DIRITTO E TECNICA NELLA DIFESA DEL CYBER SPAZIO
Intervista VIP con Pasquale Stanzione, Presidente dell’Autorità Garante per la Protezione dei Dati Personali
“Nel rapporto tra diritto e tecnica, il vero rischio per il primo è quello dell’anacronismo, tutte le volte in cui pretende di rincorrere un’evoluzione troppo incessante, preferendo le regole ai principi. Mai come nella normazione della tecnica è, invece, necessario restituire al diritto la sua dimensione assiologica cui troppo spesso tende a rinunciare, governando l’innovazione secondo la gerarchia di valori che si riflette nelle Costituzioni e nei principi supremi di ogni ordinamento. Soltanto essi, infatti, garantiscono alla norma la duttilità e lungimiranza necessarie a disciplinare una realtà, quale quella attuale, in costante evoluzione. Di qui l’importanza di quelle clausole generali non a caso valorizzate da Stefano Rodotà, quali elementi di flessibilità e di “apertura” di un sistema normativo che deve essere capace di “dialogare” con l’evoluzione della società”. Pasquale Stanzione, insigne giurista e Presidente dell’Autorità Garante per la protezione dei dati personali, affronta il tema della sicurezza del Cyber Spazio tratteggiando gli scenari evolutivi della scienza giuridica in materia di governo della tecnologia, in una società che ormai “vive” la rete in una dimensione omeopatica.
Presidente, la rivoluzione tecnologica ha modificato i concetti di vulnerabilità e rischio. Con quali conseguenze sul piano di una corretta governance della sicurezza?
L’affermarsi della rivoluzione tecnologica conferisce alla privacy una grande forza che risiede nella duttilità e neutralità tecnologica. La sua disciplina è stata pensata e costruita in modo da essere “future-proof”, resistente all’usura del tempo, potendo adeguarsi con la flessibilità dei principi a contesti diversi. Grazie a questa sinergia, la disciplina della privacy sarà in grado di governare il passaggio verso le nuove frontiere della società digitale e i rischi, anche in termini di sicurezza, che ne derivano.
Il Cyber spazio è la nuova frontiera da difendere. Con quelli che vengono definiti “processi di attribuzione” si sta cercando di mappare gli autori dei reati e i cyber criminali. Sul piano della sicurezza delle informazioni questa metodologia quali conseguenze comporta?
L’individuazione degli autori di un reato on line è un processo che comporta indagini e tecniche investigative mediamente più complesse di quelle proprie della criminalità comune, se non altro per le possibilità di dissimulazione consentite dalla dimensione virtuale. A queste difficoltà deve perciò corrispondere una (almeno potenziale) maggiore invasività delle tecniche investigative, oltre che una necessità, spesso, di collaborazione delle piattaforme la cui complessità è stata ben evidenziata nel corso dell’esame della disciplina europea sulle prove elettroniche. La tensione che può derivarne sotto il profilo della protezione dati va governata secondo il canone di proporzionalità che deve regolare, secondo la Carta di Nizza, ogni limitazione dei diritti fondamentali. Su questo criterio si fonda, per altro, una giurisprudenza particolarmente lungimirante della Corte di giustizia, in tema proprio di data retention.
Nella sua relazione annuale ha sottolineato il delicato rapporto che si deve instaurare per temperare rule of technology e rule of law mentre si fa sempre più evidente il processo di “datificazione della vita individuale e collettiva”. Le organizzazioni produttive sono pronte a recepire questo suo messaggio, che va certamente oltre la mera logica dell’adempimento?
Vi è una vulnerabilità che caratterizza ciascuno di noi nel rapporto con la tecnica e che è imputabile al rischio di esserne dominati, anziché di dominarla, per effetto di meccanismi che non comprendiamo fino in fondo o della facilità con cui cediamo frammenti di noi (e quindi anche della nostra libertà) in cambio di servizi on line o poco più. Dobbiamo superare questo rischio con una vera e propria paideia: una formazione complessiva di tutti, nativi digitali o meno, singoli ed enti, soggetti privati e pubblici, tale da fornire a ciascuno le coordinate essenziali per orientarsi consapevolmente in una dimensione, quale quella virtuale, che ormai ci assorbe sempre più. Per questo la logica del mero adempimento non basta più: serve un investimento culturale sul digitale che renda ciascuno attore consapevole del proprio essere “on-life” (per riprendere la definizione di Floridi).
Anche sotto questo profilo, la disciplina di protezione dati è stata particolarmente lungimirante, valorizzando il criterio della responsabilizzazione proprio per sganciare l’osservanza della norma dalla logica del mero assolvimento dell’obbligo, in favore di una prospettiva più costruttiva quale quella dell’accountability.
Come governare il potere delle piattaforme
Il recente Rapporto sull’Internet Society ha denunciato lo strapotere delle piattaforme digitali coniando la definizione di total service envinonments. Lei ha curato una interessante raccolta di saggi: “I poteri privati delle piattaforme e le nuove frontiere della privacy” (ed. Giappichelli). Questa nuova forma di capitalismo centrato proprio sulle piattaforme è un rischio per la libertà democratica?
Il controllo della rete garantisce alle piattaforme un potere di condizionamento che nessun mezzo di comunicazione di massa poteva avere prima, che si risolve nella capacità di orientare l’opinione pubblica agendo con la formidabile leva della profilazione, così da proporre non solo pubblicità ma persino informazione mirata e, quindi, più persuasiva. Questa capacità di condizionamento può avere effetti
determinanti non solo sulle scelte individuali ma anche su quelle più determinanti per la democrazia quali quelle politico-elettorali. Come ha dimostrato il caso Cambridge Analytica, infatti, con il microtargeting si modella il messaggio politico da promuovere, orientando il consenso elettorale verso il risultato voluto. Si eludono così le garanzie previste da decenni per il pluralismo informativo e politico, come pure per l’autodeterminazione individuale, con il rischio di una manipolazione del consenso, tale da alterare dalla radice i più rilevanti processi democratici.
Che tipo di compliance giuridica va adottata per limitare il potere dei “gigacapitalisti” che questi strumenti controllano?
Bisogna pensare che la diffusione pervasiva delle tecnologie digitali che controllano e condizionano i comportamenti della collettività può persino pregiudicare l’altrimenti intangibile sovranità statuale, ogniqualvolta la manipolazione del consenso sia organizzata da governi stranieri, così da orientare il risultato elettorale verso la soluzione a loro più favorevole. La prospettiva, sottesa al Digital Services Act, della responsabilizzazione delle piattaforme e dell’imposizione di obblighi di trasparenza verso gli utenti è certamente la strada giusta da percorrere nella direzione di un governo sostenibile della rete.
La via europea al digitale
La via europea al digitale è l’orizzonte di riferimento imprescindibile per attuare una sicurezza che non si può più misurare su un recinto fisico – spaziale definito. L’Artificial Intelligence act, nel cui ambito il GDPR svolge un ruolo centrale, e il Digital Service Act ritiene che possano aprire una nuova dimensione della compliance?
Dal GDPR in poi, passando per il Data Governance Act, l’Artificial Intelligence Act e, appunto, il Digital Services (e Markets) Act, l’Europa ha investito sulla governance del digitale quale tema centrale e prioritario nell’agenda politica, dalla valenza fortemente identitaria. Nella competizione sino-americana per la primazia sul digitale, l’Europa ha infatti progressivamente affermato, anche attraverso queste discipline, una propria egemonia “culturale” volta a promuovere un governo antropocentrico e democraticamente sostenibile dell’innovazione.
È sbagliato sostenere che ci stiamo avvicinando a definire quella Costituzione per Internet, per cui tanto si era speso in passato Stefano Rodotà?
Questo, pur articolato, tessuto normativo non ha certamente la portata (e la stessa vocazione universalistica) di quella Costituzione per Internet invocata, con la consueta lungimiranza, di Stefano Rodotà, ma ne condivide certamente i valori di fondo. Proprio i principi di trasparenza e responsabilizzazione sono i cardini attorno ai quali si sviluppano tanto l’AIA quanto il DSA, rilevanti in termini non solo regolatori ma anche e soprattutto valoriali. Essi esprimono, infatti, l’esigenza di rimodulare il perimetro del tecnicamente possibile sulla base di ciò che si ritiene giuridicamente ed eticamente accettabile, temperando – come è stato detto- l’algocrazia con l’algoretica e responsabilizzando gli attori principali del capitalismo della sorveglianza.
La protezione dei dati ha delle ricadute sugli equilibri geopolitici. Cina, Stati Uniti e Europa stanno discutendo della possibile definizione di una “sovranità digitale”. Di che cosa si tratta in concreto e quale apporto dovranno dare i Garanti a livello europeo in questa difficile e complessa partita?
Della sovranità digitale si possono, ovviamente, dare varie letture. Ve n’è una più minimalista, ma anche pragmatica, che enfatizza l’esigenza di indipendenza nazionale nella fornitura, gestione e finanche negli stessi assetti proprietari delle infrastrutture tecnologiche. È il tema che ricorre spesso a fronte dei casi di acquisizione, da parte di aziende straniere, del controllo societario rispetto ad asset strategici. Questa declinazione “materialistica” della sovranità nazionale coglie, senza dubbio, la rilevanza del rapporto tra l’assetto dominicale delle tecnologie e la loro funzionalità anche in termini democratici, sottolineando l’esigenza di una governance non soltanto interna (non straniera) ma, soprattutto, pubblica delle principali infrastrutture digitali. Vi è poi è una diversa accezione di sovranità digitale, declinata in chiave valoriale, intesa come governo della tecnica secondo la gerarchia assiologica espressa da ciascun ordinamento, conformemente alla sua identità e tradizione costituzionale. È significativo che l’UE abbia ritrovato, in particolare sul terreno del governo antropocentrico della tecnica, un’unità smarrita da tempo in molti altri settori, riaffermando la propria identità come ordinamento fondato su alcuni, irrinunciabili, valori.
La protezione dei dati fattore determinante della geopolitica
“L’algoritmo d’oro” per usare la definizione del presidente emerito della Corte Costituzionale Giovanni Maria Flick è divenuto il nuovo vitello d’oro, il cui uso distorto rischia di attuare una “colonizzazione del pensiero”, incidendo sulla libertà cognitiva, non solo sulla circolazione di dati e informazioni sensibili. Abbiamo strumenti efficaci per contrastare questa deriva?
Il capitalismo delle piattaforme è stato definito, anche, il capitalismo della sorveglianza, proprio perché fondato sul pedinamento digitale dell’attività in rete degli utenti e sulla modulazione dell’offerta resa possibile dalla profilazione predittiva.
Ne risulta insidiata, sotto molti profili, la libertà di autodeterminazione, in un contesto che è stato significativamente definito “società dell’“anticipazione”,per il pervasivo ricorso ad algoritmi capaci di prevedere il comportamento di ciascuno, ridotto a mero elemento di un cluster. La strategia di contrasto degli effetti più negativi, anche sotto il profilo antropologico e sociale, di questo fenomeno, non può che essere articolata.
Da un lato è necessario temperare lo stra-potere delle piattaforme con obblighi di trasparenza e una complessiva responsabilizzazione, come prevedono il Digital Services e il Digital Markets Act.Dall’altro lato, è necessaria una strategia di autotutela individuale, fondata sulla gestione consapevole dei propri dati, sul rilascio ponderato dei consensi al trattamento e sulla massima attenzione all’atto della diffusione in rete (e soprattutto sui social) di informazioni relative a sé stessi o, a più forte ragione, a terzi.
Culture giuridiche profondamente diverse, come quella americana ed europea, specie in fatto di privacy, riusciranno a dialogare per definire delle linee di governo e di sviluppo della trasformazione tecnologica, condivise e soprattutto rispettose delle libertà civili e dei diritti fondamentali conquistati dopo secoli di lotte?
Il GDPR ha rappresentato la prima effettiva, organica regolazione del digitale, che non a caso viene assunta a paradigma in molti altri Paesi (effetto Bruxelles) tra i quali, da ultimo, la Cina.
La disciplina europea appare infatti, sempre più, un modello equo di bilanciamento tra le esigenze di tutela della persona e di libera circolazione dei dati. Del resto, la temperata extraterritorialità della sua disciplina (che si applica anche a titolari esteri) comporta, di fatto, un’uniformazione delle garanzie a livello globale, come dimostra la vicenda delle sentenze Schrems e dei successivi accordi con gli Usa. Ecco anche perché la protezione dei dati assurge sempre più a fattore determinante della geopolitica, in un contesto di progressiva omogeneizzazione non soltanto delle norme sulla protezione dei dati personali, ma anche della “cultura” che ne costituisce il fondamento.
Autore: Massimiliano Cannata