Il 3 luglio, presso la Sala della Regina della Camera dei Deputati, l’Autorità Garante per la protezione dei dati personali ha presentato la Relazione annuale sulle attività svolte nel 2023.
Un appuntamento fisso, fondamentale e imprescindibile, che getta uno sguardo su passato recente, presente e futuro di un mondo in costante movimento – quello della libera circolazione e protezione dei dati personali, che parte dalla tutela della privacy, toccando le regole del mercato dei dati (la data economy), attraversando appieno le vicende di Internet, fino ad arrivare alle più recenti storie dell’intelligenza artificiale, che in fondo è fatta di dati.
L’importanza della Relazione annuale del Garante privacy
Sono tante le Relazioni annuali a cui ho partecipato, ma ogni anno è una nuova occasione di riflessione e messa in discussione di convinzioni e punti di vista. Così era negli anni in cui sedevo al fianco di Stefano Rodotà e Giovanni Buttarelli, e così è ancora oggi, seguendo da vicino il non facile lavoro svolto dall’attuale Collegio composto dal Presidente Pasquale Stanzione, dalla Vice Presidente Ginevra Cerrina Feroni e dai Componenti Agostino Ghiglia e Guido Scorza, dal Segretario generale Claudio Mattei e di tutti i Dirigenti e i Funzionari che fanno parte del Garante.
Tra il discorso di alto spessore istituzionale del Professor Stanzione e le oltre 250 pagine di Relazione Annuale, ognuna delle quali meriterebbe un articolo di commento, è davvero difficile scegliere su cosa focalizzare l’attenzione. È davvero incredibile vedere come la cosiddetta “messa a terra” di quelle teorie vagheggiate, tratteggiate e confutate da Stefano Rodotà in tanti suoi studi, tra gli anni ’70 e gli anni ’90 del secolo scorso e che hanno direttamente condotto, assieme alle riflessioni di altri giganti del diritto, da Westin a Lessig, alla emersione del bisogno di scrivere ed approvare le leggi sulla privacy, sia davvero in grado di permeare ogni angolo e aspetto della vita dell’uomo e della sua interazione con la tecnologia e l’ambiente.
Non c’è società senza dati
Oggi davvero si può affermare che non c’è società e quindi vita organizzata senza dati e non c’è libertà e democrazia senza che all’individuo sia consentito di governare i propri dati, nella dialettica titanica tra grandi e piccoli operatori economici e pubbliche amministrazioni, passando attraverso l’uso della tecnologia e dell’AI.
Opterò quindi per tre concetti chiave, ognuno dei quali credo sia in grado di tracciare una linea che unisce idealmente i risultati già raggiunti e le sfide ancora all’orizzonte.
Il 2023: l’anno dell’intelligenza artificiale e le sfide per la privacy
Non potevo che partire da qui, dal tema che forse è stato e sarà tra i più sfidanti nella storia di questa Autorità. Perché il 2023 è stato senza dubbio l’anno dell’IA. Si è aperto con i due casi Replika e OpenAI, che hanno fatto scuola a livello internazionale – e rispetto a entrambi i quali, per trasparenza, chi scrive è (stato) professionalmente coinvolto – e si è chiuso con l’accordo raggiunto tra le istituzioni europee sull’Artificial Intelligence Act (e proprio all’AI Act ho dedicato una serie di approfondimenti qui su Agenda Digitale).
Le parole del Presidente Stanzione
Ciò trova conferma anche all’interno del discorso del Presidente Stanzione, intitolato “La protezione dei dati per un’innovazione antropocentrica”. Tra i moltissimi passaggi di pregio, desidero riportare il seguente: «si delinea dunque l’obiettivo del prossimo futuro: un governo democraticamente sostenibile della tecnica, che tracci il confine oltre il quale, per riprendere Nietzsche, non si può fare tutto ciò che si può fare, ponendo limiti a una volontà di potenza che, altrimenti, non ne conoscerebbe e che, anzi, tenderebbe a spostare sempre più in là la frontiera delle possibilità. Va, dunque, delineato quel “cuore antico” del futuro (parafrasando Carlo Levi) che àncori l’innovazione a un limite giuridico, politico, sociale, prima ancora etico di sostenibilità». E questo perché mi richiama alla mente quanto si chiedeva anni addietro il mio Maestro Rodotà, vale a dire “se tutto ciò che è tecnicamente possibile sia anche eticamente ammissibile, socialmente accettabile e giuridicamente lecito”.
Il ruolo dell’Autorità Garante nella regolamentazione dell’AI
L’intelligenza artificiale sta diventando sempre più uno stress test per la normativa sulla protezione e sulla libera circolazione dei dati personali. E per questo il ruolo di guida e controllo del Garante è stato, e continua a essere, cruciale e imprescindibile. Lo dimostrano i sopra menzionati procedimenti, che hanno aperto la strada a livello globale per uno sviluppo dei sistemi di IA più affidabile, trasparente, accurato, proporzionato, sicuro e in linea con la necessità di muoversi sempre su un confine difficile da trovare, quello tra protezione dei diritti e sostegno all’innovazione.
Un confine che la nostra Autorità sta tracciando con dedizione e risultati fin qui incoraggianti. Vedremo nel futuro cosa accadrà, considerato che di certo aumenterà la richiesta di concentrarsi sempre più su questo fenomeno, se possibile scavando ancora più a fondo il solco già delineato, per sostenere e incoraggiare un percorso non solo possibile, ma anche necessario.
La possibilità e i vantaggi di un’Autorità garante dei dati e dell’AI
Per farlo, l’Autorità dovrà essere dotata di adeguate risorse e di forme e strutture di coordinamento stabili con le altre Autorità interessate dal fenomeno multiforme dell’IA. In questo senso, appena poche settimane fa, sempre per questa testata, scrivevo di una grande Autorità tecnologica, il Garante dei Dati e dell’AI, a cui affidare i compiti di governance e controllo sull’AI Act.
Le parole del presidente Stanzione
Un pensiero che mi sento, oggi più che mai, di richiamare con forza, anche tenendo a mente le parole del Presidente Stanzione: «Queste iniziative (e molte altre che si potrebbero richiamare) dimostrano la ragione per cui l’AI Act, nel delineare il sistema di governance dell’intelligenza artificiale, sancisca una specifica riserva di competenza in favore delle Autorità di protezione dei dati, in particolare in settori (immigrazione, attività di contrasto, giustizia, processi democratici) nei quali la potenza algoritmica rischia di amplificare la strutturale asimmetria del rapporto in cui si inscrive o le vulnerabilità proprie, per condizione soggettiva o circostanza, degli interessati. Ed è anche questa la ragione per cui, come rappresentato più volte al Parlamento e al Governo, l’individuazione nel Garante dell’Autorità competente per l’AI Act sarebbe la più coerente con l’incidenza, profonda e trasversale, dell’intelligenza artificiale, sui diritti fondamentali (cui, significativamente, si rivolge la stessa valutazione d’impatto prescritta per i sistemi ad alto rischio). Essa suggerisce, infatti di attribuirne la competenza ad Autorità caratterizzate da requisiti d’indipendenza, in ragione dei “limiti e delle aporie” che la regola maggioritaria presenta, come insegnava Norberto Bobbio, di fronte a quel “territorio di frontiera” rappresentato dai diritti di libertà; la sfera dell’indecidibile, appunto».
Coordinamento tra Autorità: la soluzione UK
È interessante, al riguardo, anche la soluzione adottata di recente nel Regno Unito attraverso la creazione di un ufficio di coordinamento delle principali autorità il DRCF, privo di poteri sanzionatori diretti ma con funzione di impulso e coordinamento tra l’ICO (la data protection authority), l’Ofcom (autorità delle comunicazioni), la CMA (l’antitrust) e la FCA (una sorta di Consob).
La governance dell’IA in Italia
Tornando all’Italia, è importante notare come la scelta da parte del Governo italiano di indicare ACN e AGID come le due autorità di riferimento sull’AI sia importante, condivisibile e ricca di opportunità per il settore e per i cittadini, ma al tempo stesso non si può negare come le imprese e le PA si troveranno ad avere a questo punto almeno tre livelli di interlocuzione e di controlli sul tema dei dati, dato che immancabilmente a queste due agenzie si aggiungeranno i compiti che il GDPR affida al Garante e che lo stesso AI Act richiama e fa salvi. Quindi alla fine per gli operatori economici i controllori saranno tre, senza dimenticare cià che potrà fare l’Antitrust e l’Agcom.
Quindi se si volesse leggere il richiamo del Presidente del Garante anche in quest’ottica di necessario allargamento delle competenze e degli attori, la soluzione di una super Autorità Garante dei Dati proposta da chi scrive o la creazione di un forum operativo in cui possano sedere le varie autorità ed agenzie competenti e che possa fungere da one stop shop per gli operatori ed i cittadini, forse potrebbe di molto semplificare la vita di tutti mettendo a sistema competenze uniche ed eccellenze che si sono consolidate negli anni. Il dado tuttavia è tratto e solo un illuso potrebbe credere alla concretizzazione di queste idee, ove mai fossero condivise dal legislatore, ma lo spazio in Parlamento per una ponderazione di poteri ed attori forse ancora c’è ed in questo senso andrebbe letto l’appello ultimo di Stanzione.
Telemarketing e privacy: gli aggiornamenti normativi del 2023
Il conto è spannometrico, ma non c’è dubbio che nel 2023 il Garante abbia ulteriormente portato avanti il proprio importante sforzo di assicurare il rispetto della normativa data protection nelle attività di telemarketing. Ed è quest’ultimo il secondo concetto chiave che ho scelto.
L’impegno è stato profuso non solo ex post, attraverso una costante attività di controllo e monitoraggio del mercato, ma anche – e in certi versi soprattutto – con un approccio ex ante, contribuendo cioè alla definizione e alla codificazione di regole chiare e precise a vantaggio di consumatori e operatori di settore. Il 2023 è stato infatti anche l’anno di approvazione del “Codice di condotta per le attività di telemarketing e teleselling”, uno strumento di accountability già diventato indispensabile in termini di compliance, e in relazione al quale chi scrive ha avuto il privilegio di portare il proprio contributo in sede di scrittura e connessi lavori preparatori.
Le parole del presidente Stanzione
Sulla portata del traguardo, ancora una volta, vale la pena citare le parole del Presidente Stanzione, secondo cui questo codice «potrà svolgere una funzione rilevante nella promozione del principio di responsabilizzazione, anche favorendo standard uniformi di conformità delle condotte dei vari attori coinvolti nella filiera delle attività promozionali, non realizzabili forse neppure con la deterrenza esercitata dal quadro sanzionatorio, pur elevato».
Nel prossimo futuro le attività di telemarketing e teleselling continueranno certamente a interessare l’operato quotidiano del Garante. Grazie all’approvazione del Codice di condotta, è stato compiuto un passo fondamentale nella dialettica tra mercato e Autorità. Questa relazione merita ora di essere ulteriormente alimentata e sostenuta, creando nuove occasioni di incontro, confronto e scambio di informazioni, per rendere l’attività dell’Autorità sempre più mirata ed efficiente, le regole del mercato sempre più certe ed efficaci, e la fiducia dei consumatori un passo più vicina ad essere riconquistata.
L’evoluzione del Garante privacy: dialogo con il mercato e la società
In questo complesso scenario, come sarà il Garante di domani? L’auspicio è che si prosegua il cammino sul quale è stata avviata da Rodotà e Buttarelli quella ricerca costante di un equilibrio tra diritti e mercato che oggi più che mai deve essere la stella polare di ogni provvedimento. Un’Autorità che continui a dialogare con gli operatori del settore, come fatto in più occasioni anche con lo strumento della consultazione pubblica, ma anche cercando nuove forme di dialogo e di coinvolgimento diretto delle parti interessate, anche attraverso la valorizzazione dell’istituto dell’audizione in sede di controlli e procedimenti sanzionatori. Occorre, in tal senso, coinvolgere di più e valorizzare i DPO e le funzioni privacy interne delle aziende, assieme, manco a dirlo, ai loro legali.
È un patrimonio unico e prezioso che ha iniziato ad accumularsi per effetto del GDPR a partire dal 2018 e che ha profondamente cambiato la cultura di impresa, la governance interna delle aziende, la gestione della compliance integrata anche con i principi della sostenibilità e dell’uso etico e consapevole dei dati. In questo vedo ancora taluni margini di miglioramento nell’azione del Garante di domani, cosi come è urgente la creazione di unità capaci di misurare ex ante l’impatto economico della regolazione, dei controlli e dei provvedimenti, aspetti questi molto spesso tralasciati non solo per mancanza di competenze specifiche in seno all’Autorità, ma anche a volte in ragione di quella impostazione tradizionale che vede il Garante come una autorità dei diritti fondamentali e non del mercato, quasi come se oggi possano ancora esistere ambiti di fruizione dei diritti e delle libertà avulsi dagli spazi consumeristici dei diversi mercati che si contendono i nostri dati, profilandoci e la nostra vita.
Un auspicio per l’Autorità: continuare a individuare e presidiare i temi di frontiera
Ma soprattutto l’auspicio è che l’Autorità prosegua nell’individuare e presidiare pioneristicamente i temi di frontiera, presenziando e guidando sempre di più la comunità europea e internazionale, come al tempo del primo Garante. Ma che per far questo venga sostenuta dalla politica e dalle istituzioni, venga dotata di tutte le risorse e delle competenze necessarie per portare avanti la propria missione. Un’Autorità che continui a guardare il futuro senza mai dimenticare l’unicità del proprio passato. Auguri al Garante.
