Dodici mesi fa esplodeva uno degli scandali più importanti dell'era dei dati: il caso Cambridge Analytica. Da allora sono cambiate molte cose. In Europa è entrato in vigore il nuovo regolamento sulla protezione dei dati personali (GDPR), Facebook ha rivisto molti aspetti riguardanti la sua gestione, molto allegra, delle informazioni personali. E un paio di giorni fa è stato Zuckerberg in persona a tracciare una nuova strada per il mondo dei social. Una strada fatta, innanzitutto, di tutela della privacy. Ne abbiamo parlato con Luca Bolognini, avvocato e presidente dell'Istituto Italiano per la Privacy (IIP).

Zuckerberg ha annunciato profondi cambiamenti per Facebook. E un nuovo amore per la privacy.Ma è credibile? E perché lo ha fatto?
È credibile, a mio avviso. Sicurezza e privacy sono diventati un valore essenziale, anche per chi, apparentemente, si occupa di “gestione di luoghi pubblici”, per quanto virtuali. Se ci pensiamo, Facebook è uno strumento sociale, di comunità, d'interazione: le persone chiedono a chi governa sempre più sicurezza e tutela della vita privata, per strada o a casa propria, e naturalmente anche on line e in un social network la domanda cresce. Poi c'è un ulteriore elemento: Facebook ha capito che non le conviene trasmettere troppi dati a terzi, perché i dati sono un asset e chi ha più dominio informativo sugli utenti, vince. Un'apertura eccessiva dei dati dei propri utenti e una condivisione incontrollata di queste informazioni con altre imprese mettono a rischio un vantaggio competitivo chiave di un social network.

Ma sicurezza e privacy possono convivere? Molti governi temono che su chat criptate si pianifichino (ed è vero) anche molte attività illecite. E vorrebbero accessi alle piattaforme. Le tecnologie come la crittografia end to end lo impediscono. Quale strada va intrapresa?
Ormai le intercettazioni si fanno con “agenti intrusori”, con software che catturano i fenomeni rappresentati sul dispositivo del mittente e del destinatario: catturo l'immagine degli schermi o i suoni che escono dal microfono, in molti casi non ho più bisogno di intercettare in mezzo, durante la trasmissione. Quindi, anche la cifratura end-to-end lascia il tempo che trova.
Non c'è il rischio che troppa privacy possa minare la sicurezza nazionale?
Certo che c'è il rischio, privacy degli individui e sicurezza nazionale sono spesso agli antipodi: è il problema della libertà. Ma un problema di cui è meglio non fare a meno, in una democrazia. E non dimentichiamo che le tecniche di comunicazione cifrate o anonime, amiche della privacy, aiutano i dissidenti e la libertà di espressione e di associazione nei regimi totalitari. Temo di più la privacy dello Stato, che quella delle persone.

Com'è cambiato il concetto di privacy nell'epoca di Facebook e dei social in generale?
Si è trasformato in controllo della persona sui propri dati, sul proprio sé digitale. Non è più tutela della mera riservatezza, quanto invece dominio della rappresentazione di sé verso il mondo esterno. E poi la privacy è diventata diritto dell'Intelligenza Artificiale, argine umanistico alle decisioni automatizzate, alla legge-codice informatico, agli effetti fisici derivanti da elaborazioni immateriali di dati. Il Garante della Privacy potrebbe diventare il Garante della Democrazia Digitale, e anche a questo dovrebbe pensare il nuovo Collegio dell'autorità, che sarà eletto a giugno del 2019 e la guiderà per sette lunghissimi anni.

Il GDPR è in vigore da circa un anno. Che idea si è fatto? E come lo stanno accogliendo le imprese italiane?
Mi sono fatto l'idea che, in Italia, abbiano ricominciato a circolare i pacchettini preconfezionati di modulini e formulari, che vengono distribuiti alle aziende e agli enti da consulenti astuti e improvvisati. Vedo un grande mercato, come fu ai tempi del DPS e della vecchia compliance privacy ante-GDPR, del tutto inutile. E invece credo che a partire dal maggio 2019, quando finirà il periodo di tolleranza che il decreto 101/2018 ha previsto per l'azione del Garante, inizieranno risvegli duri per chi ha pensato di poter fare come faceva prima. Poi, credo che debba crescere la consapevolezza della rilevanza di questi adempimenti nelle aziende industriali tradizionali: chi produce e vende bulloni, ormai, è “data driven” tanto quanto un social network, anche se magari non se n'è ancora accorto. Basta pensare all'industria 4.0 e a quanto conti il CRM, per qualsiasi impresa. Curare la protezione dei dati significa valorizzare beni aziendali cruciali.

© Riproduzione riservata