Dieci anni fa, il 24 maggio 2016, entrava in vigore il Regolamento generale sulla protezione dei dati, il famoso Gdpr, (General data protection regulation, entrato in vigore dopo un periodo transitorio di due anni, il 25 maggio 2018). È forse il regolamento europeo più famoso, nel senso che tutti ci abbiamo avuto e ci abbiamo a che fare in un modo o nell’altro, e per questo si ha almeno una vaga idea di cosa tratti. Considerando che non si può dire lo stesso delle decine di norme che l’Europa produce ogni anno, sembra già un gran risultato. Analogamente, è altrettanto probabile che si tratti del regolamento europeo più conosciuto al mondo, visto che ha ispirato tante leggi analoghe in paesi come il Brasile, la Corea del Sud, l’India e, udite e udite, la Cina. Se non si considerano le vistose eccezioni riservate ai poteri dello stato, la Personal information protection law (Pipl) cinese si avvicina molto al Gdpr europeo quando regola gli usi dei dati personali da parte delle aziende. Certo, il Gdpr non nasce da zero, trattandosi dell’aggiornamento della precedente direttiva 46 del 1995, che ha fondato le basi della disciplina della protezione dei dati in Europa, ed è vero che le persone hanno già un’idea di cosa sia la privacy. Ma resta comunque un traguardo importante, non fosse altro perché in questi anni questa disciplina si è fatta largo anche tra i mezzi d'informazione generalisti, oltre che qui, su Wired.Quale futuro, ora?Il primo vero esempio del Brussels effectLuci e ombre: il Covid, il training dell’AI ma anche tanti colli di bottigliaSi può cambiare la definizione di dato personale?Il bilancio è, tutto sommato, positivoIl primo vero esempio del Brussels effectBasterebbe solo questo per dire che è stato un successo. E lo è stato, tanto da incarnare perfettamente l’esempio di Brussels effect, termine coniato dalla professoressa della Columbia University Anu Bradford per indicare l’influenza internazionale dell’Unione europea in materia regolatoria per la tutela dei diritti. Per il Gdpr ha funzionato bene perché, in una economia in graduale passaggio dallo scambio di merci a quello di dati, l’interesse delle aziende ad avere accesso ad un mercato di 450 milioni di persone ha spinto molti stati ad aggiornare le proprie norme di settore, o addirittura ad adottarne per la prima volta, per facilitare questi scambi e favorire l’economia digitale. Il Gdpr, infatti, privilegia una presunzione di conformità per quelle aziende che scambiano dati verso paesi che garantiscono un livello simile di protezione dei dati a quello dell’Unione. Per gli altri, invece, è l’azienda europea a dover fare le ricerche e dimostrare che il paese dove invia i dati è sicuro. Per quello, quando l’accordo tra Europa e Stati Uniti è stato dichiarato illegittimo due volte, in quanto non garantiva un adeguato livello di tutela, si è subito corsi ai ripari.Ma l’effetto positivo del Gdpr si è visto anche per i consumatori degli altri paesi visto che, in alcuni casi, le multinazionali hanno dovuto adeguarsi alle regole europee estendendo quelle modifiche più rispettose della privacy anche agli utenti delle altre giurisdizioni in cui operano.Eppure, dieci anni dopo, l’Europa ha deciso che fosse il caso di rimetterci mano, spinta dalla corsa globale all’AI, che richiede una quantità di dati mai vista prima, e da una richiesta di “semplificazione” presente nell’appello (e in un lunghissimo report) di un nome importante come quello di Mario Draghi.Luci e ombre: il Covid, il training dell’AI ma anche tanti colli di bottigliaTuttavia, non si può nascondere che, al di là degli annunci, non tutto funziona perfettamente. Se le critiche esplicite di Draghi al Gdpr vogliono dipingere un quadro dove, in assenza di queste regole, l’Unione europea sarebbe diventata la terra promessa della rivoluzione tecnologica (spoiler: non è il Gdpr il problema), vero è che in questi anni non tutto è andato come doveva. Dai tanti rallentamenti dovuti al collo di bottiglia irlandese, il cui Garante è quello di riferimento per quasi tutte le big tech che operano in Europa, ma con un personale non adeguato nei numeri per gestire le migliaia di segnalazioni che arrivano ogni anno, alle scarse risorse lamentate dalle autorità garanti, che comunque devono gestire moltissime richieste, in particolar modo relative ai data breach che sono in costante aumento.Il primo appello ad una riforma era già arrivata nel 2022 direttamente dal Garante europeo della privacy che lamentava proprio un Gdpr a diverse velocità, in base al paese in cui si opera. E il Garante guardava allora all’esempio dei più recenti regolamenti in materia digitale, come il Digital markets act e il Digital services act, che hanno spostato il peso dell’enforcement, nei confronti delle big tech, dalle autorità nazionali alla Commissione europea, più strutturata e in grado di garantire un’applicazione uniforme delle regole, scelta poi copiata anche nell’AI Act. Una prospettiva che in realtà non sarebbe vista male neanche dalle aziende stesse, che in questo modo avrebbero un solo vero interlocutore, evitando di essere rimbalzate dai garanti nazionali a quello irlandese. Anche la società civile, con la Noyb di Max Schrems in primis, hanno sollevato il problema delle lentezza delle autorità nel prendere in carico i casi che comunque non sempre portano a sanzioni, anche quando sembrano ovvie.Si può cambiare la definizione di dato personale?Se da un lato il Gdpr nasce proprio come regolamento per avere un’applicazione uniforme nell’Unione, con conseguente risparmio in termini di compliance legale delle aziende, specialmente se pmi, è pur vero che questa uniformità spesso è rimasta solo sulla carta. Nonostante le tante linee guida e opinioni dell’Edpb, il Comitato europeo dei garanti della protezione dei dati, volte a dare una linea interpretativa unica e uniforme, negli anni le linee guida dei singoli garanti si sono moltiplicate, e con esse il lavoro di ricerca dei legali aziendali, per verificare che non ci fossero difformità da un paese ad un altro.Al contempo, seppure questa esigenza di semplificazione richiesta dalla Commissione ha portato i Garanti ad impegnarsi solennemente a fare di più per aiutare soprattutto le pmi, con indicazioni facili e modelli semplificati che potessero essere adottati direttamente, dall’altro le proposte messe in campo dalla Commissione, ancora al vaglio legislativo di Parlamento europeo e governi, hanno portato più confusione che semplificazione. Tra tutte, colpisce la proposta di cambiare la definizione stessa di dato personale, pilastro di tutta l’impalcatura. Per usare una metafora, sarebbe come se gli operai che devono aggiungere un muro in cartongesso, proponessero di spostare un muro portante. Per ora, né governi né europarlamento sembrano abbracciare l’idea.Sul piatto c’è anche l’idea di inserire in modo esplicito la possibilità di usare i dati personali per il training dell’AI, possibilità che finora era stata espressa solo nelle linee guida dei garanti nazionali e di quello europeo. Se da un lato il principio è lo stesso, è pur vero che le linee guida danno indicazioni, offrono esempi, impongono di prevedere misure e tutele, la lettera della legge, soprattutto per le aziende meno attente, potrebbe costituire un via libero senza farsi troppe domande. Qui è più complicato dire dove stia la ragione, dovendo bilanciare le esigenze delle aziende che sviluppano modelli di AI, che hanno bisogno di molti dati ma non possono chiedere il consenso a tutti, con la necessità di tutelare le informazioni personali di soggetti ignari che i propri dati siano usati per tale addestramento.In passato, in particolare durante il Covid, ci fu un attacco simile al Gdpr, con diversi politici che imputavano alle sue strette maglie la difficoltà di tracciare il diffondersi della pandemia. Gli appelli a cambiare la legge sulla privacy in Italia erano la reazione ad uno stop temporaneo del Garante all’app di tracciamento, stop che fu poi revocato una volta sistemate alcune mancanze, condivise anche dal Garante europeo. Le stesse vesti furono stracciate all’indomani dello stop temporaneo in Italia a ChatGPT, quando si disse che il Garante fermava l’innovazione in Italia, stop che durò un mese e che portò OpenAI ad inserire miglioramenti di cui beneficiarono tutti gli utenti, non solo quelli italiani.Il bilancio è, tutto sommato, positivoAnche il Regno Unito, che ha da poco apportato alcune modifiche alla sua normativa che era uguale a quella europea, non ha apportato grandi stravolgimenti. Certamente non sono mancati alcuni rilievi da parte della società civile, ma al contempo non sono importanti come alcuni tra quelli proposti dalla Commissione, a dimostrazione che la colonna portante è ancora in ottime condizioni per reggere per almeno altri dieci anni. Anche se è ancora presto per prevedere che forma avrà il testo finale, a giudicare da come stanno andando le negoziazioni a Bruxelles, il peggio sembra essere scongiurato.Nonostante i rallentamenti e le critiche, finora si contano, a livello europeo dal luglio 2018, 2.888 sanzioni a livello europeo, per un totale di oltre 6 miliardi di euro. Spiccano, per valore di singola sanzione, quelle comminate alle big tech (Meta svetta con 1,2 miliardi di euro). Il settore ad detenere il primato, con 4,9 miliardi di euro di sanzioni, è quello dei media e delle telecomunicazioni. A livello nazionale il primato è ovviamente dell’Irlanda, ma l’Italia si posiziona al quarto posto con 538 sanzioni per un totale di 311 milioni di euro.Il nostro paese del resto ha una lunga tradizione che ci lega alla protezione dei dati, con il Professore Stefano Rodotà tra i suoi padri fondatori, nonché primo Garante della Privacy in Italia nel 1997 e a guida del Comitato dei garanti europei nel 2000; e il magistrato Giovanni Buttarelli, eletto Garante europeo dal 2014 al 2019, anno della sua prematura scomparsa.Le sfide sono tante, la tecnologia cambia ad una velocità a cui non eravano abituati e a cui il legislatore fatica a seguire, ma se le leggi sono scritte bene possono superare la prova del tempo.