A cura di: Fabio Lazzini, DPO e CISO Sogei
Negli ultimi anni c’è stato un gran discutere, a livello europeo, sul fenomeno in forte ascesa dei Big Data e sul conseguente potere dei giganti del web che gestiscono, processano e incrociano una gran mole di dati personali ai fini di influenzare l’opinione pubblica. Che si tratti di orientarne i consumi, e di conseguenza i comportamenti, il pericolo per le libertà individuali faticosamente conquistate dopo il secondo conflitto mondiale è balzato agli occhi e all’attenzione dei singoli governi e della Comunità europea.
Sventati i totalitarismi del Novecento, che si servivano del controllo sulla popolazione per consolidare il proprio potere, l’Europa si è trovata, a distanza di una manciata di anni rispetto alla sua storia, a dover affrontare un altro tipo di intromissione nella sfera delle libertà individuali, esercitata questa volta non da un preciso soggetto nazionale o sovranazionale, ma da una impalpabile galassia di entità residenti in uno spazio virtuale. Questa intromissione, apparentemente non lesiva dei diritti dei cittadini perché alimentata dai cittadini stessi, nel tempo è diventata sempre più disfunzionale alla stessa democrazia, come ha dimostrato l’eclatante caso Cambridge Analytica. Ogni interazione con il web crea una tessera del puzzle della nostra esistenza, e basta unire i vari pezzi – un gioco da ragazzi per le odierne tecniche di intelligenza artificiale – per rendere la nostra vita digitale una copia esatta di quella reale. Gusti, preferenze, orientamenti, contatti sociali, peculiarità individuali: è tutto online, e ad esclusivo appannaggio delle grandi piattaforme digitali.
Prima dell’emergenza Covid-19, l’Europa si apprestava a regolamentare il fenomeno attraverso una nuova edizione della Direttiva ePrivacy – ormai obsoleta rispetto alle evoluzioni tecnologiche – da convertire in Regolamento per essere recepita immediatamente dagli Stati membri. Lato italiano, il Garante per la protezione dei dati personali, l’Agcom e l’Autorità antitrust (AGCM) pubblicavano a febbraio 2020 i risultati di una interessante indagine sui Big Data andando a rimarcare proprio l’enorme potere ad essi correlato. Come ha dichiarato l’ex presidente dell’Autorità Garante Antonello Soro in un suo intervento nel 2018, «la dinamica di gestione dei Big Data ha caratteristiche talmente innovative da scardinare le coordinate principali del diritto applicabile ai dati personali», rimarcando inoltre che è ormai sempre più labile «la distinzione tra dati sensibili e non, potendo i primi essere estratti combinando tra loro dati comuni». I nostri comportamenti digitali, svelano la nostra vita privata molto più di quanto noi stessi possiamo pensare.
Fin qui la situazione italiana ed europea prima dell’inatteso verificarsi di un evento mondiale che avrebbe necessariamente rivisto e accelerato le riflessioni sul tema, sottolineando che non c’è più tempo da perdere. L’emergenza sanitaria e la conseguente necessità di coadiuvare le misure contenitive della pandemia con strumenti di contact tracing, ha riaperto prepotentemente l’argomento estendendolo però a un attore finora coinvolto solo marginalmente nelle valutazioni sui rischi correlati all’utilizzo delle nuove tecnologie: lo Stato.
Per la prima volta i governi europei si trovano a dover utilizzare i Big Data finora appannaggio dei soli BighTech, e per di più in assenza di una regolamentazione comunitaria che ne stabilisca i limiti nel rispetto dei diritti individuali. Ma non solo. L’utilizzo dei Big Data a scopi di contenimento sanitario potrebbe avere un’ulteriore e insidiosa conseguenza, perché le autorità pubbliche alimenterebbero esse stesse con informazioni sensibilmente critiche quella gran mole di dati personali già utilizzati dai colossi del web, con il rischio di aumentarne a dismisura il potere a discapito delle libertà garantite all’individuo dalla Carta europea dei diritti fondamentali e dalle Costituzioni degli Stati membri.
Stiamo quindi tornando alla sorveglianza di Stato? L’attenzione che in Italia, da dettame costituzionale prima ancora che da prescrizioni del GDPR, è riservata ai diritti e alla libertà degli individui è altissima. Certamente andiamo verso un nuovo concetto di controllo, non più funzionale, come si diceva, alla sorveglianza a fini repressivi propria di altri tempi ma, così come declinato oggi dai BigTech, all’influenza di opinioni, abitudini e gusti delle persone. Il controllo diventa oggi, improvvisamente, opportunità di salvaguardia di uno dei diritti primari dell’individuo, la salute. Da termine ostile, che delinea ingerenza nella vita delle persone, assume cioè un’accezione semantica neutra. E, se in grado di rispettare i diritti della persona, assurge nei frangenti di crisi a elemento salvifico, con buona pace delle innumerevoli fake news che girano sul tema.
Bilanciare libertà e sicurezza individuali e collettive può sembrare uno slogan, ma non lo è. Di fronte al rischio di discriminazione che una raccolta di dati personali così vasta, unita alle tecniche di intelligenza artificiale, porta endemicamente in sé, si sono espressi sia la Commissione europea sia il Comitato europeo per la protezione dei dati con linee guida e orientamenti finalizzati al rispetto dei diritti della persona relativamente alle tecniche di contact tracing. I documenti possono però essere generalizzati a ogni forma di esigenza primaria di sicurezza da parte di uno Stato e, costituire la base sulla quale articolare, con la dovuta urgenza, un quadro normativo vincolante per i privati e le pubbliche amministrazioni.
Per contrastare la violazione dei diritti sanciti dalla Carta dei diritti fondamentali (dignità umana, rispetto della vita privata e familiare, protezione dei dati personali, libertà di circolazione, non discriminazione, libertà d’impresa, libertà di riunione e di associazione), l’Unione europea ha declinato e rafforzato sul caso specifico i principi etici e tecnologici già contenuti nel GDPR per proteggere la collettività senza ledere i diritti del singolo.
Come affermato dal Comitato europeo per la protezione dei dati, «a nessuno dovrebbe essere chiesto di scegliere tra una risposta efficace all’attuale crisi e la tutela dei diritti fondamentali: entrambi gli obiettivi sono alla nostra portata». Il che significa, semplicemente, che i diritti collettivi e quelli individuali non sono necessariamente in contrasto tra loro.
Lo stesso concetto è stato d’altronde ben espresso anche dal Garante per la protezione dei dati personali, che rimarca la fattibilità di un approccio “win win” rispetto ai rischi del fenomeno Big Data. Vale a dire che un’efficace strategia di protezione dei dati può porre Big Data e diritti in un rapporto di inclusione invece che contrapposizione. In quest’ottica, assumono cruciale e dirimente rilievo le misure per la raccolta e l’utilizzo delle informazioni, certamente da contestualizzare, sia tecnicamente sia organizzativamente, ma comunque ben tracciate negli orientamenti europei.
Da quanto abbiamo visto, uno strumento di sorveglianza mirato a rafforzare la gestione di una emergenza pubblica è perseguibile sia sul piano dei diritti costituzionali degli individui, sia su quello della tecnologia, in grado di salvaguardare la riservatezza della vita personale. Ma tutto ciò deve scardinare la naturale ritrosia che ogni forma di controllo porta in sé.
Siamo disposti a lasciare milioni di tracce indelebili sul web per soddisfare l’esigenza di servizi sempre più efficienti. Queste tracce vengono raccolte, incrociate, utilizzate a scopi commerciali o persuasivi e vendute a terzi, che a loro volta le incrociano con altre tracce, le utilizzano e le rivendono, secondo un meccanismo di escalation incontrollato che ha l’effetto di plasmare le nostre idee, le nostre scelte e i nostri gusti. Accettiamo questo effetto boomerang, lesivo della nostra libertà, ma diffidiamo invece dalle tecnologie finalizzate alla salvaguardia dei nostri diritti primari (la salute), per le quali non siamo disposti a cedere le nostre informazioni, se pur limitate, se pur a tempo e con tutte le garanzie di protezione che solo un assetto pubblico e democratico può dare.
Ecco perché la fiducia della persona è elemento chiave e di svolta insieme per garantire il successo delle misure di controllo durante un’emergenza. Il concetto è ben delineato dalla Commissione europea sulle app di contact tracing: «I cittadini devono essere certi che è garantito il rispetto dei diritti fondamentali e che le app verranno utilizzate solo per finalità specificamente definite, che non saranno utilizzate per la sorveglianza di massa e che le persone continueranno ad avere il controllo dei propri dati».
Prerequisito irrinunciabile per la fiducia è naturalmente la trasparenza, concetto già espresso, a proposito di Big Data e diritti, dal Parlamento europeo ben prima dell’emergenza Covid-19: i cittadini «possono godere appieno delle prospettive e delle opportunità offerte dai Big Data, solo se la fiducia pubblica in tali tecnologie è garantita da una rigorosa applicazione dei diritti fondamentali, dalla conformità alla vigente legislazione dell’Ue in materia di protezione dei dati nonché dalla certezza giuridica per tutti i soggetti coinvolti».
Se lo Stato sa comunicare le sue scelte e renderle verificabili, fornendo cioè le dovute garanzie alle persone nell’alveo dei diritti costituzionali che sono loro riconosciuti, si può davvero costruire quell’auspicato rapporto di collaborazione tra cittadini e cosa pubblica, che migliori la vita individuale e allo stesso tempo quella collettiva. Un profitto sociale che va ben oltre lo stato di emergenza che nostro malgrado stiamo vivendo, come singoli e come Paese.
La pandemia ci ha dimostrato nei fatti che lo Stato ha oggi l’opportunità, tramite la raccolta e l’analisi delle informazioni, di orientare le proprie scelte al conseguimento degli interessi della collettività senza rinunciare alla protezione dei diritti dei singoli.
D’altronde, proteggere i dati personali significa oggi tutelare la persona e questo è un assunto ben presente, prima ancora del GDPR, nel suo antesignano, la Dichiarazione universale dei diritti dell’uomo del 1948, frutto della sanguinosa esperienza di sopraffazione dei diritti rappresentata dalla II Guerra mondiale. 70 anni dopo, sono cambiati gli scenari e i mezzi offensivi ma non i fondamenti dello Stato di diritto. La privacy by design si trasforma quindi da imperativo operativo a paradigma culturale sempre più indispensabile per non farci sopraffare da quello tsunami di dati che mette a repentaglio la libertà dei singoli, l’interesse della collettività e la stessa sicurezza dello Stato.
Prima di concludere, vorrei porre la vostra attenzione su alcune considerazioni.
Nel sovranismo digitale planetario si sovrappongono al momento due approcci di polarità opposta. Da un lato la strategia dell’Unione europea, che è quella di costruire uno spazio comune dei dati governato da uno strumento giuridico, il GDPR, che bilancia i diritti dei singoli con gli interessi di amministrazioni enti, imprese.
Dall’altro gli approcci di Paesi come la Cina e gli Usa che si muovono su una direttrice ben diversa.
Dal 2017 la Cina ha ufficializzato il diritto di accesso del governo e dell’intelligence a tutti i dati personali dei cittadini, per esigenze di sicurezza o di interesse nazionale.
Parimenti gli Stati Uniti, attraverso il Cloud Act del 2018, consentono al governo, alle forze dell’ordine e all’intelligence di acquisire i dati degli operatori di telecomunicazioni soggetti alla giurisdizione statunitense a prescindere dal luogo fisico in cui questi dati sono effettivamente conservati. E tutto ciò riguarda anche società europee con filiali su suolo americano o che operano nel relativo mercato. È evidente che questo tentativo di espansione della propria sovranità digitale non è passato inosservato all’Europa, tant’è che la Corte di giustizia europea nel luglio scorso ha invalidato il Privacy Shield, l’accordo per il trasferimento di dati tra Usa e Unione europea.
Ci troviamo di fronte, in sostanza, a una lotta mondiale per la sovranità digitale, che si innesta a sua volta su un ulteriore scenario sfuggevole a ogni forma di controllo. Mi riferisco a quello che Shoshana Zuboff, nel suo saggio del 2018, definisce “il capitalismo della sorveglianza”.
Il capitalismo della sorveglianza è, secondo Zuboff, lo sfruttamento dell’esperienza umana sotto forma di dati, la materia prima sulla quale fondare un movimento di potere per dominare la società. È una forma di capitalismo parallela, invasiva e aggressiva, che non risponde a giurisdizioni e autorità pubbliche ed è per questo pericolosissima per la democrazia e le libertà individuali.
In questo complesso scenario mondiale, in cui si contrappongono interessi nazionali e insidiosi poteri economici transanazionali, l’Europa è chiamata urgentemente a definire un modello normativo che, pur salvaguardando gli inviolabili diritti degli individui, sia attrattivo sul piano del mercato e degli investimenti. In questo senso, l’iniziativa della Commissione europea per il cloud computing – che si è concretizzata proprio in questo periodo con l’avvio del progetto Gaia-X cui hanno già aderito 25 Paesi – sembra un primo passo per arginare supremazie terze sui nostri dati e far sì che i principi di tutela della persona non siano la vittima sacrificale della rivoluzione digitale.
Come Sogei, proprio in virtù del nostro ruolo istituzionale di partner tecnologico del MEF, dobbiamo tutelare gli interessi delle Amministrazioni (e cioè l’interesse collettivo) proteggendo al tempo stesso la libertà dei cittadini (e cioè il diritto dell’individuo). L’entrata in vigore del GDPR ci ha portato a rianalizzare e se necessario reingegnerizzare i servizi già offerti per assicurarci che non fossero lesi i diritti e le libertà delle persone. Ma in prospettiva ci porta, insieme alle Amministrazioni, ad abbracciare il necessario cambiamento culturale che consiste nell’integrare il principio della privacy by design all’interno di tutti i processi quotidiani, ossia nella mentalità di ognuno di noi.
Fabio Lazzini, DPO e CISO Sogei
