Intervista

Privacy, il Garante, “Sanzioni non bastano, serve consapevolezza”

ROMA – Quello dell’importanza della tutela della privacy è un tema attorno al quale non si discute mai abbastanza. Viviamo e subiamo sulla nostra pelle il paradosso di una società iperconnessa ma che non sembra sufficientemente preparata di fronte alle insidie, tantissime che si nascono dietro ogni “click”.
La tragedia della bimba di Palermo, morta a soli dieci anni per aver accettato una sfida su TikTok, una blackout challenge, dove per vincere bisognava stringersi una corda attorno al collo resistendo fino a un istante prima del soffocamento, ci impone una doverosa e dolorosa riflessione sulla necessità di arginare la virtualità, di dosarla nei modi e nei tempi giusti, di imporle limiti prima che la nostra vita, quella reale, sfugga al controllo.

Di questo ed altri temi abbiamo parlato con Pasquale Stanzione, Garante per la protezione dei dati personali.

Il Regolamento Generale sulla Protezione dei Dati (Gdpr) emanato dall’Ue il 28 maggio 2018 ha rappresentato un passo in avanti in tema di Data Protection ma la percezione è che per contrastare l’autodichia degli “over the top” occorra uno sforzo maggiore: in quale direzione, a suo avviso?
“Il Gdpr ha introdotto – sviluppando i principi sanciti dalla Corte di giustizia anzitutto con la sentenza Google Spain – un’innovazione essenziale per attrarre le aziende extraeuropee e, dunque, anche i principali over the top, nel suo ambito di operatività. Si tratta del criterio della localizzazione del destinatario del servizio (e non del suo offerente) quale presupposto di applicazione del Gdpr stesso. Esso consente, infatti, di tutelare quanti si trovino in Europa (non solo i cittadini, com’è proprio per un diritto fondamentale) rispetto a chiunque tratti i loro dati, adeguando così le garanzie a una dimensione, quale quella digitale, aterritoriale e che ha superato da tempo l’idea del confine. Il Gdpr ha così rappresentato la prima, essenziale regolazione di una realtà anomica (più che anarchica) quale quella delle piattaforme. Ma il loro crescente potere “privato” che spesso (come nel caso di Facebook rispetto a Trump) le rende arbitre del rapporto tra libertà fondamentali, esige una corrispondente e più ampia responsabilizzazione, tale da imporre loro interventi a tutela dei soggetti lesi da contenuti illeciti diffusi, purché secondo regole precise e non sulla base di loro scelte discrezionali. Il Digital Services Act proposto dalla Commissione è un buon inizio, in questo senso”.

Nel 2020 l’Italia è in cima alla classifica dei Paesi per numero di sanzioni comminate (69,3 milioni di euro): che lettura può dare di questo dato? è un dato positivo che rivela l’efficacia dello strumento di cui l’Ue si è dotata o è un dato negativo per cui serve un’attenzione maggiore nel nostro Paese?
“Il dato che cita risente, in buona misura, di alcune scelte importanti compiute dal Garante con la pianificazione dell’attività ispettiva, che lo hanno indotto a concentrarsi sui maggiori operatori e, quindi, anche su grandi banche dati per tutelare, in questo modo, un maggior numero di cittadini. Essendo le sanzioni commisurate al fatturato delle aziende, è evidente che nei confronti dei grandi operatori sono state irrogate sanzioni più elevate, che hanno concorso a innalzare in misura significativa il totale complessivo. Non vi è dubbio, però, che gli illeciti continuino ad essere ancora diffusi: confido tuttavia che, anche (ma non solo) con la forza deterrente delle sanzioni, si riducano progressivamente. L’obiettivo è, in ogni caso, promuovere – assai più con la formazione che con la minaccia sanzionatoria – l’introiezione di una vera e propria cultura della privacy, quale presupposto tanto di libertà quanto di democrazia”.

Bastano solo le sanzioni per porre un freno a questo modo di intendere i dati personali come “il nuovo petrolio” piuttosto che qualcosa da tutelare e salvaguardare?
“Il Gdpr ‘scommette’ molto sulle sanzioni: la trama degli illeciti è densa e le cornici edittali sono non solo particolarmente elevate (per ciò definite parapenali dalla nostra giurisprudenza) ma, soprattutto, commisurate ai profitti aziendali. La deterrenza sanzionatoria è, dunque, un obiettivo che il Gdpr persegue, non a torto in quanto agisce in forma disincentivante nei confronti di un sistema, quale quello del capitalismo digitale, che ha appunto sfruttato i dati personali come un nuovo mezzo di produzione del profitto. Ma, naturalmente, non bastano la deterrenza né la sanzione: è fondamentale la consapevolezza, in ciascuno di noi, del valore dei propri dati, per difenderci dalle servitù volontarie cui altrimenti rischiamo di condannarci. Ed è essenziale che le aziende stesse comprendano come la privacy sia sempre un fattore reputazionale importante e, dunque, una fonte di vantaggio competitivo”.

Siamo sempre più connessi, sempre più in balia di strumenti digitali di cui nella maggioranza dei casi forse non si conoscono a fondo né potenzialità, né rischi: basterà ripartire dalle scuole per “educare” le generazioni future ad un uso più consapevole dei nostri dati personali?
“Un approccio corretto al digitale presuppone “paideia” , ovvero – come esprime il termine, che rende il senso della complessità dell’educare- una formazione tale da rendere il ragazzo consapevole delle implicazioni di ogni suo “click”, dietro il quale possono celarsi drammi umani, come nel caso del revenge porn. La potenza del digitale è tale che una foto o una parola, gettata in pasto alla rete senza troppo pensarci, può distruggere una vita. Dalla scuola, anzitutto, deve partire questa nuova “educazione civica” dei cittadini di domani (ma anche di oggi): ma non può fermarsi lì. Dalla scuola deve infatti proseguire nella famiglia e in quelle, ormai purtroppo poche agenzie sociali nelle quali, ancora, si formano i nostri ragazzi”.
I tragici fatti della bambina di Palermo e del bimbo di 9 anni a Bari ci impongono una riflessione doverosa. Negare gli strumenti digitali ai figli appare molto difficile, telefonini e smartphone sono ormai parte integrante delle nostra quotidianità. Quali consigli si sente di dare ai genitori che devono “gestire” queste situazioni? è meglio negare o saper dosare?
“La negazione in sé, come quasi tutte le scelte proibizioniste è sbagliata, in quanto non si misura con la complessità del limite – proprio invece della dimensione della ‘possibilità’ – e rischia, paradossalmente, di risultare controproducente in quanto alimenta spesso il fascino pericoloso del proibito. Negare gli strumenti digitali poi, oggi, vuol dire privare i ragazzi di una parte, ormai consistente di socialità, estraniarli dal gruppo. Per questo, la chiave dev’essere il limite e la consapevolezza. Il limite in quanto il rapporto tra il ragazzo e il device dev’essere sano, non degenerare in dipendenza e i rapporti virtuali non devono mai sostituire quelli reali. La consapevolezza in quanto gli strumenti digitali, se utilizzati senza conoscerne i rischi e le potenzialità, possono essere estremamente pericolosi e necessitano, quindi, di un’adeguata formazione ma anche dello sguardo, discreto ma vigile, dei genitori, con i quali va condivisa anche quest’esperienza di vita”.

Compiti dell’Autorità, istituita dalla legge sulla privacy (n. 675/96)

Il Garante per la protezione dei dati personali è un’autorità amministrativa indipendente istituita dalla cosiddetta legge sulla privacy (legge 31 dicembre 1996, n. 675), poi disciplinata dal Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003 n. 196), come modificato dal Decreto legislativo 10 agosto 2018, n. 101. Quest’ultimo ha confermato che il Garante è l’autorità di controllo designata anche ai fini dell’attuazione del Regolamento generale sulla protezione dei dati personali (UE) 2016/679 (art. 51).

Il Garante per la protezione dei dati personali è un organo collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un mandato di sette anni non rinnovabile.
Tra i compiti del Garante c’è quello di controllare che i trattamenti di dati personali siano conformi al Regolamento nonché a leggi e regolamenti nazionali e prescrivere, ove necessario, ai titolari o ai responsabili dei trattamenti le misure da adottare per svolgere correttamente il trattamento nel rispetto dei diritti e delle libertà fondamentali degli individui.
Il Garante collabora anche con le altre autorità di controllo e presta assistenza reciproca al fine di garantire l’applicazione e l’attuazione coerente del Regolamento.
L’attuale Collegio è stato eletto dal Parlamento (ai sensi dell’articolo 153, comma 1, del decreto legislativo n. 196/2003) il 14 luglio 2020 e si è insediato il 29 luglio 2020.

Pasquale Stanzione, curriculum vitae

Pasquale Stanzione si è laureato in Giurisprudenza con lode nel 1968 presso l’Università Federico II di Napoli. È stato, tra le altre cose, Professore ordinario di Istituzioni di diritto privato (1980 -2015) presso la Facoltà di Giurisprudenza dell’Università di Salerno e Preside della stessa Facoltà tra il 2000 e il 2008.
Dal 1996 è Avvocato Patrocinante in Cassazione. Tra il 2005 e il 2009 è stato componente del Consiglio di presidenza della Giustizia amministrativa.
È fondatore e curatore della rivista on line “Comparazione e diritto civile” e della Collana scientifica dallo stesso titolo (dal 2010). è inoltre autore di circa 200 pubblicazioni scientifiche tra cui monografie, manuali, trattati, commentari, saggi e note a sentenza.