Attenzione a temi di frontiera come intelligenza artificiale, data economy e tutela dei minori da un lato, presidio costante sui grandi problemi delle società ipertecnologica, telemarketing in primis, dall’altro. Il tutto ricercando sempre il giusto bilanciamento tra tutela di diritti e libertà fondamentali ed esigenze del mercato. Così può riassumersi il 2022 dell’Autorità Garante per la protezione dei dati personali, a poche ore dalla presentazione presso la Camera dei deputati della Relazione sulle attività svolte lo scorso anno.
Non c’è dubbio che il terzo mandato del Collegio composto da Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia e Guido Scorza sia stato particolarmente intenso, complice anche la diffusa ripartenza dopo gli anni di freno causa Coronavirus. Proprio in un simile contesto di generale frenesia, questa Autorità, il suo Collegio e tutti i Dirigenti e i Funzionari che la compongono si sono dimostrati una fondamentale e insostituibile guida per cittadini e imprese, riuscendo così a rafforzare ulteriormente il legame di fiducia e il forte affidamento che società e mercato ripongono nel Garante.
Ed è proprio questa la parola d’ordine di questo anno, pronunciata dal Presidente Prof. Stanzione anche in inglese, a voler quasi indirizzare questo appello anche agli osservatori internazionali che con interesse e ammirazione hanno studiato e commentato i coraggiosi e pionieristici provvedimenti del Garante adottati nei riguardi di Replika e OpenAi, al fine di provare ad indirizzare questa fenomenale tecnologia basata su Intelligenza Artificiale Generativa verso il bene ed il servizio dell’uomo e fuori da ogni tentazione di potere e controllo fuori dalle regole e dall’etica.
Il 2022 del Garante in numeri
Sono innanzitutto alcuni dati numerici a dare un senso tangibile dello sforzo a cui l’Autorità è stata chiamata nel corso dell’anno di attività appena trascorso.
Sono stati infatti ben 442 i provvedimenti collegiali adottati del 2022, 317 quelli correttivi e sanzionatori, con circa 9 milioni e 500 mila euro di sanzioni riscosse. Nello stesso periodo, gli uffici del Garante hanno ricevuto 1.351 notifiche di data breach, hanno dato riscontro a 9.218 reclami e segnalazioni e fornito risposta a più di 16.400 quesiti. Nuovo impulso ha inoltre ricevuto l’attività ispettiva, con un numero di ispezioni (140) quasi triplicato rispetto a quanto registrato nel 2021.
Meritano poi di essere menzionati due ulteriori dati. Il primo riguarda la presenza internazionale del Garante. Con la partecipazione a oltre 216 riunioni e un rilevantissimo contributo in seno alle attività dell’European Data Protection Board, il 2022 conferma l’impegno di questo Garante per riportare la nostra Autorità al centro del dibattito internazionale, come accaduto al tempo di Stefano Rodotà e Giovanni Buttarelli. Il secondo attiene invece all’opera di informazione e comunicazione istituzionale, le cui prove e risultati sono sotto gli occhi di tutti, dimostrando così e ancora una volta l’importanza di poter contare su un’Autorità che sappia anche sensibilizzare ed educare.
Tutto questo sembra semplice e veloce per una Autorità che ci ha abituati all’eccellenza in oltre 25 anni di esercizio, ma così non è. Il Garante opera sottorganico da sempre. Di questo discutevamo sempre con Stefano Rodotà e Giovanni Buttarelli negli anni in cui ho lavorato da Dirigente in quell’Autorità – all’epoca del mio ingresso nel 2000 eravamo circa 50 tra funzionari e dirigenti – e da allora, sebbene l’organico si sia triplicato, le funzioni, soprattutto dopo l’entrata in vigore del GPDR sono cresciute esponenzialmente ed è palpabile, per chi opera in questo mercato, l’urgenza almeno di un raddoppio dell’organico, soprattutto in vista dell’imminente adozione dell’AI Act.
I principali interventi del 2022
Due sono le direttive sulle quali possono essere raccolti e ordinati gli interventi più rilevanti dell’Autorità nel corso dell’anno appena trascorso, anche tenendo conto della relazione di alto spessore istituzionale tenuta dal Presidente Pasquale Stanzione ed edificata sul binomio potere dell’innovazione / solitudine digitale («Dalla bioetica all’intelligenza artificiale, dai poteri privati delle piattaforme al cyberbullismo; dai discorsi d’odio all’oblio; dagli invisibili digitali della gig economy alla telemedicina: in tutti questi ed altri contesti il Garante fornisce il proprio contributo, a tutela di chi viva la solitudine digitale (per assenza di protezione, per asimmetrie cognitive, per necessità) come soggezione all’altrui potere»).
I provvedimenti d’urgenza emanati nei confronti di OpenAI e Replika
Il Garante ha innanzitutto dedicato una particolare attenzione ad alcuni temi di nuova emersione, intervenendo in certi casi addirittura con un approccio pionieristico a livello europeo. È il caso, ad esempio, dei due provvedimenti d’urgenza emanati nei confronti di OpenAI e Replika (così commentati dal Presidente Stanzione: «Nell’esigere il rispetto degli obblighi di trasparenza, di verifica dell’età e di liceità del trattamento, il Garante ha infatti potuto sollecitare l’attenzione (non solo europea) sulla necessità che il progresso non si affermi in danno della persona, limitandone la libertà e sacrificando i diritti sul terreno del mercato, ma promuova invece un ragionevole equilibrio tra iniziativa economica, innovazione, tutela della persona»), ma anche della sanzione comminata a Clearview. Tutti interventi che testimoniano la decisa e reattiva attività di controllo e tutela dei diritti messa in campo dall’Autorità in relazione all’impiego di algoritmi di intelligenza artificiale.
La tutela dei minori online
Allo stesso tempo, la tutela dei minori online è stata al centro di diversi provvedimenti, ivi inclusi alcuni di quelli appena citati, senza dimenticare la vicenda sulla pubblicità personalizzata di TikTok, rispetto alla quale emerge anche un altro grande tema di questi ultimi giorni.
C’è stata poi la partita ancora aperta sulla monetizzazione, rispetto alla quale è possibile rimandare integralmente alle parole del Presidente Stanzione: «Un’ulteriore criticità del capitalismo delle piattaforme riguarda la tendenza alla remunerazione del consenso al trattamento dei dati personali, assunto come parte di uno scambio tra dati e servizi. Il Garante se ne sta occupando, in particolare, nell’ambito dell’istruttoria, avviata lo scorso autunno, sull’uso dei cookie wall da parte di molte testate giornalistiche on-line, che subordinano l’accesso ai contenuti alla prestazione del consenso ad attività di profilazione o, alternativamente, al pagamento di un prezzo. Per non derubricare i dati personali, oggetto di un fondamentale diritto di libertà a mera risorsa economicamente sfruttabile, va delineato un confine tra data-economy e monetizzazione della privacy, con tutti i rischi, in termini di libertà ed eguaglianza, suscettibili di derivarne […]. Benché il modello capitalistico attuale (non meno “estrattivo” del suo archetipo) si fondi sempre più sulla deduzione dei dati nel sinallagma negoziale, bisogna evitare ogni deriva che renda la privacy un lusso per pochi, contraddicendo quel percorso che l’ha resa, da tradizionale prerogativa borghese, uno straordinario presidio di tutela di tutte e tutti, soprattutto dei più vulnerabili».
Un nuovo sistema di regole per il telemarketing
Affianco all’impegno, per così dire, di frontiera, nel 2022 l’Autorità ha continuato, e in certi casi persino intensificato, la propria attività di controllo, prevenzione e repressione su fronti tutt’altro che di nuova emersione. È il caso, su tutti, del telemarketing. Qui il Garante non si è limitato a portare avanti la propria instancabile attività ispettiva e sanzionatoria, a protezione dei diritti e delle libertà dei cittadini, ma si è posto in prima linea con i principali operatori di settore per costruire un nuovo sistema di regole volto ad arginare definitivamente il fenomeno del telemarketing aggressivo. È stato così approvato il nuovo Codice di condotta per le attività di telemarketing e teleselling, uno strumento di normazione secondaria che potrebbe presto diventare un nuovo standard per l’intero mercato di riferimento, che va ad aggiungersi agli altri due Codici di condotta vigenti nel settore delle informazioni commerciali ed in quello dei sistemi di informazioni creditizie – alla cui stesura, con estremo piacere ho contribuito.
Al contempo, il Garante ha mantenuto altissimo il livello di guardia sul mondo delle pubbliche amministrazioni e della sanità digitale, con fondamentali interventi incentrati anche sui trattamenti realizzati nel contesto lavorativo, nel settore della giustizia e in relazione alle attività di cronaca giornalistica.
Uno sguardo al futuro: le sfide che attendono il Garante
I dati raccolti nella Relazione annuale sulle attività del 2022, così come le parole pronunciate dal Presidente Stanzione, non lasciano dubbi sul fatto che questa Autorità si stia preparando al meglio per affrontare le sfide del futuro. Sfide politiche, tecnologiche, etiche e sociali, tutte accomunate dall’importanza della protezione dei dati personali.
Un futuro che è più prossimo che mai se si considera l’imminente approvazione del nuovo regolamento europeo sull’intelligenza artificiale. Questo inedito tassello normativo si aggiungerà ad altri già approvati, come il Data Governance Act, il Digital Services Act e il Digital Markets Act, o di prossima approvazione, come il Data Act o la recentissima proposta di regolamento che andrà a integrare il GDPR con nuove norme relative alle procedure di enforcement. Al netto della questione relativa a eventuali nuove competenze che questi regolamenti europei potrebbero attribuire all’Autorità, resta fermo che la disciplina sulla circolazione e protezione dei dati assumerà ancora più importanza per gli anni avvenire, rappresentando il punto fermo e il substrato comune di ogni legislazione tesa a governare il complesso fenomeno della data economy. Sul punto, ancora una volta, occorre richiamare le parole del Presidente Stanzione: «[…] se ieri si trattava di “democratizzare” la privacy, emancipandola dalla dimensione tradizionalmente borghese del right to be let alone, oggi la sfida è rendere questo straordinario diritto di libertà – con l’evoluzione che l’ha caratterizzato – protagonista di uno sviluppo inclusivo e umano-centrico del digitale. Con l’urgenza delle più forti istanze democratiche emerge infatti, progressivamente più chiara, la necessità di uno statuto, giuridico ma anche etico, delle neotecnologie, che ne promuova massimamente lo sviluppo, ma al servizio della persona, della solidarietà, dei diritti fondamentali».
E allora ecco che al centro del futuro sistema economico, sociale e regolatorio ci sarà e ci dovrà essere il Garante, magari proprio un “Garante dei Dati”, e non più il “Garante della Privacy”, perché ad esso cittadini e imprese guarderanno quale punto di riferimento responsabile, coerente e aperto al dialogo.
Conclusioni
La sfida più importante per l’Autorità oggi diventa allora quella di fare ancora e sempre più perno su questi essenziali attributi, perché da essi dipenderanno tanto la tutela dei diritti fondamentali dei cittadini quanto la stabilità e l’attrattività del mercato italiano e, più in generale, gli stessi valori fondanti la nostra democrazia.
