Cookie free: nessun "biscotto" per spiare i lettori

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

Giovanni Buttarelli: la privacy dei prossimi vent'anni

- Intervista di Manlio Cammarata - 8 maggio 2017
In Italia ha curato l'iter parlamentare della legge 675/96 e poi del "Codice privacy". Ora, come super-Garante europeo, ha un ruolo determinante nella formazione della normativa di seconda generazione. Giovanni Buttarelli risponde a una serie di domande sull'efficacia del Regolamento 679/2016 per la protezione della nostra vita privata, nell'era dei Big Data e della profilazione.

D. Dottor Buttarelli, Big Data, internet delle cose, machine learning, intelligenza artificiale, algoritmi, profilazione sono parole-chiave della nostra epoca, che implicano gravi minacce alla nostra vita privata. Fino a che punto i due regolamenti sulla protezione dei dati, che saranno definitivamente applicabili tra un anno, risolveranno i problemi dei prossimi venti?

R. Questa nuova generazione di regole europee è orientata al futuro e focalizzata più su effettive modalità di salvaguardia che su adempimenti formali. Questo pacchetto regolatorio è stato ideato nel 2011 – 2012, ha visto la luce nel 2013: ha richiesto quattro anni di negoziazione a Bruxelles, che rappresentano un record nella storia legislativa europea. Entrerà in vigore pienamente nel maggio del prossimo anno e comporterà alcuni adempimenti attuativi. Quindi sarà completo con la costellazione di norme complementari come, ad esempio, il regolamento sulla cosiddetta e-privacy, tra il 2018 e il 2020. Alcune sue previsioni risentono già dei cambiamenti sottesi a un mondo che evolve velocemente.
Tuttavia resta un importante cambiamento, che una rivoluzione copernicana che attua il trattato di Lisbona e la Carta dei diritti fondamentali. È impensabile che sia cambiato nella sostanza prima di dieci-quindici anni e ogni discussione legislativa richiederà altri anni per la sua negoziazione e per la sua entrata in vigore. Quindi è destinato a durare almeno un ventennio, come la direttiva del '95, periodo che però rappresenta, al contrario della direttiva, un secolo.
Per questo lo considero un successo, anche per la mia istituzione –- un successo iniziale, non finale – come si può anche verificare dalla app che abbiamo posto gratuitamente su Google e sull'Apple Store, documentando la storia del Regolamento e delle diverse posizioni prese dalla Commissione, dal Consiglio, dal Parlamento e da questa Autorità (il Garante europeo, European Data Protection Supervisor n.d.r.). Considero un successo la circostanza che venticinque su quarantasette previsioni, che parlavano di altre misure legislative a cura della Commissione UE, siano state sostituite da un riferimento a strumenti di guidance molto più flessibili, adottati dai ventinove regolatori (dei ventotto Paesi membri, più l'EDPS), con il fine di adattare questi princìpi, in maniera dinamica, allo sviluppo incessante della tecnologia. Ciò anche sulla base di una consultazione obbligatoria del settore, perché altrimenti non possiamo dare risposte efficaci. E con la consapevolezza che le regole, in un mondo che sta per conoscere la quarta rivoluzione industriale, quella dei Big Data, non si possono dare tutte le risposte solo con le norme sulla protezione dei dati. Per questo, abbiamo detto che è necessaria una riflessione sui valori etici complementari, che sottendono allo sviluppo delle nuove tecnologie, e per questo abbiamo ottenuto l'assegnazione dei cosiddetti "Giochi olimpici della privacy", che si terranno a Bruxelles nell'ottobre del 2018, con la partecipazione di tutte le autorità regolatorie del pianeta. Valuteremo tutti insieme che cosa va fatto in più rispetto al quadro legislativo.

D. Da vent’anni abbiamo un sistema di norme che dovrebbero difenderci dalle invasioni nella nostra vita privata. Ma basta contare le telefonate commerciali che riceviamo in continuazione, o esaminare le informative menzognere sui cookie presenti in quasi tutti i siti internet, per rendersi conto che le regole sono sistematicamente aggirate o violate, senza risposte efficaci da parte degli organismi di controllo nazionali. Quale sarà l’efficacia delle nuove regole?

R. Che le regole attuali non siano state oggetto di efficaci applicazioni è un dato di fatto. Che cosa cambia? Primo, questo regolamento europeo armonizza di più, perché uno dei problemi derivava dalla pluralità degli approcci a livello nazionale. Secondo, incrementa molto i diritti degli interessati, incrementa il potere delle Autorità garanti, che diventano anche più responsabili per ciò che fanno o non fanno. Anche perché la Corte di giustizia europea, in tre decisioni importanti, riguardanti Austria, Ungheria e Germania, ha detto che l'indipendenza, da rafforzare, ha un'altra faccia della medaglia. Viene chiamata accountability, e comporta in pratica che occorrere rendere conto meglio dell'efficacia del proprio operato.
È chiaro, poi, che il risultato di ogni processo legislativo deve essere assaggiato, come un budino. Non sappiamo se funzionerà o meno, ma credo che ora la situazione sia molto diversa. Tanti anni fa abbiamo avuto prima la discussione se si dovesse regolare l’online in maniera diversa dall’offline. Poi, abbiamo avuto la discussione self-regulation versus regulation.
Ora il professor Graham Greenleaf ha analizzato dall'Australia centoventuno leggi nazionali sulla privacy nell'intero pianeta (di cui cinquantasette fuori dell'Europa intesa in senso largo, ovvero non necessariamente nell’UE) , e ne ha dedotto che molte hanno seguito di più, in un modo o nell'altro, il modello europeo. Nel gennaio del 2016 il Giappone ha varato una legge che non è identica al modello europeo, ma comunque ne assimila molte nozioni. Il che significa che l'Europa, che è in ritardo dal punto di vista dell'evoluzione tecnologica, ha una leadership su certi di approcci regolatori.

D. Il Regolamento pone regole stringenti ai trasferimenti verso paesi che non offrono garanzie di protezione paragonabili a quelle europee. Saranno efficaci?

R. Il trasferimento dei dati all'estero per un verso diventa più semplice, perché è più facile l’approvazione coordinata delle cosiddette binding corporate rules e perché c'è la conferma della validità di strumenti flessibili, come le clausole-tipo contrattuali. Le regole diventano interoperabili, con le binding corporate rules adottate in ambito APEC. Però c'è più efficacia nel controllo di cosa accade quando i dati sono stati trasferiti fuori dall'Unione.

D. Fra gli Stati che non offrono garanzie "adeguate" ci sono gli USA, dove hanno sede i maggiori "profilatori". Il Safe Harbor si è dimostrato un fallimento, il Privacy Shield rischia di fare la stessa fine, soprattutto dopo che i grandi operatori di telecomunicazioni americani sono stati autorizzati a vendere i dati degli utenti finali senza il loro consenso. Che mezzi ha l’Europa per affrontare questa situazione?

R. Sono appena tornato da una lunga missione negli Stati Uniti e per il momento applico il principio no news good news. Lo stesso motto di Papa Francesco, il quale ha detto che all'amministrazione americana va dato il tempo di dimostrare che, quando si agisce come governi, si possono fare cose diverse dalle parole usate nelle campagne elettorali.
L'Europa sta aspettando segnali importanti su quattro o cinque temi che riguardano la Section 702 del loro FISA (Foreign Intelligence Surveillance Act, la legge sulla sorveglianza e l'intelligence stranieri, n.d.r.), il futuro dell'Executive Order 12/333 e la direttiva presidenziale PPD 28. Stiamo aspettando segnali anche per quanto riguarda il funzionamento degli organi indicati a garanzia del trattamento dei dati che riguardano anche i cittadini europei, che sono la Federal Trade Commission e il cosiddetto PCLOB..
Vedremo, perché in autunno, dopo solo un anno, è fissata la prima Joint Review del Privacy Shield, per evitare che questo strumento, che sostituisce il precedente Safe Harbor in quanto non aveva un'applicazione effettiva, funzioni solo sulla carta e non nella sostanza. L'Europa è molto ferma nel chiedere che ciò che è stato negoziato per il Privacy Shield sia rispettato nell'applicazione ed è per questo che l'UE invierà, ora, dei questionari a alcune imprese americane, per chiedere di riferire sullo stato di applicazione.

D. Poniamo il caso che io telefoni a un corrispondente negli USA. Il carrier americano può tranquillamente comunicare i dati della mia chiamata a qualsiasi operatore europeo. Non c’è "scudo" che tenga. O no? Come può un cittadino europeo opporsi a un trattamento operato in un Paese terzo?

R. Qui abbiamo forse il cambiamento più importante del Regolamento. Perché fino a oggi noi applicavamo un principio misto di territorialità e di stabilimento e quindi applicavamo le regole europee a chi operava sul territorio dell'Unione ovvero a chi vi aveva istituito un cosiddetto "stabilimento". Per molto tempo questa nozione di stabilimento è stata mutuata dalla materia fiscale, ma di recente la Corte di giustizia, in un caso che riguardava una diversità di opinioni fra le autorità regolatorie in Ungheria e in Slovacchia, ha deciso che può essere "stabilimento", per dirla per giuoco, anche "due camere e cucina", o un computer con solo un omino davanti: l'importante è che cosa si fa in concreto e quali decisioni vengono prese nel contesto delloo "stabilimento".
In quel caso si trattava semplicemente di qualcuno che andava al di là della frontiera per esigenze di geolocalizzazione, ma svolgeva attività incisive sulla popolazione ungherese. Quindi è stato giudicato soggetto alla giurisdizione ungherese. Il cambiamento che si verificherà a partire dal maggio del prossimo anno – e non c'è periodo di grazia – è questo: valgono le regole europee anche se un'impresa non sarà fisicamente presente nel territorio di uno Stato membro e non si potrà dire che ha uno stabilimento nel territorio dello Stato (perché non ha un quartier generale o altro), qualora opererà comunque online, da remoto, offrendo beni e servizi, oppure profilando persone. Allora, sarà costretta ad applicare i regolamenti europei, prima ancora di applicare le regole sul trasferimento dei dati. Perché il Privacy Shield, come anche altri strumenti, si applica solo dal momento del trasferimento. Ma prima del trasferimento si applicheranno le regole europee a tutte le operazioni di trattamento, se uno è soggetto alle regole europee. Ma se è nell'Ohio o nel Vermont e non fa nulla in Europa, e un giorno vuole ricevere dati dall'Europa, oggi è soggetto alla normativa europea nel momento in cui riceve i dati. Domani, cioè dal 25 maggio 2018, l'impresa dell'Ohio che offrirà beni e servizi qui, e profilerà dall'Ohio, sarà soggetta al Regolamento ventiquattr'ore su ventiquattro.

D. Questo è il punto: come si fa a sanzionare un'azienda che sta nell'Ohio?

R. Già oggi il diritto europeo conosce sanzioni formali applicate a imprese di Paesi terzi. Si pensi ai casi anti-trust gestiti dalla Commissione europea contro Google, Facebook, Microsoft, Apple... Si è stabilito che Apple deve pagare le tasse in Europa e le competenti autorità hanno applicato la sanzione.

D. Un titolare europeo può applicare subito il Regolamento?

R. Il Regolamento è già in vigore.

D. Ma non è "applicabile". Qualcuno dice che in Italia non si può scegliere di applicare il Regolamento fino al 24 maggio 2018.

R. Ma no, una cosa del genere è contra legem. Un regolamento europeo, a differenza di altre norme, distingue tra "pubblicazione", "entrata in vigore" e "integrale applicazione". "Integrale applicazione" significa che se ne può pretendere l'applicazione a partire da una certa data, con un eventuale enforcement, che, prima della data di integrale applicazione, le autorità competenti non possono sanzionare il mancato rispetto delle nuove disposizioni. Ma nulla vieta oggi a un'impresa di anticipare i tempi rispetto al 25 maggio del prossimo anno.

D. La profilazione è lo spettro della privacy. Le disposizioni del regolamento 679/2016 non sembrano del tutto efficaci per proteggere l’interessato dalla profilazione. L’articolo 21 prevede per l’interessato il diritto di opporsi ai trattamenti, compresa la profilazione, solo "per motivi connessi alla sua situazione particolare", espressione che dice tutto e nulla e può essere fonte di interminabili discussioni interpretative. L’articolo 22 conferma il diritto, già presente nella prima normativa, "di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona". In sostanza sembra che l’interessato non abbia il diritto di opporsi tout court alla profilazione, né di conoscere quale sia effettivamente il suo profilo (che, va ricordato, è determinato da algoritmi). Dobbiamo concludere che la profilazione è un processo inevitabile, una specie di condanna senza possibilità di appello?

R. Sono preoccupazioni legittime, ma non c'è problema di sorta. Perché, per quanto riguarda la profilazione a fini di marketing, è rimasta e rimarrà nell'articolo 21.2 e non c'è bisogno di dimostrare nulla che riguardi la situazione particolare dell'interessato. Io posso oppormi alla profilazione a fini di marketing e mi oppongo punto e basta. Mi oppongo a prescindere dal fatto che ci sia o meno una base legale, magari che io prima abbia dato il consenso e poi lo abbia revocato, o perché i dati siano stati presi da una fonte pubblica. Io non voglio essere più oggetto di una profilazione a fini di marketing e per esercitare questo mio diritto non devo dimostrare alcunché. L'altro diritto, quello di cosiddetta opposizione per motivi legittimi, che anche oggi è nella legge italiana (che ha anticipato il Regolamento), riguarda una straordinaria misura in più, che prescinde dal fatto che qualcuno sia oggetto di marketing e anche dal fatto che il trattamento sia legittimo o meno. Anche se il trattamento è pienamente legittimo e corretto, perché ha una base legale, o perché c'è addirittura un obbligo di legge, o perché c'è una clausola contrattuale, io chiedo di personalizzare la tutela, per un motivo che riguarda specificamente me. Posso oppormi a certi aspetti, a certe modalità, o integralmente e chiedo una considerazione specifica della mia posizione. Questo è uno straordinario strumento di personalizzazione del diritto, che si aggiunge al diritto di essere informato, e va anche oltre il trattamento automatizzato. In conclusione, io mi posso opporre tout court alla profilazione.

D. Forse nell'ancora non definitivo regolamento "E-privacy" questo aspetto è meglio determinato, perché le applicazioni stesse dovranno offrire all'interessato la possibilità di opporsi ex-ante a determinati trattamenti.

R. Appunto. Se no, perché ci stiamo dando tanto da fare?

Per intervenire nel Forum, clicca qui
Inizio pagina      Indice del Forum      Home

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2017 -  Informazioni sul copyright