analisi

G. Cerrina Feroni: “Nella digital age, non la ‘privacy-per-la-privacy’, ma asset strategico e facilitatore del mercato”

di Ginevra Cerrina Feroni, vicepresidente Garante Privacy |

Protezione dei dati personali in Italia tra GDPR e Codice novellato. Note a margine del volume di Franco Pizzetti e visione del Collegio del Garante Privacy.

Il volume

Come sempre Franco Pizzetti ci guida con impareggiabile competenza ed eleganza nei meandri di un sistema normativo “multilivello”, come solo potrebbe fare chi si è trovato ad applicare le norme di protezione dati personali negli anni in cui già s’iniziava a profilare il cambiamento epocale che avrebbe determinato l’ingresso definitivo nella società digitale ed ha poi contribuito personalmente, lasciando una traccia ben riconoscibile, alla formazione del d.lgs. n. 101/2018 che ha novellato il Codice.

Il volume bene illustra le ragioni delle differenze di tecnica normativa che caratterizzano il nuovo Codice il quale, anche in ragione di ciò, si è coerentemente inserito nel quadro europeo. È lo stesso Autore tuttavia a confessare che permangono certe aporìe, dovute proprio ad un processo legislativo “complesso”, ma soprattutto “compresso” fra la necessità di adeguarsi al GDPR, da un lato, ed il non trascurabile peso dell’eredità del Codice previgente, dall’altro. Per scelta dei novellatori, la normativa di applicazione della disciplina europea non sarebbe sortita da una tabula rasa, ma sarebbe dovuta emergere dalle vestigia di un glorioso passato, la cui esperienza rimane in tal modo però fortemente condizionante. Emerge, ad esempio, come la vecchia attitudine prescrittiva ed autorizzatoria sia difficile da smaltire e rappresenti davvero, come la definisce Pizzetti, un “fardello” per gli operatori italiani del diritto alla protezione dei dati personali. Specie in alcuni ambiti tradizionalmente delicati per la nostra tradizione di protezione dati: il settore sanitario, la biometria, la genetica, l’esecuzione di compiti d’interesse pubblico o connessi all’esercizio di pubblici poteri. Tutti analiticamente esaminate nel volume e, in particolare nei bei saggi di Laura Ferola e di Francesco Modafferi.

Il Garante

Mi sono persuasa – e mi trovo sul punto in pieno accordo con quanto scrive Pizzetti – che l’adeguamento al quadro normativo dell’Unione debba passare, innanzitutto, da uno sforzo interpretativo che rende l’applicazione coerente con lo spirito che ha condotto il Legislatore europeo, ormai cinque anni or sono, a ripensare integralmente la disciplina di protezione dati. Un approccio programmatico, più che prescrittivo, basato sulla minimizzazione del rischio concreto per i diritti e le libertà degli interessati. Rischio che è il titolare stesso a dover valutare, caso per caso, in ossequio al principio dell’accountability, vera e propria chiave di volta del sistema di protezione.

Meno prescrizioni, meno generalizzazioni ed invece maggiore attenzione per la realtà dei casi concreti. Se è vero che si perde in certezza, si guadagna in elasticità delle soluzioni per i titolari ed in effettività della tutela per gli interessati. Questo è il precipitato, il Wesensgehalt prezioso e rivoluzionario del GDPR che non possiamo permetterci di perdere, tornando su base nazionale al ripristino di pratiche molto formalistiche e talora inefficaci ed inattuali.

Come Garante, e come Garante novello insediatosi l’estate scorsa, siamo chiamati a sciogliere proprio questi nodi, a dare consistenza e ragion d’essere a certi strumenti che destano invero ancora molti dubbi quanto alla loro proiezione nel futuro ed alla loro adeguatezza a proteggere gli individui, da un lato, e ad accompagnare il Paese nella digitalizzazione della società, dall’altro. Emblematiche le misure di garanzia che non possono rappresentare la reviviscenza dei vecchi provvedimenti prescrittivi generali e, conseguentemente, riproporre in modo larvato i meccanismi di notificazione ed autorizzazione che il Regolamento ha abolito, in quanto contrari allo spirito stesso di responsabilizzazione dei titolari.

Il Garante, per come la vedo io, deve farsi tutore anche della competitività economica nazionale che sempre più passa attraverso i dati, bilanciando con critico realismo l’esigenza di tutela concreta delle persone, stella polare della nostra azione, con le ragioni legittime degli interessi produttivi del mercato. Gli strumenti di protezione dati, implementati dagli ordinamenti nazionali, non possono essere pensati solo come lacci più stringenti che destinerebbero l’Italia a rimanere indietro in nome della “privacy-per-la-privacy”. Un’ideologia che rischia di diventare ostacolo e non invece asset strategico e facilitatore del mercato. L’equilibrio – non ce lo nascondiamo – è molto complesso e continuamente messo in discussione, specie in epoca di pandemia.

Franco Pizzetti ci detta una vera e propria agenda, nella forma di invito garbato, di cui faccio tesoro, insieme agli insegnamenti appresi dalla lettura anche degli altri suoi volumi. Muta – e guai se non mutasse! – con lo spirito e la natura della disciplina, anche il ruolo dell’ Autorità. Non più quello di “tutore” che, da una parte, accompagna per mano il titolare a conformarsi ad una checklist prestabilita una volta per tutte e per tutti e, dall’altra, colpisce non appena vi sia qualche dirazzamento/deviazione dal perimetro predefinito. Ma, invece, controllore e supervisore in grado di ponderare, ma prim’ancora di comprendere, le valutazioni compiute dal titolare, ovvero chi concretamente decide il trattamento specifico da effettuarsi e come effettuarlo. È il titolare il protagonista della partita e l’Autorità l’arbitro, che non deve sindacare la scelta se non per la sua correttezza. Il GDPR esige una diversa prospettiva, un salto di approccio culturale non semplice e non scontato tanto dei titolari, quanto del Garante, e così vanno intesi anche strumenti quali i codici di condotta e le regole deontologiche, di cui ha trattato Raffaele Bifulco.

Il diritto e il mercato

L’interpretazione coerente delle norme è centrale per l’effettiva applicazione del Regolamento non soltanto in chiave interna, ma su scala UE. La forza del Regolamento è reale, come dichiarato sin dai primissimi Considerando, se la missione da compiere è quella dell’equivalenza della tutela e dell’omogeneizzazione dell’applicazione delle norme in tutta Europa.

Ed è qui che si sentono vent’anni di asimmetrie e geometrie variabili: mentre l’Italia ha sempre dato attuazione con rigore – che qualcuno potrebbe anche ritenere eccessivo – alla disciplina di protezione dati sviluppando ed implementando prassi e soluzioni, che poi hanno trovato conferma e dimora nelle norme del GDPR, altri Paesi hanno assecondato elusioni e sommarietà, strizzando l’occhio a pratiche non condivisibili che si sono talora consolidate, creando all’interno del mercato unico spazi di compliance agevolata d’ingiuste asimmetrie, quando non di vera e propria impunità.

Oggi, sotto il medesimo ombrello, nutriamo la pretesa di una concordanza d’intenti e di mezzi. Non bastano norme comuni, se la loro applicazione rimane differenziata. Casi come quello rappresentato dalla querelle italo-irlandese su TikTok ed altri social network sveleranno se il “meccanismo di coerenza”, giustappunto, sarà in grado di reggere le pressioni degli interessi nazionali e le fughe in avanti o indietro di alcune Autorità di controllo affezionate agli orientamenti di bandiera. È davvero, per usare il linguaggio bancario, uno stress test di forte impatto. L’aspettativa per una giurisprudenza del Board, da formarsi necessariamente col passare degli anni, è ad oggi il nutrimento di chi spera nel formarsi di un clima di fiducia generalizzato fra Paesi, senza più contrapposizioni fra flessibili e zelanti, ma compatti ed integrati per il raggiungimento dell’obiettivo comune: ovvero la tutela genuina ed effettiva dei diritti e delle libertà degli individui, con riferimento alla protezione dei loro dati personali, ma nel contesto della libera circolazione transfrontaliera – di cui ha scritto Rocco Panetta.

L’Europa di oggi

Viviamo in tempi interessanti, nella Digital Age direbbe la Presidente von der Leyen, la quale ha indicato nello sviluppo dell’economia digitale e nel rafforzamento del quadro regolatorio due capisaldi della sua agenda politica. All’interno del Mercato Unico europeo, ha assunto forma e sostanza un Digital Single Market inaugurato forse proprio dal GDPR. La Commissione ha enunciato all’inizio dello scorso anno la nota Data Strategy 2020, impostata a ridefinire il quadro normativo complessivo di un’economia che si nutre di dati per un’Europa “fit for the Digital Age”, nonché ad implementare e stimolare il data sharing nel quadro di una ben organizzata e disciplinata regolazione della messa in comune tra tutti gli europei dei dati prodotti e trattati dalle amministrazioni pubbliche e dagli operatori privati all’interno dell’Unione. Tutto ciò al fine di rafforzare la capacità dell’UE e della sua economia di competere nella gara globale al dominio nell’epoca digitale e ad un ben strutturato sistema di interoperabilità delle reti di trasmissione dei dati e delle comunicazioni elettroniche nell’ambito dell’Unione. Un programma, come scrive il prof. Pizzetti, basato sulla stessa logica che presiede al GDPR e cioè sulla necessità di offrire ai cittadini regole che ne rafforzino la fiducia nella società digitale e nei trattamenti leciti dei loro dati.

Questa agenda digitale – di cui tratta il contributo di Giuseppe D’Acquisto – dev’essere letta ed intesa come una specifica strategia: rafforzamento della concorrenza con un focus determinante sull’economia digitale, volta a sviluppare strumenti e prassi per contrastare gli effetti distorsivi delle grandi concentrazioni di dati nelle mani di Big-Tech e di Stati compiacenti.

Il nostro è un tempo nel quale un’innovazione tecnologica può essere fonte di benefici enormi per l’umanità ma anche mettere a rischio l’essenza stessa di ciò che rende gli uomini liberi e responsabili: la capacità di capire, di avere il controllo dei propri dati e poter usare il libero arbitrio rispetto alle scelte da compiere e ai pericoli da evitare. Come indica Pizzetti, al di là della pura, e spesso “fredda”, applicazione del GDPR e del Codice, vi è una realtà spesso sfuggente ed ormai irriducibile, fatta di Big Data, Algoritmi ed Intelligenze Artificiali, e poi una rete dinamica di flussi di dati personali e non, alimentata e mossa dall’economia reale.

In questo contesto, ha meno senso pensare al Garante come alla vestale di un diritto ineffabile, impegnato in una riaffermazione solo di dichiarazioni di principio. Le Autorità sono chiamate ad assolvere al ruolo cruciale di controllori di questa rete solcata da correnti di dati, standovi dentro – vorrei dire, in corpore vili – fungendo da regolatori del traffico immerse nel traffico stesso. Ci è richiesto un grado di realismo fattivo, capace di dialogare e negoziare. Ad oggi, isolarsi su posizioni di rigorismo formalista significa auto-condannarsi all’irrilevanza, se non, peggio, all’estinzione brutalizzata dalla pressione dei fatti. Il Garante è ben consapevole che in questo settennato dovrà affrontare temi considerati scabrosi fino a poco tempo fa e sa di doverlo fare scevro da ogni preconcetto ideologico e munito di sostanzialismo attento e prudente, direi pragmatico.

Le sfide

La Pandemia ci ha mostrato e ci sta mostrando esattamente questo: non possiamo permetterci sofismi, che ci rallenterebbero e distrarrebbero in quella che è la nostra missione, cioè proteggere i cittadini. Vigiliamo, avvisiamo, prescriviamo e sanzioniamo, ma lo facciamo con la consapevolezza di chi vive il mondo, le istituzioni ed il mercato. Sfide come il tracciamento dei contagi, le campagne di vaccinazioni, ora anche il digital green certificate, dovrebbero finalmente aprire gli occhi di chi non l’ha ancora fatto su che cosa significa proteggere i dati personali oggi. 

Franco Pizzetti l’ha già fatto, tanto tempo fa, ed anzi c’insegna ogni volta come guardare oltre la collina ed intercettare cosa verrà domani, prima che quel domani ci trovi impreparati e, forse, ci travolga.