La dimensione etica della privacy per guidare le scelte delle aziende sull’utilizzo dei dati personali
Parlando di protezione dei dati personali si usa spesso la parola “sistema”. Altrettanto frequentemente si afferma che l’etica “fa parte” del sistema della protezione dei dati personali. Non sempre però è chiaro il modo in cui questi due concetti dialogano tra loro.
Si può allora provare ad immaginare la protezione dei dati personali come il tronco di un albero, il quale è composto da più anelli concentrici. Su quelli più esterni si collocano gli operatori economici – nelle vesti di titolari o responsabili – e gli interessati. Proseguendo verso l’interno si incontrano le norme che disciplinano i trattamenti di dati personali e le autorità che regolano l’applicazione di tali norme.
Arrivati al nucleo si trova l’essenza della protezione dei dati personali, vale a dire la sua natura di diritto fondamentale. Da qui parte la linfa che alimenta lo spirito delle leggi e l’agire delle autorità e, di conseguenza, i comportamenti di imprese e cittadini. Dove si colloca allora l’etica? Esattamente al centro del cerchio. E, da qui, è capace di incidere su ciascuno di questi anelli.
La dimensione etica dovrebbe pertanto guidare le scelte di aziende e pubbliche amministrazioni sull’utilizzo dei dati personali. Detto in altre parole, titolari (e responsabili) sono chiamati a mettere in atto un approccio etico ai trattamenti che svolgono, soprattutto quando ciò avviene secondo modalità altamente tecnologiche. Si pensi all’impiego di tecniche di riconoscimento facciale o agli algoritmi intelligenti. In questi casi, come in molti altri, non si dovrebbe mai prescindere da considerazioni di stampo etico.
(Nella foto: l'Avv. Rocco Panetta, membro del direttivo della IAPP e founder dello Studio Legale Panetta & Associati)
Ma com’è possibile, in concreto, unire privacy ed etica? Vengono qui in soccorso gli strumenti offerti dalla normativa sulla protezione dei dati personali – ed in particolare dal Regolamento Generale sulla Protezione dei Dati (GDPR) –, strumenti in grado di intercettare l’intrinseca (e necessaria) pervasività della dimensione etica. Mi riferisco, ad esempio, alla valutazione d’impatto sulla protezione dei dati (che ben potrebbe essere valutazione d’impatto etico) o ai principi di privacy by design e by default (che ben potrebbero declinarsi come ethics by design e by default). Si tratta di posizioni che ho più volte avuto occasione di ribadire e che derivano anche dall’impegno come esperto etico dell’Agenzia esecutiva del Consiglio europeo della ricerca (ERCEA).
E sempre l’esperienza sul campo, come avvocato e consulente, mi ha convinto che oggi, tra i vari istituti introdotti dal GDPR, ve ne sia uno particolarmente capace di apportare un contributo decisivo ad uno sviluppo etico delle nuove tecnologie (e dei collegati trattamenti di dati personali). Mi riferisco al Data Protection Officer (DPO), figura nuova ma già capillarmente diffusa nel panorama europeo (e proprio sul DPO ho recentemente pubblicato un manuale essenziale, edito da Giuffrè Francis Lefebvre e scritto assieme a due validissimi colleghi). Questa funzione di controllo e consulenza – già chiamata in causa nelle delicate operazioni di bilanciamento tra esigenze di business e rispetto dei diritti e delle libertà degli interessati – potrebbe infatti assistere titolari e responsabili (anche) nelle valutazioni di impatto etico e nell’innesto fin dalle fasi di progettazione e per impostazione predefinita della dimensione etica.
Se dunque privacy ed etica possono – e anzi devono – scorrere insieme, il DPO può essere la speciale resina che le tiene unite.