Il 28 gennaio si celebra la Giornata mondiale della privacy. Data Protection Day, per ricordare i 17 anni dalla firma della Convenzione 108 del Consiglio d’Europa, la “Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale”. E proprio per questo, ogni anno cogliamo l’occasione per fare un bilancio e qualche previsione su cosa aspettarci per questo 2023.
Giornata mondiale privacy: un Garante in prima linea nella promozione della protezione dei dati
Non possiamo non riconoscere che il 2022 è stato un anno di grande attivismo da parte dell’Autorità garante per la protezione dei dati personali, che ha visto tutti i membri del suo collegio in prima linea, non solo nel tutelare gli interessati attraverso un serrato e costante dialogo con le aziende, ma ancor più nel diffondere e divulgare l’importanza del senso della protezione dei dati e della privacy come diritto fondamentale. Come sapete, da qualche mese è stata lanciata anche una campagna pubblicitaria in televisione, proprio perché questa materia esca dagli uffici degli addetti ai lavori per entrare nelle case degli italiani.
Solo per citare due esempi, il commissario Guido Scorza è stato a Bruxelles ospite ad un evento organizzato dal mio Studio, la Camera di Commercio Belgo Italiana e Digitalians, l’associazione degli italiani a Bruxelles che si occupano di digitale, per illustrare le nuove sfide regolatorie, mentre la Professoressa Ginevra Cerrina Feroni, il 14 febbraio, sarà ospite di IAPP, l’associazione internazionale dei professionisti della privacy con oltre 75.000 membri nel mondo, di cui sono country leader per l’Italia.
Non posso però non menzionare un’iniziativa che forse non ha precedenti in Europa. Parlo di “State of Privacy 2022”, l’evento che si è svolto a settembre in cui l’autorità garante ha invitato oltre 250 stakeholder, pubblici e privati, 12 speakers d’eccezione, come il Garante europeo della privacy Wojciech Wiewiórowski, e ha organizzato 17 tavoli tematici, uno dei quali ho avuto l’onore di presiedere.
Da quell’evento è nato il manifesto di Pietrarsa che ha concluso “State of privacy 2022”. Con quel manifesto le aziende e gli stakeholder si impegnano “a promuovere azioni e risultati quantificabili in ambiti specifici quali trasparenza, consapevolezza, educazione e a mettere in atto attività attraverso il sito stateofprivacy.it.” Tra i Primi aderenti al Manifesto, dopo la firma del Presidente del Garante Pasquale Stanzione, Polizia postale, Guardia di Finanza, Università Roma Tre, Fondazione Telefono Azzurro, Iliad, Ferrovie dello Stato Italiane, Arduino, RoadHouse, Meta, Mediaset, Google, Carioca, Enel, LawLab (Luiss), Mondadori, McDonald’s, TikTok, Sky.
Un vero esempio di Autorità che va oltre i doveri di enforcement, e che contribuisce in maniera attiva a diffondere una maggiore consapevolezza dei propri diritti e a favorire il dialogo tra tutte le parti, senza pregiudizi. Una iniziativa senza precedenti, che speriamo sia copiata presto dalle altre autorità.
Privacy le sfide del 2023
Sulle sfide di quest’anno non ho dubbi: da un lato il dibattito sull’intelligenza artificiale e dall’altro quello sulla data economy.
ChatGPT
Se finora avevamo solamente qualche domanda su come sarebbe stato il futuro in compagnia dell’intelligenza artificiale, con quali rischi e opportunità, da poche settimane le domande sono aumentate. La pubblicazione di ChatGPT ci ha dato un assaggio di quello che ci aspetta: possibilità creative infinite in modo quasi immediato. E il potenziale di questa tecnologia è talmente evidente che ha raggiunto il primo milione di utenti in pochi giorni, ha dominato le pagine della cronaca per giorni e, non ultimo, ha messo in allerta Google.
Se penso alla bozza di regolamento europeo sull’intelligenza artificiale e al fatto che i chatbot sono considerati AI a basso rischio, richiedenti solamente degli obblighi di trasparenza, non posso non pensare che dopo chatGPT quella che sembrava una “banale” chatbot ora è molto di più. E allora sarà in grado il legislatore a scrivere una norma che tenga il passo con queste accelerazioni delle tecnologia? Sono fiducioso e penso di sì, ma indubbiamente questo è stato un evento che ci deve far riflettere sul futuro che ci attende. Vero è che di privacy si parla da oltre un secolo e ancora è un principio fondamentale che regge bene al passare del tempo, e speriamo dunque che sarà così anche per l’AI Act.
Data economy
L’altra grande sfida, che avrà un impatto altrettanto grande sul digitale, pur se meno futuristico, è il dibattito che si sta svolgendo sul futuro della data economy.
Con gli ultimi provvedimenti dei garanti europei nei confronti di Meta, molti parlano di fine di internet per come lo conosciamo. E analogo discorso si può fare per i media. Che succede se la maggior parte degli utenti negano il consenso alla profilazione? Sarà ancora possibile usufruire dei servizi che si usano quotidianamente in maniera gratuita?
Se è vero che non esiste un diritto a leggere gratuitamente le notizie o a usare i social media, è pur vero che questa è la percezione di molti. Ed è su questo che i garanti, incluso quello italiano, dovranno quest’anno (provare a) mettere una parola definitiva: è possibile scambiare i propri dati personali in cambio di un servizio? Un diritto può essere una merce di scambio?
La risposta, come sovente accade, potrebbe stare a metà strada. Quanto è consapevole l’utente del valore dei suoi dati? Perché questo valore è in realtà noto, perfino riconosciuto espressamente in alcune normative europee recenti. Come ho scritto in altre occasioni, non è neanche un assunto rivoluzionario se pensiamo che, ben oltre un decennio fa, l’Autorità garante, ai tempi presieduta dal professor Rodotà, che ho avuto l’onore di affiancare proprio in quegli anni, si pronunciò in tal senso sul tema delle carte fedeltà.
È allora sulle salvaguardie che occorre lavorare, sulla consapevolezza degli utenti. Perché se è vero che il diritto ci impedisce atti di disposizione del nostro corpo per via contrattuale (non posso vendere un rene), è pur vero che quel paragone è ingannevole, in quanto un organo non sarebbe recuperabile né replicabile, mentre un dato, seppur personale, sì. Si badi bene, non voglio dire che un dato personale che sfugga al controllo dell’interessato o del titolare, magari per un data breach, non costituisca un problema, ma si tratterebbe comunque di un problema più facilmente risolvibile.
Serviranno tuttavia delle salvaguardie, come già accade per i dati sensibili e i minori, e come vedremo a breve con l’entrata in vigore del DSA, che proprio in questo campo ha stretto le sue maglie rispetto al GDPR. Tali tutele serviranno anche a evitare di creare una Internet sicura e rispettosa della privacy per quelli che se la possono permettere, contrapposta ad un’altra invasiva per chi non può. Ma non dobbiamo disperare, una soluzione è possibile.
Conclusione
Il 2023 sarà un anno cruciale tanto dal punto di vista normativo, con l’AI Act e il Data Act in arrivo (e sempre in attesa del regolamento ePrivacy) quanto da quello strutturale. Autorità, accademia e imprese dovranno insieme lavorare per trovare la quadra alla più grande sfida degli ultimi anni.
