L’Europa ai tempi del GDPR ovvero Alice nel Paese dei dati personali. (*)

di Marco Maglio

(*) intervento selezionato dall’Osservatorio Europeo sulla Data Protection come contributo al dialogo tra UE, USA e Asia in occasione del “Privacy Scholars Workshop” organizzato dalla New York Law School.

1. L’Europa, Paese dei dati personali - 2. Possibili interventi per favorire l'efficacia della tutela - 3. Il rischio intrinseco nell'Analisi Economica - 4. Le opportunità dell'analisi economica del diritto: la trasformazione della tutela dei dati personali da costo statico ad investimento dinamico - 5. La nobile e mobile frontiera della tutela dei dati personali

1. L’Europa, Paese dei dati personali

Se dovessi raccontare la vicenda del diritto dei dati personali in Europa in questi ultimi vent’anni penso che la storia potrebbe incominciare così: “C’era una volta un Paese che chiameremo il Paese delle Meraviglie, dove i dati personali erano trattati apparentemente con lo stesso rispetto e la stessa cura che si deve alle persone. Ma era un rispetto formale fatto solo di adempimenti e regole. Poi un giorno venne introdotto il Regolamento Generale per la protezione dei dati personali (ma lo chiamavano tutti GDPR) e tutto cambiò. Il Paese delle Meraviglie divenne per magia il reale Paese dei dati personali. E si passò dalla semplice tutela formale dei dati personali alla tutela effettiva dei trattamenti, per prevenire il rischio che i dati fossero maltrattati”.

Penso esattamente questo quando confronto l’approccio che da qualche tempo abbiamo in Europa quando parliamo di data protection con quello che, sullo stesso tema, pensano e fanno nel resto del mondo, negli Stati Uniti come in Asia.

E l’Europa, grazie al GDPR, è ormai diventata il Paese dei dati personali. Da Wonderland a Dataprotection land.

Cosi è naturale per noi europei guardare alle cose della vita con lo sguardo di Alice. Con questo sguardo noi osserviamo ed interpretiamo le norme sul trattamento dei dati personali. E abbiamo proprio l’attitudine della protagonista di Alice nel Paese delle Meraviglie descritta dal Lewis Carroll come una cortese, diplomatica, coraggiosa, sognatrice.

E in effetti per vivere in quello che definisco, con un’eco letteraria, il Paese dei dati personali al tempo del GDPR, ci vuole cortesia, diplomazia, coraggio e fantasia.

Vi racconto cosa accade e quali sono le cose che ho imparato vivendo nel Paese dei dati personali al tempo del GDPR.

Si è detto e scritto molto su questo testo normativa ma alla fine credo che occorra affrontare la vera questione di fondo: il GDPR ha un unico vero obiettivo che è l'individuazione di meccanismi che aumentino l'interesse ad assumere comportamenti data protection oriented da parte di tutti.

Il presupposto di questo ragionamento è che la tutela dei dati personali è un valore trasversale la cui affermazione porta benefici condivisi che riguardano tanto i singoli quanto la collettività, tanto i cittadini quanto le imprese ed i soggetti pubblici, e in senso lato la persona intesa sia come individuo sia come soggetto sociale.

Il problema centrale quindi è quello di verificare se sia possibile riequilibrare il meccanismo di tutela alleggerendo la pressione che oggi inevitabilmente grava sull'interessato, per acquisirne il consenso.

2. Possibili interventi per favorire l'efficacia della tutela

Attraverso quali leve può essere raggiunto questo risultato? Il GDPR ne indica alcune. Riporto quelle che mi sembrano le più interessanti, senza pretese di completezza ma solo per sollecitare un dibattito aperto su questo argomento:

1) Prevenzione: gli abusi nel trattamento dei dati personali spesso avvengono all'insaputa dell'interessato. I cosiddetti trattamenti occulti vanificano il ruolo di controllo del consenso. Va quindi rafforzata l'attività di prevenzione di queste violazioni

2) Controllo: il ruolo di controllo dell'Autorità Indipendente può permettere di attenuare e regolamentare la pressione che viene esercitata dai titolari del trattamento sul singolo interessato per ottenere il suo consenso all'uso dei dati.

3) Sanzioni: l'applicazione di sanzioni pecuniarie e di rimedi risarcitori e punitivi potrà indurre i titolari del trattamento a formulare più prudentemente le loro valutazioni circa i vantaggi comparati derivanti dalla violazione delle norme poste a tutela della riservatezza.

4) Bilanciamento degli interessi: una corretta applicazione della clausola del bilanciamento degli interessi potrà attenuare la pressione esercitata sull'interessato per convincerlo a concedere il consenso (o per carpirlo a sua insaputa, come pure talvolta avviene).

5) Incentivi: l'individuazione di profili premiali che incrementino i vantaggi dei titolari del trattamento, collegati al rispetto delle regole, può indurli una maggiore propensione al rispetto della riservatezza anche da parte dei titolari stessi. Non so se sia vero l'assunto di fondo di un bel libro di Stephen Holmes e Cass Sunstein - "Il costo dei diritti" - in base al quale la liberta dipende dalle tasse, ma probabilmente la leva fiscale, mediante sgravi, deduzioni e detrazioni di imposta, può essere di aiuto per incentivare il rispetto dei dati personali altrui e disincentivare le violazioni. Lo stesso discorso vale per la semplificazione degli adempimenti amministrativi legati alla protezione dei dati che si potrebbe concedere, in senso premiale, solo ai titolari di trattamento che si adeguano a standard elevati di riservatezza. Anche strumenti di certificazione che dichiarino pubblicamente il rispetto delle procedure di data protection sono uno strumento dal forte contenuto incentivante, che le imprese in particolare potrebbero usare per elevare il loro rapporto di fiducia con il consumatore.

Ma prima di affrontare il tema degli strumenti di tutela del diritto, al quale siamo giunti con questa riflessione, sarà importante comprendere in che modo si realizza la dinamica dei dati personali all'interno di un sistema economico. Si tratterà di fare valutazioni essenzialmente legate alla microeconomia, utilizzandone schemi e criteri.

Seguendo la tradizionale impostazione dell'analisi microeconomica (che è appunto lo studio dell'allocazione di risorse scarse rispetto a scelte alternative) è possibile analizzare le dinamiche generate dalla tutela dei dati personali attraverso cinque aspetti:

1. come vengono effettuate le scelta del consumatore rispetto alla domanda di tutela dei dati personali e quindi come un consumatore tipo, vincolato da un reddito determinato, scelga tra i diversi livelli di tutela dei dati personali messi a sua disposizione);

2. come vengono operate le scelte in materia di tutela dei dati personali dalle società e imprese commerciali (in quest'ottica si potrà descrivere come l'impresa decida a quale livello di tutela dei dati personali sia accettabile adeguarsi, che investimenti sostenere per garantire la riservatezza dei clienti e quanto spendere per ottenere il loro consenso al trattamento dei dati);

3. come interagiscono tra loro imprese e consumatori (combinando la teoria del consumatore e dell'impresa si possono analizzare le decisioni degli uni e delle altre verificando se siano coordinate attraverso il movimento dei prezzi di mercato, nell'individuazione del punto di equilibrio e quale sia quindi il livello di tutela dei dati personali accettabile in un mercato efficiente);

4. come si strutturano l'offerta e la domanda di tutela dei dati personali nel processo produttivo (analizzando come incidono domanda ed offerta nell'ambito dei fattori di produzione: lavoro, capitale e capacità imprenditoriale);

5. come si organizzano i mercati e come possono raggiungere l'efficienza nell'allocazione delle scelte dei soggetti economici in materia di tutela dei dati personali.

Certamente questo apre nuove prospettive di analisi, che dovrà essere condotta con grande rigore scientifico e con la capacità di valorizzare i risultati conseguiti finora dalla ricerca giuridica.

Il GDPR è ricco di spunti rilevanti per l’analisi economica del diritto ed è in modo evidente un testo normativo che cerca di realizzare obiettivi economici importanti come la tutela dei dati e l’efficienza nell’uso delle informazioni riferite alle persone.

3. Il rischio intrinseco nell'Analisi Economica

Peraltro va messo chiaramente in evidenza un rischio: la sovrapposizione di valutazioni di carattere economico rispetto ad un diritto fondamentale come la tutela dei dati personali si presta a fraintendimenti e confusioni che è necessario scongiurare. Ma credo che non sarebbe corretto ignorare questa prospettiva di analisi alla quale siamo chiamati dallo sviluppo del sistema sociale e tecnologico entro il quale avviene il flusso dei dati personali.

Mi sembra anzi che questa sia una sfida alla quale non possiamo sottrarci. Anche a costo di affrontare passaggi rischiosi o complessi. Certamente non va ignorato che su questo tema si affolleranno nei prossimi anni gli interventi di quelli che Yves Dezalay ha definito, con straordinaria efficacia, i mercanti del diritto.

Esistono autentiche multinazionali del diritto che intervengono per la ristrutturazione dell'ordine giuridico internazionale, perseguendo interessi particolari che nulla hanno a che spartire con la tutela dei principi generali, determinati attraverso le regole democratiche. La data protection è un piatto troppo ricco perché su questo argomento non si esercitino le pressioni della cosiddetta business community.

Con l'orgoglio del giurista, non credo che un argomento così trasversale possa essere definito esclusivamente attraverso considerazioni legate alla relazione tra costi e benefici. Penso tuttavia che la scienza giuridica non è mai solo forma e non si esaurisce nella definizione di diritti e di doveri. E sono convinto che i veri problemi che il giurista è chiamato ad affrontare e risolvere sono, intimamente, questioni che attengono alla coscienza sociale. Per raggiungere questo scopo occorre valutare anche l'impatto economico che le regole determinano, ed esaminare con rigore il grado di efficienza delle norme nel perseguimento dell'interesse generale.

4. Le opportunità dell'analisi economica del diritto: la trasformazione della tutela dei dati personali da costo statico ad investimento dinamico

L'accostamento tra categorie giuridiche ed economiche non presuppone però l'adesione alle posizioni di quanti, soprattutto oltreoceano, affermano che le regole giuridiche si evolvono necessariamente verso soluzioni efficienti. Il ricorso agli strumenti analitici della microeconomia serve invece ad individuare gli incentivi e i vincoli che condizionano i comportamenti dei privati. E una maggiore consapevolezza della logica economica sottesa a quelle condotte, quindi, è in grado di offrire un notevole contributo all'interpretazione e all'eventuale adeguamento delle regole.

C'è poi un'ulteriore considerazione da fare rispetto all'evoluzione del nuovo mercato globale. La pluralità di regole e le differenze di approccio rispetto ai temi della circolazione dei dati personali rischia di generare la stessa confusione ed incomprensione di linguaggi che, secondo la leggenda, caratterizzava il mondo di Babele. Recuperare i dati economici della discussione può favorire l'affermazione di un linguaggio condiviso, principalmente ma non solo, tra le due sponde dell'Atlantico e porre le basi per un approccio più consapevole di entrambi i punti di vista. L'auspicio è quello di far emergere una crescente "attenzione incrociata" - come sono abituati a dire i comparatisti - basata sul reciproco rispetto, tra le posizioni che emergono nelle varie aree continentali Credo che senza questa riflessione la strada per raggiungere la globalizzazione delle garanzie in materia di tutela dei dati personali, vero obiettivo di questo processo, sarebbe più difficile.

Non vedo all'orizzonte una prospettiva di deregulation per la tutela dei dati personali ma sono certo che non mancheranno coloro che, anche utilizzando strumentalmente l'analisi economica, invocheranno l'esigenza di liberare il mondo imprenditoriale da quelli che un luogo comune del lessico contemporaneo qualifica "lacci e lacciuoli", con immagine volutamente polverosa. E non mancheranno neanche coloro che, per dar spazio alle esigenze dell'economia, invocheranno di fare a meno delle regole e delle ragioni del diritto. Invito a diffidare di questi richiami alla liberalizzazione.

Questo è un pericolo che va denunciato a chiare lettere e proprio per scongiurarlo credo sia essenziale che l'analisi economica del diritto faccia chiarezza nel futuro dibattito sulla riservatezza e offra il suo contributo a questo settore della ricerca giuridica. Occorre quindi che anche in quest'analisi economica del diritto alla riservatezza, i fondamenti giuridici sui quali poggia la tutela dei dati personali vengano mantenuti e difesi. L'obiettivo è quello di configurare una visione armoniosa della protezione dei dati personali che possa trasformarsi da costo statico a investimento dinamico, per incentivare la crescita di valore delle risorse e favorire lo sviluppo economico generale: una tutela dei dati personali ben temperata, se così posso dire.

5. La nobile e mobile frontiera della tutela dei dati personali

Si delinea così anche per la tutela dei dati personali un fenomeno evolutivo che ha caratterizzato lo sviluppo della teoria generale della responsabilità civile e che ormai appartiene al lessico dei giuristi italiani: la nobile frontiera della tutela dei dati personali, nobile perché riguarda un diritto fondamentale, avanza a causa dell'evoluzione della tecnologia e della società, diventando quindi una mobile frontiera in costante spostamento. Siamo chiamati a inseguire la tutela dei dati personali in questo ampliamento dei suoi confini. Per raggiungerli credo sia indispensabile evitare, da parte di tutti, arroccamenti su posizioni consolidate ed aprirsi a nuove prospettive. Per affrontare questo viaggio credo sia importante tenere conto che non è il possesso della conoscenza, della verità irrefutabile, a caratterizzare l'uomo di scienza, ma la ricerca critica persistente e inquieta della verità.

Il GDPR contiene in sé tutte queste cose e proprio grazie a questo l’Europa è diventata il Paese dei dati personali. Diversi elementi tra quelli che ho elencato potranno sembrare utopie. Ma con entusiasmo e passione, ricordo in conclusione quello che Alice diceva: “Sogna cose impossibili”. Una delle cose che mi rende Alice così simpatica è che sogna sempre cose inimmaginabili. Era arrivata al punto di sognare sei cose impossibili prima di colazione! Stabilire obiettivi elevati e sforzarsi di soddisfarli è qualcosa che chiunque potrebbe e dovrebbe fare. E alla fine il GDPR è proprio questo. E come dice il Cappellaio Matto: “Il segreto, cara Alice, è circondarsi di persone che ti facciano sorridere il cuore. È allora, solo allora, che troverai il Paese delle Meraviglie”. Ci vuole quindi ottimismo, visione positiva e capacità creativa per applicare in modo corretto le norme del GDPR. Altrimenti noi europei ci ritroveremo a dover rispettare solo sul piano formale queste regole e saremo appesantiti, con le tasche inutilmente piene di sassi.