L’incontro dei garanti dei dati personali delle sette economie più potenti al mondo fissa i punti di un flusso libero di dati a livello internazionali. Spingendo su tecnologie di crittografia, regole che minimizzino l’uso di informazioni e standard condivisi
Promuovere un flusso di dati libero attraverso la fiducia. Il titolo della risoluzione finale del G7 tedesco dei garanti della privacy appare meno curiale se si guarda alle parti riunite intorno al tavolo a Bonn gli scorsi 7 e 8 settembre. Da una parte gli Stati Uniti, dall’altra Francia, Germania, Italia e il Garante europeo dei dati personali (Edps), Wojciech Wiewiórowski, più la presidente del Comitato europeo per la protezione dati, Andrea Jelinek, in rappresentanza della Commissione europea, invitata permanente al forum intergovernativo delle più importanti economie mondiali (che comprende anche Canada, Giappone e Regno Unito).
Perché quando si discute di protezione dei dati personali e privacy, tra le due sponde dell’Atlantico spira il gelo.
Da un lato c’è l’Unione europea, che vanta la più avanzata legislazione in materia, il Gdpr, diventata uno standard globale, ma fatica ad applicarla, specie quando ci sono di mezzo i colossi del digitali. Dall’altra gli Stati Uniti, che con il loro Cloud Act autorizzano controlli di polizia e intelligence su tutti i dati archiviati sul loro territorio, compresi quelli dei cittadini dell’Unione.
La conseguenza più diretta è che per due volte gli accordi tra Bruxelles e Washington per il trasferimento dei dati sono stati invalidati da due sentenze della Corte di giustizia dell’Unione europea, Schrems I e II. E ora siamo tornati all’anno zero: gli accordi vanno riscritti daccapo.
Primi passi verso la convergenza
A fine marzo Unione europea e Stati Uniti hanno deciso di lavorare gomito a gomito. Agli annunci entusiasti dei rispettivi presidenti, Ursula von Der Leyen e Joe Biden, sono seguiti incontri al calor bianco, con le delegazioni pronte allo scontro e la trattativa a rischio di finire su un binario morto. Qualcosa pare essersi sbloccato solo poche settimane fa, quando la macchina dei negoziati si è rimessa in moto pacificamente.
Per questo assumono peso gli impegni del G7 della privacy, il secondo mai organizzato nella storia del forum e il primo in presenza, dopo l’incontro virtuale nel 2021 sotto la presidenza britannica.
Nel comunicato la Federal trade commission (Ftc), l’antitrust statunitense, scrive che “la minimizzazione dei dati, ossia l’idea che la raccolta debba essere necessaria e proporzionale agli scopi per i quali avviene, è un principio fondante di molti statuti per la protezione dei dati che le nostre agenzie difendono”. E aggiunge: “Il rafforzamento di quel principio, insieme a maggiori limitazioni all’uso dei dati e agli scopi di raccolta, ha il potere di rimodellare l’ecosistema commerciale dei dati e intervenire su molti dei suoi danni più pervasivi ed emergenti”.
“Quello del G7 è stato un incontro importante nello spirito del flusso libero di dati con fiducia – dice a Wired Ginevra Cerrina Feroni, vicepresidente del collegio dell’Autorità garante per la protezione dei dati personali -. L’idea è stata quella di condividere conoscenze su come progettare gli spazi per lo scambio dei dati, il cui flusso è fondamentale per l’innovazione”.
La discussione si è imperniata soprattutto sugli strumenti pratici per consentire lo scambio di dati a livello internazionale in contesti sicuri. Come schemi di certificazione, schemi di anonimizzazione, tecnologie di miglioramento della privacy (pet).
La nuova alleanza sulla privacy tra Europa e Stati Uniti risolverà i vecchi problemi?
L’Information commissioner’s office (Ico), il garante inglese, ha presentato durante il vertice di Bonn una guida alle pet, ossia tecniche informatiche che minimizzano il ricorso a dati personali e aumentano, di conseguenza, il livello di protezione e sicurezza. Come la crittografia omomorfica, che consente di agire su dati cifrati senza bisogno di decrittarli. O i sistemi di differential privacy, per stabilire quante informazioni ottenute da un’attività di elaborazione informatica svelano qualcosa su una persona.
O ancora il ricorso a dati sintetici, che replicano variabili reali a livello statistico attraverso un’intelligenza artificiale e quindi consentono di ottenere gli stessi risultati che si avrebbero operando su dati reali (tra cui quelli di tipo personale). Lo stesso Regno Unito, d’altronde, deve maneggiare la delicata partita del trasferimento dei dati personali con l’Europa, dopo la Brexit.
Ma è con gli Stati Uniti che la partita si fa più dura. Perché là hanno casa i colossi del digitale che mordono il freno delle regole europee. E perché le regole di Washington, come ricorda Cerrina Feroni, riconoscono “trattamenti di polizia indiscriminati, senza garanzie procedurali”. Gli impegni raggiunti a marzo prevedono “un impegno senza precedenti”, per “implementare riforme che rafforzino la protezione della privacy e delle libertà civili che siano compatibili con le attività di intelligence statunitensi”, ossia Cloud Act, la legge federale del 2018 che, per ragioni di sicurezza, consente a forze dell’ordine e servizi segreti di poter accedere ai dati archiviati dalle aziende con passaporto a stelle e strisce, anche se questi sono collocati fuori dal territorio degli Stati Uniti, “nuove salvaguardie” per assicurare che le attività di sorveglianza siano “proporzionate agli obiettivi definiti di sicurezza nazionale”, impostare meccanismi indipendenti di appello e compensazione, fissare nuovi limiti alle operazioni di monitoraggio e istituire una sorta di Corte per la revisione delle pratiche di protezione dei dati, a cui rivolgere accuse in caso di violazioni.
Tutte parole, per ora.
Tanto che a marzo l’attivista austriaco e presidente onorario dell’associazione Noyb, che si occupa di protezione dei dati, Max Schrems, ossia colui che, volendo vederci chiaro nel trattamento delle informazioni che faceva Facebook, ha finito per portare gli accordi in tribunale, ha detto: “Abbiamo già avuto un accordo politico nel 2015 senza basi legali. Da quello che abbiamo sentito, possiamo giocare la stessa partita una terza volta”. Gli impegni del G7 segnano un nuovo passo nella stessa direzione. Segno che, fosse anche per la sensazione che Washington debba tenersi stretti gli amici in un mondo che va spezzandosi in due blocchi, le diplomazie stanno cercando di scrivere una nuova pagina del trattamento internazionale dei dati.
L’Italia per un’Ai etica
Semaforo verde anche alla proposta del Garante italiano di “riconoscere un ruolo alle autorità di garanzia nella definizione di un modello sostenibile di governance dell’intelligenza artificiale, un approccio etico e culturale”, commenta Cerrina Feroni. E aggiunge: “L’idea è quella di avere sin d’ora una visione strategica sulle tecnologie emergenti”. La mozione del Garante prevede un rifiuto di “un uso indiscriminato dell’intelligenza artificiale applicato ai dati personali, che generi metodi di sorveglianza massiva con evidenti scopi di controllare e manipolare la condotta dei singoli individui”. Al contrario, i garanti devono farsi portavoce dei “principi dello stato di diritto e dei governi democratici” nel valore l’uso dell’Ai da parte del pubblico. “Tra l’altro proprio dagli Stati Uniti è arrivata in fase di discussione la volontà di rendere più forte l’impegno con l’uso di reject, rigetta, rispetta alla prima formulazione”, commenta Cerrina Feroni. La parola passa ora al prossimo G7 digitale, nel 2023. Alla regia il Giappone.