NEWS

Privacy, digitale e ruolo del Garante italiano

Per celebrare i due anni di implementazione del GDPR, il regolamento europeo sulla protezione dei dati personali, sono usciti numerosi report e studi che ne analizzano l’impatto. Da tali studi si possono evincere varie tendenze la cui comprensione è importante per valutare le sfide che la privacy ci riserva per i prossimi anni e sui cui il Garante Privacy italiano potrà svolgere un ruolo di rilievo.

Nella foto: Innocenzo Genna, esperto di regolamentazione e politica digitale europea

(Nella foto: Innocenzo Genna, esperto di regolamentazione e politica digitale europea)

Privacy ovvero digitale - Il trend principale, di fondamentale importanza, è quello della quasi-identificazione della privacy con il digitale. In sostanza, il settore su cui le varie autorità della privacy (qui di seguito: “DPA”, acronimo per “Data Protection Authorities) operano, e cioè quello dei dati personali, si è con il tempo dematerializzato e digitalizzato. Il trattamento di dati offline, cioè quello meramente su carta, avviene ancora ma in misura poco significativa, mentre la gran parte del trattamento passa attraverso strumenti digitali, dallo smartphone personale su cui gestiamo le nostre app e social, ai tablet degli alberghi in cui prestiamo il consenso spuntando le caselle con una pennetta. Si tratta di un cambiamento epocale per le autorità di sorveglianza, che però solo le DPA hanno subito in modo così drastico. Le altre autorità di settore, ad esempio l’autorità di concorrenza e quella delle telecomunicazioni (in Italia, rispettivamente AGCM e AGCOM) hanno dovuto altresì confrontarsi con la digitalizzazione, ma i rispettivi mercati di riferimento (ad esempio le reti telecom, la televisione, i trasporti, la logistica, ecc) non sono così cambiati: in altre parole, il passaggio della televisione dall’analogico al digitale, oppure del mobile dal 2 o 3G alle generazioni successive, hanno reso più complesso le valutazioni delle rispettive autorità di sorveglianza, ma non ne hanno stravolto il lavoro. Nel caso delle DPA, invece, è cambiato completamente il terreno su cui tali autorità si muovono: si tratti dei settori delle banche, assicurazioni o attività professionali, i dati personali hanno tutti subito quel processo di digitalizzazione per cui la DPA non deve semplicemente confrontarsi con i mercati sotto esame e le norme da applicare, bensì con le tecnologie che sovrintendono alla dematerializzazione, conservazione e trattamento dei dati stessi. In altre parole, nel 2020 la protezione dei dati personali è diventato un mestiere altamente tecnologico, tanto che studi recenti (ad esempio: Brave, aprile 2020) tendono a valutare l’efficacia delle DPA proprio sulla base della presenza e quantità di funzionari specializzati od aggiornati in tecnologia.

Privacy ovvero piattaforme - L’impatto della digitalizzazione rivela tutta la sua magnitudo quando i dati personali non sono semplicemente raccolti, conservati e trattati, ma soprattutto quando vengono messi in rete, condivisi ed aggregati. Se i dati personali rimanessero conservati in un server locale (ad esempio, il computer della reception di un albergo) non vi sarebbe una notevole differenza rispetto al dato raccolto su carta. Invece, ciò che ora conta è che i dati, una volta raccolti e dematerializzati, finiscono nella nuvola di Internet e vanno a contribuire all’economia dei dati, una realtà economica nuova nella quale si vedono tante sigle ma dalla quale, in sostanza, emergono pochi vincitori: i famosi GAFA (l’acronimo per Google, Amazon, Facebook ed Apple) a cui si aggiungono i nuovi contendenti cinesi (WeChat, Alibaba, Baidu, TikTok ecc). L’aspetto economico dei dati e soprattutto quello delle posizioni dominanti di taluni operatori porta le DPA, tradizionalmente incaricate di difendere i diritti dei cittadini, ad espandere il loro raggio d’azione e ad interrogarsi sull’aspetto economico e concorrenziale dei dati personali. Ne consegue la necessità di dialogare e coordinarsi al meglio con le autorità preposte alla concorrenza e, soprattutto, di adattare il proprio modus operandi ad uno scenario divenuto più complesso: occorre continuare a tutelare i dati personali in un ambiente estremamente frammentato fra imprese ed operatori, sul quale però ora si sovrappone un ulteriore livello, dominato da pochi e giganteschi operatori, dove i dati sono importanti perché rappresentano un mercato in sé, e non sono un semplice problema di compliance.

Privacy ovvero globalizzazione - La digitalizzazione dei dati e l’uso che ne fanno le piattaforme porta con sé un’altra conseguenza: la sorveglianza e protezione dei dati personali è diventata un’attività che deve confrontarsi con una dimensione globale, o almeno europea, che può mettere a dura prova la capacità di operare delle DPA nazionali (in Italia: il Garante Privacy), che invece sono tradizionalmente strutturate per agire a livello nazionale. Le DPA devono pertanto confrontarsi con realtà complesse a cominciare dalla giurisdizione: come fare per procedere verso una piattaforma online che tratta i dati dei cittadini italiani, ma che è stabilita fuori dall’Italia se non addirittura fuori dall’Europa? Occorrerà l’accordo ed il coordinamento tra varie DPA nazionali, ognuna delle quali potrebbe, a vario titolo (sede della piattaforma online, localizzazione dei server, nazionalità dei cittadini coinvolti), rivendicare la propria competenza sul caso. Ma anche trovando un accordo sulla giurisdizione, sorgerebbe il problema ulteriore di come strutturare la procedura di investigazione: come procedere qualora uffici e server della piattaforma oggetto di esame siano sparsi in tutta Europa? Non si tratta di un mero tema formale di procedure, ma soprattutto di come acquisire i dati che sono fondamentali per le investigazioni: a livello europeo abbiamo, come precedente, quello della Direzione Concorrenza della Commissione Europea, che opera come una vera e propria agenzia europea antitrust e si coordina con le varie autorità nazionali di concorrenza, sulle quali ha però una sorta di supremazia per i casi “transnazionali”. Con la differenza, però, che in ambito antitrust i casi transnazionali sono una specifica tipologia della casistica ordinaria, mentre in materia di data protection i casi transnazionali sono invece destinati a diventare la norma, almeno per quanto riguarda le piattaforme online globali che aggregano dati e profilano gli utenti.

La soluzione (imperfetta) del GDPR e la c.d. “irlandizzazione” della data protection - Il GDPR aveva previsto questo scenario ed infatti, nel caso di fattispecie che abbiano caratteristiche internazionali, è stato stabilito il meccanismo del “one-stop-shop” in base al quale una DPA capofila, normalmente quella del paese dove è stabilito l’operatore globale, assume la responsabilità dell’intero caso. Già nella fase di redazione del GDPR si era capito che tale meccanismo avrebbe privilegiato le DPA dei paesi dove già da tempo tendevano si stabilivano gli operatori per ragioni fiscali, e cioè Irlanda e Lussemburgo. Questo scenario era stato ritenuto inevitabile, perché sembrava l’unica alternativa alla creazione di un’agenzia europea della privacy, un modello avversato da molti perché avrebbe sottratto potere alle DPA nazionali. Tuttavia, ciò che il legislatore europeo non aveva previsto è che ora si è creato una sorta di vero e proprio “incamminamento” verso l’Irlanda, così che attualmente vediamo la stragrande maggioranza delle piattaforme stabilirsi in Irlanda (da ultimo la cinese TikTok) assoggettandosi alla giurisdizione della locale autorità irlandese, la DPC. Sulle ragioni di questo generale incamminamento verso l’Irlanda si può discutere, ma è comunque verosimile che lo straordinario sovraccarico di lavoro sulla DPC metterà a dura prova la resistenza di quest’ultima (ed infatti, a distanza di 2 anni dall’entrata in vigore del GDPR, l’autorità irlandese non ha ancora adottato decisioni verso le grandi piattaforme online stabilite in Irlanda). Questo scenario rischia di minare l’equilibrio che si era cercato con il GDPR, poiché se l’obiettivo era quello di salvaguardare le competenze delle DPA nazionali, evitando la creazione di un’agenzia europea, siamo invece arrivati ad un risultato analogamente insoddisfacente, e cioè quello di una singola DPA nazionale, quella irlandese, competente per tutti i casi di piattaforme online. A prescindere dalla capacità della DPC di svolgere al meglio questo lavoro (ed in effetti gli irlandesi hanno investito più risorse di quelle che altrimenti sarebbero bastate per sorvegliare il solo mercato nazionale) si pone un problema di equità all’interno del mercato europeo: alcuni paesi come l’Irlanda (a cui si aggiungono altri come Olanda, Lussemburgo e le solite isole) già attirano le aziende internazionali per i noti vantaggi fiscali; ma se al tema fiscale si aggiunge anche quello della data protection, assisteremmo ad un’allocazione squilibrata delle aziende hi-tech all’interno del mercato europeo. Persino una start-up italiana avrebbe l’interesse a trasferirsi a Dublino.

Le ricadute in ambito nazionale e la necessità di superare l’alibi irlandese - Questa situazione può comportare ricadute politiche nazionali non indifferenti: le imprese ed i cittadini italiani pretendono che il GDPR venga applicato a tutto tondo e, in particolare, alle grandi piattaforme online, che sono onnipresenti nella vita di ogni giorno, a prescindere da dove siano stabilite. Se emergesse il sentimento che le norme del GDPR si possono applicare di fatto solo agli operatori locali, mentre le grandi piattaforme globali possono in qualche modo sfuggirvi grazie alla complessità e magnitudo dei problemi di giurisdizione ed investigazione su scala paneuropea, ci troveremmo di fronte ad una pericolosa sconfitta che minerebbe la credibilità dell’azione delle DPA nazionali, incluso il nostro Garante della Privacy.

Per risolvere questo problema, che è innanzitutto politico, occorre che la DPA nazionali provino tutti gli strumenti che il GDPR pone a loro disposizione per condurre un’applicazione equilibrata delle norme sulla data protection. L’iniziativa del Garante Privacy italiano di creare una task-force europea per seguire il tema della nuova piattaforma TikTok va in questa direzione. Ma se tali sforzi non dovessero bastare, occorre che le stesse DPA si mettano d’accordo e pongano, a livello politico, il problema dello squilibrio geografico nell’applicazione del GDPR. Si tratta di un’attività molto difficile poiché non si intravede, per il momento, una leadership europea sul tema e qualche DPA potrebbe persino preferire l’inerzia all’azione, così da scaricare sulla DPC, l’autorità irlandese, la mancata sorveglianza sulle grandi piattaforme online. Sarebbe però una cattiva soluzione che, come evocato precedentemente, potrebbe costare la credibilità dell’intero sistema europeo del GRPR. Il Garante Privacy italiano, il cui board dovrà presto essere rinominato e che è considerato una delle migliori DPA europee, potrebbe invece svolgere un eccellente lavoro proprio su questo tema.

di Innocenzo Genna (La Stampa, 5 luglio 2020)

Note sull'Autore

Innocenzo Genna Innocenzo Genna

Esperto di regolamentazione e politica digitale europea. Managing Director di Genna Cabinet. Ex scout, musicista e compositore di pianoforte. Twitter: @InnoGenna

Prev Non scherzate col Garante per la Privacy
Next Tra privacy e propaganda: cosa c’è che non va in WhatsApp

App di incontri e rischi sulla privacy

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy