Il conto alla rovescia è partito. A giugno scade il mandato settennale del Garante della Privacy Antonello Soro e bisognerà dunque rinnovare i componenti del Collegio. Ma soprattutto il garante è chiamato ora più che mai a sfide inedite. “Nel far rispettare la legge sulla privacy, il Garante italiano (come anche le altre Dpa europee) si trova a giocare un ruolo che va ben al di là dal recinto della protezione dei dati in senso stretto”, evidenzia l’avvocato Rocco Panetta, Country Leader per l’Italia di Iapp (International Association of Privacy Professionals) ed ex dirigente del Garante.
Avvocato Panetta, dunque l’orizzonte del Garante si è esteso. Qual è la situazione ad oggi?
L’Autorità indipendente di controllo e garanzia – che oggi anche in seguito all’entrata in vigore del Gdpr è parte del sistema di Data Protection Authorities comunitarie che formano l’Edpb (European Data Protection Board), con sede a Bruxelles – con i suoi circa 150 dipendenti, la cui età media è di 35 anni, si trova a svolgere compiti di altissima amministrazione che spaziano dal regolare e condizionare indirettamente mercati e capitali, a disciplinare tecniche di marketing e profilazione, dal prevedere tempi di retention dei dati e misure di sicurezza fisica ed informatica proporzionati al rischio che il dato corre di volta in volta – contrastando in tal modo anche il rischio cyber – al porre le regole per l’uso dei dati per finalità elettorali e per l’esercizio del diritto di voto, dal regolare l’uso di Internet e della posta elettronica, alle basi giuridiche dei trattamenti che avvengono sui social network. E questo solo per citare il 10% delle varie attività di cui questi alti funzionari dello Stato si occupano ogni giorno in stretto contatto con i loro colleghi delle altre autorità europee. Insomma, la privacy non è un gioco e soprattutto non può essere liquidata con disdegno, accostandola solo al diritto alla riservatezza.
A giugno scade il mandato dell’attuale Collegio del Garante. Quale bilancio si può trarre?
L’attuale Presidente, Antonello Soro, va detto, ha guidato l’Autorità con autorevolezza e competenza dal primo giorno, in un momento complesso di passaggio dalla vecchia normativa alla nuova. Il guado è stato attraversato alla grande, con misura e ponderazione, anche grazie all’apporto dell’Ufficio e delle altre componenti del Collegio, la Vicepresidente Augusta Iannini, magistrato di grande esperienza e giudizio, Giovanna Bianchi Clerici, giornalista ed esperta policy maker, la giurista Licia Califano e il Segretario Generale, l’avvocato Giuseppe Busia, profondo conoscitore della macchina amministrativa e della normativa in materia. Il Garante si trova ogni giorno ad adottare decisioni che possono portare alla censura e alla sanzione, anche milionaria, di uno o più comportamenti posti in essere. Il Gdpr ha dato una enorme spinta alla crescita degli investimenti verso politiche di compliance alla normativa privacy, tanto nel settore pubbliche quanto in quello privato. Ma la strada da percorrere è ancora lunga e frastagliata.
Un giudizio solo positivo…nient’altro da dichiarare?
Sarebbe semplicistico ed utopistico vedere solo le luci e non considerare talune ombre. Una mancanza per tutte, grave e reiterata è stata, da parte dei parlamenti che negli anni hanno dovuto nominare i componenti dei Collegi dell’Autorità, ignorare ripetutamente l’obbligo di nominare tra i quattro componenti del Collegio un esperto in materia informatica. Se si esclude la composizione del primo Collegio del 1997, guidato da Stefano Rodotà, ove sedeva l’ingegner Manganelli, già componente del Cnipa. Oggi questo stesso errore sarebbe ancora più imperdonabile che in passato.
Guardando in prospettiva, quale strategia occorrerebbe considerare secondo lei per i prossimi sette anni di mandato?
Le proposte avanzate dall’Istituto Italiano per la Privacy – di cui sono membro del Comitato Scientifico dalla prima ora – devono essere salutate con favore. In particolare, i richiami alla necessità di cooperazione tra le Autorità nazionali ed internazionali, all’apertura al mercato e al progresso tecnologico, ad un’azione trasparente e verso l’obiettivo di maggiore certezza del diritto dovranno essere tenuti in considerazione per indirizzare l’azione futura del Garante. Mi permetto solamente di fornire alcuni spunti ulteriori e alcune considerazioni per stimolare il dibattito sul tema. Anzitutto c’è bisogno di più Garante in Europa e nel mondo. Dalla mia prospettiva internazionale, vedo poca presenza dei rappresentanti dell’Autorità nei forum di discussione globale, dove nascono e vengono anticipate politiche di intervento sul trattamento dei dati che spesso come Italia ci troviamo a subire. Il Garante deve tornare ad essere autorevole nel mondo, non dimenticando che negli anni abbiamo esportato persone del calibro di Rodotà e Buttarelli.
Ci sono requisiti specifici che considererebbe necessari da valutare in questa delicata fase di passaggio?
Certamente. Oltre alla necessità di avere un esperto di nuove tecnologie nel Collegio, le mie preoccupazioni principali sono rivolte verso il rischio di strumentalizzazione del ruolo del Garante. In Italia, infatti, non si può cessare di ricordare che il rischio maggiore consiste nell’elezione di membri in conflitto di interessi rispetto al ruolo svolto. Finalmente è ora previsto dall’art. 153 (8) del Codice Privacy, rinnovato post Gdpr, che “il presidente, i componenti, il segretario generale e i dipendenti si astengono dal trattare, per i due anni successivi alla cessazione dell’incarico ovvero del servizio presso il Garante, procedimenti dinanzi al Garante, ivi compresa la presentazione per conto di terzi di reclami richieste di parere o interpelli”. Tale norma, precedentemente prevista solo dal Codice Etico del Garante è volta ad evitare che le informazioni privilegiate di cui dispongono di membri del Garante possano essere destinate a favorire solo alcuni soggetti. Credo però che la sua ratio dovrebbe valere anche a posizioni invertite, per quanti intendano essere eletti al Collegio del Garante o vengano chiamati a contratto a lavorare in Autorità. Purtroppo la norma si limita solo ai soggetti in uscita dall’Autorità e non anche viceversa. Occorrerà dunque vigilare caso per caso affinché si evitino paradossali conflitti di interesse, soprattutto adesso che il ruolo del Dpo è diventato cosi diffuso.
Quale sarebbe secondo lei la composizione ideale del prossimo Collegio del Garante?
In primo luogo dovrebbe essere presente un magistrato attento ai temi della tutela e del danno alla persona; in secondo luogo un giurista esperto di nuove tecnologie, appassionato ed esperto da anni ai temi e alle sfide che lo sviluppo tecnologico impone alla società o anche un filosofo dell’etica; inoltre, un vero e proprio informatico applicato, che sappia fungere da unione e da traduttore tra il mondo del diritto e quello della tecnica; infine, una figura con comprovata esperienza da policy maker.
Hai in mente alcuni nomi?
Mi piacerebbe un Collegio composto con studiosi come Luciano Floridi, professore ad Oxford di filosofia ed etica dell’informazione; Alessandro Acquisti, professore di tecnologie dell’informazione negli Usa; Guido Alpa, primo e storico allievo di Stefano Rodotà e professore di diritto privato a Roma; Alessandro Mantelero, professore al Politecnico di Torino ed esperto in Intelligenza Artificiale; Ilaria Caggiano, studiosa di nuovi diritti all’Università Suor Orsola Benincasa di Napoli; Giusella Finocchiaro, da tempo studiosa della privacy e dei suoi segreti. E poi vedrei bene policy makers come il consigliere Giovanni Buttarelli, presidente dell’Edps, o Roberto Viola, Direttore Generale della importantissima Dg Connect della Commissione UE; ma anche Antonio Nicita, attuale commissario Agcom, molto attento alle dinamiche della convergenza tra l’azione ed i compiti di diversi regolatori e Bruno Gencarelli, Head of International Data Flows Unit alla Commissione europea. Senza dimenticare grandi conoscitori del mercato privacy italiano, come Anna Cataleta, Dpo del Garante per l’infanzia, ed influente ed ascoltata esperta della materia ovvero Luca Bolognini, visionario presidente dell’Istituto Italiano Privacy ed autore del pamphlet “Follia Artificiale” e da ultimo, ma sopra tutti, il decano dei professionisti della privacy, Rosario Imperiali. Il Parlamento su questa partita, come su quella della tenuta economica del Paese e della lotta ai cambiamenti climatici dovrebbe prestare la massima attenzione focalizzando tutte le proprie risorse. Vedremo presto come andrà a finire.