, la non discriminazione, la riservatezza nei confronti dei soggetti pubblici e privati tutto è urgente, tutto è importante, tutto può fare la differenza.
Ma, naturalmente, le agende, quella di Governo, quella dei mercati, quella dello sviluppo tecnologico impongono di mettere in fila, almeno sul calendario, alcuni temi e questioni da affrontare prima di altri certamente non meno importanti e, anzi, magari, per qualcuno, ancora più importanti.
Per un PNRR a prova di privacy
In questa prospettiva è evidente che il Piano Nazionale di Ripresa e Resilienza, il PNRR, la più grande opera di riprogettazione del Paese dalle fondamenta, con i suoi oltre duecento miliardi da investire in Innovazione tecnologica, transizione ecologica, pubblica amministrazione, salute, coesione, inclusione, istruzione e ricerca porta con sé, anche nella dimensione della privacy, una delle più grandi sfide sin qui mai affrontate perché è indispensabile che il Paese, nuovo, migliore, più efficiente, più moderno, più attento al futuro che si costruirà attuando il Piano sia, innanzitutto, un Paese a prova di diritti fondamentali.
E, allora, ogni iniziativa economica e normativa che verrà assunta in attuazione del Piano è indispensabile che sia, come dice il Regolamento generale sulla protezione dei dati personali (GDPR), privacy by design e cioè che sia, sin dalla progettazione, pensata in modo tale che il perseguimento degli obiettivi – tutti nobilissimi del PNRR – avvenga nel rispetto del diritto alla privacy dei cittadini e che mai ci si innamori del principio – superato da secoli di democrazia – secondo il quale il fine giustifica i mezzi, con la conseguenza di accettare l’idea di comprimere un diritto fondamentale come la privacy magari, anche, per garantirne un altro pari ordinato.
I diritti tiranni non esistono.
Il buon Governo è quello che valuta, contempera, bilancia e comprime un diritto per garantirne un altro nella misura minima necessaria, quando è indispensabile per davvero.
Per riuscire nell’impresa è indispensabile un dialogo leale, costante e virtuoso tra i diversi soggetti di Governo coinvolti nella progettazione di dettaglio e nell’attuazione del Piano e il Garante per la protezione dei dati personali ed è indispensabile che il Garante sia dotato delle risorse umane e finanziarie necessarie per accompagnare il Governo – e quindi il Paese – nella straordinaria avventura del PNRR.
Non esistono ricette diverse, non ci sono scorciatoie, non ci sono bacchette magiche.
Garante privacy, servono più risorse
E, soprattutto sul versante delle risorse umane e economiche è inutile negare che siamo indietro.
Le centotrenta persone del Garante – che naturalmente oltre ai progetti del PNRR sono quotidianamente chiamate a occuparsi di questioni diverse e non meno rilevanti per la vita delle persone e per il funzionamento dei mercati – non sono in grado, nonostante i migliori sforzi, di garantire ai tanti soggetti di Governo coinvolti nel PNNR il tempo, l’attenzione, la tempestività nelle risposte necessaria a assicurare che la tabella di marcia del Piano sia rispettata.
È, purtroppo, una constatazione amara ma obiettiva, ineludibile e imprescindibile.
E, naturalmente, la soluzione non può essere quella di derogare alle regole sulla privacy, di chiudere un occhio, di dare pareri su questioni dalle quali dipende in buona misura il futuro del Paese, nello spazio di una manciata di ore senza aver avuto modo e tempo di approfondire, confrontarsi e capire.
Ma lungo la linea dell’orizzonte, quella più prossima, quella che può già intravedersi, naturalmente, non c’è solo il piano nazionale di ripartenza e resilienza.
I nostri dati come “corrispettivo” di servizi digitali: il recepimento della Direttiva Ue 2019/770
Il 29 luglio scorso, il Governo ha approvato in via preliminare uno schema di decreto legislativo per il recepimento nel nostro Paese della Direttiva europea 2019/770 relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali.
La Direttiva – e, di conseguenza il Decreto legislativo di recepimento – lambisce una delle questioni forse più cruciali attualmente sui tavoli dell’Autorità di protezione dei dati personali in tutta l’Unione europea: quella della possibilità di usare i dati personali come corrispettivo di servizi digitali secondo un modello di business straordinariamente diffuso che ha fatto la fortuna della più parte delle big tech.
Basti pensare alla vicenda giudiziaria, della quale si è ampiamente scritto anche sulle colonne di questo giornale, che ha visto contrapposte, sin dal 2018, l’Autorità Garante per la concorrenza ed il mercato e Facebook – e che è poi arrivata sino davanti ai Supremi giudici amministrativi – relativa alla legittimità o meno che Facebook definisse “gratis” i propri servizi posto che, in realtà, stando all’ipotesi accusatoria dell’Antitrust, confermata dal Consiglio di Stato, questi ultimi “pagherebbero” i loro servizi consentendo al gigante dei social network di trattare i loro dati personali.
E, naturalmente, il “modello di business” di Facebook è, sostanzialmente, lo stesso di Google e di buona parte degli altri fornitori di servizi digitali.
Il Considerando 24 della Direttiva 2019/770 ricorda che “che la protezione dei dati personali è un diritto fondamentale e che tali dati non possono dunque essere considerati una merce” ma, più avanti, l’articolato, pur non intervenendo direttamente sulla materia, stabilisce che i consumatori che “pagano” un servizio digitale utilizzando i propri dati personali dovrebbero aver diritto alle stesse garanzie loro riconosciute allorquando pagano un servizio in moneta, così facendo, in qualche modo, legittimando o rischiando di legittimare l’idea secondo la quale sarebbe del tutto naturale e non solleverebbe alcuna preoccupazione l’utilizzo dei dati personali quale corrispettivo di un servizio.
Naturalmente non è così, come, d’altra parte, il Garante europeo per la protezione dei dati personali, ha già avuto occasione di chiarire alle Istituzioni europee nel corso del processo che ha portato al varo della Direttiva.
Tutti i rischi di un delicatissimo bilanciamento
In questo contesto è ovvio che il recepimento della Direttiva nel nostro Ordinamento rappresenta un passaggio delicatissimo e che, per questo, è auspicabile che nel procedervi Governo e Parlamento avviino un confronto attento, costruttivo e aperto con il Garante per la protezione dei dati personali perché le disposizioni di legge che verranno varate sono destinate a incidere in maniera significativa sulla misura della privacy della quale potranno continuare a godere gli utenti e consumatori italiani nei confronti di piccoli e grandi fornitori di servizi digitali e, anche, sul funzionamento dei mercati digitali.
Scegliere quale sia la soluzione da percorrere, ovviamente nei limiti consentiti dall’obbligo di recepire la Direttiva europea, non è affatto facile.
Se da una parte, infatti, probabilmente, mancano nell’Ordinamento ostacoli insuperabili all’idea che, al ricorrere di talune condizioni che, tuttavia, andrebbero messe nero su bianco, un interessato possa autorizzare un titolare a trattare, per talune finalità, taluni suoi dati personali a fronte del diritto di usare un determinato servizio, dall’altro non può sfuggire che se questa porta si apre troppo, c’è il rischio che un diritto fondamentale come quello alla privacy valga più per i ricchi e meno per i poveri perché i primi, magari, saranno in grado di preferire pagare pochi euro per fruire di un certo servizio anziché sacrificare una parte della propria privacy, mentre i secondi potrebbero cedere alle lusinghe dell’apparente gratuità di quel servizio da pagare “solo” con qualche dato personale, risparmiando denari per altri usi più rilevanti.
Non c’è dubbio – per la verità non solo in ragione del processo di recepimento della direttiva in atto ma anche perché la questione è, ormai, divenuta urgente – allora che questo tema sia in cima alla lista delle questioni da affrontare con maggior urgenza nei mesi che verranno.
La sorveglianza di massa
Tra le altre priorità, in questo caso imposte o, almeno, suggerite, in particolare, dalle agende delle amministrazioni locali vi è, indiscutibilmente, quella del rischio, da scongiurare, limitare, controllare che si ceda al già ricordato principio machiavellico del fine che giustifica i mezzi, sul versante della sorveglianza di massa.
Sono, infatti, sempre di più le amministrazioni locali che, almeno stando alle notizie che rimbalzano dai media, imboccano la strada di progetti di videosorveglianza più o meno intelligente affidati all’installazione di centinaia di occhi elettronici sui loro territori e, da ultimo, sull’impiego, da parte delle forze di polizia locale, di flotte di droni chiamati a scrutare dall’alto le nostre vite, naturalmente, con l’obiettivo – impossibile da non condividere – di garantirci maggior sicurezza ma, al tempo stesso, con l’effetto collaterale di comprimere, almeno in assenza di adeguate garanzie peraltro non sempre facili da individuare e implementare, la nostra privacy e, per questa strada, le nostre libertà.
È evidente che si tratta di una sfida enorme sotto il profilo della protezione dei dati personali anche perché le iniziative in questione si moltiplicano nonostante gli “allarmi” lanciati da tutti i soggetti a vario titolo coinvolti nei processi di regolamentazione della materia.
Non è bastato il divieto – anche se non assoluto – che la Commissione europea ha annunciato di voler introdurre nella nuova regolamentazione dell’intelligenza artificiale e non è bastato il parere negativo con il quale il Garante per la protezione dei dati personali ha detto no, almeno in assenza di un’adeguata norma di legge, al Ministero dell’interno che avrebbe voluto implementare il progetto SARI-Real time basato sul riconoscimento facciale intelligente.
E la sfida è difficile perché, sfortunatamente, il diritto alla privacy, ancora oggi, viene diffusamente considerato recessivo davanti al diritto alla sicurezza nonostante, peraltro, non vi sia alcuna prova scientifica della circostanza che l’impiego di questi sistemi di sorveglianza di massa renda effettivamente più sicure le nostre città mentre non vi è dubbio alcuno che comprima i nostri diritti e libertà anche laddove noi si sia cittadini modello.
Conclusioni
Ovviamente l’elenco delle priorità da sistemare nell’agenda dei prossimi mesi potrebbe proseguire ancora a lungo – senza dire che è inesorabilmente destinato a essere continuamente riscritto sulla base di urgenze e emergenze che politica, società e sviluppo tecnologico imporranno come sempre avviene – ma volendolo provvisoriamente chiudere, vale la pena di ricordare che la sfida più importante che ci attende è quella di diffondere nel Paese un adeguato livello di educazione di base al diritto alla privacy propedeutica alla comprensione di tutti i cittadini del valore che la protezione dei dati personali riveste per le nostre vite e la nostra democrazia.
Solo questa cultura, infatti, rappresenta l’antidoto del quale abbiamo bisogno per scongiurare il rischio – mai diffuso come nei lunghi e interminabili mesi della pandemia specie in un paese di analfabeti digitali che si è forzatamente ritrovato dietro a smartphone, tablet e PC – che in troppi si sia disponibili a barattare un po’ – o anche più di un po’ – della propria privacy in cambio di un po’ di comodità, semplicità e servizi offerti da soggetti pubblici e privati.
E si tratta di una sfida che richiede un investimento importante innanzitutto da parte del Governo e, quindi, da parte della scuola, i media e chiunque possa, anche semplicemente con l’esempio, far percepire ai cittadini che il diritto alla privacy è, innanzitutto, garanzia di libertà e democrazia.