5° Privacy Day Forum – 21 ottobre 2015 – Roma
Il contesto in cui si svolge il forum è segnato dalla prospettiva ormai prossima della conclusione del lungo percorso di riforma del Regolamento e dalle pesanti recenti sentenze della Corte di giustizia.
Entrambi questi elementi sono destinati ad incidere, in modo assai più rilevante di quanto oggi non sia avvertito, sull’economia digitale e più in generale sul futuro del mondo nei prossimi anni.
La progressiva, impetuosa e incontenibile corsa a sviluppare nella dimensione digitale ogni relazione tra persone, tra persone e imprese, tra persone e pubblica amministrazione ha prodotto cambiamenti che investono profondamente l’organizzazione della vita di ciascuno.
E’ cambiata la stessa percezione dell’identità individuale.
La vita che si svolge nella dimensione digitale non può più essere considerata come un’astrazione, un mondo parallelo e alternativo: è, come sappiamo, una dimensione ormai imprescindibile della realtà.
Ma rispetto alla dimensione della vita fisica, regolata dalle leggi e dalle convenzioni culturali che secoli di storia hanno consolidato, nello spazio digitale le nostre persone sono assolutamente più vulnerabili, meno protette dalle insidie.
Nella società digitale il diritto è rimasto indietro rispetto alle dinamiche dell’innovazione e della nuova organizzazione dei rapporti sociali.
Le democrazie tardano a trovare una visione aggiornata a questi cambiamenti ed a produrre regole efficaci.
L’Europa, dopo la straordinaria intuizione contenuta nella Carta di Nizza (la protezione dati come diritto fondamentale), ha perso molto tempo.
Nella cornice di questa inerzia, che è inerzia della politica, dei governi e dei parlamenti che si sono spesso dimostrati deboli nell’offrire tutele effettive ai diritti dei cittadini, la Corte di Giustizia ha svolto, svolge –oggettivamente – un’azione di supplenza.
Lo ha fatto con la sentenza sulla data retention (Aprile 2014) che ha dichiarato invalida la direttiva sulla conservazione dei dati di traffico, per violazione del principio di proporzionalità nel bilanciamento tra diritto alla protezione dei dati personali ed esigenze di pubblica sicurezza.
Lo ha ribadito con la decisione sul caso Google Spain (Maggio 2014) che ha riconosciuto il diritto all’oblio in considerazione del ruolo e dell’ingerenza che i motori di ricerca svolgono nella vita di ognuno di noi, chiarendo che non basta invocare un interesse economico per comprimere i diritti.
La Corte sembra ricordare costantemente alle istituzioni europee e agli Stati membri che il panorama dei diritti è mutato con la proclamazione della Carta dei diritti fondamentali (2000) – ormai parte integrante dei Trattati – e che tutti gli strumenti e gli atti comunitari, passati e presenti, devono essere guardati con occhi nuovi, attraverso il rispetto reale e concreto dei principi sanciti dalla Carta.
La sentenza sul Safe Harbour dello scorso 6 ottobre 2015 ha stabilito che l’accordo del 2000 fra Unione europea e Stati Uniti – detto appunto di approdo sicuro – non è affatto sicuro, poiché non garantisce che i dati trasferiti dall’Europa verso gli Stati Uniti siano tutelati adeguatamente, ed ha riaffermato il potere – dovere delle autorità nazionali di protezione dati di esercitare le azioni di enforcement.
In particolare, non si è ritenuto ammissibile che il diritto fondamentale alla protezione dei dati, sancito dalla Carta e dai Trattati dell’Unione Europea, sia compromesso dall’esistenza di forme di sorveglianza dei cittadini europei e di accesso del tutto indiscriminato ai loro dati in forma massiccia, continuativa e sistematica da parte di Autorità di pubblica sicurezza di un Paese terzo.
La privacy, o più precisamente la protezione dei dati personali, si ripropone come centrale nell’agenda politico – istituzionale con particolare riguardo ai rapporti tra Europa e Stati Uniti.
Ma una tale riflessione dovrebbe spingersi davvero su un piano globale, considerato che i trasferimenti dei dati avvengono sempre di più anche da e verso i Paesi del Pacifico, alcuni dei quali non offrono garanzie di adeguatezza equivalenti a quelle europee.
E’ evidente, e non sono mancate le voci allarmate di operatori e analisti, che l’invalidità del Safe Harbour, uno dei principali strumenti usati per gestire il passaggio dei dati tra le due sponde dell’atlantico, rischia di compromettere i rapporti commerciali e, soprattutto, danneggiare lo sviluppo dell’economia digitale.
Basterà ricordare che alla cornice del Safe Harbour hanno aderito oltre 4500 aziende (tra loro i giganti della rete) per un giro d’affari di molti miliardi di dollari.
In questo quadro la giurisprudenza che ribadisce con forza la centralità dei diritti e delle loro effettive tutele può essere percepita come un freno per il cambiamento sociale e tecnologico, con la pretesa di incasellare in normative europee fenomeni globali.
Quando però si parla di tecnologie o della società dell’informazione, si tende a non riflettere abbastanza su cosa renda effettivamente possibile l’innovazione, o intelligenti (Smart) le nostre città o i nostri oggetti (internet delle cose) o concreti i multiformi servizi che ci vengono offerti e non solo in rete (si pensi allo sviluppo della domotica), in una parola sull’importanza dei dati.
I dati sono il fulcro dell’economia e della società della conoscenza.
Chi li possiede e chi possiede gli strumenti tecnici per raccoglierli e per gestirli, possiede una delle chiavi più importanti per costruire il nostro futuro.
Ed invero, nel mondo globalizzato si confrontano una moltitudine di individui che quotidianamente alimentano il mercato dei dati ed un numero ridotto di soggetti di grandi dimensioni (come i c.d. Over the top che dominano in specifici ambiti di mercato) che esercitano la propria attività in posizione pressoché monopolistica e presso i quali si concentra, indisturbato, l’oceano di dati che circolano soprattutto attraverso la rete.
Il potere di questi soggetti, che trattano da pari con governi ed organismi sovranazionali – modificando anche i tradizionali equilibri geopolitici -, non può più essere ignorato, a partire dalle asimmetrie normative rispetto a chi produce i contenuti o veicola i servizi.
Le pronunzie della giurisprudenza ribadiscono chiaramente e con forza principi già contenuti nella Carta dei diritti dimostrando una grande sensibilità ed attenzione verso i problemi aperti nella società digitale.
Proteggere i nostri dati nella dimensione digitale significa infatti proteggere noi stessi e le nostre vite e affermare il principio secondo il quale le esigenze del mercato e delle aziende multinazionali che vi operano non devono necessariamente prevalere in caso di conflitto con i diritti dei cittadini.
Si tratta tuttavia di una affermazione che ovviamente deve essere contestualizzata (come avviene anche nella sentenza sull’oblio rispetto al diritto all’informazione) e che alla prova dei fatti richiede un sano realismo.
Nel caso del Safe Harbour è impensabile dare una lettura radicale della sentenza e sostenere per automatismo l’invalidità anche delle BCR e delle clausole contrattuali, gli altri strumenti utilizzati dalle aziende per trasferire appunto i dati verso Paesi terzi.
O, come alcuni hanno sostenuto, spingersi sino ad affermare la retroattività della sentenza con possibile declaratoria di illiceità dei trasferimenti degli ultimi quindici anni e conseguente possibilità per le Autorità di applicare anche provvedimenti di blocco e sanzioni.
Le conseguenze sarebbero drammatiche per le aziende europee – medie e piccole – e non soltanto per i grandi colossi americani.
Sarebbe impossibile, inoltre, adottare provvedimenti generali senza una valutazione adeguata dei singoli casi considerato peraltro che non tutte le aziende che hanno utilizzato il Safe Harbour sono state oggetto di attenzione da parte delle Agenzie di sicurezza americane.
Nella riunione del 15 ottobre, le Autorità di protezione dei dati si sono riunite per valutare le conseguenze della sentenza.
Abbiamo deciso in primo luogo di richiamare con forza la Commissione – che ha grandi responsabilità in questa complicata vicenda – ai compiti che le spettano con particolare riguardo alla necessità – ormai impellente – di concludere un nuovo accordo con gli Stati Uniti che tenga conto dei rilievi sollevati dalla Corte di giustizia.
Nel contempo – ribadita l’illiceità dei trasferimenti effettuati sulla base esclusiva del Safe Harbour – abbiamo inteso confermare la possibilità per le imprese di ricorrere ancora agli altri strumenti previsti dalla direttiva, consapevoli della necessità di una loro puntuale revisione ed eventuale aggiornamento.
E’ evidente che in ogni caso siamo chiamati, tutti, ad un supplemento di consapevolezza rispetto al nesso profondo che lega lo sviluppo dell’economia con la protezione dei dati personali.
Ma nel pianeta connesso, di fronte ad un incessante e globale flusso di dati, al diffuso outsourcing con partner localizzati ovunque nel mondo, al cloud computing, all’internet delle cose, al fenomeno dei big data, le risposte non possono essere demandate soltanto alle Corti o alle Autorità di garanzia.
Spetta alla politica mettere questi temi al centro della propria agenda.
Le possibilità offerte dalle tecnologie, la relazione sempre più stretta tra uomo e macchina e la sorveglianza diffusa hanno aumentato in modo esponenziale le potenzialità di erosione della nostra privacy e quindi della nostra libertà.
Nell’ambiente digitale il confine tra gli attributi identitari connessi alla nostra fisicità e quelli connessi alla nostra proiezione digitale tendono sempre di più a sfumare fino quasi a scomparire.
Per questo il confronto sul futuro della privacy deve diventare in primo luogo una questione di sensibilità culturale e sociale: perché non possiamo rinunciare in nome del progresso tecnologico alla tutela dei diritti e dei principi su cui si fonda la nostra società (dignità della persona, ovvero riservatezza, reputazione, identità)
E al concetto stesso di dignità si richiama l’importanza di mantenere il controllo dei dati che riguardano ciascuno di noi, perché solo in questo modo si realizza la libertà di ciascuno di autodeterminarsi.
Per questo è indispensabile promuovere con grande impegno il rispetto per il valore dei dati ,sottraendosi all’accecante bagliore del loro volume e della velocità con la quale è possibile scambiarli, analizzarli, classificarli, codificarli.
Dobbiamo essere consapevoli che se è innegabile che la tecnologia offra nuove ed illimitate potenzialità di sviluppo, per converso una raccolta massificata di dati aumenta in modo esponenziale la loro vulnerabilità con conseguenze sempre più rilevanti per le nostre stesse vite.
I dati utilizzati per scopi illeciti sono in generale reperiti con facilità nel contesto della rete, delle infinite applicazioni che giornalmente utilizziamo e gli utenti, benché ne siano a conoscenza, fanno ben poco per proteggersi in modo adeguato.
I livelli di insicurezza informatica sono allarmanti e sono questi – non l’affermazione di un diritto – a rappresentare il vero freno all’innovazione, minacciando ogni genere di organizzazione: dai professionisti vittime di contagio per fini estorsivi , alle piccole e medie imprese che scoprono – spesso con mesi di ritardo – di aver perso parti rilevanti del proprio patrimonio informativo, alle pubbliche amministrazioni sempre più esposte agli attacchi di ogni genere di hacker.
La sicurezza informatica è una questione strategica anche per il nostro Paese: i danni complessivi derivanti da attacchi informatici sono stimati in alcuni miliardi di euro inclusi i costi di ripristino.
La superficie di attacco complessivamente esposta nella società digitale cresce più velocemente della nostra capacità di proteggerla.
Ricerche autorevoli registrano una significativa proliferazione delle violazioni informatiche (+62% nel corso dell’ultimo anno), con attacchi sempre più sofisticati, mirati e dannosi per chi li subisce.
Il furto di identità ad esempio, nella sua più ampia accezione corrispondente alla sottrazione ed utilizzo di dati personali è fenomeno ancora estremamente sottovalutato, anche se nel solo settore del credito ha ormai assunto dimensioni rilevanti, con significativi impatti economici e sociali, con perdite stimante in 170 milioni di euro all’anno (secondo una recente indagine di Crif).
Emerge una situazione di grandissima fragilità, che riguarda ogni tipo di organizzazione indipendentemente dall’ambito e dalla dimensione, sia nel settore privato che pubblico.
Ed invero, molto più devastanti sono gli effetti di violazioni o accessi illegittimi quando vengono realizzati nei confronti delle banche dati del Paese, dove sono conservati milioni di dati dei cittadini e che dispongono di un enorme patrimonio informativo.
Queste ultime, per la qualità dei dati in esse raccolti e per la quantità dei soggetti censiti, sono da considerarsi sempre di più quali potenziali luoghi di abusi con il duplice effetto di violare la vita privata di milioni di cittadini oltre che di compromettere gli interessi pubblici ai quali le banche dati sono funzionali (equità fiscale, sanità, efficienza delle indagini, etc..).
Per questo è necessario che imprese e pubbliche amministrazioni ripensino seriamente, investendo risorse e organizzazione, alla protezione dei dati, inserendo la sicurezza digitale tra gli asset strategici dei loro piani di sviluppo.
La protezione dei dati non è un limite per l’economia ma al contrario ne è uno dei principali fattori di crescita e innovazione.
Per le imprese per le amministrazioni difendere il proprio patrimonio informativo significa in primo luogo difendere se stesse.
La sicurezza dei dati deve essere un fattore abilitante per la stessa efficienza delle infrastrutture pubbliche e private e un obiettivo della stessa progettazione dei canali di comunicazione e alimentazione delle banche dati in modo da rendere la tecnologia parte della soluzione prima che del problema.
La sicurezza allora come “valore aggiunto” non inutile costo.
Il presupposto dal quale si parte per valutare l’adeguatezza delle norme deve profondamente mutare: proprio perché i dati rappresentano una fetta fondamentale del patrimonio aziendale, chi avrà capito e valorizzato il rispetto delle norme privacy (oltre ai requisiti di sicurezza) e li avrà inseriti sin da principio nei progetti e nella organizzazione d’impresa, si troverà in condizioni migliori ed avrà un vantaggio anche strategico rispetto alla concorrenza.
Le Autorità non possono che accogliere positivamente l’inserimento nel nuovo Regolamento di disposizioni che incentivano i titolari ad investire, sin dall’inizio, in una corretta protezione dei dati e altrettanto dovrebbero fare le imprese (ma anche la pubblica amministrazione) che, in adempimento dei nuovi obblighi, saranno costrette a ripensare e “ristrutturare” le modalità di gestione e di utilizzo dei dati.
In questa prospettiva, nell’ottica di una visione della protezione dati più attiva e dinamica, si inserisce il privacy officer – una figura già ampiamente riconosciuta in altri ordinamenti, destinata ad avere un ruolo importante proprio alle luce delle disposizioni del nuovo Regolamento.
Ad oggi la figura del privacy officer è prevista – dalla Commissione e dal Parlamento – come obbligatoria nel settore pubblico mentre nel settore privato solo se ricorrono alcune condizioni; la proposta del Consiglio – invece – prevede che tale figura sia introdotta su base volontaria salva diversa indicazione della legislazione nazionale ove esistente.
Il privacy officer dovrà essere un soggetto responsabile, all’interno delle organizzazioni, della qualità e della gestione dei dati, nonché della loro sicurezza: una scelta strategica delle aziende e delle pubbliche amministrazioni.
Tuttavia, la condizione perché esso rappresenti una vera nuova opportunità, e non sia percepito come un nuovo orpello burocratico o un costo superfluo, è necessario che tutto il processo di selezione, formazione sia assolutamente trasparente e soprattutto frutto di un percorso professionale serio.
Non solo nel campo giuridico ma anche in quello tecnologico: un percorso insomma capace di attestarne i requisiti professionali, l’esperienza, le competenze.
La figura del privacy officer è destinata a svolgere un ruolo fondamentale di interfaccia tra i Titolari (non solo imprese ma anche pubbliche amministrazioni) e la nostra Autorità con la quale sarà tenuto, in base allo stesso regolamento, a cooperare attivamente di propria iniziativa o su richiesta.
Per questo stiamo valutando l’opportunità di promulgare delle specifiche Linee Guida per prevedere, tra l’altro, in attesa del regolamento, anche alcune agevolazioni in caso di loro nomina.
Altre sono le importanti novità del Regolamento che sancisce una nuova prospettiva per la protezione dei dati inserendola in una visione più dinamica che da un approccio di tipo formalistico – autorizzatorio passa ad un sistema incentrato sulla preventiva adozione ed implementazione di specifiche garanzie e meccanismi di protezione più efficaci, attraverso una diretta e maggiore responsabilizzazione dei titolari.
Mi riferisco, ad esempio, alla previsione di specifiche valutazioni d’impatto privacy, o alle disposizioni che favoriscono le certificazioni europee o codici di condotta– attribuendo però un ruolo importante in questi processi alle autorità di protezione dati e, infine, al generalizzato obbligo di notificazione delle violazioni.
Molte sono le sfide che ci attendono e per le quali sarà necessario mettere in campo tutte le nostre migliori energie: il forum di Federprivacy va in questa direzione