(Intervista di Antonello Cherchi, “IlSole24Ore”, 6 maggio 2019)
La tutela dei dati non è morta. Nonostante lo strapotere dei giganti del web, i difensori della privacy oggi hanno nuove frecce al loro arco. Si tratta del regolamento europeo (il Gdpr), “la prima e più importante risposta che il diritto abbia espresso nei confronti della rivoluzione digitale”. Ne è convinto Antonello Soro, Garante della riservatezza, che domani illustrerà al Parlamento gli effetti di tale svolta. Il bilancio di un anno di privacy europea sarà, però, anche una sorta di lascito a chi si prepara, dopo il 19 giugno, a subentrare all’attuale collegio dell’Authority.
Sette anni vissuti intensamente?
Abbiamo incrociato cambiamenti molto importanti: dalle rivelazioni di Snowden, allo scandalo Cambridge Analytica, all’esplosione dell’internet delle cose, all’intelligenza artificiale, all’esperienza dell’oblio. Eppoi, il nuovo regolamento europeo.
La sensazione è che le regole, anche le nuove, siano inadeguate per fronteggiare fenomeni ditale portata.
No. Alcune categorie del regolamento stanno diventando quelle del diritto europeo. Penso al fatto che il Gdpr sia applicabile anche a soggetti stabiliti al di fuori dell’Europa che operano raccogliendo i dati di cittadini europei. Nei giorni scorsi riflettevo sorridendo che Zuckerberg è passato dallo slogan “la privacy è morta” a quello de “il futuro è la privacy”.
C’è chi dice che se Zuckerberg apprezza il Gdpr è perché sa che non gli metterà i bastoni tra le ruote.
Non è così. La privacy è diventata anche un fattore reputazionale: Zuckerberg è consapevole delle conseguenze, non solo economiche, delle nuove pesanti sanzioni e capisce che nel mercato globale il sistema asimmetrico costruito da lui e pochi altri non può vivere a lungo. È vero che le grandi aziende hanno fatto una forte azione di lobby sul Gdpr e hanno ottenuto qualcosa. Penso allo sportello unico, per il quale se, per esempio, un cittadino italiano ha un problema di dati con Facebook o Google, deve rivolgersi all’Autorità nazionale, che poi investe, in questo caso, quella irlandese, dove le due società hanno la sede principale in Europa. Un indubbio vantaggio per le aziende e un disagio per il cittadino. È l’unico punto critico del Gdpr. Nel complesso, i grandi gestori di dati ora hanno più vincoli. Il regolamento può fare la differenza.
In che modo?
Per esempio, attraverso la capacità di enforcement da parte delle Autorità europee, che possono andare a vedere se, per esempio, Facebook fa realmente quello che gli si chiede. Andiamo a casa sua.
Questo in prospettiva. Stiamo all’ oggi: mi indichi due fatti che confermano l’efficacia del regolamento.
La notifica dei data breach, cresciuta in modo esponenziale, e il fatto che non solo i gestori delle grandi piattaforme hanno cominciato a modificare le loro policy, ma nel mondo ci sono 120 Paesi che hanno adottato o stanno adottando leggi sulla falsariga del regolamento europeo.
Il periodo di tolleranza di otto mesi sta per finire. Che cosa avete fatto e che cosa cambierà?
Abbiamo cercato di creare una consapevolezza più forte delle nuove regole. Ora partiranno le ispezioni con la collaborazione della Guardia di finanza. Ci si muoverà secondo il criterio: prima i grandi numeri e i settori più importanti. Nel pubblico, per esempio, si controllerà come sta funzionando Spid e le grandi banche dati. Nel privato, i grandi istituti di credito, chi fa profilazione con sistemi di fidelizzazione su larga scala, chi tratta i dati sulla salute.
Le regole europee serviranno a porre un argine al l’accumulazione di informazione da parte dei Big Data?
È l’unico strumento. La protezione dei dati diventa anche una potente leva a favore della concorrenza, contro le informazioni in mano a pochi. A tal proposito, dobbiamo lavorare con forza per avere un “privacy shield” con la Cina. Non può essere che l’abbiamo preteso dagli Stati Uniti e invece consegniamo liberamente alla Cina le nostre informazioni senza preoccuparci del loro destino.
Le elezioni europee sono alle porte. C’è il rischio di un nuovo Cambridge Analytica?
Le regole Ue impongono una maggiore vigilanza delle Autorità nazionali e dei gestori delle piattaforme, che si sono impegnati in questa direzione. E anche in questo caso le sanzioni sono pesanti.
A proposito di sanzioni, Rousseau ha pagato quella di 50 mila euro?
Dopo una reazione inutilmente polemica, si sono impegnati ad attuare nei tempi previsti le misure correttive e hanno pagato rinunciando all’opposizione presso il giudice ordinario.