In questo articolo:
- Considerazioni sul libro “Il ruolo del Garante per la protezione dei dati personali”
- L’evoluzione del concetto di privacy, da diritto per pochi a universale
- La sfida dell’IoT per quanto riguarda il consenso al trattamento dei dati personali
- L’allarme di noyb sulle violazioni al GDPR delle aziende europee
“Una piccola comunità impegnata a proteggere i cittadini italiani dallo squilibrio delle nuove forme di potere informazionale e, talvolta, anche da loro stessi”: con queste parole Ginevra Cerrina Ferroni, vicepresidente del Garante per la Protezione dei Dati personali, riassume in maniera efficace il modo in cui le persone che lavorano per l’Autorità nazionale sembrano oggi interpretare il proprio ruolo, consapevoli delle aspettative maturate in seguito alla proliferazione incontrollata di servizi digitali e oggetti digitalizzati negli ultimi anni. La dichiarazione si legge, non a caso, nel contributo curato dalla vicepresidente stessa nel libro “Il ruolo del Garante per la protezione dei dati personali. La tutela di un diritto fondamentale tra sfide passate e scommesse per il futuro”, pubblicato dalla casa editrice Il Mulino in occasione dei primi venticinque anni del Garante.
Il GDPR, il ruolo del Garante e la responsabilizzazione dei titolari del trattamento
Una “piccola comunità”, quindi, composta da poche decine di persone (“una sessantina” secondo quanto affermato da Agostino Ghiglia, componente del Collegio del Garante, in occasione del Forum GDPR 2023 a Parma), il cui compito è quello di controllare e – in caso di illecito – sanzionare le modalità di trattamento dei dati personali da parte di un numero potenzialmente illimitato di enti pubblici e privati, in base al Regolamento generale sulla protezione dei dati (GDPR). Regolamento, che, come sottolineato sempre da Cerrina Ferroni, ha profondamente trasformato il ruolo del Garante stesso, spostando “il polo della responsabilizzazione sul Titolare del trattamento dei dati personali e lasciando all’Autorità di controllo il ruolo di ‘valutatore della valutazione’, mentre molti di quelli che erano compiti istituzionali dell’Autorità si sono trasformati in adempimenti del Titolare”.
Da “controllore” di aziende e amministrazioni pubbliche a “valutatore” di aziende e amministrazioni responsabilizzate, quindi, grazie alla presenza all’interno delle medesime di un professionista – il Data Protection Officer (DPO) – il quale svolge “le medesime funzioni che sotto il vecchio regime normativo erano in capo all’Autorità garante”. Un cambiamento culturale, ancora prima che giuridico, che l’Autorità ha interpretato al meglio delle sue possibilità, provando a svolgere un ruolo di mediatore tra le opposte esigenze di estrazione e circolazione delle informazioni riguardanti le persone e, all’opposto, la crescente richiesta da parte di queste ultime di ridurre al minimo la condivisione dei dati personali in base a quanto previsto dall’articolo 8 della Carta dei Diritti Fondamentali dell’Unione Europea.
Dal “diritto a essere lasciati da soli” al diritto al consenso sul trattamento dei dati personali
Più che una fedele ricostruzione storica, il volume pubblicato dal Mulino raccoglie una serie di contributi critici – si vedano in particolare gli interventi di Giovanni Pitruzzella, Antonio Baldassarre, Giuseppe Italiano, Giovanni Ziccardi e di Cerrina Ferroni stessa – con l’obiettivo di fare il punto sul ruolo assunto dal Garante nella delicata partita politica ed economica del governo dei dati su scala globale. In questo senso, il contributo della curatrice del volume è particolarmente importante perché ricorda come il diritto alla privacy sia tutto fuorché qualcosa di assoluto o immodificabile nel tempo, e di come esso potrebbe andare incontro a ulteriori evoluzioni da qui ai prossimi anni in virtù di una digitalizzazione diffusa di ogni aspetto della vita, privata o pubblica che sia.
Se fino alla metà del secolo scorso il diritto alla privacy si limitava alla tutela della riservatezza dei personaggi pubblici rispetto alle ingerenze dei giornalisti e della stampa scandalistica (il cosiddetto “diritto a essere lasciati soli/right to be let alone”), è solo negli ultimi sessant’anni e grazie al contributo di persone come il professore di diritto Alan Westin (il cui libro “Privacy and Freedom” risale al 1967) che esso è diventato il diritto universale di poter esercitare una forma di controllo sulla condivisione dei propri dati personali verso terzi, attraverso l’esercizio di un consenso consapevole, libero e informato. Ed è proprio la consapevolezza di questa evoluzione storica che getta un’ombra sul ruolo futuro del Garante, in un momento in cui il consenso sembra diventare sempre meno consapevole, sempre meno informato, quando non sempre meno libero (si pensi alla istruttoria sul CookieWall che vincola la lettura gratuita degli articoli dei giornali online all’accettazione dei cookie di profilazione, pendente da quasi 500 giorni).
Il Garante come raccoglitore e crocevia delle inquietudini che percorrono in maniera sotterranea gli abitanti della nuova società digitale
Non sfugge, a una lettura attenta del volume, la sensazione di una Autorità sulla quale – proprio in virtù del suo ruolo di “valutatore dei valutatori“- confluiscono segnalazioni, richieste di informazioni e d’aiuto e che più di altre è in grado di percepire le inquietudini che attraversano una società investita da un continuo susseguirsi di innovazioni tecnologiche e legislative, al punto da dover essere “protetta da se stessa” nelle innumerevoli occasioni di contatto con prodotti e servizi digitali (da ChatGpt agli smart speaker, sui quali le stesse linee guida del Garante sembrano esprimere una condizione di impotenza di fronte a una tecnologia da sempre inaffidabile dal punto di vista della tutela della privacy degli utenti). Una Autorità quindi che, più di tante altre, si interroga costantemente sulle potenzialità e i limiti di un Regolamento che sembra iniziare già ad accusare i suoi limiti.
La “più europea di tutte le autorità”, dati questi presupposti, potrebbe trovarsi da qui ai prossimi anni ad affrontare una delicata fase storica in cui il diritto alla privacy fondato sul consenso potrebbe essere seriamente messo in discussione dal moltiplicarsi esponenziale delle occasioni in cui il consenso stesso verrà richiesto agli utenti. Il rischio, a mio giudizio, è che l’atto di consentire o meno al trattamento dei dati personali possa diventare niente più che un gesto meccanico, per via dell’impossibilità di poter dedicare a ogni lampadina connessa, ogni sito web visitato, ogni app scaricata, ogni ambiente connesso visitato il tempo necessario a leggere le condizioni del trattamento dei dati personali e distinguere tra le varie e non sempre intuitive opzioni di riservatezza di prodotti e servizi digitali. Uno scenario tutt’altro che remoto, e che potrebbe aggravarsi in maniera proporzionale alla crescita del numero e della varietà degli oggetti dell’Internet delle Cose.
Secondo noyb 7 aziende su 10 non sono in regola con il GDPR, ma le sanzioni potrebbero non bastare (o non arrivare mai)
A questo proposito, è utile ricordare i risultati di un’indagine compiuta da noyb su oltre 1.000 Data Protection Officer intervistati a fine gennaio 2024, i quali hanno confermato come la maggioranza delle aziende non sia attualmente in regola con il GDPR a causa delle resistenze interne opposte dai responsabili del marketing, del business e degli stessi vertici aziendali rispetto alle policy più stringenti proposte dai DPO stessi. Il 74% delle aziende, secondo la ricerca, potrebbe risultare così inadempiente in caso di un controllo dei rispettivi Garanti nazionali, venendo in questo favorita dalla relativa scarsità di sanzioni effettivamente emesse dalle Autorità (si ricordi che su 9.000 reclami e segnalazioni ricevute nel 2022 il Garante italiano ha emesso poco più di 300 provvedimenti correttivi e sanzionatori).
La sensazione, terminata la lettura del libro, è quindi quella di una “piccola comunità” destinata a fare i conti con una mole di lavoro in continua crescita, dotata per legge di limitate possibilità di intervento rispetto alla potenziale quantità e qualità di possibili violazioni, e che concentra in sé compiti molto diversi e molto ambiziosi – valutare ma anche informare, sanzionare ma anche educare – per poter essere assolti da un’unica entità, sia pur dotata di maggiori risorse umane e materiali. In questo senso, la messa in discussione del valore dell’esercizio del consenso – estorto per sfinimento, più che attraverso pratiche illecite – a fronte di modalità di trattamento dei dati personali costantamente a rischio di non essere a norma potrebbe portare da qui ai prossimi anni a un profondo ripensamento del ruolo dell’Autorità quale “garante” unico del diritto alla privacy di milioni e milioni di persone, la cui tutela in futuro appare nello scenario attuale più una “scommessa” (come da titolo del libro) che un risultato acquisito una volta per tutte.
