(Intervista di Francesco Condoluci, Economy, 26 marzo 2018)
“L’idea di fondo è che la società digitale richiede regolamentazioni diverse da quelle preesistenti. Perché fin quando il volto deteriore della digitalizzazione si limita ad un hackeraggio irritante ma innocuo della posta della segreteria, si può anche far spallucce. Ma quando, com’è capitato lo scorso anno ad una impresa britannica, l’hackeraggio determina un danno che è stato quantificato in 700 milioni di sterline, c’è poco da far finta di niente!”: è molto chiaro Antonello Soro, presidente dell’Autorità Garante per la protezione dei dati personali. Sotto le finestre del suo spartanissimo ufficio di piazza Montecitorio a Roma sfilano mescolati indistintamente manifestanti e turisti, dal quarto piano i rumori si sentono appena ma è come se l’intero palazzo fosse circondato dall’infinito ronzio dei dati che gremiscono la rete, quei dati di tutti noi che migliala di soggetti nel mondo possono carpire e usare a nostra insaputa. Una nuova regolamentazione europea, in vigore dal prossimo maggio (vedi Economy, numero 9) imporrà una brusca sterzata alle aziende, costringendole a presidiare con ben altro piglio i dati propri e soprattutto quelli dei propri clienti. E non mancano i mugugni contro le salatissime multe a carico di chi non si adeguerà. Ma adeguarsi è sacrosanto.
Presidente, spieghi lei perché…
I dati da proteggere non sono aride cifre ma sono le proiezioni delle nostre persone nella nuova dimensione della vita che è il digitale. I dati sono i protagonisti della società digitale, sono il nuovo petrolio dell’economia digitale, ma dal punto di vista giuridico sono l’oggetto di un diritto fondamentale della persona, e pertanto ne va garantita l’inviolabilità.
Chi ha interesse invece a violarli?
Gli hacker, una variabile non eludibile. Ci sono e vanno contrastati. Invece i sistemi di difesa delle imprese, non solo in Italia ma in tutto il mondo, sono di totale debolezza. Per questo mi auguro che le nuove regole inducano un cambio di atteggiamento delle imprese verso questo problema. La protezione dei dati non va considerata un costo ma una risorsa. Gli investimenti per proteggere il proprio patrimonio informativo sono fondamentali per la sicurezza, personale e aziendale, per la reputazione e in assenza di questi un’impresa rischia di essere devastata, con oneri ben più grandi del costo di un pacchetto di software aggiornato. Quindi il tema vero è: la partita fra hacker e impresa si giocherà a tutto campo, non illudiamoci che gli hacker o chiunque abbia interesse a svolgere attività informatica ostile verso imprese o Stati rinunci a farlo se non duramente contrastato.
Ma le nuove norme, secondo lei, potranno davvero essere efficaci?
Sì, la spiego meglio. Questo nuovo regolamento europeo è un primato dell’Unione nel mondo, perché si fa carico di dare risposte a problemi che pongono la protezione dei dati al centro dell’impegno. In un mondo frammentatissimo, l’Europa è riuscita a produrre con il regolamento un sistema di norme che tendono ad aggregare a legare allo stesso destino un territorio di 500 milioni di persone, con un sistema che è già un modello per Australia, Canada, India, Paesi sudamericani. Arrivando a uniformare per l’Europa a 27 più il Regno Unito le norme applicabili agli Ott (over the top: i colossi come Google e Facebook, ndr) in modo tale che la circolazione dei dati e l’accelerazione degli scambi avvenga in un contesto di sicurezza!
E l’efficacia?
C’è. Oltre alla protezione del dato dalle intrusioni di soggetti non autorizzati, abbiamo introdotto il diritto, complicatissimo da attuare ma fondamentale, della portabilità del dato. Ossia: i dati che ho deliberatamente affidato ad una qualsiasi piattaforma restano miei e solo miei e potrò in ogni momento riprendermeli come faccio col il mio numero di telefono. Una misura che non è solo una grande tutela per il cittadino, ma è anche, e fondamentalmente, uno strumento di contrasto ai continui comportamenti anticoncorrenziali, per cui oggi le imprese che hanno catturato un utente tendono a non mollarlo mai… E non basta.
Cos’altro?
All’articolo 22 il nuovo regolamento stabilisce che nessuna decisione significativa per un individuo può essere presa esclusivamente in base a un trattamento automatizzato dei suoi dati. E’ concettualmente una norma che circoscrive gli ambiti di applicazione della cosiddetta intelligenza artificiale.
Bene: ma chi garantirà tutto ciò?
Il regolamento istituisce una figura nuova, quella del responsabile della protezione dei dati, o data protection officer. E’ un professionista dell’impresa, o dell’ufficio della pubblica amministrazione, che orienterà l’organizzazione dei sistemi di un’azienda affinchè sia la più adeguata per proteggere i dati ad essa affidati fùngendo da tramite tra l’Autorità di protezione dati e il vertice aziendale.
E a quali funzioni sovrintenderà questo sceriffo aziendale?
In particolare, il responsabile della protezione dei dati si dovrà occupare di tutti i trattamenti svolti dall’ azienda e dovrà supportare il titolare nell’adozione di tutte le misure tecnico-organizzative, adeguate a prevenire rischi per i dati dei clienti, proteggendo i sistemi aziendali e tutto il patrimonio informativo. Le imprese, applicando il regolamento, non dovranno più fare richieste di verifiche preliminari al momento di realizzare nuovi prodotti o nuovi servizi, ma dovranno farsi carico di progettare sistemi sicuri e che riducano al minimo l’uso di dati. Dovranno adottare sistemi di privacy by-design, come si dice in termini tecnici, caratterizzati cioè dall’incorporare nei prodotti e nei servizi fin dalla loro progettazione misure ad hoc per proteggerei dati dei clienti. Dovranno anche determinare tempi di conservazione dei dati adeguati alle finalità del trattamento e prevedere un sistema di accesso selettivo ai dati…
E veniamo all’Autorità: riuscirete a far fronte con le vostre risorse alle nuove incombenze di vigilanza sull’applicazione del regolamento?
Ci impegneremo a fondo. La nostra macchina è piccola ma molto efficiente. Dovremo crescere, ineluttabilmente. Questa autorità è stata calibrata per una società predigitale. Ora il Parlamento ci ha riconosciuto un aumento dell’organico. Siamo in 140, potremo acquisire altre 25 risorse. Si consideri che l’omologa autorità britannica conta 500 dipendenti e ne ha chiesti altri 200 per far fronte alle nuove incombenze. Faremo fronte stringendo i denti e facendo leva su una struttura qualitativamente all’avanguardia.
E le multe?
Trovo singolare che imprese accettino tranquillamente che per violazioni delle regole sulla concorrenza possano esserci sanzioni miliardarie e si indignino su quelle previste dalle violazioni contro le regole poste a tutela dei dati delle persone…
Un suo bilancio personale come Garante…
E’ un ruolo molto faticoso ma molto interessante. Una finestra sul mondo con la ‘emme’ maiuscola, perché è un mondo dove c’è dentro di tutto. Ma soddisfa la curiosità intellettuale di chiunque. Per misurarsi col mondo, serve curiosità intellettuale. Del resto tutti avevamo sottovalutato la crescita vertiginosa dell’impatto dell’innovazione tecnologica sulla società. Arrivando qui, ho avuto un punto di vista privilegiato su questi temi.In fondo, questa società digitale che dobbiamo proteggere dagli hacker è lo sfondo su cui è cresciuta la nuova disciplina europea, che fronteggia la nuova geografia dei poteri, la nuova domanda di diritto e di riconoscimento dei diritti, le nuove incertezze della regolazione e della giurisdizione…
Un’ultima domanda: il sistema italiano è pronto?
Vedo ancora un po’ di affanno in giro, ma credo ci sia stato negli ultimi mesi un recupero forte di iniziativa, prima da parte delle associazioni datoriali e delle Camere di Commercio e ora anche delle singole imprese.