“Il Commissario Agcom Nicita ha fatto bene a mettere il ‘gatto sul tavolo’, a porre una questione delicata e sensata, avviando il confronto”: è questa la prima considerazione di Luca Bolognini, Presidente dell’Istituto Italiano Privacy, in merito alla proposta di fusione fra Agcom e Garante Privacy. Ed è proprio sul confronto che Bolognini accende i riflettori: “Sarei anche d’accordo sugli obiettivi, in linea di principio, ma credo serva molta cautela nell’immaginare una fusione”.
Bolognini, d’accordo sì ma con riserva.
Mi permetta di portare immagini e idee non giuridiche, per spostare la prospettiva. Il cliché vuole che i dati personali siano il nuovo petrolio, e da anni questo è un banale luogo comune da cui, peraltro, io dissento nel merito. Mi convince maggiormente un’altra metafora: che i dati personali siano il “quinto elemento naturale” del mondo in cui l’essere umano esiste e vive, dopo terra, aria, fuoco e acqua. Questa suggestione dovrebbe indurci a pensare, più che a una convergenza esterna tra diverse competenze di distinte autorità, a una forma di “immanenza sostanziale” delle tutele giuridiche nell’era digitale.
Dunque quali sarebbero secondo lei i pro di un’integrazione degli “asset” e quali i contro?
Il risparmio delle risorse economiche, evidentemente, sarebbe un pro. Anche la centralizzazione in capo ad un’unica Authority della piena visibilità sulle dinamiche di mercato e di informazione nel digitale, che spesso “si tengono insieme” con le finalità dei trattamenti di dati e dei meta-dati personali, ne sono causa e obiettivo. È senz’altro vero, poi, che le autorità del futuro dovranno essere in grado di assicurare la difesa del cittadino, del contribuente, del consumatore, di tutti noi dai possibili abusi e soprusi causati e imposti (impersonalmente, automaticamente, silenziosamente) da regole informatiche che avranno progressivamente più peso delle norme di legge: per fare questo serviranno competenze continuamente aggiornate e convergenti. Ma vedo anche diversi contro, potenzialmente gravi. Il Garante per la protezione dei dati personali mira alla salvaguardia di diritti fondamentali e inviolabili delle persone fisiche – la protezione dei loro dati e della loro riservatezza (in ultimo, della nostra libertà e dignità) – che non appartengono necessariamente alla stessa famiglia di diritti e libertà a cui dedica le proprie attenzioni e competenze Agcom, spesso con taglio inevitabilmente più economico e di mercato o politico e civile. La convergenza di poteri, competenze e compiti rischia di essere confusiva.
Il tema delle “fusioni” fra Authority di vario tipo è stato affrontato anche in passato: è arrivato il momento di fare un ragionamento nell’ottica di un’Authority “alta” sul digitale? Con dentro tutti i “pezzi” del puzzle?
Ragionando per “fusioni successive”, in virtù della prossimità di campo, si dovrebbe allora auspicare perfino un’unione di Garante Privacy e AgCom con Antitrust. Dopotutto, è stata proprio quest’ultima ad usare negli ultimi anni argomenti di protezione dei dati personali per motivare proprie sanzioni a grandi operatori, anche digitali. Ma non si finirebbe più di fondere, per arrivare a una “reductio ad unum” di sapore omeopatico. Ripeto, non sarei contrario in linea di principio e capisco le buone intenzioni di questa proposta, ma invito alla massima prudenza: è vero che si potrebbero mantenere Dipartimenti separati all’interno di un’unica Autorità, ma il Collegio sarebbe comunque uno solo. E il peso nei confronti delle grandi piattaforme globali può ben derivare dall’entità delle sanzioni e dei poteri di limitazione o inibitori, quand’anche esercitati da più Autorità separatamente: in tal senso, un più intenso coordinamento tra esse sarebbe senz’altro necessario ed opportuno. Non le sembra strano che l’Agcm, nel motivare suoi provvedimenti sanzionatori su condotte di trattamento scorretto dei dati dei consumatori, oggi debba passare da un parere di Agcom e non anche del Garante Privacy? Andrebbero modificate chirurgicamente le leggi, per migliorare la cooperazione tra authority.
Cosa dobbiamo aspettarci in tema di privacy di qui ai prossimi anni? Quali sono i temi e le sfide più importanti?
Sia nel settore pubblico sia nel settore privato, ci sarà la tentazione – anche legittima – di un uso “estremo” delle nuove tecnologie. Si tratterà di proteggerci da oggetti e da minacce non umane, poco tracciabili e “responsabilizzabili”. In ogni caso, proteggere i diritti alla protezione dei dati personali e alla riservatezza significherà occuparsi di algoritmi, decisioni automatizzate, Intelligenza Artificiale, umanità aumentata (o perfino sostituita). La commistione tra fisico e virtuale – trattamenti di dati che generano effetti materiali, fisici, da un lato, e fenomeni fisici che generano dati, dall’altro – trasformerà in pochi anni la protezione dei dati personali in “protezione degli effetti personali”. Nel 2026 questo sarà pane quotidiano per l’Autorità, probabilmente ben prima. Le tutele andranno applicate senza, tuttavia, demonizzare o impedire a priori l’intraprendenza innovatrice di imprese ed enti che stanno modernizzando i servizi e i prodotti: un’innovazione rispettosa di princìpi etico-umanistici migliora la vita di tutti noi, non ha senso inibirla in via generale ed astratta solo perché implica rischi di potenziale “duplice utilizzo” maligno. Un’interpretazione troppo burocratica o letterale del Gdpr, per esempio, già oggi metterebbe fuori legge qualsiasi Big data analysis. Proprio in preparazione di queste sfide, guardo con senso di responsabilità civile, e con interesse scientifico da addetto ai lavori, alla primavera-estate del 2019 quando il Parlamento dovrà designare i 4 nuovi componenti del Collegio del Garante per la protezione dei dati personali.
Cosa può dirci a questo proposito?
Sto lavorando a un esteso documento dell’Istituto Italiano per la Privacy, per proporre idee e strategie da affidare al Parlamento, prima, e al nuovo Collegio dell’Autorità Privacy, poi, per il settennato 2019-2026. Il Garante si troverà, volente o nolente, ad interpretare un ruolo di garante della libertà e dignità degli esseri umani nel tutto digitale, in una cruciale posizione di rilievo meta-costituzionale e di derivazione sovranazionale. La consapevolezza e l’esercizio attivo di questo ruolo saranno determinanti per l’efficacia dell’azione del nuovo Collegio.