Nei prossimi giorni partirà sulle colonne di Byte.Legali una nuova rubrica firmata da Stefano Gazzella, intitolata “#DigitalRiff – non solo privacy”. Un progetto che si inserisce nel solco di un dibattito sempre più urgente e stratificato sul rapporto tra tecnologia, diritti fondamentali e regolazione e nell’idea di laboratorio con la quale la nostra rivista è nata.
Gazzella, Privacy Officer e Data Protection Officer, Of Counsel del Data Protection Team di Area Legale, giornalista e osservatore attento delle evoluzioni nel digitale, è una delle voci più attive nel panorama italiano sui diritti di quarta generazione e sulla sicurezza delle informazioni. In questa intervista affronta alcuni dei nodi più controversi emersi negli ultimi mesi: dal caso Chat Control alle difficoltà di enforcement contro le Big Tech, fino alle nuove frontiere della raccolta dati e alla crisi di equilibrio tra sicurezza e libertà individuali.
Il mancato accordo europeo sul Chat Control ha fatto emergere un limite giuridico alla scansione generalizzata delle comunicazioni private. Possiamo davvero parlare di una riaffermazione della privacy come diritto fondamentale oppure si tratta solo di una pausa tattica destinata a essere superata con nuove forme di sorveglianza “compatibili”?
Non voglio scomodare rane o finestre, con buona pace rispettivamente di Chomsky e Overton, ma purtroppo sono anni che serpeggia l’idea di qualche diritto “tiranno” e nel tempo è possibile che prima o poi divenga accettabile sacrificare giusto un po’ di privacy per un qualche bene superiore quale la sicurezza, ad esempio. Con buona pace di quella proporzionalità che invece consente una convivenza fra diritti di pari rango. Stiamo certi che l’idea di ChatControl è tutto fuorché un inciampo, ma persiste e in qualche modo sarà perseguita. Sta a noi essere vigili.
Nel dibattito sul Chat Control il principio di proporzionalità è tornato centrale. Ma esiste oggi, sul piano tecnico e giuridico, una soluzione che consenta un controllo efficace dei contenuti senza scivolare in una sorveglianza sistemica, oppure questo equilibrio resta, nei fatti, irraggiungibile?
La vera domanda non è se esista un controllo efficace bensì accettabile. L’idea di essere praticamente colpevoli fino a prova contraria dovrebbe far rabbrividire chiunque, ma sembra che nel mondo digitale sia qualcosa che siamo disposti ad accettare per avere un controllo generale e diffuso dei contenuti. Questo perché viviamo una falsa dicotomia fra sicurezza e privacy, in cui si propone come unica soluzione una sorveglianza sistemica e non c’è alcuna ricerca di alternative. In fondo, di educazione digitale tanto si parla ma alla prova dei fatti cede di fronte alla tentazione del tecnocontrollo.
Il caso italiano della sanzione del Garante a OpenAI, poi annullata dal Tribunale di Roma apre interrogativi profondi. È un segnale di debolezza dell’autorità di controllo o piuttosto la dimostrazione che il quadro giuridico sull’AI generativa non è ancora sufficientemente solido?
Generalmente, le autorità di controllo sono particolarmente deboli di fronte alle Big Tech in quanto nel regolamentare il digitale l’Unione Europea ha dimenticato alcuni fattori geopolitici. Fra cui alcune “scommesse” tecnologiche su cui possono contare solo alcuni soggetti OTT, fra cui l’AI generativa in cui ci sono delle zone grigie. Ma non credo sia un problema di quadro giuridico. Direi che piuttosto riguarda la capacità di enforcement.
L’arrivo degli occhiali intelligenti di Meta introduce una dimensione completamente nuova della raccolta dei dati che diventa continua, ambientale, spesso invisibile. Il GDPR è attrezzato per gestire questo tipo di trattamento o siamo di fronte a una zona grigia che richiede un aggiornamento normativo?
Ci sono i principi da declinare nel caso concreto. Insomma, non è nulla di cui non avevamo già avuto sentore con le dirette IRL (In Real Life) in cui uno streamer trasmette la sua giornata e coinvolge altre persone. Certo, con quel problema extra rappresentato dalla presunta “intelligenza” degli occhiali, che però può sempre essere ricondotta ad un’attività di trattamento che deve seguire logiche di privacy by design. Piuttosto serve una capacità di adattare la normativa e i suoi principi ai contesti. Auspicabilmente, con interventi più significativi da parte dell’EDPB e delle autorità di controllo.
In questo scenario, il tema del consenso informato diventa ancora più problematico. Come si può parlare di consenso quando i dati vengono raccolti anche su soggetti terzi, inconsapevoli, che si trovano semplicemente nello spazio in cui il dispositivo è attivo?
Il consenso è autodeterminazione informativa, ed esprime il più elevato potere di controllo sui nostri dati. Ma ne siamo davvero consapevoli e come consumatori pretendiamo che venga rispettato? Siamo disposti ad optare per tecnologie che valorizzano il nostro consenso all’impiego dei dati o riteniamo accettabile che “ogni tanto” si possa prescindere da queste garanzie? Rispondere a queste domande è la premessa per la tendenza verso lo sviluppo di determinate tecnologie e dispositivi che o prescindono dal nostro consenso o lo rendono meramente “cosmetico”. Sotto scroscianti applausi, volendo citare Star Wars.
Per quanto attiene invece il Digital Omnibus e la semplificazione che l’Ue tenta di mettere in campo per non perdere altro terreno rispetto a Usa e Cina che idea si è fatto? Si rischia di perdere altro terreno sulla tutela della privacy?
L’intervento del Digital Omnibus, ricordiamo bene, avviene dopo aver prodotto un florilegio di “Act” invoca semplificazioni che somigliano a una spinta verso la deregulation. Insomma: il rapporto Draghi parlava del problema dell’applicazione normativa, non delle norme in sé. E quindi l’inefficienza applicativa ora ha fatto semplicemente una scalata arrivando ai policy makers, che soffrono di una terribile miopia tattica e strategica. E mentre si perde tempo a fare e disfare regole, in una tela di Penelope della regolamentazione del mercato unico digitale dell’Unione Europea che non solo perde competitività ma offusca anche l’effettività delle garanzie di alcuni diritti e libertà fondamentali. Fra cui la privacy, ma non solo. C’è anche il diritto di fare impresa avendo regole chiare, certe e stabili nel tempo.
Che fase sta vivendo il Garante italiano dopo le ultime polemiche, alcune dimissioni e questioni legate alla governance interna? Quanto incide, secondo te, la stabilità e l’autorevolezza dell’autorità di controllo sulla credibilità complessiva del sistema di tutela della privacy, anche nei confronti delle big tech?
Credo che al di fuori dell’onda del sensazionalismo mediatico e di una ristretta bolla di chi si occupa di privacy, le polemiche sul Garante Privacy non ne abbiano intaccato la credibilità in modo significativo. Anche perché l’imperfetta tutela della privacy, soprattutto nei confronti delle Big Tech, è ben più risalente. Ricordo che gli stessi Warren e Brandeis nel loro “Right to privacy” parlavano del problema di coordinare il diritto alla privacy con gli avanzamenti tecnologici che consentivano intromissioni nella propria vita privata. Era il 1890, ma lo spunto è quanto mai attuale ed è il leitmotiv del diritto alla privacy più moderno che vediamo declinato nella protezione dei dati personali.
Ci sono ulteriori sviluppi dopo il caso della mail-spam che ha sollevato un vero e proprio polverone dentro Federprivacy durante lo scorso mese di dicembre?
Nessuna novità. Immagino si opti per la strategia del silenzio confidando nella memoria corta dei più. Personalmente, ho rinnovato la mia iscrizione di un biennio per tentare di promuovere un cambiamento interno. Risulto ancora socio, nonché delegato territoriale, quindi più che legittimato a sollevare questioni all’interno dell’assemblea o all’attenzione degli organi sociali.
Negli Usa Meta e Google sono state condannate in questi giorni per avere reso dipendenti i minori. Che idea si è fatto?
Le condanne verso Google e Meta sono una novità in quanto pongono in evidenza la tematica dell’addictive design. Cosa di cui è accusata anche TikTok in UE. La quale è particolarmente complessa e descrive un nuovo approccio per valutare le responsabilità di quelle piattaforme che oggi sono monopoli o oligopoli digitali. Guardiamo la Luna, non il dito. La domanda che ci dobbiamo porre è: qual è il limite accettabile e lecito nelle strategie per attirare utenti e motivarli a rimanere all’interno di un ecosistema? La risposta è tutt’altro che immediata e di comune percezione. Motivo per cui dovremo porre attenzione all’evoluzione di questa vicenda.
