Conferenza di primavera 2016 - Intervento di Giuseppe Busia
Conferenza di primavera 2016 - Intervento di Giuseppe Busia
Condividi
english version
Conferenza di primavera delle Autorità nazionali di protezione dei dati personali 2016
(Budapest, 26 e 27 maggio 2016)
Intervento di Giuseppe Busia, Segretario generale del Garante per la protezione dei dati personali
1. Considerazioni introduttive
Signore e signori,
per me è insieme un piacere e un onore essere qui oggi e prendere la parola a nome del Gruppo istituito dalla direttiva 95/46/CE, ai sensi dell´articolo 29 (Gruppo art. 29 – WP29), della sua presidente, Isabelle Falque-Pierrotin, e dei suoi vicepresidenti, Antonello Soro e Ventsislav Karadjov.
Prima di tutto, voglio esprimere un vivo ringraziamento e complimentarmi con il presidente Attila Peterfalvi e con tutti i colleghi dell´Autorità nazionale ungherese per la protezione dei dati e la libertà di informazione per la splendida organizzazione di questa Conferenza.
Oggi, come è tradizione in questo periodo dell´anno, le Autorità per la protezione dei dati personali degli Stati membri dell´Unione europea e del Consiglio d´Europa si incontrano per esaminare questioni cruciali di interesse comune, scambiare informazioni, e confrontarsi sulla base dell´esperienza maturata sulle diverse problematiche emergenti dalla loro attività.
Tuttavia, tra i vari temi ai quali siamo abituati a dedicare attenzione, quest´anno ne abbiamo uno del tutto speciale e preminente: il Regolamento sulla protezione dei dati personali (Regolamento UE 2016/679 - General Data Protection Regulation o, anche, GDPR), pubblicato all´inizio di questo mese dopo un lungo e faticoso percorso di elaborazione, insieme alla nuova Direttiva sul trattamento dei dati personali a fini di polizia e giustizia (Direttiva UE 2016/680). E non è finita: sappiamo che anche il processo di revisione della Convenzione del Consiglio d´Europa n. 108 del 1981 sulla protezione dei dati personali sta per concludersi, dopo che anche questo fondamentale strumento giuridico, che coinvolge un grande numero di Paesi anche non appartenenti all´Unione europea, è stato ritenuto meritevole di un aggiornamento e di un riesame sotto il profilo contenutistico.
Ritengo si possa affermare che questi tre strumenti, nel loro insieme, costituiscano il vero "Pacchetto sulla protezione dei dati personali" del quale si è tanto discusso in questi anni, e che dovrebbe garantire un rinnovato quadro giuridico ´a prova di futuro´, in grado di tenere conto delle sfide che si profilano incessantemente, in particolare di fronte ad un utilizzo sempre più diffuso delle nuove tecnologie in un mondo ormai globalizzato.
Per tale motivo, il Gruppo art. 29 ha deciso di dedicare gran parte delle proprie attività a questo tema, ed ha adottato uno specifico Piano d´azione per il 2016 incentrato proprio sul nuovo quadro giuridico, al fine di rendere più agevole e semplice l´attuazione del nuovo "pacchetto", a vantaggio di tutti i soggetti interessati.
In questo contesto, stiamo cominciando a sperimentare il funzionamento del nuovo Comitato europeo della protezione dei dati, organo istituito dal Regolamento, al cui interno opereranno e coordineranno la propria azione tutte le Autorità nazionali di protezione dati. Sempre con il medesimo intento, il Gruppo art. 29 ha iniziato a lavorare dando vita ad un una ´area di costruzione condivisa´, in cui ogni Autorità sta facendo la sua parte e del suo meglio perché tutto possa essere pronto per il momento in cui le nuove regole entreranno definitivamente in vigore, nel segno dell´efficienza e della funzionalità.
2. Un Regolamento aperto al futuro
Quali sono dunque le principali sfide che dovremo affrontare in questo contesto? Permettetemi di concentrarmi sul nuovo Regolamento generale. Come è noto, tale tipo di fonte si caratterizza per due elementi principali: l´applicabilità diretta e, in ragione di questa, la capacità di creare una regolamentazione realmente unificata in ambito Ue.
In teoria, dunque, le nuove disposizioni dovrebbero essere pronte per essere applicate. Come sappiamo, però, ci sono molte disposizioni del Regolamento che richiederanno agli Stati membri e alle Autorità di protezione dati chiarimenti, adattamenti e integrazioni prima di poter essere attuate, e questo è appunto ciò che le Autorità stanno già facendo e che saranno chiamate a fare nei prossimi mesi, in particolare nell´ambito del Gruppo art. 29.
Tale necessità di ulteriori adattamenti e specificazioni- va considerata come un limite del nuovo Regolamento? Probabilmente no. È infatti proprio tale intrinseca apertura verso il futuro a consentire il necessario, costante aggiornamento rispetto al continuo sviluppo della tecnologia e della realtà. Questo, naturalmente, rappresenta sia un´opportunità che una sfida, soprattutto per le Autorità nazionali di protezione dati.
3. Dalla regolamentazione europea a quella globale
La seconda delle richiamate caratteristiche dei regolamenti europei è la loro capacità di creare un quadro giuridico realmente omogeneo e unitario all´interno dell´Unione. Naturalmente, tale rilevantissima caratteristica porta ad un innegabile miglioramento rispetto ad una direttiva, quale la 95/46/CE, che ha scontato i limiti intrinseci legati alla sua natura giuridica di strumento di mera armonizzazione.
Occorre però chiedersi se una regolamentazione europea sia oggi sufficiente o se abbiamo bisogno di qualcosa di più.
In molti casi –basti pensare alle criticità legate alla tutela del diritto all´oblio sul web- sappiamo che, per essere davvero efficace e garantire concretamente i diritti fondamentali dei cittadini, avremmo bisogno di regole globali o, almeno, principi globali.
A questo proposito, è rassicurante sapere che a volte, nonostante l´applicabilità territorialmente circoscritta delle disposizioni europee, esse esercitano una importante forza espansiva ingenerando un (proficuo) effetto emulativo nei regimi giuridici di altri paesi. Ciò, sia in virtù dell´estensione –espressamente prevista dal GDPR- dell´ambito di applicazione della nuova disciplina a tutti i soggetti che offrono beni o servizi alle persone che si trovano nell´Ue; sia -soprattutto- in considerazione della naturale attitudine di alcune disposizioni ad estendere i propri effetti al di fuori dei confini di un singolo ordinamento, soprattutto quando riguardano il trattamento dei dati sul web.
Tutto ciò evidenzia una responsabilità, che, alla luce delle competenze disegnate nel Regolamento e nella Direttiva, va al di là di quello che potrebbe desumersi da una preliminare analisi delle nuove disposizioni.
Questo è anche il motivo per cui siamo stati molto attenti, anche a costo di apparire fin troppo severi, nel valutare il cosiddetto Privacy Shield, la nuova proposta della Commissione sul trasferimento dei dati verso il territorio americano.
Nella consapevolezza che le nostre regole possono trasformarsi in uno standard globale, noi (ma siamo convinti che gli Stati Uniti abbiano il medesimo interesse) dobbiamo fare ogni sforzo per costruire modelli sufficientemente forti per proteggere le persone anche in Paesi che non possono vantare un sistema di tradizioni democratiche tanto consolidato quanto quello sui cui si fondano l´Unione europea, il Consiglio d´Europa e gli stessi Stati Uniti.
Per parafrasare un noto slogan, si potrebbe dire che oggi siamo chiamati ad agire localmente, per regolamentare globalmente.
4. Una realtà con cui confrontarsi: l´intelligenza artificiale e la bulimia di dati personali
Gli strumenti giuridici del nuovo "pacchetto" sulla protezione dei dati dovranno essere applicati all´interno di uno scenario ben diverso da quello di qualche anno fa. I Big Data e l´intelligenza artificiale stanno modificando il nostro rapporto con i dati personali. Fino a poco tempo fa, i maggiori problemi risiedevano nell´esigenza di controllare se e quali dati affidare ai soggetti che li richiedevano . Oggi, invece, le aziende e diversi altri soggetti detengono un´enorme mole di dati che ci riguardano ma che non abbiamo mai avuto e magari neanche conosciamo.
Naturalmente, il Regolamento si fonda sui principi tradizionali di base che ci siamo abituati ad applicare in questi anni, ma che oggi sappiamo dover applicare a una realtà nuova.
Faccio solo due esempi che potranno essere utili per comprendere le insidie che nascondo in questo nuovo paesaggio.
Il principio di minimizzazione -opportunamente ribadito nel nuovo "pacchetto di protezione dati" - deve essere adattato alla logica, apparentemente opposta, in cui operano alcune nuove tecnologie, che hanno bisogno di una quantità crescente di dati personali per sviluppare e offrire anche servizi sociali avanzati alle persone (quindi non solo per esigenze di profilazione a fini di marketing): ad esempio, per contrastare l´insorgenza di malattie e migliorare le cure di alcune patologie, come i tumori, è necessario raccogliere più informazioni da pazienti diversi e da differenti fonti di studio osservazionale sui pazienti. Quanto maggiore è il patrimonio informativo, tanto più alta è la speranza di trovare ed effettuare interventi terapeutici efficaci per l´interessato e per altre persone che si trovino nelle stesse condizioni.
Tali tecnologie hanno dunque bisogno, anche per conseguire finalità certamente meritevoli di tutela, di tutti i dati personali disponibili: in qualche modo vivono di dati, ´bevono dati´, e per questo i dati personali stanno diventando di giorno in giorno la nuova benzina che alimenta il motore delle nuove tecnologie.
È chiaro che una simile realtà richiede una interpretazione evolutiva del richiamato principio di minimizzazione, secondo cui meno dati di usano, maggiore è la tutela dell´interessato: occorrerà quindi un approccio che applichi tale principio valutando con maggiore attenzione e concretamente le finalità volta a volta perseguite e le modalità con cui ciò avviene.
Citerò un secondo esempio: le regole di protezione dei dati vietano che un atto o un provvedimento giudiziario o amministrativo che implichi una valutazione del comportamento umano sia fondato unicamente su un trattamento automatizzato dei dati personali volto a definire il profilo o la personalità dell´interessato. Sappiamo infatti che ci sono molti rischi quando una decisione relativa a un individuo viene adottata sulla base di un trattamento automatizzato dei suoi dati personali.
Tuttavia oggi, l´intelligenza artificiale, attraverso l´apprendimento automatico, è in grado di offrire servizi sofisticati - compresi alcuni di fondamentale utilità, come sopra ricordato per quanto riguarda il settore della sanità - sulla base della profilazione del singolo, e un numero crescente di decisioni – effettuate fino a un recente passato dall´uomo- sono ora realizzati, in misura crescente, attraverso elaborazioni matematiche ed algoritmi. Tali modalità di decisione automatizzate vengono utilizzate –o hanno almeno di fatto un peso vieppiù determinante per l´ammissione di uno studente all´università, per l´assunzione di un lavoratore, per la concessione di un credito, per l´individuazione di un trattamento sanitario, e così via.
Per l´insieme di queste ragioni, dunque sarà necessario adattare le nuove regole al nuovo contesto. In ogni caso, però, non si potrà accettare la tesi secondo cui i principi di protezione dei dati snaturano tale realtà e non sono applicabili in un sistema che si alimenta di dati e in un´economia sempre più fondata sull´elaborazione automatizzata dei dati e sugli algoritmi. Tali principi non devono essere visti come un ostacolo al progresso, bensì come uno stimolo per lo sviluppo di approcci innovativi, allo scopo di proteggere gli individui dalla raccolta superflua dei loro dati, dalla profilazione di massa anche informando e coinvolgendo i cittadini per garantire una effettiva consapevolezza sulle derive alle quali sono esposti. Peraltro, un approccio equilibrato alle nuove tecnologie dovrebbe anche essere considerato come valore aggiunto di cui sono portatrici le imprese europee, come un asset competitivo nell´offerta di servizi migliori agli utenti.
Tutti questi elementi palesano una crescente responsabilità sulle spalle delle Autorità di protezione dati e di tutte le parti interessate, alle quali spetta il compito di individuare il punto di equilibrio tra privacy e nuove tecnologie, tra la persona e la macchina.
5. Problemi senza precedenti, strumenti senza precedenti
Il paesaggio appena tratteggiato è anche dinamico, muta ogni giorno e genera problemi senza precedenti, che dunque richiedono, per la loro risoluzione, strumenti senza precedenti.
In questo nuovo mondo, il vero motore del sistema non è costituto dai singoli dati personali, bensì dal profilo, cioè dalla particolare combinazione di dati che viene utilizzata di volta in volta per ricostruire l´immagine complessiva di un individuo e offrirgli servizi prodotti personalizzati.
Come sappiamo, sulla base del Regolamento e della Direttiva, la profilazione è soggetta alle norme sul trattamento dei dati personali. Per bilanciare adeguatamente i valori in gioco, dovremmo ampliare la nostra prospettiva, guardando oltre i confini che fino ad ora hanno segnato il sistema di protezione dati, e spostando -più che in passato- la nostra attenzione e la nostra azione dai singoli dati al "profilo" delle persone.
Il nuovo quadro giuridico ci può aiutare in questo compito, offrendo in questo senso utili prospettive. Vorrei evidenziare tre di quelle che potrebbero essere delle vie da seguire:
1) Il Regolamento consente di fornire alla persona interessata una maggiore consapevolezza in ordine al trattamento dei dati che la riguardano, offrendo in questo uno standard di trasparenza più elevato rispetto alla direttiva 95/46/CE. Agli interessati devono infatti essere forniti una serie di nuovi elementi di conoscenza, ed è in particolare obbligatorio chiarire la ´logica´ del trattamento. E proprio tale ultimo elemento ci impone di compiere ulteriori sforzi per garantire che la persona sia posta nelle condizioni di essere realmente consapevole della logica utilizzata per costruire il proprio profilo e forse anche del funzionamento degli algoritmi utilizzati.
A questo proposito, vorrei anche ricordare che la Convenzione n. 108, nella sua versione aggiornata di prossima adozione, stabilisce il diritto di ´ottenere la conoscenza del ragionamento alla base del trattamento dei dati´, in particolare, se i relativi risultati possono determinare un impatto particolarmente gravoso sull´individuo.
2) il Regolamento, inoltre. ha rafforzato il diritto dell´interessato di accesso e di rettifica ai propri dati: un modo per controbilanciare la ´tirannia´ di algoritmi potrà quindi risiedere nella possibilità di consentire alle persone il diritto di ´correggere´ le fonti di informazione e forse la logica utilizzata per l´analisi dei ´Big Data´.
3) Infine, un cenno al nuovo, potente "diritto alla portabilità" dei dati, che mira a favorire la possibilità di scelta da parte dell´utente nell´ambito dei servizi on-line. Il Regolamento offre agli interessati il diritto di potersi riappropriare dei propri dati personali, a suo tempo ceduti a un gestore di servizi per l´ottenimento di una determinata prestazione, in modo da poterli trasferire a un gestore diverso per avvalersi dei suoi servizi. Nell´applicazione di tale nuovo diritto, una questione di fondo sarà valutare se esso possa comprendere non solo i singoli dati, ma anche i profili, vera essenza della identità nella realtà odierna.
Per quanto detto, dunque, anche in relazione agli strumenti appena citati, dobbiamo sviluppare un approccio più ampio, tenendo conto del mutevole quadro in cui ognuno di noi deve agire, nella consapevolezza che oggi, più che in passato, l´applicazione dei principi di protezione dei dati personali si trova a confrontarsi con dilemmi etici, politici e sociali, che fuoriescono dagli schemi tradizionali nei quali siamo abituati ad operare.
6. Modernizzare la Conferenza delle Autorità nazionali di protezione dei dati personali
Prima di concludere, vorrei porre un quesito sul senso della nostra riunione di questi giorni: è possibile ipotizzare anche una "modernizzazione" della Conferenza di primavera nel quadro prima descritto di modernizzazione del sistema normativo?
Probabilmente sì: forse dovremmo riconsiderare il nostro approccio a questi forum, sforzandoci di essere creativi e di guardare oltre la pur fruttuosa esperienza fin qui svolta.
In effetti, è opportuno valorizzare il modo in cui la Conferenza di primavera si differenzia da altri forum di protezione dei dati, considerando i benefici derivanti da una partecipazione ampia e varia di esperti. In questa sede possiamo trarre vantaggio dalla possibilità di sviluppare riflessioni in profondità, avendo anche più tempo a disposizione, e da un´atmosfera più rilassata, senza i tipici vincoli a volte imposti in altri contesti istituzionali. E tutti possiamo comprendere l´importanza di sfruttare al meglio l´occasione offerta dalla Conferenza, soprattutto in questi tempi di transizione e di trasformazione.
Sono sicuro che questo è lo spirito con cui è stata organizzata la Conferenza qui a Budapest, e oggi ci accingiamo a fare il primo passo verso un ammodernamento anche del ruolo della Conferenza di primavera nel quadro sopra descritto.
Molte grazie ancora ai nostri colleghi ungheresi, e molte grazie a tutti voi per l´ascolto.
