Cerrina Feroni (Vice presidentessa Garante privacy): «Nel metaverso tutto può essere tracciato, ognuno si assuma la responsabilità delle proprie scelte»

La vice presidentessa del Garante per la protezione dei dati personali sulle nuove sfide dell’Autorità, il cloud di Stato, il trasferimento dati Ue-Usa e le nuove regole europee

Vice presidentessa Ginevra Cerrina Feroni, il Garante italiano per la privacy compie 25 anni mentre il mercato dei dati si fa sempre più sfidante. Come è cambiato il ruolo dell’Autorità?

«Coerentemente con i mutamenti sociali e tecnologici e del Paese. Abbiamo ribadito il nostro ruolo di Garante degli italiani, che anche quando non si vedeva era al fianco della Repubblica per aiutare la Costituzione nel suo compiersi. Non solo ha accompagnato la trasformazione, ma l’ha anticipata e ha stimolato il cambiamento economico, culturale e politico. Noi ci siamo insediati nel 2020 e mai avrei potuto immaginare l’impegno e il lavoro necessari per affrontare dossier che riguardano il Paese a 360 gradi: in emergenza sanitaria tutto è trattamento dei dati personali. Abbiamo cercato di svolgere il nostro compito con un occhio ai più fragili e più vulnerabili: minori, anziani, malati, vittime di revenge porn. La nostra caratteristica più importante è l’indipendenza. Indipendenza dal governo e dalle opposizioni, dalle maggioranze parlamentari, dalle trame di mercato, dai ricatti economici, dalle trame dei gruppi».

 

Durante la pandemia e guardando alla trasformazione digitale a cui sta lavorando il ministro Colao la sensazione è quella di scontrarsi spesso con l’apparente dicotomia tra rispetto della privacy e sistemi innovativi e performanti.

«Quello che mi ha colpito, in una recente descrizione del ministro Colao della strategia del Paese, è la totale assenza dei termini “protezione dei dati”. Gli obiettivi e le idee ci sono, ma questo progetto non sembra coniugarsi con un tema che non è frutto di un’invenzione del Garante italiano ma è uno dei pilastri del costituzionalismo ed è alla base di un regolamento europeo ad hoc (il Gdpr, ndr). Una transizione digitale che non si accompagna a un rispetto dei dati, specialmente quelli più sensibili, è una falsa transizione, che porta a dei modelli che non sono quelli della società occidentale. Sì alla transizione digitale dunque, ma si accompagni a una protezione dei diritti e delle libertà delle persone».

 

Mi fa un esempio?

«Il cloud di Stato: nel parere del dicembre 2021 abbiamo rilevato una serie di criticità che persistono in questo passaggio epocale. Bisogna ripensare la classificazione dei dati e dei servizi digitali delle Pubbliche amministrazioni — dati comuni, altri dati particolari, dati penali e altre categorie di dati interessati — tenendo conto dei rischi per le libertà delle persone. Finora è mancato il coinvolgimento del Garante nell’elaborazione dei modelli, dell’impianto, dell’architettura e della privacy by design. Bisogna poi capire come avverrà la migrazione di dati e servizi, chi saranno i soggetti coinvolti, i ruoli, le responsabilità, i sub fornitori. In generale, tutto il tema del Pnrr deve essere monitorato, stiamo cercando di farlo dossier per dossier, è un’occasione unica ma non può avvenire senza un’interlocuzione del Garante. Lo ha detto chiaramente anche il ministro Giorgetti il 24 maggio scorso: tutti gli investimenti devono vedere la presenza del Garante nel supporto alle imprese».

 

Un impegno non da poco. Dall’entrata in vigore del Regolamento sulla protezione dei dati, uno dei limiti dell’efficacia del Garante irlandese Dpc, il «regolatore guida» europeo, è apparso legato alle dimensioni dello staff. Voi quanti siete?

«Siamo 162, con la prospettiva di arrivare a 200 in virtù del piccolo aumento che ci ha dato il governo con il decreto Capienze di dicembre. Il decreto ha anche previsto che il nostro controllo non sia a monte sulla base giuridica ma a valle, quando i trattamenti sono già iniziati. È chiaro che devi avere un assetto molto più forte in termini di risorse altrimenti non sei in grado di verificare la liceità dei trattamenti e di bloccarli. Al momento siamo inadeguati, anche per reggere la pressione che arriva dal Pnrr: abbiamo bisogno di rafforzare il nostro ruolo in termini di organico in maniera sostanziale. Pensi solo all’Agenzia per la cybersicurezza: sono 300 e diventeranno 800».

 

In Europa è ancora stato formalizzato il nuovo accordo per il trasferimento dei dati verso gli Stati Uniti.

«È un tema enorme: l’accordo è stato annunciato da Biden a Bruxelles a fine marzo per promuovere l’innovazione e aiutare le aziende a competere e definito dalla presidente della Commissione europea Ursula von der Leyen, importante per salvaguardare privacy e libertà civili. Sul tavolo ci sono una base giuridica durevole per i flussi di dati e la promessa degli Stati Uniti di aver assunto impegni senza precedenti, come la possibilità per i cittadini europei di chiedere risarcimenti a una corte indipendente o nuove regole per la raccolta di informazioni tramite le attività di Signal intelligence. Peccato che al momento la trattativa risulterebbe arenata. Siamo a un binario morto e non c’è ancora niente di concreto. Questo crea un problema molto serio, anche e non solo in Italia».

 

Con un recente provvedimento avete imposto a un sito di smettere di usare Google Analytics perché trasferisce negli Stati Uniti i dati degli utenti senza garanzie.

«Vale per Google Analytics e soluzioni analoghe: abbiamo dato un termine di 90 giorni (che scadono a fine settembre, ndr), poi partiranno le verifiche istruttorie e forse i blocchi del trattamento. Siamo in una condizione di illiceità, si spera che in questo tempo possano intervenire meccanismi di regolazione».

 

Nel cantiere europeo ci sono altre norme, come il Digital Services Act o il Data Act: non rischiamo di finire in un labirinto?

«C’è un tema di struttura normativa: escono a tambur battente continue proposte regolatorie che vanno coordinate, non si è deciso un corpus iuris omnicomprensivo. E c’è un problema per l’interprete: cosa diventerà il Gdpr? Un altro tema è quello dei potenziali conflitti fra queste discipline: anche il Garante europeo e il board europeo hanno espresso preoccupazioni. E dovremo capire quali saranno le autorità di riferimento».

 

A proposito di regole, ci si continua a interrogare sulla possibilità di verificare l’età di chi usa le piattaforme per tutelare i minori.

«Non sta a noi indicare quali siano gli strumenti, ma ci sono possibilità legate all’uso dell’intelligenza artificiale o si può ragionare sulla verifica del documenti di identità. L’importante è che la soluzione non si trasformi in una raccolta dati ancora più importante».

Le prossime sfide sono nel metaverso.

«Nel metaverso, attraverso gli avatar, tutto potrà essere tracciato in ogni dettaglio. Come Autorità garante dobbiamo essere aperti al dialogo e metterci a disposizione delle istituzioni. Ma nel rispetto di ruoli e responsabilità: perché siamo un’autorità di controllo e a un certo punto ciascuno si dovrà assumere la responsabilità delle scelte che ha fatto. In sostanza, non sta a noi decidere con le piattaforme come dovrà essere costruito il metaverso».

 

 

Un’intervista di Martina Pennisi.

Condividi