La regolazione della privacy non è politicamente neutra, ma la popolazione più ampia non la sente ancora “sua”, non ne percepisce il valore profondo, la vede come un’affaticante burocrazia o un orpello tecnocratico. Per diventare popolare, deve politicizzarsi, deve iniziare ad essere oggetto di confronto e di scontro più ampio possibile. Luca Bolognini, avvocato esperto di privacy e fondatore di Ict Legal, fa una serie di esempi (non casuali) di decisioni paternalistiche degli ultimi tempi
Politicizziamo la privacy! L’ho detto di recente all’evento FantasIA Privacy per la conclusione dell’annata 2022/23 del Corso Maestro Academy IIP, l’ho ribadito il giorno dopo in un convegno a Roma, per la presentazione del libro di Rosario Imperiali sulla nuova data protection law svizzera. I dati personali non sono il nuovo petrolio: sono il quinto elemento dopo aria, terra, acqua e fuoco. Di dati personali si fanno la nostra impresa, la nostra cultura, la nostra socialità, la nostra ricerca e il nostro sviluppo, la nostra convivenza. La nostra vita. Le regolazioni privacy (a livello sia legislativo sia amministrativo sia informatico o privato) non sono politicamente neutre.
La “privacy” – intesa come concetto ombrello che contiene in sé tutela dell’identità, delle informazioni personali, della riservatezza, dell’autodeterminazione digitale e molto altro – può incidere in senso più o meno restrittivo sulle libertà individuali e collettive, a seconda di come venga interpretata. Una “privacy” troppo restrittiva e novecentesca può trasformarsi in una via lastricata di buone intenzioni, diretta all’inferno.
Parlando a quei recenti convegni, ho usato l’esempio metaforico degli ordini architettonici (dorico, ionico, corinzio) per segnalare come le autorità (non solo i Garanti, anche la Corte Ue) tendano talvolta a interpretare i principi di necessità del trattamento e di minimizzazione dei dati in un modo pericoloso per la libertà umana che esse stesse mirerebbero a difendere: considerare invalide le obbligazioni contrattualizzate tra un’impresa e l’interessato, poiché oggettivamente non strettamente necessarie a rendere funzionalmente il servizio principale oggetto di fornitura, sarebbe come ammettere solo la legittimità di realizzazione di capitelli “minimal”, al più di ordine dorico, escludendo che si possa concepire un’ordinazione ionica o perfino corinzia con tutte quelle futili foglie di acanto e decorazioni aggiuntive, superflue rispetto alla funzione principale del capitello.
Acquistando un paio di scarpe di Dolce e Gabbana, se le decorazioni fossero fatte di dati personali, dovremmo richiederle sempre in tinta unita e senza grafica poiché una scarpa deve fare solo la scarpa? Mi rendo conto della provocazione metaforica, ma, dopotutto, non è forse questo il fenomeno che si presenta quando si contesta a un social network come Facebook l’invalidità “a prescindere” di un’esplicita previsione contrattuale, intesa proprio come un’obbligazione a carico del fornitore, di profilare l’utente/contraente per consigliargli contenuti e servizi personalizzati?
Politicizziamo la privacy, dicevo. Non lasciamola all’élite. Purtroppo già il right to be let alone, l’essere lasciati in pace dai tabloid scandalistici di fine ‘800, fu un’esigenza da Vip (quali erano Warren e Brandeis) e non da gente qualsiasi. Poi, la normativa europea in materia di protezione dei dati personali è stata frutto di un nobile ma elitario esercizio normativo in vitro della seconda metà del ‘900: il popolo non la sente ancora “sua”, non ne percepisce il valore profondo (che pure ci sarebbe), la vede come un’affaticante burocrazia o un orpello tecnocratico. Per diventare popolare, deve politicizzarsi. Per politicizzarsi, deve iniziare ad essere oggetto di confronto e di scontro, di una dialettica che contesti le legislazioni e perfino le decisioni delle autorità in queste materie.
Attraverso la polemica politica, la lotta delle idee e delle visioni, l’insofferenza o l’entusiasmo per regole che incidono male o bene sulla pelle degli interessati (“il dato è mio e me lo gestisco io”), sul loro portafogli e sulle loro iniziative quotidiane, la privacy troverà una dimensione democratica e davvero sentita nelle persone. Sta cominciando un’epoca nuova di confronti, su interessi divergenti che appassioneranno le persone normali: perché gli spazi, i mobili e le comodità delle loro case, le merci dei loro negozi, le prestazioni delle loro auto, le aule, le lezioni e le verifiche delle loro scuole, tutto avrà l’elemento-dati come sostanza rilevantissima, da difendere e per cui battersi. E così, le regolazioni paternaliste – quelle in cui i legislatori o le autorità si arrogano il potere di decidere prima e al posto dell’individuo – smetteranno via via di essere “oro colato”, si contesteranno, si faranno evolvere per aspera. E non sarà “lesa maestà”.
Un provvedimento che invalidi una libera contrattualizzazione tra due soggetti può dare adito a critiche anche molto dure, in punto di politica del diritto. Una decisione che – interpretando in senso massimalista il principio di limitazione della conservazione temporale contenuto nel Gdpr – impedisca di conservare i dati a tempo indeterminato per fare pubblicità personalizzata, sebbene l’interessato abbia dato il suo consenso libero e specifico a farlo, è criticabile giuridicamente e politicamente. Una sentenza che vieti a un museo di usare sensori smart – con trattamenti di dati di poche frazioni di secondo – per censire statisticamente i tipi di visitatori ed elaborare preziose informazioni sul passaggio e l’osservazione delle opere d’arte esposte, è discutibile nel XXI secolo.
Una start up che – per una regolazione troppo preclusiva e prevenuta – debba chiudere i battenti o comunque rinunciare a volare (di nuovo, metaforicamente) nello “spazio aereo europeo”, solo perché processa dati sostanzialmente anonimi ma astrattamente (con mezzi irragionevoli e sproporzionati) reidentificabili, può irritare gli innovatori. L’impedimento regolatorio alla ricerca clinica per il riutilizzo secondario di dati sanitari frutto di prestazioni pregresse, appositamente “trasformati” per non essere ragionevolmente ricondotti ai pazienti originari, sconcerta se finisce per rallentare o fermare il progresso scientifico in ambito medico, biomedico ed epidemiologico. Una regolazione privacy troppo restrittiva è insostenibile: la valorizzazione dei dati personali (che sono il 90% dei dati) – ben possibile senza travolgere i diritti fondamentali – è, ormai, una questione di sostenibilità. Di visione di mondo. Di politica. Servono, dunque, cittadini, attivisti, politici esperti di diritto dei dati: succederà- sta succedendo – naturalmente.