È il quarto 31 dicembre da un quarto di Garante, il quarto anno – e qualcosa di più – vissuto indossando la maglia di una delle squadre più straordinarie con le quali abbia sin qui giocato ma, soprattutto, giocando alcune delle partite più belle di sempre, partite che benché il risultato non possa essere riassunto con certezza nella binarietà della vittoria o della sconfitta, mi piace pensare abbiano contribuito a rendere migliore la società nella quale viviamo perché quando parliamo di privacy, alla fine parliamo sempre di persone, delle loro vite, del loro presente e del futuro prossimo nel quale viviamo e vivremo.
Difficile riassumere in poche parole un anno intenso come quello che ci stiamo lasciando alle spalle e, soprattutto, farlo provando a mettere in fila questo o quel titolo di questa o quella battaglia perché nel farlo si correrebbe il rischio di lasciarsi guidare dalla maggiore rilevanza mediatica che alcune partite hanno avuto rispetto ad altre, magari solo in ragione dell’importanza delle squadre in campo o della sanzione elevata mentre la verità è che, con poche eccezioni, le partite più importanti sono state quelle nelle quali si è scesi in campo per difendere i diritti di una singola persona, sconosciuta ai più, che aveva visto – o nei casi più belli – stava per vedere la propria vita andare in frantumi per colpa di una violazione di un diritto che nella società dei dati sta mostrando sempre di più la sua anima di diritto-strumento, indispensabile alla protezione e promozione di altri diritti e libertà.
Niente nomi o titoli sulle partite giocate nel 2024.
Meglio provare a mettere in fila alcune delle questioni affrontate che, forse, danno l’idea del privilegio che si ha nell’indossare questa maglia e, inesorabilmente, della responsabilità che indossarla comporta.
C’è stata e, inesorabilmente, sarà al centro del campo anche negli anni che verranno, la questione del diritto alla protezione dei dati personali applicata alle cose del governo della cosa pubblica a ogni livello da quello relativo alle leggi e ai decreti con i quali si regolamenta l’agire di soggetti pubblici e privati a quello relativo all’azione di migliaia di pubbliche amministrazioni straordinariamente diverse per dimensioni e finalità istituzionali perseguite.
Due in questo genere di partite le linee di azione probabilmente più importanti.
La prima.
Anche quest’anno non abbiamo mai smesso di ricordare che non si può cedere alla tentazione di credere che il fine giustifichi i mezzi e che, quindi, qualsiasi trattamento di dati personali posto in essere, in qualsiasi maniera, se strumentale al raggiungimento del più nobile dei fini, possa considerarsi lecito e democraticamente sostenibile.
Se cedessimo a questa tentazione sbaglieremmo.
La seconda.
Le pubbliche amministrazioni – soprattutto le più piccole – continuano a violare le regole della privacy e così facendo a esporre a conseguenze anche gravi la dignità e la vita di milioni di persone per scarsa conoscenza di queste regole, mancanza di adeguata educazione.
Dobbiamo riuscire a arrestare il fenomeno perché, altrimenti, con un’amministrazione che diventa sempre più digitale, le conseguenze di eventuali errori potrebbero diventare sempre più rilevanti.
Qui non sembrano esistere scorciatoie: investire in formazione – vera e non semplicemente come adempimento formale – e progettare e sviluppare sistemi informatici sempre più ispirati alla logica della privacy by design e, quindi, capaci di “costringere” anche le amministrazioni più piccole a porsi certe domande e a fare scelte compatibili con le regole della privacy.
Ma per quel che concerne le cose della privacy applicata all’universo pubblico, la partita più grande e in relazione alla quale temo siamo solo ai primi momenti di gioco è quella di convincere i decisori pubblici che non c’è, non può esservi, non deve esservi rivalità tra la loro attività e quella del Garante, né tra i diritti in nome dei quali agiscono e il diritto alla privacy, non siamo antagonisti ma alleati, giochiamo – o, almeno, dovremmo – tutti con la stessa maglia e vinceremo tutti nello stesso istante, se e quando riusciremo a garantire alle persone il diritto a non dover scegliere tra diritti, a non dover scegliere tra una sanità più efficiente o più rispettosa della privacy o tra un’amministrazione più moderna o più rispettosa della privacy.
Alle persone dobbiamo riconoscere tutti insieme il diritto a non dover scegliere.
E si tratta di un risultato accessibile come dimostrano, credo, alcuni passi avanti fatti tanto nell’universo della sanità pubblica digitale, tanto in quello della trasformazione digitale dell’amministrazione.
Guardando al 2024 del mercato, due questioni, hanno svettato sulle altre.
La prima riguarda il tema enorme della commerciabilità dei dati personali, della possibilità di scambiarli sui mercati globali a fronte di altri benefici quali l’accesso a taluni contenuti o servizi.
Qui nessuna delle partite giocate credo abbia davvero consentito di sciogliere i nodi sul tavolo.
E, come è normale che capiti attorno a questioni epocali come questa non c’è ancora uniformità di vedute tra noi Autorità di protezione dei dati personali e talvolta neppure all’interno della singola Autorità.
Credo sia naturale.
Io ho la mia personale convinzione, uscita rafforzata da questo 2024: i dati personali non sono il diritto alla privacy.
Un diritto fondamentale come il diritto alla privacy non può esser scambiato sui mercati perché se avvenisse perderebbe il suo carattere di universalità e, a quel punto, varrebbe di meno per chi ha di meno e di più per chi ha di più, uno scenario naturalmente insostenibile.
Ma i singoli dati personali possono, invece, essere scambiati sui mercati senza generare analoghe insostenibili conseguenze.
La scommessa è tracciare la linea di confine tra atti di disposizione dei dati personali e atti di disposizione dell’intero diritto o, ancora meglio, scongiurare il rischio che i primi esondino nel secondo.
La soluzione va trovata in un dialogo multistakeholders accettando il fatto che il mercato ha fallito nell’autoregolamentarsi e che oggi esige che le persone non cedano dati ma rinuncino a diritti per accedere a servizi e contenuti e che, probabilmente, noi, come autorità di protezione dei dati personali, abbiamo tenuto posizioni troppo rigide che si sono rivelate incapaci di governare il fenomeno.
Ma è difficile, oggi, pensare a un futuro per il diritto alla privacy lontano dai mercati e, quindi, credo sia tempo – da una parte e dall’altra, industria e autorità di protezione – per una nuova stagione di confronto e dialogo.
E non c’è momento migliore della fine di un anno e dell’inizio del successivo per evocarla.
La seconda questione al crocevia tra mercati e privacy, protagonista del 2024, è stata quella relativa alle cose dell’intelligenza artificiale.
Si è trattato – e, verosimilmente, si tratterà – perché anche in questo caso siamo decisamente più vicini al fischio di inizio che al triplo fischio di chiusura, probabilmente della più difficile delle partite prima da interpretare e poi da giocare.
Da una parte la più rivoluzionaria delle applicazioni tecnologiche che l’umanità abbia mai conosciuto e, certamente, la più rapidamente pervasiva, capace di conquistare in pochi anni miliardi di persone e dall’altra un diritto come la privacy, ultra secolare e fondamentale nel garantire la dignità delle persone e la democrazia della nostra società.
Il mercato, come sempre, non ha aspettato le regole e le regole sono arrivate in ritardo.
Il risultato è stato che il mercato ha scritto e imposto le sue regole e, ora, tornare indietro è difficile, talvolta, sembra addirittura impossibile.
Dobbiamo, in qualche modo, riavvolgere il nastro, aggiustare il tiro, ripristinare l’ordine naturale delle cose: devono essere le regole che escono dai Parlamenti e dai Governi a orientare anche lo sviluppo tecnologico perché queste regole sono adottate nell’interesse di tutti mentre quelle tecnologiche, anche le migliori, sono adottate almeno nell’interesse prevalente di pochi.
C’è tantissima strada da fare.
Guai a pensare di averne fatta la più parte.
Abbiamo, proprio dall’Italia, sollevato alcuni problemi da affrontare ma non li abbiamo risolti.
Abbiamo tratteggiato a matita alcune azioni utili a affrontarli ma non risolutive: trasparenza, educazione, riconoscimento dei diritti dei singoli come vincolo a ogni sviluppo tecnologico.
E nel farlo siamo spesso passati per neo-luddisti, per nemici del progresso, per antagonisti dell’intelligenza artificiale.
Personalmente non credo di esserlo ma comprendo e rispetto il punto di vista di tanti.
Anche qui è urgente identificare un forum, meglio se globale, di discussione multi-stakeholders ma, attenzione: non può essere uno di quei tavoli attorno ai quali si resta seduti per anni a parlare dei massimi sistemi perché non abbiamo più tempo.
Non è giusto chiedere ai mercati di attendere – e sarebbe comunque inutile – ed è straordinariamente pericoloso lasciare che i mercati vadano avanti da soli nell’imporre a mezzo tecnologia le loro regole all’intera società.
Significherebbe lasciare che la tecnocrazia prenda il posto della democrazia.
Mi fermo qui, prima che arrivi il 2025!
Ma prima del triplo fischio i ringraziamenti.
Quelli ai colleghi del Collegio dai quali non c’è stato giorno nel quale non abbia imparato qualcosa, quelli agli uffici del Garante perché anche le migliori delle idee non vanno da nessuna parte se non sono confortate dal confronto con competenze importanti e messe a terra da braccia e gambe allenate e appassionate.
Quelli ai rappresentanti delle altre Istituzioni e quelli ai rappresentanti dell’industria per il confronto costante, pubblico e privato, mossi da un unico obiettivo: trovare il miglior punto di bilanciamento possibile tra il diritto alla privacy e gli altri, altrettanto importanti, diritti e interessi necessari a rendere ogni giorno migliore la nostra società.
E, poi – ma non certo in ordine di importanza – quelli al mio team, a una segreteria semplicemente fuori dall’ordinario con la quale ho il privilegio di lavorare ogni giorno e che vale la pena nominare per nome, in rigoroso ordine alfabetico, Eduardo, Giovanna, Giulia e Michela.
A tutti grazie perché il poco che ho fatto, sarebbe stato impossibile senza il vostro supporto e ancor di più senza il confronto costante con ciascuno di voi.