Technopolicy – Bolognini, i nostri dati e un nuovo rapporto transatlantico

Technopolicy, il podcast di Formiche.net 

All’incrocio tra tech e politica, tra innovazione e relazioni internazionali, tra digitale e regolazione, abbiamo deciso di creare un nuovo “contenitore”, Technopolicy. 

Ogni settimana incontrerò esperti, accademici, manager, giuristi, per discutere di un tema specifico e attuale. Ciascuno di questi incontri diventerà un video su Business+, la nuova piattaforma tv on demand; un podcast su Spreaker, Spotify, Apple e gli altri canali audio; un articolo su Formiche.net. Perché ognuno ha il suo mezzo preferito per informarsi e a noi interessa la sostanza e non la forma. Gli episodi sono stati scritti e prodotti insieme a Eleonora Russo.

________________

Clicca qui per vedere l’episodio integrale su Business+, la tv on demand

 

Clicca qui per ascoltare il podcast su Spotify

Clicca qui per ascoltare il podcast su Apple podcast

Clicca qui per ascoltare il podcast su Spreaker

________________

Technopolicy – Ep. 4 – Luca Bolognini – Che fine fanno i nostri dati senza il Privacy Shield?

Dove lasciamo le nostre tracce digitali ogni volta che usiamo un servizio online dal nostro smartphone, tablet, computer? I dati che compongono la nostra ombra digitale transitano da un Paese all’altro, ognuno con una diversa legislazione che ne disciplina le modalità di trattamento. Ma perché il viaggio di questo immenso flusso dati è così importante per gli equilibri geopolitici? Perché una questione che sembra essere strettamente tecnologica impatta sulle relazioni internazionali e sulla vita di cittadini e imprese? A queste e altre domande risponde Luca Bolognini, Presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati, socio fondatore dello studio ICT Legal Consulting. 

Ci racconti il tuo percorso professionale?

Sono un giurista, un avvocato dei dati da sempre appassionato ed impegnato in quest’area. Ho iniziato focalizzandomi sui temi della privacy e della protezione dei dati personali. Poi l’interesse si è evoluto verso il diritto dei dati in senso lato e, se vogliamo, anche neutrale rispetto alle tecnologie. Naturalmente vent’anni fa era una materia di nicchia, considerata un po’ da nerd. Quando dissi al mio maestro all’Università, un amministrativista, che volevo specializzarmi in questa disciplina mi guardò con occhi sconcertati perché allora dedicarsi solo a questa materia era pura fantascienza. Oggi è cambiato tutto, con i dati che stanno permeando tutti gli ambiti del diritto.

Nel 2008 ho fondato l’Istituto italiano per la Privacy e la valorizzazione dei dati che è tuttora il principale centro di studi e ricerca in Italia su questi temi, finanziato sia dalla Commissione Europea per progetti di ricerca scientifica sia da grandi aziende. Ho poi un una vita parallela come avvocato d’affari dei dati per cui, in questi anni, ho creato uno studio focalizzato su questa materia. Ci occupiamo, in particolare, di compliance e di accompagnamento alla conformità, ma soprattutto di valorizzazione e capitalizzazione dei dati. In altri termini, lavoriamo affinché i dati e la loro  gestione vengano considerati come asset e come elementi di business a tutti gli effetti che, al pari di altri, possono portare ricchezza e valore nelle imprese, e non soltanto come insieme di regole per evitare sanzioni. 

Il trasferimento dei dati è da tempo al centro dei rapporti euro-atlantici. L’annuncio di marzo di Biden e von der Leyen di un nuovo accordo su quello che è uno dei contenziosi più complessi tra i due Stati rimescola le carte. E’ la fine dello stallo Schrems? Come potrà cambiare la gestione dei dati tra UE e USA nei prossimi mesi? 

Personalmente, considero questo annuncio una buona notizia perché da un nuovo accordo potremo superare l’impasse che si è verificata ormai da quasi due anni.  L’ho visto come una boccata d’ossigeno perché siamo stati sospesi per tanto tempo. E quando dico “siamo” non penso non solo a chi si occupa della materia in quanto specialista ma a tutte le imprese, gli enti e le istituzioni che si trovano a dover utilizzare strumenti e servizi digitali che discendono da tecnologie e infrastrutture straniere, come ad esempio il cloud. Naturalmente la maggior parte di esse proviene o è situata negli Stati Uniti, che occupano una posizione di rilievo. Ma il problema si pone anche per altri Stati dal momento che la Corte Ue ha stabilito l’illiceità del trasferimento dati verso ordinamenti extraeuropei in assenza di conformità agli standard in materia di privacy previsti dal diritto dell’Ue. Attraverso l’introduzione del cosiddetto principio di proporzionalità, infatti, la Corte definisce illegittimi i flussi di dati che transitano in ordinamenti che non rispettano il livello di tutela dei diritti e delle libertà personali garantito dall’UE. Anche perché è innegabile che l’Europa sia molto all’avanguardia nella tutela dei diritti nell’era digitale. Quando si maneggiano dati personali, infatti, il resto del mondo cerca di adeguarsi al nostro target che è il migliore in questo ambito.

La notizia di un accordo che superi queste criticità e che sia in grado di prevedere maggiori garanzie in termini di diritti dei cittadini europei assicurando, al contempo, il flusso transfrontaliero e internazionale dei dati in modo sicuro ed efficace, non può che essere valutato positivamente. 

Naturalmente, c’è da vedere quali saranno i contenuti di questo accordo. Nel migliore dei mondi possibili l’Europa avrebbe voluto che la materia venisse disciplinata con una legge del Congresso degli Stati Uniti per introdurre limitazioni più stringenti alle possibilità di ingerenza e di controllo degli Stati Uniti giustificate da motivi di sicurezza nazionale e internazionale. Proprio per poter sapere che cosa viene raccolto e per poter esercitare il diritto di agire in giudizio contro il governo americano. Uno schema del genere sarebbe stato perfettamente corrispondente al dettato della Schrems II, cioè la sentenza della CGUE che ha invalidato il Privacy Shield e creato questa situazione difficilissima da gestire. Questo non accadrà

L’accordo sul regime di trasferimento dati sarà un compromesso con cui la Commissione europea stabilirà l’adeguatezza degli Stati Uniti e degli operatori americani che si faranno, a loro volta, certificare in base ad un determinato programma e in ossequio ad un atto esecutivo del Presidente che non avrà la stessa efficacia normativa di una legge federale. In ogni caso si tratterà di un passo in avanti molto importante e in questo Executive Order troveremo sicuramente elementi molto importanti. Come il diritto di far valere in giudizio le proprie ragioni per i cittadini europei, i cui dati saranno per forza di cosa trattati con maggiore trasparenza da parte del governo degli Stati Uniti rispetto a quello che fu il Privacy Shield.

E’ più complicato prevedere quanto durerà e che vita avrà un eventuale nuovo accordo. Perché l’iter che conduce alla decisione di adeguatezza dell’Unione europea è composto da tanti passaggi intermedi, come i pareri del Comitato europeo per la protezione dei dati (EDPB) e dello stesso Garante europeo. Probabilmente potremo contare su questo nuovo regime per alcuni anni finché nuove cause non verranno portate alla Corte di Giustizia. E sul punto Max Schrems, il cittadino austriaco che ha fatto della tutela dei diritti dei dati degli europei la sua battaglia identitaria, ha già fatto capire di essere sul piede di guerra. Se questo è vero, in effetti, non essendo in presenza di una legge federale approvata dal Congresso potrebbe accadere che fra qualche anno la CGUE faccia lo sgambetto anche a questo nuovo accordo. 

Le aziende, come dicevi, hanno passato due anni in una sorta di limbo giuridico in cui avevano difficoltà a capire come muoversi attraverso le cosiddette clausole contrattuali standard. Quale consiglio daresti oggi ad un’azienda che gestisce dati e ha rapporti con società che non sono all’interno del perimetro giuridico tracciato dall’UE?

In questi anni abbiamo imparato una cosa molto importante. E cioè che innanzitutto bisogna fare i compiti i compiti a casa. Intendo dire che bisogna avere contezza di cosa si trasferisce all’estero. I dati sono la nostra ombra digitale e non ci si può più permettere di non sapere su quali server e attraverso quali strumenti vengono trattati i nostri dati. L’ignoranza in questo caso si previene con una mappatura dei trasferimenti dei dati e dell’insieme dei flussi. Per far ciò abbiamo a disposizione il cosiddetto Transfer Impact Assessment (TIA), una valutazione sul percorso transfrontaliero che tenga conto della tutela dei diritti e delle libertà delle individuali. Un sistema, cioè, che permette di valutare i rischi per cittadini, consumatori, clienti e dipendenti derivanti dal passaggio dei dati fuori dall’Unione Europea. In base alla valutazione dell’impatto si introducono poi misure di salvaguardia che possono essere tecnico-organizzative e legali. Ad esempio, i dati possono essere immagazzinati su un infrastruttura cloud fisicamente collocata in un altro continente e disciplinata da altre giurisdizioni ma cifrati attraverso la crittografia end-to-end che impedisce l’ingerenza da parte di soggetti terzi, come un governo o un’autorità.

In alcune situazioni, però, questo non è possibile. E’ il caso del software as service che necessariamente lavora i dati in chiaro sul server di destinazione e rende quindi la misura inapplicabile. Ma ci possono essere altri accorgimenti e anche laddove non si giunge ad una soluzione perfetta comunque si è compiuto un iter bilanciato di valutazione e mitigazione dei rischi. Che è comunque un percorso che permette una valutazione positiva da parte di un’autorità indipendente, sia europea sia italiana, come da parte di un giudice. In definitiva, è evidente che nell’approcciare la questione della gestione dei dati dobbiamo tutti essere diligenti e rispettare le regole. Tuttavia, in Europa e in Italia non abbiamo ancora a disposizione le tecnologie che le imprese, piccole e grandi che siano, comprano e utilizzano da mercati relativi a legislazioni estere. 

Il tema del momento  – e sicuramente del prossimo decennio – è il metaverso, il Web3 e in generale la decentralizzazione dei servizi online. Finora abbiamo avuto a che fare con grandi piattaforme che gestiscono i nostri dati e alle quali abbiamo scelto di affidare questa operazione per facilitare l’uso dei servizi in rete. Diversamente da ciò che accadeva nel Web1 in cui c’era una gestione personale di dati e processi. Con il con il metaverso, oggi, si ritorna ad una maggiore autonomia. Come cambia il diritto dei dati nel metaverso?

Metaverso vuol dire realtà estesa. Ma anche realtà virtuale, con la creazione di gemelli digitali, e realtà aumentata con la possibilità di attribuire alla realtà fisica elementi virtuali. Innovazioni che vengono gestite con la tecnologia blockchain e che si sviluppano secondo il modello del Web di terza generazione. Rispetto a questi temi, ci sono due elementi chiave da non dimenticare. E cioè che avremmo delle intelligenze artificiali pervasive e quindi un potenziamento delle capacità elaborative e decisionali di elementi non umani, come gli algoritmi che sono il “cervello” delle macchine.  Ci sarà poi un potenziamento dell’Internet of Things (IoT), che ritroviamo ad esempio nell’industria 4.0. Si tratta di elementi già reali, già presenti nella nostra quotidianità, ma che un domani diventeranno davvero pervasivi. 

Questo scenario, soprattutto dalla prospettiva di un giurista, è veramente rivoluzionario. Perché Internet non sarà più semplicemente accessibile da uno schermo. Ci sarà, al contrario, una maggiore decentralizzazione che non escluderà però anche le centralizzazioni. Non dobbiamo incorrere nell’errore di immaginare il Web3 come un qualcosa in cui effettivamente tutto si frammenti. E ciò implica che anche in questa nuova dimensione ci sarà ancora bisogno delle grandi provider per determinati tipi di servizi. Pur introducendo un’ampia disponibilità di soluzioni effettivamente decentralizzate e individualizzate, con operazioni che non hanno bisogno di autorità intermedie che verifichino e controllino. C’è poi l’elemento della automatizzazione delle decisioni e del machine learning che cambierà il modo di agire delle macchine e, inevitabilmente, il nostro modo di interagire con esse. 

Questi elementi fattuali andranno a cambiare anche le dinamiche giuridiche. E non sarà tutto riconducibile ad una mera questione di liability, cioè di responsabilità  di tipo civile (banalmente rispondente al concetto di chi rompe paga). La questione che si porrà, invece, sarà proprio la necessità di responsabilizzazione sulla conformità e sul rispetto dei diritti fondamentali per nuove fattispecie giuridiche. A questo proposito, è emblematico il caso della tutela dei marchi nel metaverso. 

Soffermiamoci proprio su questo. Uno dei problemi degli NFT, i non-fungible token che certificano l’autenticità e la proprietà di un bene unico, è che in realtà hanno bisogno di clearence houses e cioè di piattaforme che gestiscono questo tipo di asset. E queste non sempre sono fedeli all’originale NFT perché possono cambiare e alterare l’unicità del token. Dall’altra parte, questi strumenti hanno il beneficio di garantire una ownership indiscussa su un particolare oggetto. Ownership che però, in pratica, deve essere certificata da piattaforme. Il problema quindi è garantire gli effetti erga omnes di questo tipo di diritto di proprietà. Che scenari giuridici si aprono rispetto a questo tema?

Personalmente, sono molto affascinato dal mondo NFT e dai suoi sviluppi. Dal punto di vista giuridico, il mezzo sarà sempre di più il messaggio e il messaggio il titolo stesso. E appunto questo insieme di dati diventa esso stesso titolo giuridico. E lo sarà sempre di più. In materia di affidabilità e di tutela, questi asset sollevano delle grandi criticità. E’ un problema attuale per tutto quello che è off-chain e non può essere cristallizzato nella blockchain. I dubbi si presentano ad esempio sul valore dell’interpretazione che si dà al dato a seconda di quelli che sono gli attori che entrano in gioco a gestirlo. Questo ci fa capire che dovremmo tenere presenti una quantità di forme di relazione tra soggetti umani, macchine (con rapporti anche machine-to-machine) e dati che trasformeranno profondamente il diritto e gli istituti giuridici.  

Hai menzionato anche il cloud. La questione della gestione dei dati privati e della Pubblica Amministrazione attraverso un’infrastruttura cloud centralizzata è stata al centro dell’attività del Governo italiano con la previsione di alcuni bandi che sono in fase di aggiudicazione. Sempre in un’ottica di consiglio alle aziende, quale può essere il modello di cloud per coniugare potenziale innovativo e conformità alla regolamentazione europea?

Faccio una premessa necessaria per affrontare il tema cloud. Dall’UE sta arrivando un’enorme quantità di interventi e policy per regolare la vita digitale degli europei. Dal Data Act, Data Governance Act fino a DMA e DSA e alla Direttiva NIS 2. Solo per citarne alcuni. 

E questi provvedimenti introducono degli elementi che saranno nel nostro quadro regolatorio per i prossimi 10 anni. Ad esempio, il Data Act prevede dei limiti alla circolazione fuori dall’Unione europea anche dei dati non personali che sono generati nell’ambito di servizi cloud o di servizi di IoT. 

Considerando ciò, la versa sfida nella definizione di un modello di cloud è rendere l’infrastruttura compliant con la regolamentazione europea ma anche prova di esigenze di sicurezza nazionale. Personalmente, trovo interessante il modello israeliano in cui ci sono servizi e tecnologie estremamente avanzati che non sono stati prodotti in Israele, nè tantomeno in Europa. Sono al contrario forniti da provider esteri. Negare questa evidenza significherebbe fare a meno di tecnologie di ultima generazione in nome di un autarchia e di una forma di protezionismo tecnologico che stride con la realtà e con il potenziale innovativo di queste innovazioni. In Israele, infatti, hanno commissionato lo sviluppo di queste tecnologie ai grandi fornitori che non sono israeliani ma che da Israele stanno disegnando lo scheletro dell’infrastruttura cloud per la pubblica amministrazione.

E’ un modello che mi convince perché fa leva su ciò che è già esistente in termini di avanguardia tecnologica, ma colloca questi servizi in un contesto nazionale che li rende eventualmente controllabili dalle autorità. A me, quindi, piacerebbe un modello di cloud che possa essere un combinato di intelligenze e di competenze anche extra europee, ma con data center posizionati in Europa. In modo che, soprattutto per determinati servizi critici, ci siano possibilità di intervento da parte dei singoli governi per le materie di diretta competenza, con una Golden Power estesa anche in materia di Cloud. Questa è la strada da seguire secondo me. Anche perché le pulsioni che ci sono state in questi anni di cloud “locali” con tecnologie solo nazionali mi sembrano velleitarie. 

Ci consigli qualcuno da leggere o da seguire?

Consiglio di seguire il blog e gli account social del Future of Privacy Forum, un’organizzazione finanziata da molte industrie appartenenti ai settori più disparati, che è molto aggiornato sui trend che riguardano la protezione dei dati a livello internazionale. Consiglio di monitorare costantemente questo canale perché si possono leggere anticipazioni e notizie che in Italia non arrivano facilmente.