Si è svolto ieri a Benevento il Seminario di studi promosso dall’Università degli studi del…
“Verso il nuovo regolamento europeo sulla privacy”, report del convegno dell’Accademia Italiana del Codice di Internet
“La Commissione europea ha evidenziato in più occasioni come lo sviluppo dell’economia digitale nell’Unione Europea negli ultimi anni è stato complessivamente meno rapido ed efficiente rispetto all’evoluzione avuta negli Stati Uniti, con il consequenziale e naturale riverbero sulle attuali capacità industriali degli operatori europei. Anche i finanziamenti europei, nell’ambito dell’innovazione e della ricerca in materia di tecnologie digitali, si sono rivelati al di sotto della massa critica e le attività a tutt’oggi presenti in questo campo si dimostrano scarsamente coordinate tra loro”. È così che il Professor Alberto Gambino, Presidente dell’Accademia Italiana del Codice di Internet, ha aperto i lavori di “Governance di Internet ed efficienza delle regole: verso il nuovo regolamento europeo sulla privacy”, evento organizzato dall’Accademia nella giornata di ieri presso la sala Spazio Europa, nel centro di Roma, alla vigilia dell’approvazione del nuovo Regolamento generale per la protezione dei dati personali, prevista nel prossimo Consiglio europeo del 4-5 dicembre.
Questa situazione – ha proseguito Gambino – è riscontrabile in generale con riferimento a tutti i tipi di attività nel campo dell’ICT pur palesandosi con massima evidenza nei più innovativi servizi quali il cloud computing, il crowdsourcing e i big data. Elemento essenziale che connota tali servizi è il naturale ambito di erogazione degli stessi che prescinde dal territorio in cui è stabilito il provider per assumere dimensioni globali sia per ragioni tecniche che per ragioni economiche. In questo contesto si palesa come la possibilità di operare in mercati transnazionali richiede la necessaria definizione di regole normative comuni applicabili a tutti gli utenti, non essendo ipotizzabile che i provider sopportino i costi per approntare diversi condizioni a seconda della nazionalità dell’utente”. “L’esigenza di definizione di un quadro normativo quanto più ampio possibile viene percepita dai legislatori non tanto con riferimento alle regole civilistiche che sovraintendono ai rapporti contrattuali tra utenti e provider, ma piuttosto alla regolamentazione dei diritti della persona la cui tutela viene ritenuta non attribuibile unicamente alla forza contrattuale delle parti, specie per quanto attiene alla tutela della privacy degli utenti”. Per quanto attiene ai big data, settore che nel 2012 “ha stimolato una spesa mondiale di ventotto miliardi di euro, che ha raggiunto quota trentaquattro miliardi l’anno successivo”, il Prof. Gambino ha sottolineato che “una delle più rilevanti ragioni della sproporzione tra gli investimenti tra operatori europei e statunitensi pare essere rinvenibile nell’attuale complessità del quadro giuridico e alla difficoltà di accedere a grandi dataset e infrastrutture abilitanti, elementi che si traducono in barriere che ostacolano l’ingresso sul mercato delle PMI che dovrebbe essere, invece, le prime generatrici di innovazione. Ciò è tanto vero che, all’interno del pacchetto di riforme predisposto in questi ultimi anni dalla Commissione europea in materia di trattamento dei dati, è stata attribuita una posizione preminente ai big data, con l’obiettivo di definire un contesto normativo solido, in grado di preservare la fiducia degli utenti nell’ambiente digitale, maturando al contempo uno spazio sicuro dove beni e servizi possano svilupparsi ampiamente”. Nello scenario dell’economia globalizzata appare così necessaria la definizione di paradigmi comuni: “L’analisi dell’impatto della normativa sul trattamento dei dati ha dimostrato come il rallentamento dello sviluppo dell’economia digitale non discenda unicamente dalla previsione di una dettagliata normativa in materia ma, piuttosto, dalle modalità non uniformi con cui la direttiva è stata recepita nei singoli Stati membri. A distanza di quindici anni dall’emanazione della prima direttiva sul tema, tenuto conto del mancato raggiungimento dell’obbiettivo di definizione di un quadro normativo uniforme sul territorio europeo e considerato il mutato scenario tecnologico, l’Unione Europea ha cominciato a pensare ad un regolamento che consentisse l’armonizzazione della disciplina in materia di privacy negli ordinamenti dei vari Stati membri. Invero, pur non discostandosi molto dai contenuti della precedente disciplina, la proposta di regolamento si sofferma su alcuni punti focali che consentiranno la definizione di un quadro normativo unitario in grado di favorire lo sviluppo dei nuovi servizi dell’ICT. Tra gli elementi più rilevanti della proposta di regolamento è opportuno segnalare la nuova modalità di prestazione del consenso al trattamento dei dati personali connesso al calcolo del rischio, la profilazione dell’utenza e la disciplina del diritto all’oblio, c.d. right to be forgotten. In questo senso, la proposta di regolamento, pur essendo stata tacciata da taluno come una sostanziale duplicazione della precedente direttiva, imporrà le condizioni previste al suo interno a tutti gli Stati che vorranno operare nel mercato europeo: tale intervento legislativo potrebbe portare ad una surrettizia introduzione di una disciplina globale della privacy“. LEGGI IL POSITION PAPER DELL’ACCADEMIA Con la moderazione di Francesco Di Mario, Capo servizio Economia del Tg1, a prendere la parola è stato così il Garante per la protezione dei dati personali, Antonello Soro: “La direttiva europea attuale sulla protezione dei dati personali era stata pensata per garantire la libertà di movimento dei cittadini, mentre oggi rischiamo di produrre un quadro normativo che sia troppo sbilanciamento verso i diritti delle imprese. Mi riferisco soprattutto all’istituto del one stop shop. Occorre senza dubbio apportare dei miglioramenti. Sotto un altro e più generale punto di vista, non si può non considerare l’enorme squilibrio di poteri tra i monopolisti che raccolgono, elaborano e profilano le nostre vite sulla base dei dati raccolti e il singolo utente che si affida a regole che sono più facilmente spendibili sullo spazio fisico che in quello immateriale. Sullo sfondo c’è il non facile percorso del pacchetto di norme pensate dalla Commissione europea e ora sottoposto ad un non velocissimo esame da parte del Consiglio e che difficilmente potrà concludere il suo percorso con la presidenza italiana. Si cerca di creare un quadro armonizzato di principi per superare quel po’ di frammentazione tra gli stati e per assicurare a 500 milioni di utenti europei di avere un maggiore controllo di dati. Ma soprattutto adeguare la normativa all’evoluzione tecnologica e a quella che per semplicità chiamiamo società digitale. Un quadro normativo che intenda affrontare adeguatamente queste sfide non può prevedere regole troppo rigide che rischino ancor prima di essere effettive di danneggiare l’economia fondata sulla società digitale”. “Se è vero che i principi fondativi della direttiva sulla quale noi operiamo ancora hanno ancora la loro validità e sono tecnologicamente neutri – ha proseguito Soro – in realtà le norme europee di riferimento richiedono nuove modalità di applicazione. Le minacce sono i fenomeni della profilazione e della sorveglianaza globale, che in qualche modo si tengono fra di loro. Quello della profilazione è uno dei temi più dibattuti; l’intento è rafforzare la tutela prevedendo vincoli alla profilazione così da consentire una maggiore trasparenza dei processi, un maggiore controllo sui dati condivisi ma senza limitarsi a riconoscere all’interessato il diritto ad una opposizione al generico consenso al trattamento dei suoi dati. Pensiamo anche al fatto che i big data possono essere utilizzati e riutilizzati per finalità diverse rispetto a quando è avvenuta, con consenso, la loro raccolta, e le informazioni sulle perosne sono ricavabili all’insaputa degli interessati anche da dati che all’origine erano anonimi, cresce la capacità del sistema di re-identificarci grazie a dati che erano stati condivisi senza quell’intento. L’organizzazione del diritto europeo deve così porsi come avanguardia, e la protezione dei dati è il primo nuovo diritto della società digitale. Ma una sola autorità locale non può attuare l’enforcement nei confronti delle grandi corporation”. La responsabile della comunicazione presso la Camera dei Deputati Anna Masera ha subito dopo fatto riferimento all’Internet Governance Forum previsto il prossimo 25 novembre e alla consultazione pubblica in corso sulla bozza di Internet Bill fo Rights da poco partorita dalla Commissione per i diritti e i doveri relativi ad Internet istituita a Montecitorio nel luglio scorso. Ed è proprio il Presidente della Commissione, il Professor Stefano Rodotà, ad intervenire: “Nei prossimi sei mesi bisognerà mettere a confronto il testo del Consiglio con quello uscito dal Parlamento, e penso che voi possiate dare un contributo importante, sia in generale che su alcune questioni specifiche, come quella del diritto all’oblio, ma anche quella del one stop shop; a Bruxelles ci si chiede se sia possibile continuare ad avere un meccanismo di dispersione delle decisioni o se sia necessario concentrare la governance. Qualcuno sostiene che, come c’è una Bce per le questioni finanziarie, non può non esserci una altrettanto significativa presa di responsabilità politica in materia di data protection”. Rodotà ha così evidenziato una “eccessiva analiticità” nel nuovo regolamento, con un “insieme di principi ed eccezioni che rende estremamente complicato interpretare una serie di norme. In ogni caso, va notato che quando si è iniziato a discutere di questo regolamento l’argomento della protezione dei dati personali era entrata in una sorta di cono d’ombra. Solo un paio d’anni fa il fondatore di Facebook, Mark Zuckerberg, affermò che ‘la privacy è finita come regola sociale‘, e siccome non è un sociologo voleva dire solo una cosa: ‘i vostri dati sono miei‘. La situazione non era certo propizia per un regolamento che desse alla tutela dei dati personali la rilevanza che gli viene data ora in una situazione cambiata. Lo stesso padrone del social network ha fatto una serie di aperture alla tutela della privacy, e in un certo senso la morte della privacy è stata accompagnata dalla sua resurrezione. Ma in questo non si può non far riferimento a Snowden e alla Nsa, perché quello scandalo è stato il punto che ha radicalmente cambiato la visione globale sul tema”. “Va sottolineato – ha proseguito il giurista – come non possiamo non ragionare in una dimensione costituzionale su queste questioni, tenendo sempre presente al contempo la necessità di garantire la tenuta delle norme rispetto ad una realtà che vede digitalizzarsi completamente le nostre vite. Ma la sorveglianza di massa è poco trattata nel regolamento, che appare arretrato su questo versante, come se le forme di sorveglianza fossero ancora quelle del tempo della vecchia direttiva. Quando vivevamo nel web 1.0 la domanda che si poneva alle Autorità come il Garante era solo se ci fosse consenso al trattamento. Nel web 2.0 questa idea è stata sottoposta ad uno stress fortissimo. Il fenomeno dei big data non è solo un fatto tecnologico, ma è reso possibile da tutti i dati messi a disposizione dagli utenti; c’è questo nel regolamento?”. Rodotà ha poi inserito nel quadro anche la neutralità della rete: “Come sapete c’è stata una dichiarazione molto esplicita di Obama che ha avuto addirittura ricadute in borsa; è chiaro che il discorso della tutela dei dati personali può apparire estraneo alla questione, ma io non penso sia così, perché è in ballo l’assetto complessivo dei soggetti che gestiscono i dati personali, in una dinamica nella quale sono ricomprese anche le questioni relative alla concorrenza. Perché se noi creiamo delle situazioni di difficoltà per alcuni operatori, generando disparità e ambiguità nell’accesso ai dati, non potremo non causare problemi di tutela. Detto in altre parole, due velocità di circolazione dei dati significano anche due velocità di protezione dei dati stessi. Secondo me questa questione dovrebbe trovare nel regolamento una sua qualche rilevanza”. Una sferzata alle procedure parlamentari è arrivata subito dopo dall’On. Lorenza Bonaccorsi, membro della Commissione Parlamentare per l’indirizzo generale e la vigilanza dei servizi radiotelevisivi: “Noi ci confrontiamo ogni giorno con un meccanismo di formazione della norma che è assolutamente inadeguato con le esigenze sottolineate dal Professor Rodotà: siamo portati a legiferare su tutto, persino su come debbano essere le lampadine dei semafori. Quando parliamo di governance di Internet e di efficienza delle regole io mi chiedo ogni giorno se quello che facciamo abbia un senso, perché la nostra visione è sempre troppo breve, ed è una frustrazione”. “Se il 45% della popolazione non usa internet la colpa è di chi aveva la responsabilità di capire dove stava andando il mondo: una dimensione globale che il Parlamento italiano non ha guardato. Oggi siamo in ritardo, il lavoro da fare è enorme e stiamo cercando di portarlo avanti, e questo anche oltre dall’alfabetizzazione digitale del Paese, dalla scuola alla Pubblica Amministrazione; è chiaro che sono passi importanti e significativi, ma non mi convince il discorso che se digitalizziamo la Pa abbiamo digitalizzato il Paese, perché c’è bisogno di riprendere un lavoro di infrastrutturazione, e su quello si fa più fatica. E anche su questi temi stiamo assistendo ad una discussione arretrata, si parla di scorporo della rete o meno, mentre bisogna passare ad un altro livello di dibattito”. LEGGI l’intervento dell’On. Michele Meta, Presidente della Commissione Trasporti, Poste e Comunicazioni presso la Camera dei Deputati Nella seconda parte del convegno si è passati alle relazioni accademiche curate da quattro dei soci fondatori dell’Accademia Italiana del Codice di Internet. Il Professor Salvatore Sica (Università di Salerno) è intervenuto con “La privacy: meno regole, più diritto“. “È chiaro – ha esordito – che ci sia un elemento di provocazione nel titolo della mia relazione, ma è perché io sono convinto che il dibattito in materia sia per gran parte fuorviante; spesso sembriamo intenti a guardare il dito piuttosto che la Luna. Abbiamo un’alluvione legislativa e regolamentare su vari livelli su questa materia, alluvione che probabilmente finisce per distrarre dal focus relativo ai temi. La miopia della visuale di nicchia sulla materia rischia di fare il gioco di chi vuole evitare l’interrogativo di fondo: qual è la filosofia che deve sorreggere l’intera disciplina normativa? Io dico che non possiamo prescindere ulteriormente dall’aspetto che riguarda il contesto, il quadro d’insieme, che è completamente diverso rispetto al passato, quando liberalismo e capitalismo andavano a braccetto; assistiamo invece ora ad un capitalismo in espansione, fortemente autoreferenziale che non ha un contraltare in un’autorità nazionale che abbia una funzione di controllo e di definizione dei limiti. Dobbiamo sforzarci culturalmente per uscire dalla spirale dell’intervento settoriale; bisogna dirci che non c’è ritorno dall’incessante scambio di informazione. Ed è in questo senso che bisogna operare un recupero del diritto, da cui discende il recupero delle regole”. “Cooperazione e competizione regolatoria nei rapporti EU-US: la Proposta di Regolamento alla luce del c.d. Datagate” è invece il titolo della relazione del Professor Giorgio Resta (Università di Bari), il quale ha evidenziato come “la lettura del regolamento sicuramente richiama l’attenzione sulla vicenda del Datagate, ma ci suggerisce di guardare cosa c’è dietro”, ripercorrendo così i momenti salienti del percorso che ha portato alla divaricazione tra la “strada nordamericana” e quella europea”: “La strada nordamericana si connota oltre che per l’assenza di un quadro unitario, ma anche per l’assenza di protezione costituzionale per il data privacy“. “In ogni caso, all’indomani dello scandalo Datagate all’indignazione dei cittadini e degli attori che operano a difesa dei diritti degli utenti non sono corrisposte significative azioni da parte dei governi europei, perché al di là delle formali proteste molte delle informazioni sui programmi di sorveglianza su questa sponda dell’Atlantico sono rimaste secretate”. Le questioni sollevate da dinamiche che non possono quindi essere confinato agli Stati Uniti sono quindi chiare: “Qual è la base giuridica della raccolta di dati personali per ragioni di pubblica sicurezza? Ha l’effettiva attuazione di tali programmi violato una o più principi giuridici nazionali o sovranazionali?”. La Prof.ssa Valeria Falce (Università Europea di Roma) ha a sua volta concentrato l’attenzione sul “One stop shop” e sull’efficienza dell’azione di vigilanza. [Consulta le slide dell’intervento] “Anche alla luce all’autorevole contributo degli Stati Membri, si ribadisce che condicio sine qua non per il funzionamento del mercato interno è l’approdo ad un quadro normativo armonizzato in cui lo stesso enforcement del diritto fondamentale della protezione dei dati personali sia conforme ai principi di convergenza, coerenza e non contraddizione nelle prassi nazionali. Il cambio di prospettiva è radicale. In forza della Direttiva del 1995 un’impresa che operava in più Stati Membri doveva confrontarsi con più Autorità di Protezione dei Dati, senza che operassero meccanismi di raccordo o coordinamento. Era quello un sistema che si giustificava e continua oggi a giustificarsi quando ci si confronta con un fenomeno locale. Ogni volta però che il trattamento non esaurisce i suoi effetti all’interno dei confini nazionali, quando cioè ci si confronta con comportamenti dall’impatto transfrontaliero, quell’architettura vacilla perché non regge alla prova, da un lato, dei pilastri fondanti il diritto dell’Unione orientati alla certezza legale, alla prevedibilità delle azioni e al legittimo affidamento; dall’altro, della globalizzazione dei mercati e della sfida dell’economia dell’economia dell’informazione e della conoscenza”. “Ecco allora che nell’ecosistema digitale – ha sottolineato la Prof.ssa Falce – il modello in essere svela limiti giuridici insuperabili a cui si aggiungono costi economici eccessivi. Di fronte al fallimento del modello attuale, due sono le spinte prevalenti: una forza centripeta che muove verso la convergenza sostanziale delle regole e del relativo enforcement e una forza centrifuga che rifiuta di rinunciare all’egemonia nazionale e diffida di un enforcement di diritti fondamentali che non sia radicato sul territorio e sulla cultura del luogo. Come conciliare queste due forze, di forza uguale e contraria? Difficile fornire una risposta, ma possibile contribuire grazie alla metrica del diritto comunitario della concorrenza, per la quale l’efficienza dell’azione di vigilanza passa attraverso l’armonizzazione e la modernizzazione delle regole, la concentrazione delle competenze, l’uniformazione delle prassi e solo successivamente il decentramento nell’enforcement cui si accompagna una nuova centralità: il governo del sistema delle regole”. Il chiusura, il Professor Oreste Pollicino (Università Bocconi) è intervenuto con “Interpretazione o manipolazione? Ovvero il senso della Corte di giustizia per la protezione dei dati personali nelle decisioni Google Spain e Digital Rights Ireland“. “Tutte le volte in cui gli stati membri dimostrano di non voler progredire nel percorso di arricchimento dell’acquis comunitario per via legislativa, ecco che la Corte di giustizia indossa, con una certa disinvoltura, va detto, i panni del judge made law e accelera per via giurisprudenziale. Non sembra qualcosa di assai dissimile sia accaduto rispetto alle ultime evoluzioni relative ai meccanismi di protezione dei dati personali presenti nell’ordinamento comunitario”. “Oramai da anni, a livello intergovernativo, si era deciso che fosse necessario uno scatto in avanti riguardo il livello di tutela della privacy europea, e che fosse indispensabile un atto di portata generale immediatamente vincolante ed obbligatorio in tutti i suoi elementi che portasse ad una maggiore uniformazione del dato normativo degli stati membri e che adeguasse i meccanismi di protezione dei dati al contesto digitale che, ovviamente, non era l’ambito elettivo di riferimento quando si è adottata la direttiva del 46/95. Ciò nonostante, il destino del regolamento generale a protezione dei dati personali, la cui approvazione, non a caso, ha subito un’accelerazione a seguito dell’intervento, a piedi uniti, della Corte di giustizia nelle due decisioni richiamate nel titolo della relazione, sembrava vincolato al superamento di veti incrociati di difficile risoluzione. “Una situazione di stagnazione – ha proseguito il Prof. Pollicino – cui i giudici comunitari rispondono in maniera decisa, con le due decisioni tra aprile e maggio del 2014, in cui sembra emergere la chiara volontà, parte degli stessi giudici, di prendere molto – forse troppo? – sul serio la protezione di un nuovo digital right to privacy. Un tentativo, in altre parole, da parte della Corte di giustizia, di adeguare, a legislazione invariata, alle caratteristiche tecniche del mondo dei bit quel Right to Privacy che Warren e Brandeis, per primi, nel 1890, avevano teorizzato sulla Harvard Law Review, pensando, ovviamente, ad un mondo di atomi. Un diritto alla privacy digitale che, seppure mai esplicitamente, i giudici di Lussemburgo enucleano fondandolo sulle due colonne portanti costituite dai al rispetto della vita privata ed al trattamento dei propri dati personali, previsti, rispettivamente, dagli artt. 7 ed 8 della Carta dei diritti fondamentali dell’Unione europea”. 14 novembre 2014