Il 25 maggio il GDPR, General Data Protection Regulation, spegne la sua prima candelina. È passato un anno dalla sua piena applicabilità, con un primo semestre di vita che, secondo l’Osservatorio Information Security & Privacy, ha visto un 59% delle organizzazioni con un progetto strutturato di adeguamento e un 23% di casi in cui il progetto risultava completato. A fine 2018, quasi un quarto delle aziende si era dichiarata conforme ai requisiti imposti dal GDPR, un 10% soltanto non si era ancora posta il problema a livello organizzativo e un 8% stava analizzando i requisiti e pianificando le attività da fare.
“A un anno di distanza possiamo dire grazie al mondo dell’informazione, che ha saputo mettere in evidenza i problemi legati all’adeguamento, aumentando in questo modo la consapevolezza circa la necessità di tutela dei dati” – commenta Luca Bolognini, presidente dell’Istituto Italiano Privacy e autore del libro Follia artificiale. Informazione che ha avuto come effetto collaterale l’educazione di molti cittadini, imprenditori, funzionari pubblici su un tema tanto delicato quanto poco conosciuto.
Qual è la situazione delle nostre imprese oggi? Compliant o non compliant?
“Le imprese più grandi sono sicuramente più avanti in quanto avevano iniziato a lavorare all’adeguamento in tempo utile per essere in regola fin da subito. Problemi, dal mio punto di vista, esistono ancora per le PMI, che in genere sono più focalizzate sul business che non sugli aspetti organizzativi di compliance, e per le Pubbliche Amministrazioni, che molto spesso non hanno le risorse finanziarie e umane per far fronte all’adeguamento”.
Cosa ci si può augurare in questo secondo anno di vita?
“A differenza di molti che chiedono a gran voce sanzioni esemplari, sicuramente necessarie in casi di violazioni conclamate, sono convinto che si debba ragionare sulle modalità con cui verranno applicati i princìpi generali sanciti dal GDPR. Ce ne sono alcuni di difficile “scaricamento a terra”, come per esempio quello di limitazione di conservazione dei dati, che risulta pressoché impossibile da applicare nella realtà, visto che comporta per le aziende ricerche diaboliche di documentazioni e di altri elementi che potrebbero contenere dati personali e che dovrebbero essere classificati secondo criteri variabili. Altri princìpi generali, come quello di limitazione delle finalità e di minimizzazione dei dati sono spesso inconciliabili con le esigenze di business. In un’economia sempre più Big Data-driven e AI-driven pensare di essere completamente compliant con questi princìpi rischia di essere mortale. Quello che si può auspicare, dunque, non è l’applicazione rigida e letterale del GDPR, ma bilanciata, ovvero che tenga conto dei princìpi di realismo, proporzionalità e ragionevolezza. Una delle parti di testo migliori riportate nel GDPR, il Considerando 4, dice che la privacy non è un diritto assoluto, ma un qualcosa da bilanciare con altri diritti e libertà, come per esempio quella d’impresa. Solo se le Autorità Privacy europee saranno in grado di guardare in faccia la realtà e fare in modo che la norma non diventi un ostacolo per innovazione, ricerca e business, potremo dire di aver fatto un buon lavoro di tutela dei cittadini”.
Quali sono le cose peggiori viste in questo primo anno di GDPR?
“Sicuramente il moltiplicarsi di soggetti che, approfittando della necessità di adeguamento per le imprese, si sono spacciati per competenti in materia pur non essendolo. Si sono diffuse pratiche di mercato poco serie, proposte di incarichi esterni come DPO con tetti orari annui a volte ridicoli e non certo commisurati al lavoro da svolgere per le dimensioni e complessità delle aziende in questione. Come sempre accade con l’entrata in vigore di una normativa alla quale adeguarsi, si è assistito a un assalto alla diligenza che non ha fatto bene né alle aziende né ai professionisti che lavorano seriamente in questo settore”.
È cambiata, rispetto a un anno fa, la consapevolezza degli utenti circa la cessione di dati a grandi player come le piattaforme di social networking?
“Anche in questo caso credo che, grazie a episodi inquietanti come Cambridge Analytica, gli utenti abbiano capito il rischio che si corre in caso di profilazione comportamentale mirata alla pubblicità o alla diffusione di notizie, spesso false o indebitamente suggestive, in grado di spostare slealmente l’opinione pubblica, le convinzioni e i desideri delle persone. È comunque vero che le grandi piattaforme di social networking sono diventate più trasparenti negli ultimi mesi, a volte per adeguarsi agli ordini delle autorità, a volte spontaneamente: insomma, è più facile, oggi rispetto a ieri, capire come vengono trattati i nostri dati. Opporsi alla loro raccolta, peraltro, sarebbe inutile oltre che impossibile nell’era digitale. Ma questo non significa che non si possa fare qualcosa per migliorare la situazione attuale: si dovrebbe ragionare, per esempio, sull’equità di scambio dato-servizio, coinvolgendo diverse Autorità di tutela di differenti diritti e interessi che vanno dalla privacy, alla tutela dei consumatori, all’antitrust, al pluralismo dell’informazione. Il dato può essere monetizzabile, ma ci deve essere equità nello scambio, ovvero l’utente nel cedere informazioni su di sé deve avere valore vero, misurabile in cambio. Per determinare questo valore nel modo più equo possibile occorre un approccio che tenga conto di diritti, libertà e interessi differenti”.
In questo ultimo anno, qualcosa è cambiato in merito alla necessità di arginare la “follia artificiale”?
“Sicuramente si parla di più dei rischi dell’Intelligenza Artificiale, ponendo l’attenzione anche su aspetti etici, ma occorre fare un passo aggiuntivo, ovvero stabilire un principio costituzionale che ribadisca la necessità della presenza umana nel prendere determinate decisioni. Non si può avere un approccio soft, andando a regolamentare soltanto alcuni aspetti tecnici con linee guida come fatto finora a livello europeo. Ai rischi importanti che l’AI porta con sé occorre porre rimedio con provvedimenti legislativi incisivi, aggiungendo barriere al non-umano direttamente nelle nostre Costituzioni”.
Sonia Montegiove
