Mi sia consentito introdurre il presente intervento, con una suggestione letteraria tratta dal recente romanzo distopico The Circle di Davide Eggers, con l’auspicio che tale visione della realtà, distorta dall’uso pervasivo, talvolta invadente, delle nuove tecnologie digitali, non si avveri e che quindi – anche grazie alla protezione giuridica offerta dal nuovo GDPR – non si pervenga, in un prossimo futuro, all’erroneo convincimento che Privacy is Theft.
La statuizione paradossale Privacy is Theft sottintende emblematicamente come solo la letteratura, talvolta riesce a fare, la tensione immanente tra privacy e digitale, tutela dei dati della persona – di un diritto fondamentale di rango costituzionale rientrante nell’alveo dei diritti della personalità tutelati dall’art. 2 della Costituzione oltre che dalla Carta dei diritti fondamentali UE – e mercato.
Il fenomeno della digitalizzazione è pervasivo, nella vita personale e nel mondo produttivo, e si fonda sull’utilizzo intensivo e sistematico di dati: non a caso una definizione ricorrente è quella di economia della conoscenza, nel senso di conoscenza dei nostri dati personali.
L’economia globale, dunque, è ormai declinata digitalmente: le tecnologie disruptive dell’informazione e della comunicazione elettronica non costituiscono più un settore a sé stante, bensì il fondamento stesso, pervasivo, di tutti i sistemi economici innovativi moderni.
E’ il nuovo paradigma industriale denominato Industria 4.0in cui tutte le fasi produttive sono gestite e condizionate dalle informazioni raccolte, dalla progettazione sino al post-vendita, da eterogenee tecnologie abilitanti digitali che interconnettono sistemi produttivi, prodotti e consumatori.
I dati personali sono il nuovo petrolio dell’economia digitale.
L’introduzione del GDPR
La data del 25 maggio 2018 segna la piena applicazione della nuova disciplina uniforme in materia di tutela della riservatezza e protezione dei dati personali delle persone fisiche introdotta dal Regolamento 27 aprile 2016, n. 679 – ormai noto come General Data Protection Regulation (GDPR) UE – che ha abrogato la Direttiva CE 95/46.
Tale rilevante novità normativa per la tutela dei diritti fondamentali della persona alla riservatezza e alla protezione dei dati personali (art. 2 Costituzione e artt. 7 e 8 Carta dei diritti fondamentali UE) ha richiesto l’armonizzazione del Codice Privacy ad opera del D.Lgs. 10 agosto 2018, n. 101 entrato in vigore il 19 settembre 2018.
Corre, tuttavia, l’obbligo di segnalare che ad oggi manca ancora all’appello per completare il quadro regolatorio europeo l’ultimo – ma essenziale – tassello normativo rappresentato dal Regolamento e-privacy, attualmente in fase di proposta, che abrogherà la Direttiva 2002/58/CE, sono peraltro sul tappeto temi e problemi della privacy digitale che richiedono analisi giuridica e interpretazione assiologica costituzionalmente orientata a scongiurare il progressivo, quanto incontrollato e scarsamente trasparente per non dire opaco, dominio dell’algoritmo.
Il GDPR è diventato, nel frattempo, un legal benchmark globale: anche negli Stati Uniti si va consolidando il consenso politico per la definizione di nuove regole – non solo a livello statale ma soprattutto federale – protettive per gli utilizzatori di servizi e prodotti digitali che utilizzano dati personali.
Legge federale evocata e caldeggiata anche da Tim Cook in occasione della 40ma Conferenza Internazionale delle Autorità di Data Protection e Privacy del 2018 – che riunisce le Autorità di 115 Stati – il CEO di Apple – novello paladino della privacy ed inatteso estimatore del GDPR – dichiara: “At Apple, we believe privacy is a fundamental human right”
Nel solco tracciato da Cook lo scorso 24 ottobre 2018, recentemente, il 10 settembre 2019, più di 50 CEO di grandi aziende americane, compresi Amazon, IBM e American Express anche se mancano ancora all’appello Google, Facebook, Microsoft e altri Over the Top, hanno firmato una lettera aperta per chiedere al legislatore americano di approvare una legge federale sulla privacy: di cui si è dato conto in Key4Biz del 13 settembre 2019.
Niente di più incoraggiante per i sostenitori del modello di privacy europeo delineato dal GDPR, anche si sospetta che la polarizzazione sulla legge federale possa essere strumentale a rallentare l’avanzamento, in ordine sparso ma in fase avanzata, delle legislazioni statali sempre sul tema controverso.
Il GDPR indica la strada
Per una volta nel contesto della regolamentazione digitale è la vecchia Europa a indicare la strada, in questo caso con riferimento alla data protection, agli Stati Uniti , in particolare alla californiana Silicon Valley sede dei grandi player globali, gli Over The Top digitali: Google, Apple, Facebook, Amazon per citare i principali.
Certo il percorso per una piena tutela della privacy a livello globale è appena iniziato e la strada irta di ostacoli.
Basti pensare al problematico caso dell’effettivo esercizio dell’oblio condizionato a livello globale.
Come è recentemente accaduto, con riferimento alla recente della Corte di Giustizia UE del 24 settembre 2019 che è parsa dai primi commentatori segnare un timido arretramento – in relazione alla tutela del diritto all’oblio limitata alla UE e non più estesa a livello globale – rispetto alla più coraggiosa decisione della Corte di Giustizia UE del 13 maggio 2014 in relazione al noto caso Google Spain.
Diritto all’oblio
Il Garante per la protezione dei Dati Personali Antonello Soro ha osservato criticamente, per condivisibili ragioni, che limitare il diritto all’oblio a livello comunitario può essere rischioso e depotenziante l’importante principio: “Il profilo della persona, stilato dal motore di ricerca organizzando le notizie indicizzate, deve secondo la Corte rifletterne la condizione – anche giudiziaria – attuale, rimuovendo quindi i link ad articoli non aggiornati all’evoluzione processuale, ogniqualvolta l’impatto negativo sull’identità sia sproporzionato rispetto all’esigenza di agevole reperibilità della notizia(…).
Dev’essere, insomma, il criterio dell’esattezza e dell’aggiornamento – e non quello del numero dei click – a governare l’algoritmo dei motori di ricerca i quali, titolari di un ruolo sempre più centrale rispetto all’informazione in rete, non possono affidare alla mera lex informatica decisioni così rilevanti sui diritti fondamentali. A tali tecniche dovrà peraltro farsi ricorso, per impedire che la limitazione della deindicizzazione alle sole pagine europee dei motori di ricerca (…) finisca per vanificare una delle conquiste più importanti di questi anni: il diritto all’oblio, appunto”.
Mai come oggi potremmo dire, a ragione, che la tutela della privacy e la protezione dei dati personali costituiscono una vera e propria sfida regolatoria: Artificial Intelligence, Social Network, Cloud Computing, App, Internet of Things, Smartphone e Big Datasono solo alcune delle principali “temibili” variabili socio-economiche e tecnologiche che occorre disciplinare in modo equilibrato, bilanciando contrapposti interessi.
Privacy digitale: un vero e proprio ossimoro dei tempi moderni che il GDPR potrà aiutare a comporre proficuamente nella tutela dell’Interessato soggetto debole rispetto al Titolare del tratamento nell’ambito di un rapporto giuridico asimmetrico che occorre bilanciare correttamente a tutela dei diritti fondamentali della persona.
Digital single market Ue
Un pilastro fondamentale del Digital Single Market UE è, infatti, proprio quello costituito dalla costruzione europea di un nuovo quadro regolatorio armonizzato in materia di privacy e protezione di dati personali in attuazione del generale precetto contenuto nell’articolo 16, paragrafo 1, del Trattato sul funzionamento dell’Unione europea («TFUE») che poggia sulla duplice tutela della persona offerta dai seguenti referenti normativi contenuti nella Carta dei diritti fondamentali dell’Unione Europea:
- art.7 Diritto al rispetto della vita privata e familiare e
- art.8 Protezione dei dati di carattere personale
Un mercato efficiente, corretto e trasparente che non rinuncia, quindi, alla tutela dei diritti fondamentali della persona e dei soggetti più deboli dal punto di vista economico, informativo e negoziale. In particolare, si rammenta l’art.8 della Carta che statuisce:
“Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica”.
e-Privacy e GDPR
La protezione prevista dal Regolamento Generale – a differenza dell’e-privacy che si applicherà anche alle persone giuridiche – si applica esclusivamente alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali.
Menzione particolare, infine, non certo per importanza merita il principio di applicazione territoriale esteso statuito dal nuovo art. 3 del GDPR che – al fine di disciplinare l’attività di trattamento dati dei grandi player multinazionali ma con sede oltre oceano, nella Silicon Valley – stabilisce che il regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
Il codice della privacy
A questo nuovo quadro regolatorio comunitario si aggiunge ora anche il tassello dell’armonizzazione del Codice della Privacy italiano (D.Lgs. 196/03) che dopo essere stato novellato dal tanto atteso D.Lgs. 101/2018 a ragione può ben ora essere denominato nuovo Codice della Privacy.
Non è certo possibile dar conto di tutte le significative novità introdotte, fermo restando che i principi generali sono quelli stabiliti dal GDPR e che il nuovo Codice si è ritagliato uno spazio di operatività nei limiti consentiti dal nuovo Regolamento.
Merita di essere menzionata la norma che si propone di dare continuità applicativa alla poderosa produzione del Garante anteriore al GDPR.
Ecco allora che sino all’adozione dei corrispondenti provvedimenti generali di cui all’articolo 2-quinquiesdecies del nuovo Codice in materia di protezione dei dati personali, i trattamenti di cui al medesimo articolo, già in corso alla data di entrata in vigore del presente decreto, possono proseguire qualora avvengano in base a espresse disposizioni di legge o regolamento o atti amministrativi generali, ovvero nel caso in cui siano stati sottoposti a verifica preliminare o autorizzazione del Garante per la protezione dei dati personali, che abbiano individuato misure e accorgimenti adeguati a garanzia dell’interessato (art. 22, comma 3 nuovo Codice Privacy).
E ancora la fondamentale statuizione dell’art. 22 comma, 4 nuovo Codice Privacy secondo cui, a decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il GDPR e con le disposizioni del presente nuovo Codice Privacy.
A che punto siamo?
Inoltre, in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, come definite dalla raccomandazione 2003/361/CE, il Garante per la protezione dei dati personali, nel rispetto delle disposizioni del Regolamento e del presente Codice, promuove, nelle linee guida adottate a norma del nuovo Codice Privacy, modalità semplificate di adempimento degli obblighi del titolare del trattamento.
Norma che si ritiene di particolare importanza perché l’impianto complessivo del GDPR tradisce una struttura complessa – di problematica applicazione per le PMI – ispirata alle strutture articolate delle grandi imprese, nazionali e multinazionali, in cui si può agevolmente osservare il principio di segregation of duties fra le varie figure soggettive della filiera privacy (Titolare, Responsabile, DPO) e si possono investire ingenti budget e risorse umane all’adempimento dei nuovi precetti sia sotto il profilo organizzativo che della sicurezza dei dati.
Si ritiene opportuno, invece, fermi restando i principi fondamentali introdotti dal GDPR, semplificare significativamente gli adempimenti richiesti dal nuovo quadro normativo in relazione a studi professionali, micro, piccole imprese e medie imprese, distinguendo con nettezza tra chi tratta dati esclusivamente per svolgere la propria attività professionale o d’impresa nell’ambito di rapporti contrattuali di fornitura di servizi e beni, rispetto a chi svolge un attività d’impresa datacentrica che coincide con lo sfruttamento commerciale dei dati raccolti.
Nonostante l’importante sforzo normativo che il GDPR esprime – ulteriormente rafforzato dal nuovo Codice Privacy italiano e in attesa del completamento, in corso d’opera, del tassello relativo alla privacy digitale comunitaria – non si può negare che la tutela della privacy e della protezione dei dati personali siano ancora elementi di uno scenario strategico globale, complesso e mutevole, ancora in attesa di giungere a un assetto regolatorio definitivo.
Il virtuoso processo di allineamento globale al legal benchmark costituito dal GDPR UE – anche da parte dei principali attori dei mercati multinazionali, gli over the top della Silicon Valley californiana e più in generale degli Stati Uniti – è, tuttavia, ormai positivamente avviato.
Senza evocare gli scenari futuristici delle impreviste evoluzioni della singolarità tecnologica, già ora Social Network, Cloud Computing, Smartphone, Smart Cars, Droni, Robot, Fintech, Blockchain, Internet of Things, Big Data e Artificial Intelligence costituiscono, come si è già osservato, temibili variabili socio-economiche e tecnologiche che occorre disciplinare, con compiutezza bilanciando i contrapposti interessi in campo, per una piena tutela dei diritti fondamentali della persona.
In memoria di Giovanni Buttarelli
A tali attualissimi temi giuridici data centrici – che si intersecano con le esigenze e i diritti di noi tutti, dato che in concreto orientano decisioni personali e imprenditoriali oltre che le scelte geopolitiche e strategiche degli Stati – esaminati attraverso il prisma del GDPR, del nuovo Codice della Privacy, oltre che della nostra Costituzione e della Carta dei diritti fondamentali UE, è dedicato il IX Convegno del Centro Diritto Nuove Tecnologie® – Studi Giuridici per l’Innovazione® – promosso dallo scrivente Direttore Esecutivo DNT® insieme alla Fondazione CESIFIN – a cui parteciperanno il Vice Presidente del Garante per la Protezione dei Dati Personali Dott.ssa Iannini, Il Comandante del Nucleo Privacy Col. Menegazzo e autorevoli esperti della materia, il tutto sotto la presidenza del Prof. Avv. Guido Alpa che traccerà altresì le conclusioni.
Avrebbe dovuto partecipare all’incontro di studi DNT® anche l’European Data Protection Supervisor UE Giovanni Buttarelli che aveva già confermato la Sua partecipazione e che aveva curato la Postfazione della raccolta di studi PRIVACY DIGITALE – ventunesimo volume della Collana Diritto delle Nuove Tecnologie® – DNT® (Giuffrè Lefebvre 2019) curato dallo scrivente – che verrà presentata proprio in occasione del IX Convegno DNT®.
Purtroppo, lo scorso 21 agosto, l’autorevole Presidente dell’European Data Protection Supervisor UE, valente magistrato e studioso dei temi privacy, ci lasciava improvvisamente.
Avevo conosciuto Giovanni nel 1997, ormai un tempo lontano, quando giovanissimo magistrato, divenne primo Segretario Generale nella storica consiliatura del Garante per la Protezione dei Dati Personali presieduta dal Prof. Stefano Rodotà (1997-2005).
L’evento di Firenze
Nel corso degli anni, sino all’ultimo, Giovanni ha contribuito con perseveranza e convinzione a diffondere e far crescere, anche nella nuova dimensione globale della società digitale, la cultura della protezione dei dati personali e il rispetto dei diritti fondamentali.
Anche per tale ragione sarà a lui dedicato in memoriam il IX Convegno Diritto Nuove Tecnologie®, Persona, riservatezza, dati personali e GDPR nella Società digitale Firenze, 21 ottobre 2019, ore 15.00, promosso da DNT® e Fondazione CESIFIN e con il patrocinio del Garante per la Protezione dei Dati Personali, European Data Protection Supervisor, Privacy Italia ed ECSM.