In Italia ha curato l'iter
parlamentare della legge 675/96 e poi del "Codice privacy". Ora,
come super-Garante europeo, ha un ruolo determinante nella formazione della normativa di seconda generazione. Giovanni
Buttarelli risponde a una serie di domande sull'efficacia del
Regolamento 679/2016 per la protezione della nostra vita privata,
nell'era dei Big Data e della profilazione. |
|
|
D. Dottor Buttarelli, Big Data, internet delle cose,
machine learning, intelligenza artificiale, algoritmi, profilazione sono
parole-chiave della nostra epoca, che implicano gravi minacce alla nostra vita
privata. Fino a che punto i due regolamenti sulla protezione dei dati, che
saranno definitivamente applicabili tra un anno, risolveranno i problemi dei
prossimi venti?
R. Questa nuova generazione di regole europee è orientata al futuro e
focalizzata più su effettive modalità di salvaguardia che su adempimenti
formali. Questo pacchetto regolatorio è stato ideato nel 2011 – 2012, ha visto
la luce nel 2013: ha richiesto quattro anni di negoziazione a Bruxelles, che
rappresentano un record nella storia legislativa europea. Entrerà in vigore
pienamente nel maggio del prossimo anno e comporterà alcuni adempimenti
attuativi. Quindi sarà completo con la costellazione di norme complementari
come, ad esempio, il regolamento sulla cosiddetta e-privacy, tra il 2018 e il
2020. Alcune sue previsioni risentono già dei cambiamenti sottesi a un mondo
che evolve velocemente.
Tuttavia resta un importante cambiamento, che una rivoluzione copernicana che
attua il trattato di Lisbona e la Carta dei diritti fondamentali. È impensabile che
sia cambiato nella sostanza prima di dieci-quindici anni e ogni discussione
legislativa richiederà altri anni per la sua negoziazione e per la sua entrata
in vigore. Quindi è destinato a durare almeno un ventennio, come la direttiva del '95,
periodo che però rappresenta, al contrario della direttiva, un secolo.
Per questo lo considero un successo, anche per la mia istituzione –- un successo
iniziale, non finale – come si può anche verificare dalla app che abbiamo posto
gratuitamente su Google e sull'Apple Store, documentando la storia del Regolamento e
delle diverse posizioni prese dalla Commissione, dal Consiglio, dal Parlamento e
da questa Autorità (il Garante europeo, European Data Protection Supervisor
n.d.r.). Considero un successo la circostanza che venticinque su quarantasette
previsioni, che parlavano di altre misure legislative a cura della Commissione
UE, siano state sostituite da
un riferimento a strumenti di guidance molto più flessibili, adottati
dai ventinove regolatori (dei ventotto Paesi membri, più l'EDPS), con il fine di
adattare questi princìpi, in maniera dinamica, allo sviluppo incessante della
tecnologia. Ciò anche sulla base di una consultazione obbligatoria del settore,
perché altrimenti non possiamo dare risposte efficaci. E con la consapevolezza che le regole, in un mondo che sta per conoscere la quarta
rivoluzione industriale, quella dei Big Data, non si possono dare tutte le
risposte solo con le norme sulla protezione dei dati. Per questo, abbiamo detto che è necessaria una riflessione sui valori
etici complementari, che sottendono allo sviluppo delle nuove tecnologie, e per
questo abbiamo ottenuto l'assegnazione dei cosiddetti "Giochi olimpici
della privacy", che si terranno a Bruxelles nell'ottobre del 2018, con la
partecipazione di tutte le autorità regolatorie del pianeta. Valuteremo tutti
insieme che cosa va fatto in più rispetto al quadro legislativo.
D. Da vent’anni abbiamo un sistema di norme che dovrebbero
difenderci dalle invasioni nella nostra vita privata. Ma basta contare le
telefonate commerciali che riceviamo in continuazione, o esaminare le
informative menzognere sui cookie presenti in quasi tutti i siti internet, per
rendersi conto che le regole sono sistematicamente aggirate o violate, senza
risposte efficaci da parte degli organismi di controllo nazionali. Quale sarà l’efficacia
delle nuove regole?
R. Che le regole attuali non siano state oggetto di efficaci
applicazioni è un dato di fatto. Che cosa cambia? Primo, questo regolamento
europeo armonizza di più, perché uno dei problemi derivava dalla pluralità
degli approcci a livello nazionale. Secondo, incrementa molto i diritti degli
interessati, incrementa il potere delle Autorità garanti, che diventano anche
più responsabili per ciò che fanno o non fanno. Anche perché la Corte di
giustizia europea, in tre decisioni importanti, riguardanti Austria, Ungheria e
Germania, ha detto che l'indipendenza, da rafforzare, ha un'altra faccia della
medaglia. Viene chiamata accountability, e comporta in pratica che
occorrere rendere conto meglio dell'efficacia del proprio operato.
È chiaro, poi, che il risultato di ogni processo legislativo deve essere assaggiato,
come un budino. Non sappiamo se funzionerà o meno, ma credo che ora la
situazione sia molto diversa. Tanti anni fa abbiamo avuto prima la discussione
se si dovesse regolare l’online in maniera diversa dall’offline. Poi, abbiamo
avuto la discussione self-regulation versus regulation.
Ora il professor Graham Greenleaf ha analizzato dall'Australia centoventuno leggi
nazionali sulla privacy nell'intero pianeta (di cui
cinquantasette fuori dell'Europa intesa in senso largo, ovvero non
necessariamente nell’UE) , e ne ha dedotto che molte hanno seguito di
più, in un modo o nell'altro, il modello europeo. Nel gennaio del 2016 il
Giappone ha varato una legge che non è identica al modello europeo, ma comunque
ne assimila molte nozioni. Il che significa che l'Europa, che è in ritardo dal
punto di vista dell'evoluzione tecnologica, ha una leadership su certi di
approcci regolatori.
D. Il Regolamento pone regole stringenti ai trasferimenti
verso paesi che non offrono garanzie di protezione paragonabili a quelle
europee. Saranno efficaci?
R. Il trasferimento dei dati all'estero per un verso diventa più
semplice, perché è più facile l’approvazione coordinata delle cosiddette binding
corporate rules e perché c'è la conferma della validità di strumenti
flessibili, come le clausole-tipo contrattuali. Le regole diventano
interoperabili, con le binding corporate rules adottate in ambito APEC.
Però c'è più efficacia nel controllo di cosa accade quando i dati sono stati
trasferiti fuori dall'Unione.
D. Fra gli Stati che non offrono garanzie
"adeguate" ci sono gli USA, dove hanno sede i maggiori "profilatori".
Il Safe Harbor si è dimostrato un fallimento, il Privacy Shield rischia di fare
la stessa fine, soprattutto dopo che i grandi operatori di telecomunicazioni
americani sono stati autorizzati a vendere i dati degli utenti finali senza il
loro consenso. Che mezzi ha l’Europa per affrontare questa situazione?
R. Sono appena tornato da una lunga missione negli Stati Uniti e per
il momento applico il principio no news good news. Lo stesso motto di
Papa Francesco, il quale ha detto che all'amministrazione americana va dato il tempo
di dimostrare che, quando si agisce come governi, si possono fare cose diverse
dalle parole usate nelle campagne elettorali.
L'Europa sta aspettando segnali importanti su quattro o cinque temi che
riguardano la Section 702 del loro FISA (Foreign Intelligence
Surveillance Act, la legge sulla sorveglianza e l'intelligence stranieri,
n.d.r.), il futuro dell'Executive Order 12/333 e la direttiva
presidenziale PPD 28. Stiamo aspettando segnali anche per quanto riguarda il
funzionamento degli organi indicati a garanzia del trattamento dei dati che
riguardano anche i cittadini europei, che sono la Federal Trade Commission
e il cosiddetto PCLOB..
Vedremo, perché in autunno, dopo solo un anno, è fissata la prima Joint Review del Privacy Shield, per evitare che questo strumento, che sostituisce
il precedente Safe Harbor in quanto non aveva un'applicazione effettiva, funzioni solo
sulla carta e non nella sostanza. L'Europa è molto ferma nel chiedere che ciò
che è stato negoziato per il Privacy Shield sia rispettato nell'applicazione ed è per questo che
l'UE invierà, ora, dei questionari a alcune imprese americane, per chiedere di
riferire sullo stato di applicazione.
D. Poniamo il caso che io telefoni a un corrispondente negli
USA. Il carrier americano può tranquillamente comunicare i dati della mia
chiamata a qualsiasi operatore europeo. Non c’è "scudo" che tenga.
O no? Come può un cittadino europeo opporsi a un trattamento operato in
un Paese terzo?
R. Qui abbiamo forse il cambiamento più importante del Regolamento.
Perché fino a oggi noi applicavamo un principio misto di territorialità e di
stabilimento e quindi applicavamo le regole europee a chi operava sul territorio dell'Unione
ovvero a chi vi aveva istituito un cosiddetto "stabilimento". Per molto
tempo questa nozione di stabilimento è stata mutuata dalla materia fiscale, ma
di recente la Corte di giustizia, in un caso che riguardava una diversità di
opinioni fra le autorità regolatorie in Ungheria e in Slovacchia, ha deciso che
può essere "stabilimento", per dirla per giuoco, anche "due camere e
cucina", o un computer con solo un omino davanti: l'importante è che cosa si fa
in concreto e quali decisioni vengono prese nel contesto delloo
"stabilimento".
In quel caso si trattava semplicemente di qualcuno che andava al di là della
frontiera per esigenze di geolocalizzazione, ma svolgeva attività incisive
sulla popolazione ungherese. Quindi è stato giudicato soggetto alla
giurisdizione ungherese. Il cambiamento che si verificherà a partire dal maggio
del prossimo anno – e non c'è periodo di grazia – è questo: valgono le
regole europee anche se
un'impresa non sarà fisicamente presente nel territorio di uno Stato membro e
non si potrà dire che ha uno stabilimento nel territorio dello Stato
(perché non ha un quartier generale o altro), qualora opererà comunque online, da remoto,
offrendo beni e servizi, oppure profilando persone. Allora, sarà costretta
ad applicare i regolamenti europei, prima ancora di applicare le regole sul
trasferimento dei dati. Perché il Privacy Shield, come anche altri strumenti,
si applica solo dal momento del trasferimento. Ma prima del trasferimento si
applicheranno
le regole europee a tutte le operazioni di trattamento, se uno è soggetto alle regole europee. Ma se è nell'Ohio o
nel Vermont e non fa nulla in Europa, e un giorno vuole ricevere dati
dall'Europa, oggi è soggetto alla normativa europea nel momento in cui riceve i
dati. Domani, cioè dal 25 maggio 2018, l'impresa dell'Ohio che offrirà beni e
servizi qui, e profilerà dall'Ohio, sarà soggetta al Regolamento ventiquattr'ore
su ventiquattro.
D. Questo è il punto: come si fa a sanzionare un'azienda
che sta nell'Ohio?
R. Già oggi il diritto europeo conosce sanzioni formali applicate a
imprese di Paesi terzi. Si pensi ai casi anti-trust gestiti dalla Commissione
europea contro Google, Facebook, Microsoft, Apple... Si è stabilito che Apple
deve pagare le tasse in Europa e le competenti autorità hanno applicato la sanzione.
D. Un titolare europeo può applicare subito il Regolamento?
R. Il Regolamento è già in vigore.
D. Ma non è "applicabile". Qualcuno dice che in
Italia non si può scegliere di applicare il Regolamento fino al 24 maggio 2018.
R. Ma no, una cosa del genere è contra legem. Un regolamento
europeo, a differenza di altre norme, distingue tra "pubblicazione",
"entrata in vigore" e "integrale applicazione".
"Integrale applicazione" significa che se ne può pretendere l'applicazione a
partire da una certa data, con un eventuale enforcement, che, prima della data
di integrale applicazione, le autorità competenti non possono sanzionare il mancato
rispetto delle nuove disposizioni. Ma nulla vieta oggi a un'impresa di
anticipare i tempi rispetto al 25 maggio del prossimo anno.
D. La profilazione è lo spettro della privacy. Le
disposizioni del regolamento 679/2016 non sembrano del tutto efficaci per
proteggere l’interessato dalla profilazione. L’articolo 21 prevede per l’interessato
il diritto di opporsi ai trattamenti, compresa la profilazione, solo "per
motivi connessi alla sua situazione particolare", espressione che dice
tutto e nulla e può essere fonte di interminabili discussioni interpretative. L’articolo
22 conferma il diritto, già presente nella prima normativa, "di non essere
sottoposto a una decisione basata unicamente sul trattamento automatizzato,
compresa la profilazione, che produca effetti giuridici che lo riguardano o che
incida in modo analogo significativamente sulla sua persona". In sostanza
sembra che l’interessato non abbia il diritto di opporsi tout court alla
profilazione, né di conoscere quale sia effettivamente il suo profilo (che, va
ricordato, è determinato da algoritmi). Dobbiamo concludere che la profilazione
è un processo inevitabile, una specie di condanna senza possibilità di
appello?
R. Sono preoccupazioni legittime, ma non c'è problema di sorta.
Perché, per quanto riguarda la profilazione a fini di marketing, è rimasta e
rimarrà nell'articolo 21.2 e non c'è bisogno di dimostrare nulla che riguardi
la situazione particolare dell'interessato. Io posso oppormi alla profilazione a
fini di marketing e mi oppongo punto e basta. Mi oppongo a prescindere dal fatto che ci sia
o meno una base legale, magari che io prima abbia dato il consenso e poi lo abbia
revocato, o perché i dati siano stati presi da una fonte pubblica. Io non
voglio essere più oggetto di una profilazione a fini di marketing e per
esercitare questo mio diritto non devo dimostrare alcunché. L'altro diritto,
quello di cosiddetta opposizione per motivi legittimi, che anche oggi è nella legge italiana
(che ha anticipato il Regolamento), riguarda una straordinaria misura in più,
che prescinde dal fatto che qualcuno sia oggetto di marketing e anche dal fatto
che il trattamento sia legittimo o meno. Anche se il trattamento è pienamente
legittimo e corretto, perché ha una base legale, o perché c'è addirittura un
obbligo di legge, o perché c'è una clausola contrattuale, io chiedo di
personalizzare la tutela, per un motivo che riguarda specificamente me. Posso
oppormi a certi aspetti, a certe modalità, o integralmente e chiedo una
considerazione specifica della mia posizione. Questo è uno straordinario
strumento di personalizzazione del diritto, che si aggiunge al diritto di essere
informato, e va anche oltre il trattamento automatizzato. In conclusione, io mi
posso opporre tout court alla profilazione.
D. Forse nell'ancora non definitivo regolamento "E-privacy"
questo aspetto è meglio determinato, perché le applicazioni stesse dovranno
offrire all'interessato la possibilità di opporsi ex-ante a determinati
trattamenti.
R. Appunto. Se no, perché ci stiamo dando tanto da fare?
|