Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

"I nuovi confini della libertà" - Intervista al Presidente del Garante, Antonello Soro

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
6954681
Data:
10/10/17
Tipologia:
Interviste e interventi

I nuovi confini della libertà
Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Massimiiano Cannata, Impresa, 10 ottobre 2017)

Sperimentare il flusso del cambiamento significa acquisire la consapevolezza che la libertà va conquistata nella società digitale rispettando la cultura del diritto e delle regole, che si evolvono rispondendo alle sollecitazioni della scienza e della tecnologia, questo il messaggio di fondo della testimonianza di Antonello Soro, presidente Autorità Garante per la Protezione dei dati personali, che in questa intervista a "L'Impresa" tratteggia il percorso evolutivo di vent'anni di Privacy in Italia.

L'8 maggio del 1997 è entrata in vigore in Italia la legge sulla protezione dei dad personali. Sono passati vent'anni di grandi trasformazioni sociali, economiche e culturali. Presidente Soro, come va declinato oggi il concetto di Privacy?

L'introduzione nel nostro ordinamento del diritto alla protezione dei dati ha segnato un radicale cambiamento culturale e sociale che ha fatto fare al paese grandi passi avanti nella tutela della riservatezza, della libertà e della dignità delle persone. A distanza di vent'anni lo stesso termine "privacy" risulta riduttivo e oggi la tutela dei dati personali viene finalmente considerata per quello che veramente è: un diritto fondamentale della persona, da rispettare in ospedale, sul posto di lavoro, sul web.

Ammetterà che è difficile difendere questo valore in una società assetata di informazioni.

Proprio perché la sfida è ardua diventa più affascinante affrontarla. E' ormai chiaro che il diritto alla privacy non è più o non è soltanto una prerogativa del singolo, ma un valore collettivo che tutti dobbiamo concorrere a costruire. In questi anni la raccolta e l'analisi dei dati personali hanno sempre più rappresentato un asset strategico per gli Stati come per le grandi imprese dell'economia digitale. Va anche precisato che la centralità del diritto alla protezione dei dati personali assume oggi una posizione cruciale per la difesa dell'individuo da forme intrusive di controllo e manipolazione e da un'inconsapevole delega delle proprie scelte alla tecnologia.

Nel corso dell'ultima relazione annuale Lei ha denunciato la preoccupante emersione di nuove schiavitù volontarie, connesse a uno sviluppo tecnologico che, se non adeguatamente regolamentato, rischia di diventare distopico e dispotico. Possiamo spiegare cosa significa questa coppia di termini?

Quella a cui stiamo assistendo è la progressiva cessione della nostra libertà in cambio di utilità e servizi digitali. Sempre di più deleghiamo alla tecnologia le scelte e la risoluzione dei problemi, affidando la nostra vita quotidiana a device, così finiamo col rafforzare la nostra dipendenza dai software che usiamo. Si tratta di un fenomeno inquietante che va ridimensionato con grande razionalità ed equilibrio.

"Internet è il più grande spazio di libertà che l'uomo abbia conosciuto", la nostra è ormai una digital life, viviamo dentro il web, in una dimensione quasi omeopatica. Stefano Rodotà aveva lavorato al progetto di una "Costituzione per Internet". Le pare che sia un'idea ancora valida?

L'idea di una Carta che fìssi una cornice di principi comuni e condivisi ha un enorme valore simbolico, e una forza attrattiva anche per gli Stati al di fuori dell'Europa. Al potere globale dei colossi della rete occorre rispondere con misure globali. Le nuove tecnologie hanno dimostrato infatti capacità enormi di scardinarne i presupposti essenziali dello Stato: in primo luogo la territorialità, quale criterio di competenza e applicazione della legge. Gli Over the Top sempre più spesso intervengono, in un regime prossimo all'autodkhia, per comporre istanze di rilevanza primaria, quali informazione e diritto all'oblio, libertà di espressione, dignità e tutela dalle discriminazioni, veridicità delle notizie diffuse.

Quella che si impone è una riflessione sui nuovi confini della libertà disegnati dal prepotente sviluppo della società digitale. Qual è il suo giudizio in merito?

L'esempio degli Over the Top che ho richiamato prima è emblematico perché fa comprendere come la concentrazione in capo a pochi soggetti privati di un rilevantissimo potere, non solo economico, ha determinato e sta determinando un mutamento sostanziale nei rapporti tra individuo e Stato, tra pubblico e privato. Un numero esiguo di aziende possiede un patrimonio di conoscenza gigantesco e dispone di tutti mezzi per indirizzare la propria influenza verso ciascuno di noi. La misura delle nostre libertà è, dunque, fortemente condizionata dall'operato delle grandi imprese dell'economia digitale.

Rimaniamo allo scenario globale. Il Nuovo quadro giuridico europeo potrà segnare un passaggio decisivo e instaurare una collaborazione efficace tra gli Organismi di vigilanza che operano nei diversi Stati?

Una delle novità più importanti introdotte dal Regolamento sta nell'aver previsto l'applicazione dell'ordinamento europeo anche agli Ott. A partire dal 25 maggio del prossimo anno chiunque e in qualunque parte del mondo tratti dati di cittadini europei dovrà rispettare le regole europee e assicurare le garanzie previste nell'Ue. Questo consentirà peraltro anche di superare la disparità di trattamento inaccettabile anche sotto il profilo concorrenziale, rispetto a operatori continentali che offrono i medesimi servizi. Va peraltro sottolineato che le sanzioni previste dal Regolamento per le aziende che violino la normativa sulla protezione dati possono arrivare fino al 4% del loro fatturato annuo. Non è una cifra da poco.

Riusciremo a definire in tempi brevi una "privacy continentale" condivisa, fondata su norme semplici, omogenee, universalmente applicabili?

Per quanto riguarda questo aspetto possiamo dire che l'obiettivo del Regolamento è proprio quello di creare un'area omogenea di principi e regole uniformi da applicare in ogni Stato membro, superando le asimmetrie che si sono riscontrate nel recepimento della Direttiva del 1996. Ciò consentirà sicuramente una maggiore e più efficace collaborazione tra le Autorità di protezione dati e un'armonizzazione anche delle procedure.

Il 25 maggio 2018 scatterà una scadenza molto importante con l'entrata in vigore del Regolamento europeo in materia di Protezione dei dati personali. Che cosa cambierà da quel momento?

Oltre all'estensione del quadro giuridico ai soggetti stabiliti al di fuori dell'Ue, vanno sicuramente evidenziati almeno due nuovi diritti che, superando gli anacronismi della vecchia disciplina, pongono il nuovo quadro regolatorio al passo con lo sviluppo tecnologico del mondo digitale. Penso al diritto all'oblio, che trova la sua codificazione dopo le sentenze della Corte di giustizia dell'Ue, e quello alla portabilità dei dati, che riguarderà qualunque soggetto tratti dati, non solo i provider telefonici e di comunicazioni elettroniche, e che consentirà di trasferire i propri dati da un gestore di servizi a un altro in un formato interoperabile. Dunque, maggiore libertà per gli utenti in un mercato digitale più aperto alla concorrenza.

Imprese private e Pa sono al centro di questo importante flusso di trasformazioni. Quali impatti bisognerà prevedere?

Sicuramente in prima battuta verrà richiesta una maggiore responsabilizzazione sia alla pubblica amministrazione che ai soggetti privati tramite l'adozione di misure che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Concretamente mi riferisco all'obbligo di prevedere una valutazione di impatto privacy prima di procedere a trattare i dati e adottare prassi di privacy by design (garanzie fin dalla progettazione) e privacy by default (impostazioni predefinite). Va inoltre evidenziato il ruolo che è chiamata a svolgere la nuova figura del Responsabile della protezione dati (Rpd) che dovrà assicurare una gestione corretta dei dati personali, che sarà obbligatoria nelle amministrazioni pubbliche e nelle aziende che effettuano particolari trattamenti delle informazioni.

Figure fino a oggi inedite saranno create, come il Rpd, ci sarà bisogno di lavorare sulle competenze e sulla formazione per rafforzare una cultura adeguata a tutti i livelli delle organizzazioni. Le aziende grandi e piccole stanno lavorando per adeguare i propri modelli organizzativi alla normativa. Che consiglio si sente di poter dare?

Il consiglio che mi sento di dare è di non sottovalutare la figura e il ruolo del Rpd. Bisogna, insomma, non cadere nell'errore di designare uno qualunque dei propri dipendenti o il primo consulente che si propone. Il Rpd ha un ruolo chiave e occorre che sia un esperto, che abbia le skills adatte ai delicati compiti che è chiamato a svolgere come indicato nelle Linee guida messe a punto dai Garanti della privacy Ue: deve possedere qualità professionali e conoscenze specialistiche, competenze giuridiche e informatiche, legate alla necessità di garantire la sicurezza dei dati.

Un'ultima domanda, dal momento che ci rivolgiamo a un pubblico che si occupa di queste tematiche. La cyber security è una componente strategica della sicurezza nazionale e pubblica. Nel 2016 gli attacchi informatici avrebbero causato alle imprese italiane danni per nove miliardi di euro, mentre risulta che meno del 20% delle aziende investe per proteggere il patrimonio informatico. Come si può colmare questo gap?

I recenti gravissimi attacchi hacker e i dati che emergono dalle ricerche dimostrano che la cybersecurity non è ancora diventata una componente strategica per imprese e pubbliche amministrazioni. Secondo stime recenti, nello scorso anno le infrastrutture critiche sarebbero state oggetto del 15% di attacchi in più rispetto all'anno precedente e sarebbero cresciuti del 117% quelli riconducibili ad attività di cyberwarfare, volte a utilizzare canali telematici per esercitare pressione su scelte geopoliticamente rilevanti. Proteggere i dati è un compito primario che tutti gli Stati sono chiamati ad assolvere senza indecisioni o problemi di bilancio. Quando a essere attaccate sono strutture sanitarie, università e quindi mondo delle ricerca, infrastrutture strategiche, sistemi di comunicazione, ogni ritardo diventa esiziale. Software non aggiornati e misure di sicurezza obsolete non possono essere tollerati. La resilienza informatica nel contrasto delle minacce cibernetiche deve, dunque, rappresentare ciò che la resilienza della democrazia rappresenta nel contrasto del terrorismo. E per garantire davvero la cybersicurezza e la sicurezza nazionale è necessario evitare il rischio della parcellizzazione dei centri di responsabilità, con una centralizzazione di competenze e un'organica razionalizzazione del patrimonio informativo, anzitutto pubblico.