Nell’affrontare le inedite sfide poste dall’avvento della data economy occorre tenere sempre a mente un carattere essenziale di questo dirompente fenomeno, vale a dire la sua dimensione sovranazionale. La comprensione ed il dominio della fenomenologia del trattamento e della valorizzazione dei dati personali risulterebbero infatti precari ed incompleti se ci si scordasse di affrontare ogni questione con un approccio ed un respiro internazionali.
Proprio nel corso dell’ultimo KnowledgeNet, evento di IAPP, International Association of Privacy Professionals, tenutosi on line il 28 ottobre scorso, la Professoressa Giusella Finocchiaro, emerita professionista ed accademica, dibattendo con Anna Cataleta, senior partner di P4I e con chi scrive, non ha mancato di sottolineare l’importanza di portare il tema della privacy sul più ampio fronte delle intese e dei trattati internazionali, soprattutto in considerazione delle sfide trasversali e transnazionali poste dalla quinta rivoluzione industriale, dalla robotica e dalla intelligenza artificiale.
Un Garante internazionale
Si tratta sicuramente di uno sforzo complesso e delicato, una chiamata alle armi alla quale imprese e pubbliche amministrazioni del nostro Paese devono rispondere senza più esitazioni. Nondimeno, un simile cambio di mentalità richiede necessariamente la presenza di una guida, un punto di riferimento accreditato a livello internazionale e che ben comprenda la dimensione sopranazionale su cui si fonda la nuova economia dei dati. Non c’è dubbio che tale compito possa e debba ricadere sulle spalle delle Autorità Garanti per la protezione dei dati personali. Un onere istituzionale che è al tempo stesso, almeno per quanto riguarda l’Autorità italiana, prestigioso retaggio del proprio passato e chiara direzione da intraprendere per il futuro.
In altre parole, per ambire ad un’Italia capace di cogliere i nuovi equilibri creati dall’economia fondata sui dati occorre innanzitutto poter contare su di un Garante, a tutti gli effetti, “internazionale”. E proprio a questo cruciale tema è dedicata la terza puntata di “Italia: focus data economy”, la serie di approfondimenti che si concentra sulle sfide che attendono il nostro Paese dinnanzi all’avvento dell’economia dei dati.
Il ruolo internazionale del Garante: un ritorno al passato
Le ragioni che portano a ritenere l’Autorità capace di adempiere al compito poc’anzi descritto sono prima di tutto storiche. È infatti la storia del Garante a dimostrarne con tutta evidenza l’indiscusso valore e accreditamento, anche al di fuori dei confini nazionali.
È bene in primo luogo ricordare come la genesi di quelle che oggi chiamiamo “autorità di controllo” è stata del tutto singolare. Il Big Bang fu la Direttiva 95/46/CE, con la quale venne imposto a tutti gli allora Stati Membri di dotarsi di una norma sistematica sulla circolazione dei dati personali e di attribuire le funzioni di controllo e garanzia in tale ambito ad una autorità nazionale indipendente. In alcuni Paesi, come la Francia ed il Regno Unito, al tempo già esistevano delle autorità di settore, le quali tuttavia erano state precedentemente erette attorno alla tutela della libertà di espressione più che alla dinamica dei dati.
In questi casi, dunque, nonostante la pregressa esperienza, il passaggio verso il nuovo sistema riservò non poche difficoltà di adattamento.
In Italia le cose andarono diversamente. Prima del 1995, infatti, nel nostro Paese non preesisteva alcuna autorità da convertire. L’avvento della Direttiva fu pertanto una vera e propria epifania, che ci diede la possibilità di dotarci di un’istituzione moderna e pienamente rispondente al nuovo dettato normativo e che di lì a poco si sarebbe affermata quale Autorità guida in materia di diritto alla protezione dei dati personali.
Le ragioni che portarono all’affermazione internazionale del nostro Garante furono però anche altre. Alla possibilità di costituire un’autorità con uno statuto giuridico ad hoc si affiancò innanzitutto il tempismo di tale fondazione. L’istituzione del Garante con la Legge 31 dicembre 1996, n. 675 e l’insediamento del primo Collegio l’anno dopo caddero esattamente nel triennio delle grandi rivoluzioni tecnologiche. Furono gli anni in cui si verificarono tutta una serie di eventi – come quelli che hanno riguardato la disciplina delle reti telefoniche – i cui risvolti sono tuttora alla base delle moderne e più importanti tematiche ad impatto innovativo.
E poi ci fu la bontà delle scelte delle persone. Quel Parlamento prese la migliore delle decisioni nell’individuare come Presidente e Vicepresidente figure del calibro di Stefano Rodotà e Giuseppe Santaniello. Il primo, professore ordinario di diritto civile e indiscusso pioniere dei cosiddetti nuovi diritti, incluso il diritto alla protezione dei dati personali, che fu anche il rappresentante italiano per la scrittura della Carta dei diritti fondamentali dell’Unione europea (Carta di Nizza) e Presidente del Gruppo europeo dei Garanti Privacy. Il secondo, fine giurista, era stato in precedenza presidente del Garante per l’Editoria, poi confluito in quella che sarebbe diventata l’Autorità per le garanzie nelle comunicazioni (Agcom) e proprio nel neocostituito Garante portò l’esperienza operativa fino a quel tempo maturata. E poi fu oculatissima la scelta del primo Segretario Generale, con l’incarico affidato a Giovanni Buttarelli, allora giovane magistrato che aveva negoziato per il Ministero della Giustizia la Direttiva 95/46/CE e solo qualche anno più tardi Garante europeo della protezione dei dati, da tutti correttamente considerato come il padre del GDPR.
La nostra Autorità nacque dunque nel modo giusto, al momento giusto e con le persone giuste, affermandosi fin dalle proprie origini come la vera e autentica autorità indipendente edificata sulla data protection. Ed ecco perché il Garante fu subito in grado di affermarsi quale primario interlocutore in questa materia a livello globale. A tale proposito, vale inoltre la pena ricordare un dettaglio per nulla trascurabile. Già in quegli anni tanto il Presidente quanto il Segretario Generale del Garante parlavano perfettamente e fluentemente inglese, cosa – diversamente da adesso – decisamente rara a quei tempi. Anche questo dettaglio contribuì a dare immediata centralità al ruolo e al lavoro dell’Autorità.
Negli anni poi, come più volte da chi scrive ricordato, il Garante ha continuato nella sua missione nazionale ed internazionale sia sotto la guida di Francesco Pizzetti, sia sotto quella di Antonello Soro, fino ad oggi, con il Collegio presieduto da Pasquale Stanzione.
Il (quasi) primato nell’attività sanzionatoria
La seconda rivoluzione nel mondo delle autorità privacy si è avuta con l’entrata in vigore del Regolamento Generale sulla Protezione dei Dati (GDPR). L’attività di necessario adeguamento interno, unita all’introduzione dei nuovi meccanismi di cooperazione e coerenza previsti dal GDPR, hanno portato ad un inevitabile ripensamento delle logiche di impegno sovranazionale del Garante. Al tempo stesso, sulla scena è comparso un nuovo parametro sul quale spesso si fa affidamento per descrivere l’attivismo delle autorità privacy, vale a dire il numero e l’ammontare delle sanzioni inflitte.
Su tale fronte, il Garante si è collocato, ancora una volta, in posizione di vertice. Qualche numero potrà dare conto di tale affermazione. A partire da quelli resi noti dalla stessa Autorità nella Relazione Annuale 2020 (che ho commentato per questa testata qualche mese fa), nella quale emerge, inter alia, il netto incremento delle sanzioni riscosse tra il 2019 (poco sopra i 3 milioni) e il 2020 (più di 38 milioni). Sempre con riferimento allo scorso anno, secondo i dati del “Rapporto statistico 2020, sanzioni privacy in Europa” a cura dell’Osservatorio di Federprivacy, nel corso del 2020 il Garante ha irrogato 35 sanzioni per un totale di 58,1 milioni di euro, con dunque un importo medio pari a 1,6 milioni. La stessa ricerca permette inoltre di contestualizzare l’attività della nostra autorità di controllo rispetto alle altre operanti nei trenta Paesi dello Spazio Economico Europeo. I dati di Federprivacy collocano il Garante al secondo posto sia nella classifica delle autorità più attive per numero di sanzioni (primo posto all’autorità spagnola con 133 sanzioni) sia in quella che riguarda il valore economico delle sanzioni (a prevalere in questo caso è stata l’autorità francese con oltre 138 milioni di euro). Allargando l’orizzonte temporale di questa breve analisi, secondo i dati del GDPR Enforcement Tracker, nella lista delle venti sanzioni economicamente più afflittive irrogate sotto la vigenza del GDPR, ben sette sono state comminate dal Garante italiano: si tratta dei provvedimenti n. 7 del 15 gennaio 2020 (27,8 milioni), n. 143 del 9 luglio 2020 (16,7 milioni), n. 224 del 12 novembre 2020 (12,2 milioni), n. 232 dell’11 dicembre 2019 (8,5 milioni), n. 112 del 25 marzo 2021 (4,5 milioni) e n. 231 dell’11 dicembre 2019 (3 milioni), a cui si è da ultimo aggiunto il provvedimento n. 332 del 16 settembre 2021 con il quale l’Autorità ha comminato nei confronti di un importante operatore di telecomunicazioni e media una sanzione di 3,2 milioni euro.
Le sanzioni non bastano: i piani per il presente e il futuro dell’Autorità
Il Garante si è dunque dimostrato estremamente vigile nell’attività di repressione delle condotte contrarie alle norme in materia di protezione dei dati personali, mantenendo così anche in tal modo la propria autorevolezza. Autorevolezza che si è ulteriormente rafforzata anche grazie a diversi momenti di positivo protagonismo internazionale. Sono un esempio tanto la vicenda che ha coinvolto WhatsApp tanto l’azione intrapresa nel caso TikTok, rispetto al quale chi scrive, avendo assistito la società nella fase di negoziazione con l’Autorità, può testimoniare la visione estremamente accorta del nuovo Garante rispetto alla dimensione sovranazionale dei trattamenti di dati personali. E proprio il nuovo Collegio dell’era Stanzione si sta contraddistinguendo per l’intensa e rinnovata attenzione al presidio internazionale. Fanno di ciò esempio tanto la partecipazione al G7 dei Garanti privacy quanto quella alla Conferenza internazionale delle Autorità di protezione dati a Città del Messico, con la partecipazione della vicepresidente, la Prof.ssa Ginevra Cerrina Ferroni.
Ecco il mio personale auspicio è che questa sensibilità e questo impegno del nuovo Collegio possano proseguire e se possibile aumentare nel corso del mandato. Anche da qui passa infatti la capacità di saper cogliere tutte le sfumature che il fenomeno del trattamento e della valorizzazione dei dati personali sta via via assumendo. Per noi professionisti dei dati, poi, avere un Garante autorevole e riconoscibile a livello nazionale ed internazionale significa poter fare meglio il nostro lavoro in Italia e all’estero.
È chiaro, tuttavia, che non è soltanto questa la direzione che dovrà essere intrapresa per potersi davvero fregiare di un’autorità effettivamente “internazionale”. Per addivenire ad un simile risultato sarà infatti necessario lavorare anche entro i confini nazionali, in particolare e innanzitutto abbandonando una volta per tutte quell’idea, ormai macchiatasi di fastidiosa recidiva, di poter riunire le tre autorità indipendenti italiane (Garante, Agcom e Agcm) sotto un unico cappello.
È un tentativo ricorrente e astrattamente comprensibile nell’ottica di perseguire la massima efficienza del sistema, la semplificazione dei processi e l’unificazione delle competenze nel rispetto delle diversità. Si tratta tuttavia di una riflessione che non può che rimanere tale. Le autorità indipendenti, per essere davvero tali, non solo devono esserlo nei confronti della politica e della pubblica amministrazione, non solo devono essere dotate di un’autonomia economica, di finanziamento e di personale, ma devono essere indipendenti anche con riferimento al proprio settore di competenza.
Non si può pensare di ricondurre e ridurre il ruolo di queste autorità ad una sorta di “ministero della regolamentazione”. In tal modo si commetterebbe il grave errore di minare l’indipendenza di ciascuna di queste istituzioni. Ogni autorità deve invece potersi muovere avendo quale unica stella polare la propria legge istitutiva, che nel caso del Garante è (oggi) un regolamento europeo che richiede di poter disporre di un’autorità nazionale che abbia l’indipendenza quale primario attribuito e che quindi abbia una dignità autonoma. E ciò in quanto la quantità e qualità di temi che sono oggetto della quotidiana attenzione del Garante richiedono una competenza e una specializzazione tali da non poter essere diluite e sminuite a livello di un semplice dipartimento di una grande “super autorità”.
La via da perseguire per l’immediato futuro non è dunque quella dell’accorpamento, ma quella del rafforzamento. Ciò deve valere innanzitutto a livello economico, di risorse umane e di competenze, cosicché il Garante possa contare su tutti gli strumenti necessari e sufficienti per affermarsi quale principale interlocutore della quinta rivoluzione industriale. Fortunatamente l’attuale Collegio sembra essere ben consapevole dell’importanza del ruolo che l’Autorità ricopre e sempre più ricoprirà nel contesto della data economy e correttamente ha di recente istituito un dipartimento dedicato all’intelligenza artificiale, posto sotto l’attenta guida dell’ottimo Roberto Lattanzi. Si tratta di una mossa assolutamente condivisibile, anche in vista dell’ondata di innovazioni che deriveranno dalla prossima approvazione delle quattro proposte di regolamento attualmente al vaglio delle istituzioni europee (Data Governance Act, Digital Services Act, Digital Markets Act, Artificial Intelligence Act).
È dunque un segnale incoraggiante quello inviato dall’Autorità, che fa eco tanto alla candidatura del Garante a Digital Service Coordinator quanto all’idea avanzata dal Componente Guido Scorza per un Garante unico per privacy e intelligenza artificiale. Siamo di fronte a sfide ormai imminenti, a cui la nostra Autorità dovrà arrivare con la giusta dotazione finanziaria, umana e di competenze.
Ritengo infine che l’impegno per il consolidamento del Garante dovrebbe guardare anche ai rapporti tra le autorità indipendenti del nostro Paese. Sarebbe utile, in tal senso, costituire all’interno di ciascuna autorità indipendente un dipartimento che si occupi dei rapporti con le altre autorità della stessa specie. Si tratta di una soluzione in grado di generare importanti esternalità positive. Lo dico per esperienza personale. Difatti, negli anni in cui lavorai al Garante al fianco del Presidente Rodotà e del Consigliere Buttarelli ebbi testimonianza diretta della cooperazione che si innescò tra Garante e Agcom – che allora era presieduta da Enzo Cheli – per l’approvazione del celebre doppio provvedimento sugli elenchi telefonici. Quello – ricordato anche come l’accordo di Punta Ala, dato che i due Presidenti avevano entrambi una residenza estiva in quella cittadina toscana – fu un incredibile evento apripista di una buona prassi che, purtroppo, rimase sporadica e desolatamente estemporanea.
In tale ottica, dunque, anche il coordinamento sistematico e l’istituzionalizzazione della collaborazione tra autorità indipendenti sono dei passaggi assolutamente indispensabili per affrontare le sfide intrinsecamente senza confini, e al tempo stesso anche interdisciplinari, poste dall’avvento della data economy.