Nella società dell’informazione noi stessi stiamo venendo lentamente “dematerializzati”, un po’ come il denaro che ormai ha la doppia natura di banconota (residuale) e bit (dominante). Le nostre personalità digitali si fanno sempre più complesse e articolate, arricchite da una quantità sempre crescente di dati che noi stessi immettiamo nei sistemi. Si può tranquillamente affermare che mai così tanti seppero così tanto di tutti. A questo dobbiamo aggiungere la crescente capacità di elaborazione dell’artificiale (non a caso si parla sempre più spesso di intelligenza seppure ancora non sia chiaro caso essa esattamente sia): sistemi dotati di algoritmi smart come molti oggetti appartenenti al mondo IoT, software esperti e in generale il mondo delle piattaforme dedicate alla gestione dei “big data”. Su tali premesse, sul tema della protezione dei dati forse si poteva fare qualcosa di meglio, un balzo in avanti, e magari evitare qualche topica.
Poniamoci la seguente domanda: cosa è un dato? Due di risposte interessanti le offre il vocabolario Treccani: “…Ciò che è immediatamente presente alla conoscenza, prima di ogni forma di elaborazione, …. Con uso più specifico, in informatica, dati, elementi di un’informazione costituiti da simboli (numeri, lettere: d. numerici, alfabetici, alfanumerici) che devono essere elaborati, per lo più elettronicamente, secondo un determinato programma”. Il dato quindi si presenta come elemento fondante, ma altresì generico, al punto che spesso risulta privo di senso e “inutilizzabile” in quanto tale. Nel momento in cui esso viene associato ad altri dati o inserito in un contesto si trasforma in informazione e questa diventa “utile”, poiché consente la formazione della conoscenza e quindi la possibilità di esprimere un giudizio e tendenzialmente di “fare la cosa giusta”. Su questa premessa emerge quello che probabilmente è il limite più grande del Regolamento. Esso si palesa nella definizione di dato personale inteso come qualsiasi informazione riguardante una persona fisica identificata o identificabile… Il punto nodale riguarda lo schiacciamento del concetto di informazione su quello di dato e non può essere in alcun modo l’aggettivo “personale” che risolve la questione. Un nome e un cognome dice veramente poco, fosse soltanto per le omonimie, di conseguenza appartiene all’ambito dei dati, ma stante la definizione del Regolamento si tratta anche di un’informazione. Un’idea di protezione che parta dalle fondamenta è giusta, ma l’impossibilità di utilizzare i termini con il loro significato più appropriato determina due effetti collaterali non proprio apprezzabili. In primo luogo tutta l’enfasi viene posta sulla natura del dato quindi sulla distinzione tra personali, appartenenti a particolari categorie e relativi a condanne penali, una posizione che, nell’attuale contesto della società dell’informazione, risulta quantomeno miope. Qualcuno può veramente pensare che la diffusione del gruppo sanguigno di un cittadino possa violare i suoi diritti e le sue libertà più della pubblicazione su Internet della mailing list degli Alcolisti Anonimi in cui appare anche il suo indirizzo di posta elettronica? In questa domanda si trova il secondo effetto collaterale: il contesto in cui avvengono i trattamenti dei dati resta sullo sfondo, senza acquisire l’importanza che merita. Vero che in più punti viene richiamato l’obbligo di valutarlo, soprattutto in tema di sicurezza dei dati, ma appare sempre come un elemento tra tanti. La combinazione di questi due fattori porta spesso a considerare come critico il solo trattamento delle particolari categorie di dati, con una pessima applicazione del principio di protezione. Sarebbe stato utile, forse doveroso, se il legislatore avesse ripercorso il modello Data-Information-Knowledge-Wisdom, magari introducendo altri due concetti. Per esempio “informazione personale” di cui una possibile definizione avrebbe potuto essere: tenuto anche conto dello specifico contesto in cui sono trattati, il dato personale o l’insieme di dati personali tali da rivelare aspetti della personalità, convinzioni personali, condizioni sociali, economiche e di salute dell’interessato. Con un passo successivo si poteva prevedere il concetto di “conoscenza personale” definibile come: l’insieme di informazioni personali che permettono, anche attraverso sistemi automatizzati, di valutare o giudicare l’interessato, consentendo a chiunque ne sia in possesso di prendere decisioni tali da influenzare l’esercizio dei diritti e delle libertà dell’interessato. Forse un approccio di questo tipo avrebbe permesso di affrontare il tema della protezione dei dati in modo adeguato in una società in cui la capacità di elaborazione e integrazione delle fonti sta spostando sempre più in alto l’asticella del controllo. Ormai i dati si muovono in blocchi, aggregati sempre più grandi e ormai spesso gestiti autonomamente da macchine. La quantità stessa dei dati sta progressivamente escludendo l’intervento umano dalle prime fasi della loro organizzazione. Di conseguenza si devono iniziare a concepire livelli di protezione differenziati per i dati, le informazioni e la conoscenza. Le tutele dei primi riguarderanno controlli sulla progettazione e sulla costruzione degli algoritmi e dei sistemi che li raccolgono e strutturano. Per le seconde si dovranno introdurre processi definiti per regolamentare l’intervento umano e la fruizione delle informazioni. La terza richiederà i più alti e complessi livelli di sicurezza, idonee restrizioni in termini di accesso e comunicazione, un’adeguata preparazione da parte dei soggetti che potranno trattarla. Il termine “trattamento” credo abbia fatto più vittime delle peste bubbonica e prodotto diatribe più feroci di quelle tra fascisti e comunisti. Tanto per iniziare non è un vocabolo che si associa intuitivamente ai dati. Una trattamento può essere di bellezza o dimagrante, delle acque reflue o dei metalli, la prima definizione dell’enciclopedia Treccani parla di “Applicazione di determinati metodi e processi, o azione di qualsiasi genere e natura (fisica, chimica, materiale, ecc.) a cui si sottopone un materiale o un prodotto, una sostanza, un organismo o parte di questo, per conseguire determinati effetti”. Soltanto in seguito aggiunge “… Per analogia, in informatica, t. dell’informazione o dei dati, è in genere sinon. di elaborazione dei dati”. Quanto sarebbe stato più chiaro se fin da principio si fosse parlato di elaborazione per tradurre dall’inglese “to process” e i suoi derivati. A questo aggiungiamo che nella definizione di trattamento il regolamento parla di qualsiasi operazione o insieme di operazioni, per al termine si attribuisce una definizione non univoca perché può essere, per esempio, la sola raccolta oppure la raccolta e la conservazione o un insieme di operazioni non meglio precisato. In definitiva se qualcuno dice che sta trattando dei dati non si può avere idea di cosa realmente stia facendo.
Uno dei problemi che affliggono l’Unione Europea è la sua “Disunione”. Abbiamo una moneta unica, ma ognuno ha i suoi debiti e fa il proprio bilancio, tanto da avere la sensazione di vivere in una Comunità fatta da aziende più che da Paesi. Allo stesso mondo quando da Bruxelles arrivano delle indicazioni ognuno le interpreta a modo suo, di solito con grande depressione delle aziende, quelle “vere”, che si devono confrontare con norme “uguali, ma diverse”. La speranza di chi si occupa di protezione dei dati era quella che il Regolamento Europeo mettesse la parola fine ai distinguo in materia. Nella realtà la norma lascia fin troppi margini di manovra. come all’articolo 9, dedicato alle categorie particolari di dati, in cui ammette che gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute. Questo significa che domani l’Italia e la Francia potrebbero introdurre per legge il vincolo della pseudonimizzazione per queste tipologie di dati. Considerando che l’obbligo potrebbe avere dei costi, trattare i dati in Spagna e Germania potrebbe essere più conveniente. Altro caso che potrebbe differenziare l’appetibilità dei diversi Paesi dell’Unione sono le sanzioni. L’articolo 84 afferma che gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento. E’ intuitivo che tutti i paesi dell’Unione in cui non fossero previste sanzioni penali (non esplicitate nel Regolamento) sarebbero più “interessanti” per un amministratore delegato che debba scegliere la sede dell’azienda. Un’ultima nota, rispetto al resto “a margine”, riguarda le divergenze linguistiche. All’ultimo comma dell’artico 32, dedicato alla sicurezza dei dati, si scopre che nella versione italiana si utilizza il vocabolo “chiunque”, mentre nella versione inglese si scrive “natural person”. Il comma sancisce l’obbligo per il titolare e il responsabile di istruire che agisce sotto il suo controllo sulle modalità di trattamento dei dati. In una norma come questa la distinzione tra “chiunque” e la sola “persona fisica” (natural person) non è una banalità, perché implica oneri più o meno gravosi. A quando la prossima riforma?
*Presidente DI.GI. Academy