“L’obiettivo che mi sono posto nel 2017, quando ho avuto l’incarico di scrivere la legge sulla protezione dei dati personali per la Repubblica di San Marino, è stato favorire l’accesso delle imprese sanmarinesi al mercato internazionale, allineando la normativa privacy con quella europea”.
L’avvocato cassazionista e Specialista in Diritto Civile Nicola Fabiano spiega così, in estrema sintesi, il GDPR della Repubblica di San Marino di cui è Presidente dell’Autorità Garante Privacy. “Una delle novità introdotte dalla legge n. 171 approvata nel dicembre 2018 e in vigore dal 5 gennaio 2019, è l’istituzione della prima Autorità Garante per la protezione dei dati personali nella Repubblica del Titano, organo collegiale composto da tre membri”. Un provvedimento necessario, quello della Repubblica di San Marino, vista la restrizione con cui il GDPR consente i trasferimenti di dati extra UE che andava evidentemente a ostacolare anche i flussi tra Italia e San Marino. “Quando si parla di tutela dei dati personali, infatti, occorre avere una grande attenzione ed essere consapevoli del fatto che non si sta solo facendo un adempimento formale”.
In una delle sue pubblicazioni su GDPR, robot ed etica, si legge che la trasparenza è un principio fondamentale e che “le persone devono avere il pieno controllo dei propri dati personali”. Come lo si garantisce?
“Il tema dell’etica in relazione alla protezione dei dati personali è complesso e rappresenta una delle sfide di questi tempi. L’etica è diventata un elemento fondamentale, anche se non codificato, di cui si deve tenere conto. Al di là di quanto è emerso in occasione della quarantesima Conferenza mondiale dei Garanti privacy nel 2018, si registrano numerosi interventi, tra cui menziono il Report 2018 dell’AI Now Institute della New York University e le 10 raccomandazioni sull’Intelligenza Artificiale. Riguardo specificamente alla domanda, il titolare del trattamento deve rispettare pienamente il GDPR secondo il principio della responsabilizzazione (accountability). L’interessato, pertanto, deve essere in condizione di poter esercitare i propri diritti e, quindi, di avere sempre il pieno controllo sui propri dati personali”.
Il consenso ex ante alla cessione dei dati, utilizzato anche dai grandi player come Google e Facebook, è davvero efficace o c’è bisogno di altro?
“Il consenso, secondo quanto previsto dal GDPR, è una delle condizioni di liceità del trattamento. Tuttavia, il corretto uso dei dati personali non può essere fondato unicamente sul consenso dell’interessato, ma sempre sul rispetto delle norme del GDPR da parte del titolare del trattamento. Grandi player come Google o Facebook devono rispettare le norme consentendo all’interessato di avere il pieno controllo dei propri dati personali ed esercitare i diritti che gli competono.
Mi occupo di Privacy by Design (PbD) dal 2010, epoca in cui la 32ma Conferenza mondiale dei Garanti ha adottato proprio una risoluzione sul tema. Il tema della PbD, con un approccio parzialmente diverso, è divenuto il principio “Data Protection by Design and by Default” previsto nell’art. 25 del GDPR. Lo sviluppo di sistemi che utilizzano l’Intelligenza Artificiale e il Deep Learning, senza l’osservanza del principio della protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (Data protection by design and by default) contenuto nell’art. 25 del GDPR, possono esporre a seri rischi i dati personali dell’interessato: uno di questi risiede nella profilazione dell’interessato, senza che lo stesso possa pienamente controllare i propri dati. Inoltre, di recente si è parlato dei cosiddetti “dati inferiti”, ossia quelli che si ottengono ricavandoli o estraendoli da altre informazioni senza che l’interessato possa esserne informato e, quindi, senza alcun controllo su di essi. Il titolare del trattamento nell’utilizzo di sistemi intelligenti deve comunque rispettare le norme del GDPR e i relativi princìpi, l’osservanza dei quali, a mio modesto parere, offre anche la possibilità di avere un corretto approccio etico”.
Una sua proposta del 2013 era riferita alla possibilità di introdurre uno “standard privacy framework”: è ancora valida? Qual è un possibile modello da costruire?
“Già diversi anni fa proposi l’idea di un framework internazionale che fosse utilizzabile da tutti per la protezione dei dati personali. Ciò che intendo è una cornice normativa comune a livello mondiale, che preveda e stabilisca i princìpi di base in materia di protezione dei dati personali e privacy; il contenuto, ovviamente, sarà costituito dalle singole norme nazionali o federali (USA), oppure come in Europa dal GDPR. Il principio di armonizzazione delle legislazioni nazionali degli Stati europei è un segno positivo che va proprio nella direzione da me prospettata qualche anno fa. È importante avere un riferimento comune in questa materia. Ci sono progetti avviati sul tema e tra questi posso menzionare, per aver fatto parte del technical committee, quello di OASIS denominato Privacy Management Reference Model (PMRM). Tuttavia, merita di essere anche menzionata la prassi di riferimento di UNI (PdR 43:2018), pubblicata a seguito del lavoro svolto dal Tavolo “Processi di gestione privacy in ambito digitale”, a cui ho partecipato. Credo che sia stato pubblicato un buon lavoro e mi risulta che sia di interesse anche all’estero”.
Probabilmente il concetto stesso di privacy oggi è cambiato. Secondo lei qual è la definizione corretta?
“In un contesto indefinito, come la infosfera o il cyberspazio, è difficile poter circoscrivere il tema della privacy, o meglio, della protezione dei dati personali. Il GDPR è una pietra miliare che ha completamente cambiato l’approccio alla protezione dei dati personali, anche se non è la soluzione perfetta. L’interessato si deve fidare del titolare del trattamento nella misura in cui quest’ultimo rispetti le norme del GDPR. Ciò che deve essere chiaro è che il trattamento dei dati personali va affrontato considerandolo in termini di processi che devono essere analizzati, valutati, attuati e monitorati. L’approccio alla protezione dei dati personali è decisamente dinamico e non statico; sbaglia chi ritiene di poter affrontare il tema della protezione dei dati personali considerandolo come un percorso che termina con il raggiungimento di un punto di arrivo. L’adeguamento al GDPR è un percorso dinamico che non ha termine ma è sottoposto al monitoring continuo dei processi. Privacy e protezione dei dati personali sono due diritti distinti e qualificabili come diritti fondamentali in Europa; infatti, sono contenuti nella Carta dei diritti fondamentali dell’Unione Europea. Il dato personale va considerato come un valore in senso assoluto perché appartenente a ciascuna persona umana. Pertanto, il dato personale non può essere svilito e valutato economicamente al solo fine di divenire oggetto di mercificazione. Il dato personale ha un valore alto e nobile perché diversamente finiremmo con lo svilire la persona e la dignità umana. Le Corti europee confermeranno tali connotazioni del dato personale in occasione di violazioni dei diritti fondamentali. Il rispetto per il dato personale implica medesimo rispetto per la dignità umana”.
