IL REGOLAMENTO EUROPEO 679/2016: LO STATO DI ATTUAZIONE Presentazione del numero monografico della Rivista DECO

Palazzo Marinella Riviera di Chiaia - Napoli, 1 Aprile 2019

L’occasione che ci vede oggi riuniti è la presentazione del numero monografico della Rivista Diritto ed Economia dei Mezzi di Comunicazione “Il Regolamento europeo 679/2016: lo stato di attuazione”. L’intento è fare il punto sui progressi compiuti dall’entrata in vigore del Regolamento n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione dei dati (di seguito, GDPR), il 25 maggio 2018.

La valutazione non può che essere condotta alla luce degli obiettivi della strategia entro cui tale atto normativo veniva concepito: la strategia sul “mercato unico digitale”, adottata nel 2015 dalla Commissione europea[ con l’obiettivo di creare “un mercato in cui è garantita la libera circolazione delle merci, delle persone, dei servizi e dei capitali e in cui, quale che sia la loro cittadinanza o nazionalità o il luogo di residenza, persone e imprese non incontrano ostacoli all’accesso e all’esercizio delle attività online in condizioni di concorrenza leale e potendo contare su un livello elevato di protezione dei consumatori e dei dati personali”.

Se, dunque, il mercato unico digitale veniva indicato come priorità e principale risorsa dell’Europa nell’economia e nella società digitale globale, il rafforzamento della fiducia dei cittadini nei servizi digitali e la sicurezza degli stessi, in particolare in relazione al trattamento dei dati personali, venivano individuati, sin dapprincipio, come obiettivi fondamentali, funzionali allo sviluppo delle reti digitali e di servizi innovativi.

Sulla stessa linea, nel 2017, nell’ambito della revisione intermedia dell’attuazione della strategia per il mercato unico digitale[, la Commissione ribadiva l’importanza di un ambiente digitale sicuro, ai fini del completo sviluppo delle potenzialità dell’economia dei dati europea – la c.d. data economy – e della trasformazione digitale dei servizi pubblici e della pubblica amministrazione.

In base alle stime riportate dalla Commissione, nell’ipotesi in cui venga attuato in tempo l’adeguato quadro di riferimento politico e normativo, il valore dell’economia dei dati aumenterebbe fino a raggiungere i 739 miliardi di euro entro il 2020, un livello corrispondente al 4 % del PIL complessivo dell’UE (e a un valore doppio rispetto a quello attuale), mentre il numero dei professionisti dei dati ammonterebbe a più di 10 milioni nel 2020[.

È indubbio, dunque, che, in un contesto in cui i dati sono sempre accessibili e in grado di circolare liberamente all’interno del mercato unico, l’economia dei dati possa svolgere un ruolo chiave nel contribuire alla crescita delle imprese europee, alla modernizzazione dei servizi pubblici ed al rafforzamento dell’autonomia dei cittadini.

D’altro canto, la rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. Del tutto inedite sono sia la dimensione della condivisione, in termini di volume e varietà dei dati personali forniti dagli utenti per l’accesso ai servizi della società digitale, sia la velocità di produzione, analisi, uso e diffusione in rete degli stessi, sia, infine, la portata del fenomeno: i dati sono resi disponibili al pubblico talora su scala mondiale.

Ciò inevitabilmente espone ai rischi del lato oscuro della società digitale. Per uno strano scherzo del destino, il GDPR veniva alla luce esattamente otto settimane dopo lo scandalo che ha travolto Facebook e la società londinese, Cambridge Analytica, portando all’attenzione dell’opinione pubblica mondiale i rischi di un utilizzo non trasparente o addirittura malevolo dei dati ed aprendo ad una nuova fase di consapevolezza sul mondo dei dati.

Un monito in tal senso ci giunge, da ultimo, dal padre del world wide web, lo scienziato britannico Tim Berners Lee. In un recente intervento presso il Cern di Ginevra, a trenta anni dalla nascita del world wide web, Berners Lee ha analizzato sviluppi e prospettive della sua invenzione, giunta ormai ad una “giovinezza ormai matura”.  Riprendendo le parole dello scienziato, oggi gli utenti sentono che su Internet la loro privacy è a rischio, che la libertà di espressione non è sempre garantita e che le notizie possono essere costantemente manipolate mettendo a rischio persino le democrazie. Il messaggio di Berners Lee, tuttavia, non è pessimista: “sarebbe da disfattisti – afferma Berners Lee – e forse anche irrealistico pensare che il web non possa migliorare nei prossimi trenta anni e tornare ad essere uno strumento per migliorare il mondo. È il nostro viaggio dall’adolescenza digitale verso un futuro di maturità, più responsabile e inclusivo”.

La protezione della vita privata non può essere una merce di scambio[. Piuttosto, il rispetto della vita privata e la protezione dei dati personali sono le condizioni che garantiscono la stabilità, la sicurezza e la competitività dei flussi commerciali mondiali e il GDPR è lo strumento essenziale per salvaguardare il diritto fondamentale delle persone alla protezione dei dati personali nell’era digitale.

1      I principi, gli approcci, gli strumenti

Il mercato comune determina non solo scambi economici, ma anche e, anzi, soprattutto scambi di dati, inclusi i dati personali. Questi ultimi, del resto, per loro natura sono potenzialmente in grado di ledere i diritti e le libertà fondamentali dell’individuo, i diritti alla dignità e all’identità personale, persino – come messo in evidenza da alcuni autori nel Volume – il diritto dell’individuo di sviluppare appieno le proprie potenzialità. I fatti di cronaca dei quali quotidianamente veniamo a conoscenza ne sono inconfutabile prova. Il GDPR nasce, quindi, in primo luogo per tutelare il “diritto alla protezione dei dati personali”, che, in continuità con le direttive degli anni Novanta e la direttiva 2002/58/CONS[, assume rilevanza di diritto distinto ed autonomo dal diritto alla riservatezza. Il GDPR risponde, quindi, alla pressante esigenza di sicurezza nella circolazione e trasferimento dei dati personali, lungi, tuttavia, dal supportare un approccio segregativo, aderendo a spinte anacronistiche volte alla creazione di “barriere” alla libera circolazione di beni e persone. La libera circolazione dei dati necessita, piuttosto, di certezza giuridica, semplicità e armonizzazione dei sistemi di tutela. Nell’epoca della globalizzazione, il postulato dai cui il GDPR muove è la necessità di conferire al diritto una dimensione europea per una efficace tutela dei cittadini.

Nel GDPR, il diritto, generale, alla protezione dei dati personali è tradotto, anzitutto, nel diritto di una persona al controllo, costante e attivo, sulle informazioni che la riguardano. Tale diritto al controllo deve esplicarsi lungo l’intero ciclo di gestione del dato: dalla fase di raccolta, alla fase di archiviazione, trattamento, uso, trasferimento, cancellazione. Questa è in definitiva la ratio cui il regolamento si ispira, declinandone poi le forme attuative.

Il diritto al controllo del dato da parte del titolare del dato si traduce, quindi, in obblighi di informazione, di comunicazione e di trasparenza in capo al titolare del trattamento e trova attuazione già nella prima fase di messa a disposizione del dato da parte dell’interessato, implicando, per il titolare del trattamento, l’obbligo di acquisizione del consenso informato ed esplicito.[ L’informativa, da mero adempimento, si configura così quale strumento di informazione.

Il titolare del trattamento del dato non diventa, in ogni caso, titolare del dato. L’interessato, ossia la persona fisica cui i dati si riferiscono, può, in ogni momento, esercitare un potere di controllo sui dati condivisi. Il GDPR riconosce all’interessato il “diritto di accesso”, il “diritto di rettifica”, il “diritto alla cancellazione (diritto all’oblio)”, il “diritto di limitazione del trattamento[, pur prevedendo limitazioni alla portata di tali diritti, da un lato, ove ciò sia necessario e proporzionato per la salvaguardia della sicurezza nazionale, della difesa, della sicurezza pubblica o di altri importanti obiettivi di interesse pubblico generale, ovvero, per altro verso, in ragione di un necessario contemperamento di altri diritti e interessi, ad esempio a tutela della libertà di espressione e di informazione (si pensi, al riguardo, al diritto all’oblio).   

Il GDPR coglie perfettamente anche la dimensione più tecnica del “diritto al controllo del dato”, introducendo un diritto tanto innovativo, quanto dirimente: il “diritto alla portabilità del dato[, ovvero il diritto dell’interessato di ricevere, in un formato strutturato, di uso comune, leggibile da un dispositivo automatico e interoperabile, i dati personali che lo riguardano forniti a un titolare del trattamento e di trasmettere, senza impedimenti, tali dati a un altro titolare del trattamento, qualora il trattamento si basi sul consenso o su un contratto e sia effettuato con mezzi automatizzati. L’interessato ha anche il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile. Sono evidenti le potenzialità di impatto che derivano dall’esercizio di tale diritto, che impedendo il formarsi di fenomeni di lock-in, consente all’interessato il pieno controllo sui propri dati e gli conferisce un vero e proprio “contropotere contrattuale” da far valere in rapporto al proprio fornitore di servizi online. 

Un ulteriore diritto introdotto dal GDPR a tutela dell’individuo e salvaguardia del potere di controllo sui propri dati è il diritto di opporsi, in talune circostanze e per motivi connessi alla propria situazione particolare, al trattamento dei dati personali che lo riguardano, compresa la profilazione[.

Nella stessa prospettiva, il Regolamento tutela il diritto dell’interessato di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione[, che produca effetti giuridici che lo riguardano o che incida significativamente sulla sua persona.

Spostando la lente di osservazione dall’interessato al titolare del trattamento dei dati, rileva evidenziare che il regolamento si applica a tutti i soggetti (titolari del trattamento), pubblici o privati, persone fisiche o giuridiche, autorità pubbliche, servizi o altri organismi che determinano le finalità e i mezzi del trattamento di dati personali, nonché ai soggetti autorizzati al trattamento di dati personali (ad esempio, i fornitori di servizi di cloud). Il GDPR espande anche l’ambito territoriale di applicazione della normativa (rispetto a quanto previsto dal previgente Codice della Privacy) e stabilisce, innanzitutto, che sono tenuti a rispettarne e ad applicarne le disposizioni i soggetti stabiliti nel territorio europeo, indipendentemente dal fatto che le relative attività di trattamento dei dati personali siano poi effettuate all’interno dell’Unione Europea. Le regole previste dal GDPR devono altresì essere rispettate dai soggetti (titolari e responsabili del trattamento dei dati) che operano a livello extraeuropeo, nel caso in cui le attività di trattamento dati riguardino l’offerta di beni o la prestazione di servizi a soggetti interessati che si trovano nell’ambito dell’Unione, oppure il monitoraggio del loro comportamento, nella misura in cui tale comportamento ha luogo all’interno dell’Unione”[.

Se, da un lato, il GDPR dispone un’ampia tutela dei diritti dell’interessato, dall’altro, guardando al titolare del trattamento dei dati, è ispirato al principio della autoresponsabilità o accountability, nel senso che è demandato al titolare del trattamento dei dati il compito di individuare le criticità e le possibili fonti di rischio ed articolare le più appropriate misure di natura organizzativa, fisica e logica per proteggere la disponibilità, integrità e riservatezza dei dati. Il Regolamento si limita, piuttosto, ad indicare il principio cui il titolare del trattamento dovrà ispirarsi, ossia il “principio di protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” (privacy by design e by default). L’onere della prova di aver attuato le misure organizzative e di sicurezza adeguate alla particolare tipologia di dati è, invece, interamente rimesso al titolare del trattamento, che dovrà dunque rispondere dell’efficacia delle misure, pena la comminazione di sanzioni da parte delle autorità di controllo fino a 20 milioni di euro.

I principali profili di novità introdotti dal Regolamento e sin qui ripercorsi sono oggetto di approfondimento ed analisi critica nel Volume che qui presentiamo e verranno, quindi, ampliamente discussi nel prosieguo.

2      Valutazioni e spunti di indagine

Passando quindi ad un’analisi critica della norma, non si può non osservare, anzitutto, che un punto certamente qualificante del regolamento è l’applicabilità delle regole comunitarie anche alle imprese extra-UE: il regolamento si applica anche agli OTT.  Se ci trovassimo nel mondo televisivo si direbbe che si applica il principio del paese di destinazione.  Ciò spiega il forte ostracismo fatto dai gestori delle grandi piattaforme online all’adozione del nuovo regolamento e certamente impone un’attenzione particolare a quello che potrebbe esserne il tallone d’Achille: “il meccanismo dello sportello unico” (one stop shop).

Tale meccanismo si applica qualora  il titolare del trattamento sia stabilito in più di uno Stato membro o qualora il trattamento incida o possa incidere in modo sostanziale su interessati in più di uno Stato membro ed identifica l’autorità di controllo dello stabilimento principale del titolare del trattamento quale autorità capofila, interlocutore unico del titolare del trattamento in merito al trattamento transfrontaliero dei dati, responsabile di dare attuazione alle disposizioni del regolamento. Ciò può senz’altro costituire una criticità: è essenziale che l’autorità capofila mantenga salde le prerogative dell’indipendenza e dell’autonomia, insidiate dalla forte azione di lobby dei grandi operatori delle piattaforme online, veri gatekeeper del mercato dei dati. Da qui la questione: chi controlla il controllore?

Altro punto di attenzione riguarda uno dei pilastri della normativa: il consenso informato.  Secondo questo principio, già utilizzato nel provvedimento legislativo in materia di privacy informatica (c.d. Cookie law del 2015) l’utente autorizza ex ante al trattamento dei propri dati personali, i quali possono essere utilizzati nel perimetro stabilito dalla legge.    Sul piano personale, confesso, che, pur di accedere ai servizi e levare l’invasivo banner informativo dalla visualizzazione del sito, normalmente clicco OK.  E sarei curioso di sapere se qualcuno dei presenti in sala ha mai acceduto alla “informativa estesa” prevista dalle norme.  L’efficacia di questi strumenti di tutela basati su un’autorizzazione ex ante è dunque sub judice.

Per altro verso, non si può non osservare che l’obiettivo della protezione dei dati, nell’era digitale in cui viviamo, si configura sempre più funzionale alla tutela dei valori democratici, delle libertà e dei diritti fondamentali delle persone, sui quali l’Europa si fonda e che appaiono oggi fortemente minacciati dalla possibilità di incidere sulle decisioni pubbliche e private, orientandole mediante l’elaborazione e la manipolazione dei dati, rese possibili dall’applicazione di sofisticati algoritmi computazionali e di apprendimento automatico (machine learning).  Si tratta dei rischi di forme massive di profilazione dei comportamenti singoli e, soprattutto, collettivi, di analisi comportamentali che consentono attività predittive relative ai comportamenti delle persone, alle loro preferenze, persino alle loro emozioni. Tutto questo comporta rischi crescenti di manipolazione delle coscienze, di condizionamento delle persone rispetto alla loro vita sociale, alle loro credenze religiose, che richiedono un rafforzamento della tutela dei diritti e delle libertà fondamentali. Si pensi alla possibilità concreta di incidere sull’esito delle elezioni mediante la profilazione politica dei cittadini. La tutela dei dati personali acquista, in questa ottica, una dimensione ed un’importanza mai osservate prima, tali da alterare persino gli equilibri geopolitici mondiali.

L’inedito rilievo delle minacce richiede l’introduzione di nuove e più ampie forme e strumenti di tutela dei dati. Non sembra più sufficiente, a mio avviso, la finalità, alla quale il GDPR è preordinato, di tutela del “diritto alla protezione dei dati personali”, poiché trascura i principi stessi e gli schemi di funzionamento dei sistemi di Big Data Analysis, i quali solo parzialmente si servono dei dati direttamente forniti dagli utenti nell’accedere ai servizi (i cosiddetti volunteered data), fondandosi piuttosto sull’analisi dei dati rilavati tenendo traccia delle azioni online degli utenti (observed data)[, nonché dei dati inferiti tramite l’analisi automatizzata dei contenuti web e dei dati già disponibili (inferred data). Sono queste categorie di dati, nel loro complesso, a rendere possibile la profilazione degli utenti, consentendo di tracciarne le abitudini, gli interessi, le preferenze, fino a prevederne e, addirittura, influenzarne i comportamenti, le conoscenze, le scelte, le opinioni e financo le emozioni.

Occorrono, dunque, certamente dei rafforzativi alla normativa GDPR, non potendosi, in alcun modo, ritenere sufficiente per assicurare una reale protezione dei diritti e delle libertà fondamentali delle persone nel mondo dei Big Data, una tutela che ricomprenda i soli dati personali, facendo leva sull’ormai superato concetto di anonimizzazione. Il rischio è che il GDPR, non tenendo conto del reale fuzionamento dei sistemi di Big Data Analysis, risulti inefficace contro le più gravi e attuali minacce che incombono, di fatto divenendo mero atto burocratico. 

Il tema è, peraltro, oggetto di ampio dibattito anche a livello europeo.  La posizione che qui rappresento è condivisa dal Comitato dei Ministri del Consiglio di Europa, che, il 13 febbraio scorso, ha adottato un’importante Dichiarazione “on the manipulative capabilities of algorithmic process”, in cui si afferma[ la necessità di sviluppare un sistema di regolazione che vada oltre l’attuale nozione di dati personali per proteggere e normare anche gli effetti che l’impatto dei trattamenti di dati, personali e non, può avere sui gruppi sociali e sull’effettivo godimento dei diritti fondamentali da parte delle persone.

La questione investe, peraltro, anche l’esercizio del diritto di portabilità dei dati introdotto dal GDPR. Allo stato, non formano oggetto del diritto di portabilità i dati derivanti da attività di data analysis svolte in modo autonomo dal titolare (i dati inferiti); ciò potrebbe compromettere, soffocandole, le finalità ultime cui il diritto è preordinato, ovvero il consolidamento della fiducia dei cittadini nei servizi della società digitale e la libera circolazione dei dati.

Ulteriori difficoltà applicative potrebbero sorgere, infine, in relazione al formato con i quale i suddetti dati dovrebbero essere messi a disposizioni degli interessati o di terzi titolari del trattamento, in assenza di formati standard indicati nel regolamento, nonché sulle modalità tecniche con cui dare attuazione alla norma. Ad oggi, il passaggio da un servizio ad un altro è un’operazione tutt’altro che semplice: è necessario scaricare prima i dati da una piattaforma, per poi caricarli in una nuova. Una procedura lunga e macchinosa, resa ancor più complessa dall’assenza di uno standard che possa aiutare l’utente a compierla. Alcuni operatori online si stanno già muovendo in tal senso: Google, Facebook, Microsoft e Twitter stanno lavorando ad un progetto comune, denominato “Data Transfer Project”, il cui scopo è fornire agli utenti gli strumenti utili ad effettuare la portabilità dei dati da un fornitore di servizi all’altro in modo semplice e sicuro, proponendo un’alternativa all’uso delle convenzionali API (Application Programming Interface).

Su questa materia è, a mio avviso, necessario il coinvolgimento attivo delle autorità di regolamentazione di settore e di controllo, le quali, secondo un approccio di co-regolamentazione, dovrebbero collaborare con gli operatori del settore per indirizzare i lavori all’individuazione di soluzioni realmente in grado di assicurare il rispetto dei requisiti di tutela dei dati e di sicurezza posti dal GDPR. 

Un ulteriore ambito in cui auspico un approccio sinergico da parte delle istituzioni e delle autorità coinvolte riguarda gli evidenti ambiti di interrelazione tra la disciplina della protezione dei dati, da un alto, e la disciplina della cybersecurity, dall’altro. È lo stesso legislatore comunitario, de resto, che nel GDPR stabilisce un collegamento diretto tra queste materie, laddove chiarisce che per sicurezza delle reti e dell’informazione bisogna intendere la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti di comunicazione elettronica.  Ed è qui che si crea in legame tra cybersecurity e tutela dei dati personali. Considerati i suddetti profili di criticità, occorre, a mio avviso, promuovere un approccio multipolare che veda le istituzioni pubbliche e le autorità di controllo e di regolamentazione di settore coese, da un lato, nel guidare il processo di adeguamento alle disposizioni del regolamento e nel vigilare sugli operatori e le industrie del settore per garantire la tutela dei diritti e delle libertà fondamentali, dall’altro nel verificare l’adeguatezzza della regolamentazione alla evoluzione delle tecnologie e dei processi della società digitale, considerati nel proprio insieme, con un approccio trasversale e multidisciplinare.

Condividi questo articolo: