Intervista ad Antonello Soro, Garante italiano per la protezione dei dati personali: "Le società che offrono applicazioni attraverso le quali vengono raccolte informazioni sulla salute spesso non informano in maniera chiara e trasparente gli utenti riguardo all’uso che faranno dei loro dati"
Antonello Soro è presidente dell’Autorità Garante per la protezione dei dati personali da quattro anni, essendo stato nominato il 19 giugno 2012. Dal novembre del 2014 è anche vice presidente dei Garanti privacy europei. Nel marzo di quest’anno ha pubblicato (per Codice edizioni) il libro “Liberi e connessi”, nel quale traccia risposte e riflessioni intorno a molte delle questioni aperte sul rapporto tra nuove tecnologie e protezione dei dati personali, anche sensibili, come quelli relativi alla salute.
Presidente Soro, la legislazione in materia di privacy ha saputo rispondere allo sviluppo di dispositivi digitali e applicazioni in grado di monitorare le funzioni vitali dell’individuo, immagazzinare e trasferire quei dati? AS Le società che offrono applicazioni attraverso le quali vengono raccolte informazioni sulla salute spesso non informano in maniera chiara e trasparente gli utenti riguardo all’uso che faranno dei loro dati. A questo aspetto, vanno aggiunti due fattori problematici: il primo è la superficialità degli utenti, che scaricano app mediche con molta leggerezza, senza domandarsi chi siano coloro che tratteranno queste informazioni né dove questo trattamento di dati avviene. Moltissime di queste società hanno infatti sede in Paesi con legislazioni meno garantiste di quella europea e utilizzano sistemi di cloud sulle cui misure di sicurezza si conosce ben poco. Tutto questo comporta un campo di rischio piuttosto alto, soprattutto quando si tratta di dati legati alla salute delle persone. Quello delle app mediche è un settore particolarmente delicato e di difficilissima analisi ed è per questo motivo che le Autorità di garanzia di 29 Paesi riunite nel Global Privacy Enforcement Network hanno effettuato un’indagine sul rispetto della privacy degli utenti. I risultati sono stati piuttosto sconfortanti riguardo a trasparenza, garanzie e protezione.
Chi accetta termini e condizioni di utilizzo è sempre in grado di valutare che cosa sta disponendo in merito ai propri dati?
AS Il problema della protezione dati in questo tempo è il difetto di consapevolezza riguardo a ciò che offriamo alla rete, alla dimensione digitale, e alla vulnerabilità a cui ci esponiamo. Alcuni anni fa abbiamo promosso uno studio per valutare il livello di sensibilità al rischio da parte di chi naviga in rete e abbiamo riscontrato tra gli italiani un livello di preoccupazione dichiarata molto alta, alla quale però non corrisponde una conseguente adozione di adeguati accorgimenti di autotutela.
Tra i soggetti che producono app molti hanno sede negli USA, e dichiarano di “detenere” le informazioni raccolte nel loro Paese d’origine. Questo cosa implica per un utente italiano?
AS A ottobre 2015 la Corte di giustizia dell’Unione europea ha invalidato il “Safe Harbor”, l’accordo UE-USA, considerando non sufficiente il livello di protezione dei dati offerto negli Stati Uniti. Per effetto della sentenza, la Commissione europea ha alzato il livello del confronto già in corso con gli USA, che a mio avviso ha già portato l’America a una serie di iniziative che vanno nella direzione da noi auspicata di una sempre maggiore convergenza nella tutela della privacy: non si è arrivati ad armonizzare gli ordinamenti, ma si è accorciata molto la distanza. Le Autorità per la protezione dei dati personali europee da parte loro stanno già intervenendo sui giganti del web: il Garante italiano lo ha fatto nei confronti di Google e più di recente di Facebook, che hanno accettato la nostra competenza e giurisdizione. Resta un problema relativo alle imprese minori (per quanto riguarda il settore del mobile Health, il 30% degli sviluppatori ha un’unica App in portafoglio, ndr), che son quelle più distanti dal rispetto della regole…
Il nuovo Regolamento europeo sulla protezione dei dati personali, entrato in vigore il 24 maggio 2016, è in grado di limitare lo strapotere degli over the top (Google, Facebook, etc.)?
AS Ci sono molte ragioni per essere ottimisti. La prima è che il Regolamento dispone e prevede la giurisdizione delle Autorità europee sui grandi attori dell’economia digitale che raccolgono informazioni in Europa. La seconda è che in tutto il mondo va crescendo la domanda di tutela: negli ultimi mesi diversi player dell’economia digitale hanno scoperto quanto sia importante offrire ai consumatori una buona reputazione sul terreno della privacy. Il rischio per questi operatori è una crisi di sfiducia: il digitale è ormai una dimensione della vita reale, dove però il presidio delle regole è palesemente meno consolidato rispetto alla vita fisica. È questa necessità di presidio che va crescendo.
L’11 aprile 2016, l’Autorità ha avviato una consultazione pubblica sull’Internet delle cose. Con quali obiettivi?
AS L’”Internet delle cose” sta sviluppando una tale quantità di oggetti interconnessi da diventare il principale fronte sul quale ricercare una disciplina. La possibilità per gli oggetti di “dialogare” ed interagire tra loro attraverso sensori, senza l’intervento umano e mediante reti di comunicazione elettronica, presenta indubbi vantaggi per la vita di tutti i giorni, ma anche rischi che è bene non sottovalutare. Occorre fare in modo che i produttori progettino sin dall’inizio i loro dispositivi con gli accorgimenti necessari per evitare che, ad esempio, l’utilizzo da remoto di un elettrodomestico diventi un veicolo per la diffusione di informazioni personali, come le scelte di consumo, che niente hanno a che vedere con i motivi che hanno portato a “connettere” quell’elettrodomestico.