L’Avvocato Guido Scorza è Componente del Collegio del Garante per la protezione dei dati personali, avvocato, giornalista pubblicista. Già responsabile degli affari regolamentari del team per la trasformazione digitale della Presidenza del Consiglio dei Ministri e, poi, consigliere giuridico del Ministro per l’innovazione. È autore di alcuni libri, gli ultimi dei quali sono “Processi al Futuro”, 2020 Egea e “Intelligenza artificiale. L’impatto sulle nostre vite, diritti e libertà”, 2020, con A. Longo, Mondadori.
Volendo parlare di privacy, in Italia, si va incontro ad un problema “strutturale” quando si tratta di dare rilevanza ad una tematica che, in Italiano, non prevede nemmeno una terminologia che abbia lo stesso uso e impatto della parola “privacy”. Sicuramente traducibile come riservatezza, o privatezza, ma senza scaturire culturalmente quel nesso immediato. In quanto membro del Collegio del garante per la protezione dei dati personali, perché “il diritto alla riservatezza” conta così tanto nelle nostre vite?
Perché il diritto alla privacy conta, e se conta così tanto nelle nostre vite, qual è il percepito delle persone, in particolare dei più giovani, in relazione a tale diritto? È effettivamente una delle prime domande che ci siamo posti nel Collegio per cominciare a ragionare di ciò che andrà fatto negli anni che verranno. Perché dovrebbe contare così tanto è una domanda alla quale, viceversa, è più facile rispondere. Dovrebbe contare così tanto perché di fatto è un po’ il diritto ad essere noi stessi, a sentirci noi stessi nella società. Corretto lanciare questo sasso dell’inglese privo di una traduzione immediata, che ne consenta di percepire il valore e il significato. Privacy, certamente, non è solo segretezza. La definizione che trovo sicuramente più caratterizzante è la privacy come diritto all’identità personale e, appunto, è l’identità personale raccontata in maniera ancora più semplice. È il diritto ad essere quelli che siamo, affinché gli altri ci riconoscano e ci identifichino nell’integrità della nostra persona e non, come accade con più frequenza negli ultimi anni, semplicemente come una parte del tutto, a seconda dello scopo o della finalità per la quale i nostri dati vengono trattati. Online, insomma, capita di essere soltanto il buon cliente della piattaforma di e-commerce o il cattivo cliente; di essere l’utente della piattaforma di social media con tanti o pochi contatti; di essere l’utente della piattaforma di video on demand che preferisce le serie tv di crime rispetto ai documentari, e così via. Nella realtà quando diciamo diritto alla privacy, quando lo traduciamo in quella accezione di diritto all’identità personale, oltre che diritto alla riservatezza, ciò che stiamo intendendo è il diritto ad essere riconosciuti come tutte queste cose insieme. Come buoni e cattivi pagatori, come buoni e cattivi clienti di piattaforme di e-commerce, come chi guarda le serie tv di un certo tipo piuttosto che delle altre. Tuttavia, è l’integrità della persona che ciascuno di noi ha il diritto a vedere riconosciuta, posta in questi termini la privacy come diritto personalissimo ad essere noi stessi e ad essere riconosciuti nella nostra identità in qualsiasi contesto, forse riesce a spiegare perché è così centrale nella nostra esistenza. Quando quel diritto è violato noi ci ritroviamo a non essere più riconosciuti per quello che siamo veramente. Lo trovo, a dispetto della parola che lo allontana dalle persone e soprattutto dai più giovani, uno di quei diritti fondamentali ed essenziali per la piena estrinsecazione della nostra personalità nella società, digitale o non digitale, nella quale viviamo.
Il Collegio del quale lei è membro si è insediato da poco tempo, in una pandemia globale in atto che ha già messo a dura prova quasi tutte le istituzioni mondiali in termini di adattamento e reazione. Il Covid-19 ha, infatti, sottolineato la necessità di avere degli standard adeguati di privacy policy, come si è visto anche dal dibattito nato tra i Consorzi europei PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) e DP-3T (Decentralized Privacy-Preserving Proximity Tracing) nell’ambito della formulazione degli standard europei sulle app di contact tracing. Alla luce di questi ultimi eventi, dunque, quali saranno le probabili problematiche future e quali saranno le priorità del Collegio per il prossimo anno a venire?
Nonostante il Collegio si sia insediato da poco, non c’è alcun dubbio che vi sia un tema che non è possibile sottovalutare. Si tratta di un tema di matrice culturale, il Garante per la protezione dei dati personali è un’autorità garante che si trova in una posizione rara, sui generis, perché di fatto è chiamato a difendere, o a “garantire” come suggerisce il nome dell’istituzione, un diritto che in molti, a cominciare dai più giovani, o non sanno di avere o non apprezzano nella sua dimensione valoriale piena. Difendere qualcuno in relazione ad un diritto che non sa di avere è un’impresa particolarmente difficile. Recuperare terreno da questo punto di vista è uno degli esperimenti più importanti che attendono questo Collegio, è una sfida di tipo educativo. Bisogna spiegare, in maniera semplice e alla portata di chi non si è mai interrogato sull’essenza del diritto alla privacy, come possa tutelarsi in prima persona e cosa può fare quando la propria autodifesa non bastasse; per esempio come richiedere l’intervento del Garante.
Si tratta di una partita che si gioca sul piano della comunicazione, per divulgare, giorno dopo giorno, il concetto di privacy e gli strumenti di difesa, e di autodifesa, che l’ordinamento mette a disposizione di tutti noi in relazione a questo diritto. Se perdiamo questa sfida, in relazione alla diffusione della cultura della privacy, credo che tutte le altre partite perdano di significato. Gli interventi specialistici e verticali di indagine, o sanzionatori, del Garante di per sé non sono sufficienti a cambiare l’evolversi della storia. Si può naturalmente intervenire sul macro problema, si possono irrogare delle sanzioni, che con il GDPR sono diventate anche economicamente importanti, ma si discute sempre di “rincorse” rispetto al problema, cioè di soluzioni a questioni episodiche in una dimensione sporadica ed emergenziale.
Noi, in quanto Collegio del Garante, saremo bravi nella misura in cui sapremo effettivamente convincere i cittadini dell’importanza della privacy e, magari, riuscire ad avviare un processo, come ho spesso definito, di “innamoramento di massa” verso questo diritto. Solo un cittadino innamorato di un diritto fondamentale come quello alla privacy, solo un cittadino che abbia chiaro che dal rispetto e dalla tutela di quel diritto, discenderà buona parte delle sue condizioni di vita negli anni che verranno, solo se si arriverà a quel punto, potremo dire di essere stati effettivamente bravi e di aver fatto bene il nostro lavoro. Lavoro che, se si vorrà essere intellettualmente onesti, non potrà essere misurato, alla fine di questo settennato, in termini dell’ammontare delle sanzioni che avremo irrogato e neppure nel numero di titolari di diritti che avremo riportato all’ordine. Tutto questo sarà importante, ma sarà comunque qualitativamente e quantitativamente marginale. La sfida che ci aspetta è quella di convincere 60 milioni di cittadini, ma con tante altre Autorità europee oltre 500 milioni di cittadini, dell’importanza di questo diritto e provare a fornire a ciascuno di essi degli strumenti culturali di autodifesa. Se riusciremo in questo intento, per il quale abbiamo bisogno di una comunità più ampia possibile, avremo fatto bene questo lavoro, altrimenti avremo fallito.
Nell’ambito delle azioni future, a due anni dall’applicazione del regolamento generale sulla protezione dei dati, nella Comunicazione della Commissione Europea al Parlamento e al Consiglio, è auspicato per gli anni a venire di “fare in modo che il nuovo sistema di governance realizzi appieno il proprio potenziale”. Dunque, in termini di cooperazione e di coerenza tra le autorità di protezione dei dati, quale sarà l’indirizzo del Collegio del garante per la privacy?
La cooperazione è, in tutti gli ambiti, in questo l’Internet Governance Forum è un bellissimo esperimento di confronto e di cooperazione internazionale che produce risultati culturalmente importanti ormai da molto tempo, un esercizio complesso. Il quale diventa ancora più complesso quando, come nel caso dell’IGF, al centro del tavolo vi sono diritti che sono figli di ordinamenti diversi, che traducono in norme sensibilità, culture, approcci e questioni molto diverse le une dalle altre. È banale dire, ma non si può non dire, che questa Unione Europea è un’unione ancora molto normativa, regolamentare e calata dall’alto. Molto rappresentata nella sua dimensione economica, ancora troppo poco in quella culturale. Il diritto alla privacy affonda la sua ragione d’essere proprio nella sensibilità e nel comune sentire tra le genti d’Europa. Il meccanismo di cooperazione, a dispetto dal fatto che sono passati solamente due anni da quando il Regolamento è entrato in atto ed è divenuto direttamente applicabile, sono meccanismi ormai oliati. Dal primo giorno in cui il nuovo Collegio è entrato in autorità, abbiamo percepito di essere in un’Autorità che è una parte, è un ingranaggio di una sorta di Autorità europea. Abbiamo, pertanto, accettato con piacere, con soddisfazione e con orgoglio la circostanza che molte delle scelte non sono più funzione diretta di ciò che noi pensiamo, o di ciò che noi riteniamo giusto, ma sono il risultato di un processo e di una discussione ampia e condivisa dai nostri omologhi nei paesi dell’Unione. C’è un trade off difficile che non è stato ancora identificato, ma che va identificato.
Al fine di garantire un funzionamento di una governance europea in materia di protezione dei dati, bisogna rispondere ad un problema, e cioè alla contrapposizione tra l’approccio multiculturale e condiviso al tema della privacy tra le diverse autorità garanti internazionali e la rapidità con la quale siamo sempre più spesso chiamati ad intervenire. Ovviamente è difficile, ma non impossibile, determinare un Collegio di quattro persone ad assumere una decisione in uno spazio di qualche ora, così come spesso le cose che accadono online richiedono. Molto più complesso è riuscire a determinarsi e riuscire ad identificare una linea comune quando essa non può essere identificata da quattro persone appartenenti allo stesso Collegio, alla stessa Autorità nazionale, ma deve essere necessariamente identificata in una cornice di cooperazione aperta tra le autorità preposte alla tutela dei dati personali nei paesi dell’Unione. Tale equilibro deve essere ancora identificato, le sensibilità sono inesorabilmente diverse e questo produce arricchimento della discussione e, quindi, decisioni più ponderate e più sagge, poiché più condivise. Tuttavia è necessario riuscire a fare in modo che tale processo di cooperazione sia compatibile con un contesto come quello della circolazione dei dati nella dimensione digitale, nella quale molto spesso l’intervento ritardato di un ora rende il più giusto degli interventi ingiusto, o almeno inutile perché incapace di risolvere direttamente il problema.