Il primo marzo è partita la clinica legale di Milano-Bicocca in Diritto dell’Unione europea e protezione dei dati personali che prevede l’esame di casi concreti sottoposti al Garante per la protezione dei dati personali.
La professoressa Benedetta Ubertazzi, tutor interno della clinica legale e docente di diritto dell’Unione europea, descrivere il senso e gli obiettivi dell’attività.
Professoressa, chiariamo la metodologia operativa che avete adottato.
Promuoviamo un approccio learning by doing, attraverso il coinvolgimento attivo dei 14 partecipanti ai quali abbiamo preliminarmente presentato la casistica da indagare. Successivamente si procede con la ricerca della normativa di riferimento, base di conoscenza indispensabile per lo sviluppo dell’analisi critica. Il lavoro di studio e stesura verrà svolto in parte anche individualmente e tale attività potrà essere riconosciuta come crediti formativi universitari. Gli studenti realizzeranno elaborati indirizzati alla comprensione e all’approfondimento delle problematiche relative alla privacy, con specifica attenzione alla dimensione europea.
L’iniziativa è nata dalla collaborazione tra l’Università di Milano-Bicocca e il Garante per la protezione dei dati personali?
Esattamente. Ricordo che il Garante è un organo collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un mandato di sette anni non rinnovabile. Il tutor esterno della nostra clinica è l’avvocato Guido Scorza, uno dei componenti del collegio. La possibilità di misurarsi direttamente con professionalità così altamente qualificate consente ai giuristi del futuro l’acquisizione di competenze versatili e trasversali.
Sebbene oggi si assista, di fatto, ad una sorta di mercificazione dei big data, la privacy appartiene al nucleo dei diritti fondamentali dell’essere umano e, pertanto, necessita di una protezione adeguata ed effettiva: i nostri studenti si cimenteranno su alcuni dei tanti interrogativi che la contemporaneità offre in termini di rispetto dei principi e di conformità al dettato normativo.
Il primo appuntamento inaugurale ha visto anche l’intervento del professor Andrea Rossetti, docente di Filosofia del diritto, che ha evidenziato il delicato ruolo del bilanciamento fra interessi contrapposti, e del colonello della Guardia di Finanza, Marco Menegazzo che ricopre un ruolo attivo per tutta la durata della clinica, anche in virtù della sua qualifica di cultore della materia in diritto dell’Unione europea in Bicocca. Il colonello ha esposto una panoramica sull’aumento preoccupante delle frodi tecnologiche. Il furto d’identità digitale, in particolare, può avere conseguenze terribili per la vittima e la difesa si rivela spesso tutt’altro che semplice.
Gli studenti come stanno vivendo questa esperienza?
Con grande entusiasmo e senso di responsabilità: in una realtà che diventa sempre più digitale, hanno l’opportunità di collaborare con il Garante su tematiche e argomenti inerenti alla difesa dei diritti delle persone e delle organizzazioni. Il percorso di 10 incontri si concluderà con la presentazione delle relazioni finali presso la sede dell’Autorità a Roma.
Con l’avvocato Guido Scorza, componente del Garante per la protezione dei dati personali, approfondiamo l’evoluzione applicativa dell’impianto normativo e le implicazioni legate agli sviluppi tecnologici.
Avvocato Scorza, il Regolamento dell’Unione europea sulla protezione dei dati è del 2016: tracciamo un breve bilancio di questi anni in termini di efficacia.
Tra poco celebreremo i primi cinque anni di applicazione del Regolamento europeo sulla protezione dei dati, che è stato approvato nel 2016 ma è divenuto direttamente applicabile negli Stati membri solo a partire dal 25 maggio 2018 per consentire agli ordinamenti di prepararsi adeguatamente. Sono stati cinque anni nei quali l’attenzione delle persone ai temi della privacy non solo è progressivamente aumentata ma si è fatta anche più consapevole.
E i numeri lo dimostrano: da maggio 2018 a dicembre 2022 si registra una crescita costante con riferimento sia alle comunicazioni al Garante dei dati di contatto dei DPO (oltre 65.500) e alle notifiche dei data breach (quasi 6.900) sia alle segnalazioni e ai reclami degli interessati (oltre 68.000).
Gli interventi del Garante hanno riguardato in questi anni i contesti più disparati (social media, gig economy, sistemi di riconoscimento facciale, sanità, pubblica amministrazione, ecc.). In ciascuno di essi si è posta la necessità di effettuare un bilanciamento tra le potenzialità offerte dai nuovi strumenti tecnologici e i diritti e le libertà delle persone di volta in volta coinvolte nei trattamenti esaminati.
Quali sono i punti deboli e le fragilità del quadro normativo attuale?
Le sanzioni irrogate dal Garante dall’entrata in vigore del GDPR (ad esempio, quelle relative al telemarketing ammontano a oltre 221milioni di euro), come pure il numero dei data breach notificati al Garante che ho già ricordato, dimostrano come in Italia non si sia ancora affermata, né in ambito pubblico né nel contesto privato, una reale cultura del valore della data compliance.
Gli obblighi imposti dal GDPR vengono il più delle volte interpretati (e attuati) come degli adempimenti meramente burocratici e non ne viene colto l’aspetto positivo, quale opportunità di ottimizzazione dei processi. Direi quindi che il punto debole nel quadro attuale è rappresentato più che altro da una insufficiente consapevolezza circa le reali potenzialità, anche in termini di vantaggio competitivo, offerte dalla data protection.
Parliamo dei rischi determinati dalla progressiva espansione dell’intelligenza artificiale: come esperto in diritto delle nuove tecnologie, quale impatto prevede sulla sfera della privacy? Riusciremo, al contrario, ad usare le future potenzialità per raggiungere un maggior livello di tutela?
I sistemi di intelligenza artificiale possono avere un notevole impatto sulla tutela della sfera privata delle persone.
I rischi possono derivare, ad esempio, dalla qualità dei dati utilizzati nei sistemi di AI, dove il ricorso a dataset viziati dalla presenza di bias e/o di informazioni incomplete potrebbe compromettere l’attendibilità e l’equità dei risultati con conseguenti forme di discriminazione delle persone.
L’ingente mole dei dati utilizzati per il funzionamento dei sistemi di AI, anche nella fase dell’addestramento degli algoritmi, comporta inoltre una maggiore difficoltà di riuscire a mantenere il controllo sui propri dati personali, che è poi l’essenza del moderno diritto alla privacy.
Allora riusciremo a sfruttare al meglio le potenzialità offerte dai sistemi di AI soltanto se li disciplineremo partendo dal riconoscimento dell’assoluta centralità dei diritti fondamentali delle persone e imporremo il rispetto dei requisiti di qualità dei dati, documentazione e tracciabilità, trasparenza, supervisione umana, precisione e robustezza. E, soprattutto, se riusciremo a fare tutto questo in tempi rapidi, con regole in grado di tenere il passo dell’innovazione tecnologica e che non diventino obsolete prima ancora di concludere il proprio iter di formazione.
Lei riveste il ruolo di tutor esterno nella clinica legale di Milano-Bicocca. In quale modo gli elaborati prodotti dagli studenti possono risultare interessanti in merito alle questioni affrontate dai pareri del Garante?
Il confronto consente sempre di guardare a problemi e questioni di diritto da prospettive nuove e diverse e, in questo senso, suggerisce – o, almeno, può suggerire – risposte nuove a problemi ricorrenti.
Questo è vero in modo particolare quando ci si confronta con giovani studenti che non hanno legacy, pregiudizi o preconcetti di sorta rispetto a questioni pure molto ricorrenti e che, proprio per questo, sono capaci di indicare percorsi logici e chiavi di lettura freschi, innovativi, inediti.
