Intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali
Abbiamo deciso di celebrare la Giornata europea della protezione dei dati promuovendo una riflessione sul futuro della privacy, sulle possibilità di accompagnare il progresso e l'innovazione con la tutela dei diritti fondamentali, in un tempo nel quale la continua evoluzione della tecnologia modifica con incredibile velocità i nostri modi di vivere. Lo scenario che si dispiega davanti a noi non è più soltanto quello dello spazio globale dell'informazione.È l'internet di tutte le cose, con le sue molteplici applicazioni dalla domotica alle tecnologie indossabili sino alle città intelligenti, che attribuisce anche agli oggetti di uso comune un'identità "digitale" e li connette tra di loro. È lo sviluppo esponenziale dei big data, alimentato dall'uso intensivo di tecniche di calcolo e algoritmi predittivi sempre più precisi ed applicati a volumi crescenti di dati. È, in una parola, il pianeta connesso, nel quale si realizza compiutamente la continuità tra spazio fisico e spazio digitale, la nuova dimensione immateriale della nostra esistenza. Gli orizzonti che si aprono sono vastissimi e, per molti aspetti, ancora non del tutto noti e prevedibili. L'unica certezza è la nuova e smisurata disponibilità di informazioni che potranno essere raccolte e scambiate ininterrottamente, spesso senza alcun intervento attivo o consapevole delle persone. Il salto che ci attende non è solo quantitativo – per volume e varietà dei dati generati e sfruttati – ma qualitativo, dal momento che le nostre scelte saranno sempre più condizionate da apparecchiature intelligenti che assumeranno in modo automatico decisioni per conto nostro. Rispetto all'attuale monitoraggio dei comportamenti degli utenti in Rete (analisi della navigazione, del contenuto delle email o dei social network) sarà possibile, in un futuro davvero prossimo, attingere direttamente ed in tempo reale anche a dati dinamici ed emotivi trasmessi dal nostro corpo, ben oltre la già sperimentata sentiment analysis. Penso alle potenzialità delle tecnologie indossabili, dagli orologi intelligenti ai sensori a realtà aumentata. La creazione di una rete di processi, dati e oggetti rischia di realizzare una totale riduzione dell'uomo a cosa: l'individuo considerato alla stregua di un semplice supporto connesso al mondo di internet. Il corpo come un oggetto da profilare in modo sempre più sofisticato per condizionare consumi, stili di vita, scelte individuali; e da sorvegliare per conoscere e conservare ogni aspetto anche quello più banale della quotidianità, realizzando un controllo sociale particolarmente invasivo che si estende, di fatto, alle nostre abitazioni, alla nostra fisicità. Siamo noi stessi i primi ad innescare il processo, il più delle volte inconsapevoli delle conseguenze legate alla scia di informazioni personali che ogni attività o operazione compiuta lascia dietro di noi. Forse dovremmo imparare a non affidarci con eccessiva superficialità alle lusinghe della tecnologia, abbagliati dai servizi e dalle opportunità che ci vengono offerte. Sono convinto che di fronte alla complessità della società digitale, dobbiamo esorcizzare la tentazione neoluddista di un'opposizione ideologica nei confronti delle innovazioni e sfuggire da ogni inutile tecnofobia. E tuttavia le innovazioni, che sono indispensabili per semplificare la vita e migliorare l'ambiente che ci circonda, devono essere governate per impedire che le esigenze del mercato e le logiche del profitto ci sottraggano i nostri spazi di intimità e di libertà e per evitare che i dati accumulati siano usati "contro di noi". In questi anni, abbiamo indirizzato la nostra attenzione ai c.d. "Over the top", le multinazionali del web, monopolisti di un'economia digitale sempre più distante dai consueti canoni della competizione e della regolazione dei mercati, intermediari sempre più esclusivi tra produttori e consumatori, protagonisti influenti delle relazioni internazionali. E nonostante l'evidente disparità di potere i Garanti europei, grazie anche alle recenti sentenze della Corte di Giustizia, hanno avviato un confronto che, ancora lontano dall'essere concluso, ha registrato la disponibilità dei giganti della rete a misurarsi sul terreno di una protezione dei dati più rispettosa e attenta. Mi riferisco ai vari rapporti sulla trasparenza pubblicati dopo lo scandalo Datagate, alla volontà di adeguarsi alla sentenza della Corte sul diritto a non apparire tra i risultati del motore di ricerca e, particolarmente rilevante per l'Autorità italiana, al riconoscimento del contenuto prescrittivo del nostro provvedimento in materia di privacy policy. Probabilmente, anche al di là delle nostre ragioni, pesa la consapevolezza che il reiterarsi di comportamenti "scorretti", se non addirittura illeciti, rischia in primo luogo di compromettere seriamente la fiducia degli utenti e, di conseguenza, di riflettersi negativamente sui loro interessi economici. Ma ora ci attende una nuova stagione e la sfida appare, se possibile, ancora più complessa. E la difficoltà accresce il nostro convincimento che la protezione dei dati rappresenti la chiave attraverso la quale è possibile ricercare il più alto punto di equilibrio tra uomo e tecnica. Nella società digitale, noi siamo i nostri dati: da questa semplice considerazione bisogna partire per ricercare nuove e più efficaci forme di tutela delle nostre libertà. Seguire il percorso dei dati – presupposto indispensabile per assicurarne una effettiva protezione – diventa tuttavia sempre più complesso in realtà dove prevale l'asimmetria informativa e dove si assottiglia, fino a scomparire del tutto, la possibilità di mantenere il controllo sul flusso di informazioni che ci riguardano. L'interazione automatica tra gli oggetti permette una continua raccolta e condivisione di informazioni, senza alcuna consapevolezza delle persone cui le stesse appartengono. Del resto la catena dei soggetti che interagisce per implementare, distribuire e gestire le diverse innovazioni si moltiplica e si frammenta ininterrottamente: spesso gli sviluppatori che immettono nel mercato le infinite applicazioni – che quotidianamente scarichiamo sui nostri dispositivi – possono essere anche singoli individui e non coincidere con coloro che le distribuiscono né con chi archivia o detiene effettivamente i dati (di norma conservati in sistemi Cloud). Ma se da un lato la tecnologia offre nuove ed illimitate potenzialità di sviluppo, una raccolta massificata di dati ne aumenta in modo esponenziale la vulnerabilità con ripercussioni sempre più rilevanti per le nostre stesse vite. I rischi non riguardano soltanto la sicurezza dei dispositivi, ma anche quella di tutti i collegamenti di comunicazione e delle infrastrutture. Il bersaglio degli hacker sarà sempre più frequentemente questa rete di oggetti connessi, nell'ambito della quale i dispositivi mobili (come smartphone e tablet) saranno i vettori di accesso. Penso all'accresciuta possibilità di creare blocchi sui sistemi informatici ai quali è legata la nostra vita quotidiana, dai pagamenti ai trasporti alla salute, proprio per effetto del moltiplicarsi di tali porte di ingresso e del loro continuo interagire. La partita del cyber-crime si giocherà essenzialmente su questo piano e per tale ragione il tema della sicurezza – intesa appunto come protezione dei dati – dovrebbe essere posto al centro non soltanto di un dibattito come quello di oggi, ma della stessa politica generale del Paese. Le garanzie per rispondere a questa nuova sfida della modernità richiedono l'adozione di modelli tecnologici ritenuti sicuri. L'ambizione delle Autorità di protezione dati è quella di ricercare un nuovo equilibrio tra fattibilità tecnica ed accettabilità giuridica; di incorporare la tutela dei diritti nelle tecnologie e di responsabilizzare i titolari spingendoli verso l'adozione di nuovi modelli organizzativi di gestione e di controllo dei dati. I concetti di privacy by design, privacy by default, valutazione dei rischi, data breach sono – ed il nuovo Regolamento segna in questo senso la direzione – la condizione affinché anche lo sviluppo dell'Internet delle cose sia attento ai dati, rispettoso delle persone e, soprattutto, sostenibile. L'obiettivo è quello di arrivare ad un modello di sicurezza e di protezione dei dati perfettamente integrato in ogni dispositivo fin dalla progettazione e non aggiunto a posteriori, in quanto una volta esplosa la domanda dei consumatori sarà difficile ricondurre tutto entro un contesto di reale salvaguardia per i diritti individuali. La protezione dei dati può rappresentare l'antidoto contro ogni possibile abuso, una risposta all'avanzare della società sorvegliata, il presupposto essenziale per garantire anche la sicurezza dei sistemi. Le perplessità maggiori che si registrano da parte dei settori industriali partono dalla valutazione che, in materia di IoT, considerato un mercato ancora immaturo, eventuali interventi, anche normativi rischiano di alzare barriere agli investimenti e di ostacolare l'innovazione ma, soprattutto, di essere inadeguati rispetto alla velocità dei cambiamenti. Gli stessi settori si oppongono a soluzioni rigide astrattamente valide per ogni possibile scenario, ritenendo preferibili scelte flessibili ed approcci multidisciplinari. Sarebbe allora utile, e questo Convegno è una buona occasione, un confronto costruttivo con tutti gli interlocutori interessati per individuare e promuovere soluzioni capaci di garantire una effettiva selettività della raccolta e, soprattutto, di verificare che il rispetto di specifiche misure di sicurezza sia bilanciato con l'efficienza dei diversi dispositivi ossia che non ne comprometta le funzionalità. Mi riferisco, in particolare, al ruolo che possono avere le tecniche di anonimizzazione, la raccolta e l'utilizzo di dati aggregati piuttosto che grezzi, l'adozione di tecniche sicure di trasmissione tra i diversi dispositivi o piattaforme, la possibilità di impostare ragionevoli tempi di conservazione ovvero prevedere sistemi automatici di cancellazione, la necessità di definire in modo chiaro tutti i soggetti che interagiscono nei diversi processi nonché i "luoghi" in cui i dati sono conservati. E ancora, nella consapevolezza della dimensione globale dei fenomeni, occorre valutare se le soluzioni individuate, come ad esempio le certificazioni europee o internazionali, rappresentino un effettivo vantaggio competitivo per le aziende che le rispetteranno. I Garanti europei in questo percorso potrebbero diventare, per gli operatori, interlocutori di riferimento: per assicurare che lo sviluppo della società digitale sia a vantaggio degli utenti e rispettosa dei loro diritti e per tentare di definire, anche con un approccio multidisciplinare, regole e principi condivisi. Si tratta di stabilire un terreno comune di confronto, consapevoli che lo sviluppo del mercato digitale coinvolge anche altri rilevanti aspetti a partire dalla necessità di garantire una libera concorrenza e che sono urgenti interventi sugli attuali livelli di concentrazione dei mercati. In questo senso si muove la Risoluzione del Parlamento Europeo del dicembre 2014, che chiede misure capaci di separare l'attività dei motori di ricerca dagli altri servizi offerti dai giganti della rete. In un mondo dove sempre più cose saranno connesse, e dove gli effetti della società digitale hanno una portata globale, diventa indispensabile che anche le nostre Autorità siano capaci di "connettersi" tra di loro, di fare "rete" per implementare sinergie, condividere esperienza e svolgere al meglio quel ruolo di garanzia che i Trattati (e la giurisprudenza della Corte di Giustizia) hanno loro espressamente attribuito. Dobbiamo lavorare affinché la protezione dei dati assuma nel senso comune lo stesso ruolo di primo piano che le è stato già ampiamente riconosciuto in ambito giuridico.