GDPR e Big Data: verso una rivoluzione digitale
A circa tre mesi dall’entrata in vigore del Regolamento Europeo n. 679/2016, numerosi sono i commenti e le analisi relativamente alle molteplici attività previste.
Per comprendere fino in fondo lo spirito del Legislatore Europeo e per prendere compiuta coscienza di ciò che il GDPR detta in tema di privacy, è opportuno compiere un rapido passo indietro, fino ai primi scritti in materia di protezione dei dati (e dell’immagine), per cercare poi di proiettarci verso ciò che è stata da molti analisti tecnici e finanziari definita come la futura rivoluzione digitale europea. Erano gli ultimi anni del 1800 quando l’avvento della fotografia e l’inizio del suo utilizzo su larga scala, ed in particolar modo la sua applicazione da parte dei giornali, fece porre l’attenzione di numerosi studiosi sul problema della possibile diffusione inconsapevole dell’immagine di persone fisiche, ritratte a loro insaputa in fotografie. Nacque in tal modo una approfondita analisi del concetto di privacy, sfociata con un noto articolo redatto da Samuel Warren e Louis Brandeis nel 1890, dal titolo “The Right to Privacy”. Il fermento che generò tale scritto determinò, secondo autorevoli giuristi[1], l’avvio degli studi in merito alla violazione della privacy, con la necessità di trovarne efficaci rimedi. Il punto focale che Warren e Brandeis posero nel loro famoso scritto, pubblicato dalla Harvard Review, fu la necessaria crescente attenzione nei confronti dell’individuo, della sua immagine e di conseguenza della sua libertà, il tutto sottoposto al vorticoso progresso tecnologico cui si assistette nella seconda metà del 1800, rappresentato dall’espansione della stampa e, con essa, la neonata propensione alla rappresentazione mediatica di gossip e di notizie ed immagini scandalistiche raffiguranti avvenimenti legati alla vita privata (in particolar modo dei soggetti maggiormente noti ed influenti, dando vita al cosiddetto “yellow juornalism”[2]).
Gli Stati Uniti vissero in modo particolarmente invasivo il diffondersi delle testate giornalistiche, che passarono dalle circa 200 del 1850, con circa 800.000 lettori, alle oltre 3.000 del 1890[3], con più di 8 milioni di lettori.
Il progresso tecnologico che determinò la fortuna di detta tipologia di giornalismo è invero stato reso possibile grazie all’invenzione nel 1884 da parte della Eastman Kodak della macchina fotografica portatile[4], la quale permise la diffusione della rappresentazione fotografica degli individui, immortalati, il più delle volte a loro insaputa, nella loro vita privata[5].
Warren e Brandeis notarono per primi quanto carenti fossero gli strumenti a difesa della privacy dell’individuo[6]. Nacque così la necessità di individuare strumenti atti a tutelare l’individuo ed il suo diritto a negare la diffusione della sua immagine, in assenza di un espresso consenso.
A distanza di oltre un secolo, anche il diritto europeo si è finalmente evoluto verso quella che numerosi analisti definiscono una epocale rivoluzione digitale. Il recente Regolamento Europeo n. 67972016, meglio conosciuto come GDPR, rappresenta una norma di portata generale che si prefigge l’ardito risultato di uniformare le variegate e frammentate leggi varate dai vari stati Europei, chiamati ad armonizzare i rispettivi strumenti con i dettagliati principi introdotti con tale dettato comunitario. Entrati nell’era del Big Data, non è sfuggito agli Organi Europei la necessità di trovare il modo di regolamentarne la enorme potenzialità lesiva, proporzionale all’altrettanto maestosa capacità di crescita economica, stimata in oltre 415 miliardi di Euro/anno.
Dalle relazioni in occasione del vertice Europeo di Goteborg tenutosi nel novembre del 2017, si evince che la carenza di competenze digitali in area Europa è un fenomeno reale ed allarmante: mentre il 90% dei lavori del futuro richiedono competenze in campo digitale, il 44% dei cittadini europei non possiede neanche le abilità di base. Gli Organi Europei hanno conseguentemente avviato un piano d’azione per l’istruzione digitale al fine di prepararci a vivere e lavorare in società sempre più digitali.[7]
Accanto al crescente e ineluttabile progresso tecnologico, appare peraltro evidente la forza economica rappresentata dai dati e dalla sua gestione; in modo analogo a ciò che era avvenuto con l’avvento della fotografia di massa in USA, il progresso tecnologico deve essere affiancato da garanzie per l’individuo i cui dati personali rappresentano una fonte di enorme ricchezza per gli operatori economici del settore.
Il Regolamento pone le prime basi per la costante implementazione del concetto di “dato” meritevole di tutela. Il progresso tecnologico determina infatti una costante modificazione di ciò che deve essere protetto e tutelato a fini di privacy.[8] Fino a non molto tempo fa i dati personali erano rappresentati in buona sostanza da quelli anagrafici, oltre che quelli bancari, ed ovviamente quelli sanitari. Oggi il concetto di “dato” si è allargato a dismisura, giungendo alla creazione di una vera e propria identità digitale di ciascuno di noi. Pensiamo ad esempio a tutto ciò che consultiamo sul web, ma anche a tutti gli acquisti che facciamo utilizzando carte fedeltà o effettuando pagamenti telematici, così come ogni nostro spostamento che viene monitorato da sistemi di geolocalizzazione, i cui algoritmi sono sempre più sofisticati.
L’avvento dell’Internet delle cose sta modificando il modo di interagire degli individui con la “rete” e la vorticosa crescente funzionalità dei devices e dei cosiddetti wearable dovrà essere sempre più accompagnata da una adeguata tutela dell’individuo, inteso nella sua accezione di insieme di dati.
La propensione del soggetto consumatore all’utilizzo sempre crescente delle nuove strumentazioni digitali (pensiamo a ciò che oggi è possibile fare utilizzando i dati biometrici, come ad esempio accedere ad un device, aprire un veicolo, effettuare un pagamento) non potrà invero che passare attraverso una forte e severa tutela dei dati personali e di quella che viene denominata identità digitale.
Fino ad oggi le legislazioni nazionali europee in materia di privacy non sono apparse adeguate e accogliamo con molto interesse il Regolamento il cui impianto normativo è caratterizzato dal concetto di “accountability”, tradotto con il termine di “responsabilizzazione”.[9] Il GDPR recepisce il principio dell’accountability dall’ordinamento statunitense, con l’intento di dettare un principio unitario, valevole per tutti gli stati Europei, i quali, pur con le differenze, a volte notevoli, di vedute e di applicazione delle norme legislative, dovranno uniformarsi a principi di trasparenza e proattività dei soggetti destinatari della norma regolamentare, circa la corretta tenuta e trattamento dei dati. Nato in buona sostanza come principio destinato alla trasparenza dell’Amministrazione Pubblica rispetto alle attività di Governo, il Regolamento amplia il concetto ispiratore, per renderlo applicabile a tutti i soggetti che per le ragioni attinenti alla propria attività, trattano i dati delle persone fisiche.
Il Legislatore Europeo detta norme di indirizzo e formula principi entro i quali i soggetti destinatari dovranno attenersi per una corretto trattamenti dei dati, giungendo peraltro a prevedere pesanti sanzioni pecuniarie nei casi accertati di mancata adozione dei principi dettati. A differenza della legislazione previgente in materia di Privacy (per il nostro Paese, il cosiddetto Codice della privacy, D.Lgs 196/2003), che dettava regole minutamente individuate, e prevedeva una costante attività di comunicazione e richiesta di congruità all’Autorità Garante nazionale della Privacy, l’attuale Regolamento prescrive che sia onere di tutti i soggetti interessati dal processo di trattamento dei dati (titolare e responsabile del trattamento) mettere in atto misure adeguate ed efficaci al fine di correttamente porre in essere tutte le attività relative al trattamento dei dati, creando modelli efficaci ed efficienti affinchè non si incorra nelle previsioni patologiche previste nel regolamento medesimo (manomissione dati, data breach, divulgazione dati, ecc).
Il concetto di Accountability attiene inoltre alla necessità, in riferimento alla cennata proattività dei soggetti previsti, di essere in grado di dimostrare la concreta adozione delle misure e modelli finalizzati ad assicurare l’applicazione del Regolamento e dei principi ivi contenuti.
Non vi è dubbio che la scommessa non appare di facile soluzione, in quanto il nostro Paese dovrà fare i conti, oltre che con una visione e mission ancora non allineati ai principi sopra brevemente sunteggiati, soprattutto con la necessità di tentare di arginare il notevole gap tecnologico rispetto a molti degli altri Stati Europei.
[1] Harry Kalven Jr.
[2] William L. Prosser, Privacy, in PHILOSOPHICAL DIMENSIONS OF PRIVACY: (noting rising popular dismay over “yellow journalism” at the time of Brandeis’s and Warren’s article)
[3] Frank Luther Mott, American Journalism: A History of Newspapers in the United States Through 250 Years, 1690-1940 (New York: Macmillan, 1941)
[4] Snap Camera
[5] Samuel D. Warren & Louis D. Brandeis, The Right to Privacy, 4 HARV. L. REV. 193 (1890) “Instantaneous photographs and newspaper enterprise have invaded the sacred precincts of private and domestic life; and numerous mechanical devices threaten to make good the prediction that ‘what is whispered in the closet shall be proclaimed from the house-tops”
[6] Idem While, for instance, the state of the photographic art was such that one’s picture could seldom be taken without his consciously “sitting” for the purpose, the law of contract or of trust might afford the prudent man sufficient safeguards against the improper circulation of his portrait; but since the latest advances in photographic art have rendered it possible to take pictures surreptitiously, the doctrines of contract and of trust are inadequate to support the required protection”
[7] Commissione Europea per l’Economia e la società digitali - novembre 2017
[8] Vd. I considerando: La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano
[9] Si legge al considerando n. 74 che “la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”.