Digital Economy e profilazione dei dati online. Intervista al Prof. Francesco Pizzetti

In merito alle recenti misure prese dal GPDP, inerentemente il caso di Tik Tok e le vicende di Palermo, la Digital Economy e la proliferazione dei dati online, la redazione di DIMT ha intervistato il Professor Francesco Pizzetti, professore ordinario di Diritto Costituzionale presso la Facoltà di Giurisprudenza dell’Università di Torino dal 1980 e Presidente dell’Autorità Garante per la protezione dei dati personali dal 2005 al 2012.

Visti i recenti avvenimenti di Palermo ed il caso Tik Tok, a Suo avviso come valuta le indicazioni e le misure prese dal Garante inerentemente la tutela dei minori e la profilazione dei dati online?

E’ stato sopravvalutato troppo l’aspetto social e troppo l’aspetto tutela dei minori anche dal punto di vista dell’esposizione del minore che usa il social, legato alla tipologia di servizio. Troppo perché il garante ha avuto un’ottima idea a condizione però che questo serva a far sapere e capire che nel mondo digitale (nel mondo in cui viviamo) i servizi online (non i social) se rivolti a giovani di età inferiore a 16 anni (a livello europeo) e inferiore a 14 (a livello italiano)non possono essere erogati se non c’è il consenso di chi ha la responsabilità genitoriali. Dunque, il tema non sono i social ma i servizi digitali, i servizi offerti direttamente nella realtà digitale. Quindi la stessa regola vale per il servizio a domicilio di pizza, la stessa regola vale per l’acquisto online di un biglietto ferroviario o per la prenotazione online di un appartamento a Sidney. Un soggetto offre servizi online in virtù della sottoscrizione dei quali servizi, il consumatore ha diritto ad una prestazione (ad esempio l’utilizzare i social) questo contratto deve essere stipulato e quindi i dati possono essere trattati (quando i dati sono un elemento essenziale del servizio ovviamente ma nel digitale è sempre così) solo se io che erogo questo servizio sono sicuro che chi ha sottoscritto al servizio ha più di 16 anni, in Italia più di 14 anni. Se non sono sicuro e non ho accertato questo aspetto, io sono a rischio perché se il mio contraente online ha meno di 16 anni in Europa e meno di 14 anni in Italia, io ho bisogno prima di erogargli il servizio di avere il consenso di chi ha la responsabilità genitoriale (quindi del genitore, del giudice, del tutore, dipende dai casi). Quindi il Garante ha aperto una prospettiva di enorme interesse, purché non lo si limiti al tema dei social e ben che mai alla tutela etica del minore. Si vuole essere sicuri che il minore che sta per sottoscrivere un contratto online per avvalersi di un servizio, abbia più di 16 anni o almeno più d 14 anni a livello italiano. Quindi il problema non è il social, la tutela dei minori o l’uso pornografico delle immagini, ma i servizi offerti dal social trattando i dati del contraente proprio perché mette il contraente in contatto con soggetti terzi è un servizio digitale. Che sia un servizio digitale pericoloso, possiamo dirlo come possiamo dirlo del servizio a domicilio per la pizza soprattutto per chi la manda perché se a casa, ad esempio, vi è un minore poi non viene pagata. Allora, è una norma a garanzia del mercato digitale e non dei minori perché , voglio essere sicuro, che nel mercato digitale online sia il venditore del servizio che l’acquirente del servizio abbiano la consapevolezza, il primo che il soggetto che acquista ha più di sedici anni il secondo che abbia una età tale da capire cosa sta acquistando e cosa significa utilizzare questo servizio che implica l’uso dei dati suoi (l’acquirente) personali, per questo è stato trattato dall’Autorità Garante per la protezione de dati personali. Questo non è stato per nulla chiarito perché il Garante ha insistito sul social e quindi ha fatto sembrare all’opinione pubblica che fossimo in presenza di un provvedimento per tutelare i minori dai rischi di essere sedotti e indotti in comportamenti sessualmente pericolosi, etc. etc. Ma non c’entra niente, questa è la tutela del mercato digitale: perché il compratore prima di acquistare sia verificato che abbia la giusta età e, viceversa, il venditore sia assicurato di vendere a qualcuno che ha l’età di capire che cosa comporta in termini di utilizzazione dei suoi dati di lui compratore, avere il servizio. Quindi ha un’estensione infinitamente più ampia dei social, diventa (l’azione del Garante) un pilastro del digital market della digital economy, quindi il Garante ha aperto una finestra su un’enorme tema. E sarebbe stato bene che fosse chiarito e che l’opinione pubblica, specie quella tecnica, l’avesse capito, perché se lo limitiamo ad un problema di tutela dei minori in un senso tradizionale non ci siamo, non è un tema da polizia postale questo. Le norme che sono nel GDPR e nel codice italiano, sono essenziali per l’economia digital.

Perché il GDPR stabilisce 16 anni ma consente agli Stati membri di abbassare l’età? E noi in Italia convintamente, sia come commissione Finocchiaro e poi come Parlamento ha approvato la soglia dei 14 anni?

Perché più è bassa l’età, più è facile accertare se il mio contraente è sopra o sotto quell’età. Più questa età è vicina alla maggiore età più è difficile capire se rientra nei limiti, anche con i sistemi di intelligenza artificiale e di profilazione dei dati. Quindi in Italia l’abbiamo abbassato in modo tuzzioristico perché poi il venditore non dica “io come facevo a capire l’età”. Quali mezzi si possono usare? Non spetta a noi dirlo, tant’è che il Garante è intervenuto dando indicazioni anche su questo. Ma o tutto quello che abbiamo scritto da più di vent’anni sulla profilazione sono chiacchiere, o ci sono, e tutti sappiamo che ci sono, sistemi di uso dei dati per conoscere meglio il soggetto al quale questi dati si riferiscono. Allora si tratta di utilizzare una volta tanto, pro bono nel senso della tutela anche del consumatore, i sistemi di profilazione dei dati. Per questo si parla di sistemi di intelligenza artificiale (di analisi veloce dei dati online con sistemi che più o meno propriamente definiamo di Intelligenza Artificiale), poi possono essere le più diverse. Quando mi si chiede come si fa, rispondo sempre: non vi è mai capitato di sottoscrivere un servizio digitale e sentire rispondere “ dimostra che non sei un robot” e dover compilare un quiz “quanti sono i semafori in questa foto”, io non ho la minima idea di chi ha inventato quel sistema di verifica evidentemente qualcuno che ha utilizzato la capacità di analisi dei dati. Allora la stessa cosa si tratta di farlo per individuare se il contraente ha più o meno di 14 anni (in Italia). E’ un passo dell’economia digitale che ci dice che non bastano più le regole privacy, non basta tutelare dalla profilazione, anzi al contrario molte volte la profilazione diviene fondamentale, più o meno come se io andassi ad acquistare un’automobile e mi chiedono se ho la patente. Se non altro per essere sicuri che sono abilitato alla guida. Quindi dobbiamo entrare in una logica che nasce dalla protezione dati, ma va molto oltre la protezione dei dati. Non si tratta solo di tutelare dall’uso dei dati che ti possono ingannare, sedurre, venderti servizi pornografici, etc. etc. Tutto questo lo sappiamo, e vi è la normativa a tutela di questi aspetti. Qui si tratta di tutelare l’economia digitale, il social è semplicemente un servizio digitale che poi è stato chiamato da noi “social” per indicare una specifica tipologia tra i vari servizi tutti digitali, né più né meno. Tutto questo non al fine di verificare la capacità giuridica di comprare, perché anzi la norma europea chiarisce che la responsabilità giuridica di contrarre resta regolata dalla legislazione nazionale al fine di accertare se o ho la capacità di capire l’informativa che mi danno. Quando acquisto un servizio online, vengo informato su come verranno trattati i miei dati, ma io ho la capacità di capire cosa mi stanno dicendo? Se ho meno di 14 anni no, perché quell’informativa è fatta per maggiori di 14 anni, i quali necessitano di specifiche informative per loro comprensibili. Aggiungo che questa è la parte di tutela che tutela anche il venditore.

Perché l’Italia ha abbassato l’età a 14 anni è spiegato ampiamente nel libro del Prof. Pizzetti di seguito riportato:

Protezione dei dati personali in Italia tra GDPR e codice novellato