Ancora due mesi. E il “datagate” che sta travolgendo diverse multinazionali leader nel trattamento di bigdata, tra cui Facebook, avrebbe avuto un impatto diverso. Il 25 maggio infatti entrerà in vigore il Gdpr, il regolamento europeo sulla libera circolazione e protezione dei dati personali, cioè sulla privacy e destinato a cambiare le dinamiche degli scenari economici mondiali. “E anche il caso Cambridge Analytica e Facebook sarebbe rientrato sotto la lente del futuro Gdpr”. Lo dice a CorCom Rocco Panetta, avvocato esperto di temi digitali, di Panetta & Associati e IAPP Country Leader per l’Italia.
Avvocato Panetta, il caso Facebook-Cambridge Analytica rimette al centro il tema regole e Internet: Tim Berners-Lee ha appena invocato nuovamente norme per il web. Anche lei la vede così?
E’ una vecchia diatriba che non ha mai trovato pace né unanimità. Ma voglio essere chiaro sul punto. La risposta è sì, assolutamente si. Il mio sì non è però per l’applicazione di nuove regole, ma per una maggiore, più ampia, diffusa e profonda presa di coscienza di tutti gli attori in campo che così non si può più andare avanti: anche per Internet devono valere le stesse regole del mondo più “tradizionale”, abituato a canali di comunicazione più consolidati. Stefano Rodotà ne aveva fatto la sua battaglia su più fronti, all’Onu, in Europa, al Parlamento italiano: perno del suo pensiero più recente, l’idea che la grande piazza di Internet non potesse essere lasciata sola. Internet è il luogo in cui ogni diritto e libertà garantito dalla nostra Costituzione e dal Trattato di Lisbona deve potersi esplicare e nessuno deve essere compromesso, esattamente come nella vita non virtuale. La rete e l’uso massivo dei dati come è apparso chiaramente in queste ore tocca la stessa formazione della coscienza politica, influenzando scelte, opzioni ed esercizio del diritto di voto. Ma, così come valgono nella vita reale – ad esempio in tv o nelle piazze il silenzio elettorale, la par condicio, ecc. – molte regole andrebbero ripensate anche per la rete. Non si può ritenere che online non ci siano regole di condotta e che dunque i dati personali, dietro cui si trovano individui, persone titolari di diritti e di doveri, non siano meritevoli di tutela e possano essere “accaparrati” per le più varie finalità. O si rischia di creare un’area franca con asimmetrie non solo economiche, giuridiche, ma anche sociopolitiche. Qui stiamo toccando i gangli più profondi della democrazia. Dunque: le regole devono esserci, ma dobbiamo trovare il modo per far sì che quelle già esistenti funzionino bene anche in rete.
Quindi che si fa?
Quindi si applicano le regole che già ci sono. Abbiamo parlato del Gdpr, il che va bene, ma anche le regole attuali hanno una forza notevole per modulare e prevenire simili comportamenti. Ma guardando al prossimo futuro, l’agenda è già tracciata: il Gdpr. E’ una svolta complessa, faticosa – lo stiamo vedendo: aziende e PA ancora largamente impreparate, e non solo in Italia, in tutta Europa e nel mondo si fatica a raggiungere livelli accettabili di compliance. In Italia, il processo di armonizzazione è complicato dalle contingenze del cambio di Parlamento e di Governo, chiamati ad approvare i decreti delegati sul Gdpr; tuttavia, la scrittura delle norme è nelle mani di un gruppo di validissimi esperti – dalla Professoressa Finocchiaro, all’ex Presidente del Garante Privacy, Pizzetti, impegnati a dare vita alla versione italiana del Gdpr. Ma è un cambio di passo necessario, che tra le tante conferme e novità recherà soprattutto un quadro sanzionatorio maturo (con sanzioni pecuniarie parametrate fino al 4% del fatturato annuo di gruppo del trasgressore) e degno di attenzione anche da parte di chi finora ha considerato le politiche di trattamento dei dati e di privacy compliance come una formalità burocratica, degna di secondaria attenzione o della più totale indifferenza.
Quindi il Gdpr avrebbe “sventato” casi come questo?
Attenzione, il Gdpr non sarà la panacea di tutti i mali. Anzi, occorre tenere alta la guardia proprio in questa fase di minuta e complessa armonizzazione. Ci sono due lati della medaglia. Da un lato le nuove regole stringono i rubinetti attraverso sanzioni, valutazioni costanti e ripetute degli impatti privacy, mediante l’introduzione della cruciale funzione di controllo e consulenza del Dpo (il data protection officer), tutte prescrizioni idonee a rendere le maglie della rete più strette. Dall’altro, però, è lo stesso spirito del Gdpr a poter generare fenomeni pericolosi di dilagante disapplicazione e sottovalutazione della normativa. Mi spiego: l’accountability è quella regola per cui, grazie ai meccanismi di controllo diffuso e posti dal basso, i titolari del trattamento potranno determinare più liberamente, assumendosene però le più pesanti responsabilità, mezzi e finalità dei vari trattamenti dei dati, anche basando gli stessi sul presupposto giuridico del legittimo interesse, oltre che sui noti meccanismi consensuali. Nel momento in cui viene anche ridotto il meccanismo del controllo a monte da parte delle Autorità, ponendolo invece ed in maniera più pesante a valle, spingendo su autovalutazione dei trattamenti, delle modalità e delle misure di sicurezza – attraverso il principio dell’accountability – si apre a un potenziale Far West, se i controlli non saranno davvero incisivi. In altre parole con un minore intervento preventivo delle autorità i furbi possono essere più furbi di prima. Salvo poi, magari, farsi più male. Dobbiamo confidare molto nell’azione e nella lungimiranza del Garante italiano, nel gruppo dei garanti europei e nell’Edps.
Sembra però che il controllo dei dati sia ormai sfuggito di mano alle web company. La bomba è dunque già esplosa?
La vicenda degli abusi sui dati personali di milioni di individui è una bomba detonata pronta a esplodere qua e là, e solo in parte già esplosa. Il presidente dell’Edps (European Data Protection Supervisor), l’italiano Giovanni Buttarelli, parla in queste ore di “punta dell’iceberg”, commentando la vicenda di CA e Facebook. Non voglio demonizzare alcuno degli Over The Top che comunque si muovono in prevalenza nel solco di un sistema, quello statunitense, che fa del dato personale una merce pienamente monetizzabile, a differenza dell’Europa, dove i dati personali sono le fondamenta sui cui poggiano i diritti e le libertà di tutti noi. Tuttavia, occorre fare attenzione ad un fatto: le vicende di queste ore sono avvenute in diversi Paesi del mondo, ma i protagonisti sono europei, in quanto CA è una società di diritto anglosassone. La cosa positiva che intravedo all’orizzonte è che con l’entrata in vigore del Gdpr, seppure con le variabili e le personalizzazioni nazionali, chiunque da qualsiasi parte del mondo, pur non essendo stabilito in Europa, voglia offrire beni e servizi online, anche gratuiti, a persone stabilite in Europa, dovrà adeguarsi al Gdpr. Da oggi in avanti vedo dunque finalmente uno strumento sufficientemente ampio e flessibile da poter essere utilizzato da tutti come parametro applicabile ad ogni attività di trattamento dati, con la conseguenza di creare le premesse, per le aziende, di fare business in maniera sana, di realizzare margini sui dati all’interno di un meccanismo di consapevolezza, informative, consensi, valutazioni, riducendo i rischi e rispettando le persone. E’ di questa possibilità, che vanno informate le aziende. Vanno aiutate a crescere e a lavorare in sicurezza trattando dati e rispettando i diritti.