Attorno al Tavolo Advertising, nel corso della giornata, sono state individuate tre sfide e tre azioni, che saranno riassunte all’interno di una relazione che verrà pubblicata nei prossimi giorni.

Il Tavolo Cloud ha affrontato le principali sfide che provider, pubbliche amministrazioni e imprese devono affrontare in relazione alla protezione dei dati personali con riferimento allo sviluppo, erogazione e utilizzo di servizi cloud. La relazione conclusiva dei lavori del Tavolo con le tre sfide e azioni, verrà pubblicata nei prossimi giorni.

Il Tavolo Diritti Umani, nel corso di State of privacy ’22, si è focalizzato sul rapporto tra privacy e altri diritti fondamentali, e ha individuato tre sfide e tre azioni che sono riassunte nella seguente relazione.

RELAZIONE FINALE

Alla presenza di esperti internazionali, il Tavolo Diritti umani ha focalizzato l’attenzione sul rapporto tra privacy e altri diritti fondamentali. Protezione dei dati e privacy possono infatti esercitare un ruolo autonomo, essere funzionali all’esercizio altri diritti, o, infine, trovarsi in una posizione di conflitto con altri diritti, rendendo necessario un adeguato bilanciamento. La protezione dei dati, inoltre, è sempre più frequentemente chiamata a svolgere un ruolo suppletivo rispetto ad alcune lacune del sistema, specie con riferimento alle nuove tecnologie, divenendo strumentale alla salvaguardia di diritti che altrimenti non troverebbero adeguata tutela, così ponendo ulteriori questioni sul ruolo della protezione dei dati in ambiti ancora non normati e sul rapporto tra i suoi principi e le future normative di settore.

In particolare il Tavolo ha individuato le seguenti sfide prioritarie del prossimo futuro e le relative strategie:

• 1° SFIDA – Protezione dei dati e diritti umani: come garantire una virtuosa interazione tra diritti fondamentali

Questa sfida è stata considerata da diverse angolazioni: a) quando la privacy agisce come diritto funzionale al godimento di altri diritti, in particolare il libero sviluppo ed espressione della personalità di un individuo, e la non discriminazione; b) quando entra in conflitto con altri diritti fondamentali, richiedendo in tal modo un adeguato bilanciamento dei diritti; c) quando la protezione dei dati è chiamata a svolgere un ruolo in assenza di altri specifici diritti.

Strategie:

• la privacy è un diritto funzionale (enabling right) all’esercizio di altri diritti fondamentali ma per poter essere proficuamente esercitato necessita di condizioni abilitanti (enabling conditions, ad es. la parità di accesso ai servizi digitali, alfabetizzazione). Questo perché la privacy non deve essere un privilegio per pochi, ma una componente fondamentale di giustizia sociale;
• nella costruzione di nuove policy, rese necessarie dalle incessanti sfide che la tecnologia pone, occorrono innovativi strumenti di protezione, in particolare l’introduzione di valutazioni di impatto sui diritti umani e nuovi modelli partecipativi;
• la protezione dei dati – pur componente essenziale della tutela della persona – non può diventare la “legge per ogni evenienza”: ove emergano nuove sfide per i diritti umani è necessario individuare adeguati strumenti anche complementari alla protezione dei dati.

• 2° SFIDA – Diritti umani e privacy nell’emergenza: come garantire una tutela persistente dei diritti fondamentali e della protezione dei dati in situazioni critiche

L’ultimo biennio ha mostrato come situazioni eccezionali quali il contenimento di una pandemia possono giustificare misure restrittive delle libertà e dei diritti delle persone, purché simili restrizioni non conducano mai allo svuotamento di tali diritti e libertà e rispondano a specifici requisiti. Siamo oggi chiamati ad operare tale delicato bilanciamento in situazioni ancora più difficili e di emergenza, tra cui guerre, conflitti, cambiamenti climatici.

Strategie:

• servono standard globali e un multilateralismo rafforzato per garantire la persistenza di principi indissolubili che devono mantenere la loro vitalità nelle emergenze, in linea con la giurisprudenza della Corte europea dei diritti dell’uomo sugli articoli 8 e 15 della CEDU;
• le misure restrittive adottate in emergenza devono essere limitate nel tempo rendendo necessari meccanismi adeguati per tornare allo status quo ante una volta venuta meno la straordinarietà delle circostanze; 
• vi sono settori, in primis quello della sicurezza nazionale, che soffrono della mancanza di garanzie adeguate per i diritti delle persone: occorre colmare tali lacune con interventi mirati nella normativa nazionale.

• 3° SFIDA – Privacy e democrazia: come reagire ai rischi di una digitalizzazione pervasiva nella costruzione e tutela della democrazia

La sfida principale qui risiede nella costruzione di una “società della sorveglianza”. A causa della trasformazione digitale e della sofisticazione della tecnologia, la sorveglianza delle comunicazioni delle persone, dei dati personali e della vita privata sembra essere diventata la nuova regola sia nel settore pubblico, sia in quello privato.

Strategie:

• nella costruzione di nuove policy è necessario un approccio olistico che comprenda non solo i diversi diritti fondamentali in gioco, ma anche diversi settori come la privacy e la concorrenza: comprendere meglio l’abuso di potere (in questo caso informativo) significa proteggere meglio il diritto alla privacy;
• è necessaria una riflessione sulle sinergie tra le diverse autorità competenti (es. autorità di protezione dati e antitrust) al fine di costruire un sistema basato su una piena ed efficiente integrazione tra privacy e concorrenza.

Attorno al Tavolo Fintech, sono state individuate tre sfide e tre azioni che sono riassunte nella seguente relazione elaborata al termine della giornata di lavori.

RELAZIONE FINALE

1. Promuovere le nuove tecnologie nell’ambito dell’operatività bancaria e finanziaria, mantenendo un punto di equilibrio tra le opportunità offerte dall’innovazione dei servizi e il rispetto del diritto alla «privacy» dei cittadini.

L’ innovazione tecnologica rappresenta una leva importante per il settore finanziario perché in grado di stimolare la continua evoluzione dei processi interni e dei servizi offerti alla clientela. I big data, i data analytics, il machine learning, sono strumenti ampiamente diffusi all’interno del settore bancario e finanziario, che attraggono ingenti investimenti da parte degli operatori, poiché possono migliorare sensibilmente, non solo i processi di business ma anche la gestione dei rischi specifici del settore (es. rischi di credito); Il loro utilizzo non può prescindere naturalmente dalla conformità delle soluzioni scelte alle normative applicabili a questi ambiti e ai meccanismi di assurance necessari per garantire il rispetto dei diritti e delle libertà dei soggetti coinvolti. In questo senso, le riflessioni sulla conformità devono procedere di pari passo con la “dinamicità” e l’evoluzione delle nuove tecnologie. Il settore, dunque, sembra spingersi verso un modello di banca sempre più “data-driven”. Tutto ciò pone nuove sfide di compliance, in particolare nell’ambito del rispetto del principio di minimizzazione del dato e dell’adeguata responsabilizzazione del titolare del trattamento nello svolgimento di procedure e analisi anche automatizzate. Per quanto rappresentato, potrà essere opportuno:

• avviare ogni iniziativa utile per assicurare un confronto costante con l’Industry bancaria, delle Fintech e le Autorità Garanti Privacy e di vigilanza del mondo bancario al fine diaumentare la consapevolezza delle specificità dell’attività bancaria e dei benefici derivanti dal potenziale utilizzo di tecnologie innovative, se correttamente bilanciato con la tutela della privacy dei propri clienti;
• creare nuove competenze per comprendere e gestire la complessità delle nuove tecnologie e la loro velocità di evoluzione in ottica data-protection;
• rafforzare la relazione tra titolari del trattamento e tutte le parti coinvolte nella gestione dei dati;
• innescare un processo di “pedagogia digitale” al fine di offrire alla clientela strumenti pratici per comprendere il valore dei dati personali e finanziari e le logiche poste alla base degli algoritmi di analisi, cercando di aumentare la trasparenza di questi ultimi.

2. Abilitare un eco-sistema di scambio di dati (Open Data) che garantisca il rispetto della normativa privacy e faciliti le procedure di trasferimento dei dati in tutta sicurezza.

Il tema del trasferimento dei dati personali in Paesi Extra UE risulta essere di grande attualità anche all’interno del settore bancario e finanziario, soprattutto a seguito della decisione della Corte di Giustizia Europea (cd. “Schremes II”) e dei recenti Provvedimenti che hanno riguardato l’utilizzo di Google Analytics. In questo contesto, deve essere gestita l’esigenza che può verificarsi nell’operatività, tra gli altri, degli operatori finanziari di dover trasferire dati al di fuori dello Spazio Economico Europeo; tutto ciò avviene, quasi sempre, con modalità del tutto similari tra i diversi istituti, sfruttando flussi di dati rilevabili e comporta la necessità di un numero estremamente elevato di TIA (Transfert Impact Analysis) che, nella maggior parte dei casi, si avvalgono anche di ricostruzioni della normativa, da parte di soggetti terzi il cui consulto non ha un valore “legale”. Allo stato attuale, dunque, non è possibile avvalersi di un valido strumento, anche di assunzione del rischio, che possa essere fornito come evidenza di accountability. D’altro canto, si ritiene che una maggiore valorizzazione dei cosiddetti “dati aperti” o “Open Data” potrebbe facilitare le procedure di trasferimento dei dati in paesi terzi, tra società dello stesso gruppo bancario/finanziario e con le terze parti, sempre mantenendo un adeguato grado di sicurezza. Tale approccio, potrebbe anche facilitare le attività svolte nell’ambito della sicurezza dei servizi finanziari. Per quanto rappresentato, potrà essere opportuno:

• rappresentare nelle sedi europee la necessità di decisioni di adeguatezza della Commissione UE, almeno rispetto agli Stati Uniti e ad alcuni Paesi di rilevanza in ambito Extra UE;
• creare un contesto normativo che sia in grado di fornire strumenti pratici che aiutino il titolare del trattamento a condurre le TIA, contribuendo così a fornire un orientamento comune e certezza sulla tenuta e sulla solidità giuridica degli strumenti di trasferimento e che aiuti la valorizzazione, anche nel contesto bancario/finanziario degli Open Data;
• rafforzare la possibilità che un dato personale possa essere condiviso in ambito cybersecurity e antifrode al fine di garantire una maggiore tutela della clientela.

3. Garantire un maggior coordinamento tra le normative, di rango nazionale ed europeo, applicabili al settore bancario e finanziario e la normativa sul trattamento dei dati.

La normativa sul trattamento dei dati personali (si consideri, ad esempio, il General Data Protection Regulation e il Codice Privacy italiano) è caratterizzata da un ambito di applicazione trasversale. Questa particolarità, nell’ambito del settore bancario e finanziario, è stata oggetto di contemperamento con altre normative che recano disposizioni ad hoc quanto alla legittimità o meno del trattamento dei dati personali. Si pensi, come esempi pratici, all’interazione tra:

• GDPR e normativa Antiriciclaggio (AML): se, da un lato, si riconosce il diritto di accesso ai propri dati personali da parte dell’interessato, imponendo una disclosure di informazioni, dall’altro lato la legge stessa riconosce delle limitazioni a tale diritto proprio per evitare la compromissione delle indagini in corso e per salvaguardare in generale gli interessi tutelati dalla normativa AML (imponendo una non disclosure di talune informazioni invece richiedibili con il diritto di accesso).Tuttavia, in alcuni casi “il confine” può essere labile;
• GDPR e PSD2, ove, oltre ai temi già noti, trattati dalle Linee Guida 06/2020 dell’EDPB, restano al centro del dibattito altre questioni di rilevanza come, ad esempio, la verifica dell’identità digitale degli utenti e gli aspetti privacy collegati.

Per quanto rappresentato, potrebbe essere opportuno:

avviare ogni iniziativa utile per garantire un maggiore coordinamento tra le discipline e un confronto costante con l’Autorità Garante nazionale per illustrare la specificità di alcune discipline rispetto al GDPR e segnalare, in ambito europeo, la necessità di una maggiore “coerenza” delle regole.

RELAZIONE FINALE

Quello che stiamo vivendo è il millennio delle scienze della vita. Siamo e saremo sempre di più inondati da dati genetici. Già ad oggi 30 milioni di persone nel mondo hanno depositato il loro DNA. Aumenteranno.

La prima sfida, dunque, è di ordine quantitativo. Il fenomeno di crescente diffusione ed utilizzo dei dati genetici richiede di essere governato prevedendo regole specifiche per il loro trattamento. Il tavolo condivide l’idea che il dato genetico debba essere considerato come una categoria autonoma, benché presenti punti di contatto con i dati sanitari e con quelli biometrici.

Se l’utilizzo dei dati genetici in campo clinico è sufficientemente regolato, ci sono svariati utilizzi secondari e diversi che attendono l’attenzione del decisore politico e del Garante. Occorre effettuare ancora una mappatura degli usi possibili dei dati genetici e di conseguenza elaborare le relative policies.

La disciplina relativa alla protezione di questa categoria di dati si pone al punto di intersezione fra la tutela della salute, la libertà di ricerca e di sperimentazione scientifica, la sicurezza pubblica, richiedendo complesse operazioni di bilanciamento.

Soprattutto nell’ambito della ricerca scientifica è ancora da individuare il punto di equilibrio ottimale fra utilizzo del dato e rispetto del GDPR. Si registra qui un’estrema disomogeneità di regole in Europa che non favorisce il settore della ricerca e la qualità delle cure in Italia. È perciò opportuno anche sollecitare l’adozione di linee guida da parte dello European Data Protection Board.

Sembra anche necessario superare l’idea concettuale del consenso come “sgravio” o come adempimento per favorire piuttosto la diffusione di strumenti di governance che sappiano sia rendere effettiva la tutela dei dati nei diversi contesti in cui il dato genetico si rende utile sia salvaguardare la caratteristica intrinseca del dato genetico di consentire una molteplicità di riutilizzi per massimizzare il suo potenziale euristico.

La seconda sfida specifica è relativa alle biobanche che, com’è noto sono di diversi tipi. Per quelle di ricerca il problema principale resta quello di un’assenza di normativa ad hoc, con la conseguente difficoltà di definire l’ampiezza del consenso alla conservazione e all’utilizzo di campioni biologici e dati (per quanto tempo? per quali finalità? deve essere prevista la revoca del consenso? chi è il proprietario di questi dati?). Una soluzione che si sta predendo sempre più spesso in considerazione è quella della re-informazione. Pare che si possa finalmente superare, adottando adeguate misure organizzative, la difficoltà tecnica, da tempo segnalata, di comunicare con l’interessato dopo tanto tempo.

La terza sfida è, invece, legata alla diffusione dei test genetici diretti al consumatore, per i quali – anche in considerazione del problema della transnazionalità del fenomeno – è complicato individuare forme di regolamentazione. Si tratta, tuttavia, di un ambito in netta espansione all’interno del quale i confini sono spesso labili (come per esempio ancestry tests, ma i dati vengono poi condivisi e impiegati anche per altre finalità).

Il Tavolo Gig Economy, nel corso della giornata, ha individuato tre sfide e tre azioni che sono riassunte nella seguente relazione.

RELAZIONE FINALE

Le tre sfide del tavolo Gig Economy

1. È emersa l’esigenza di meglio comunicare la consistenza ed il perimetro di questo mercato che negli ultimi 7-8 anni si sta con forza affermando. A partire dalle definizioni: non solo, non più GIG economy, ma anche Platform economy e Piattaforme di lavoro fluido, con un elevato numero di sottomercati e un’elevata eterogeneità dei modelli di business.

2. Sfatare alcuni miti e leggende frutto anche di una crescita prorompente e di una percezione a tratti distorta del settore, a partire dalla consapevolezza che se non funziona l’algoritmo e produce inefficienze ed illiceità è perché a monte è l’azienda che non funziona.

3. Pertanto, tutti abbiamo convenuto sulla utilità di avviare i lavori per un Codice di Condotta, ai sensi del GDPR, ma che abbia anche una forte componente etica e di attenzione all’individuo, inteso sia come utente sia come lavoratore addetto al mercato, diffondendo la consapevolezza del valore dello spazio privato.
Dovrebbe trattarsi di un codice di condotta, programmaticamente in versione beta perenne, con una discussione multistakeholder, unificata da obiettivi e incentivi condivisi. Attraverso di esso occorrerebbe anche provare a bilanciare l’accesso all’informazione per esigenze di efficienza di mercato, per qualità ed efficienza del servizio, per garanzia di diritti fondamentali, per giustizia sociale. Occorrerebbe poi valorizzare i dati per tutti gli stakeholders attraverso innovazione sui seguenti temi: trasparenza, anonimizzazione, condivisione e diritto all’analisi scientifica. Sarebbe anche utile pensare ad una struttura incentivante: consorzio intermediario dei dati (previsto da Data Governance Act e Data Act) al quale partecipano gli stakeholder,al fine di creare un bene comune da gestire con una regola multistakeholder scritta nel Codice di condotta, senza dimenticare, il riuso dei dati opportunamente anonimizzati e aggregati come potente strumento conoscitivo alla base delle scelte delle amministrazioni locali.

Il Tavolo Intelligenza Artificiale, durante State of privacy ’22, ha individuato tre sfide e tre azioni, che saranno riassunte all’interno di una relazione che verrà pubblicata nei prossimi giorni.

Il Tavolo IOT, durante i lavori, si è focalizzato sui rischi legati alla gestione ed alla raccolta dei dati derivanti dall’Internet of Things ma anche sulle opportunità legate ad un uso corretto di informazioni acquisite in maniera coerente con norme e buone pratiche. In tale contesto ha tracciato tre sfide e tre azioni che sono riassunte nella seguente relazione.

RELAZIONE FINALE

Tre problemi e punti di vista sui problemi dell’Internet delle Cose

The Hidden Powers of IOT

Una delle sfide uniche che l’utilizzo delle tecnologie IoT pone in essere è la pervasività e la ubiquità delle applicazioni e degli utilizzi, che la rendono – potenzialmente – estremamente impattante nella raccolta e catalogazione di informazioni.

Alcune delle problematiche da tenere presenti valutando l’IoT:

• Una tecnologia ad alto rischio, poiché in grado di non essere percepita, integrante e silente nella vita delle persone;
• Le potenzialità di ascolto e osservazione passiva e la possibilità di desumere comportamenti e pattern, spesso non conosciuti dal soggetto stesso analizzato;
• Le problematiche di “Inventory attack”, con device presenti su reti private che possono arrivare a conoscere una molteplicità di informazioni sull’ambiente locale.

NECESSITÀ: Rendere sempre più trasparenti i dati collezionati, rendendoli COMPLETAMENTE visibili, e non solo parzialmente in base alle volontà delle piattaforme, creando visualizzazioni di dashboard e di profili che rendano ogni informazione collezionata visibile, modificabile, ed eliminabile. La disponibilità di repository di dati affidabili e ottenuti correttamente, pratica comune nella comunità accademica su altri temi, potrebbe essere una soluzione/incentivo.

• Sottoproblema: Il Trend sempre più diffuso di offrire servizi di accesso e/o di osservazione a Law Enforcement;
• Sottoproblema: Sempre più spesso i dati vengono utilizzati per il training di sistemi di AI, ascritti a training dataset di cui quasi mai il proprietario dei dati è a conoscenza.

Privacy by Design in limited power devices

Quando si discute di IoT si discute spesso – anche se non sempre – di dispositivi affetti da endemica resource limitation: le potenze di calcolo, di storage, di elaborazione sono obbligatoriamente limitate da vincoli costruttivi ed economici, condizioni che spesso incentivano scorciatoie elaborazionali, che sempre più spesso si muovono nella direzione di spostare le operazioni in Cloud tramite Cloud Computing.

Per evitare breach della confidenzialità del dato in movimento e/o at rest è necessario che la Resource limitation venga mitigata con una fortissima adesione ai principi di Privacy by design.

NECESSITÀ: Diventa necessario registrare e gestire i singoli dispositivi utilizzando strong authentication per evitare rogue nodes nella infrastruttura, ed è necessario forzare data storage policies e cifratura del dato in movimento e a riposo per evitare attacchi multi stakeholder sui data lake o in movimento sui dispositivi. Sarebbe utile ipotizzare un marchio “P-EC” Privacy-Tested in EC per verificare la conformità di tali device alla normativa EU e incentivare la creazione di sandbox per sperimentare soluzioni soprattutto in settori sensibili come quello sanitario.

• Sottoproblema: Il rilevamento dei dispositivi deve essere possibile in qualunque condizione, per evitare installazioni occulte, ed è quindi necessario prevedere un meccanismo obbligatorio di “announce” dei device, che sia audiovisivo o tramite annunciazione di rete.

Selling and Sellers (Business Model)

Il mondo dell’IoT, soprattutto domestico, si basa sulla acquisizione di servizi innovativi con scambio di dati che nella grande parte dei casi vengono utilizzati per la creazione di profili di marketing sempre più sofisticati.

L’intero sistema è ben ricapitolato nell’opinione 8/2014 “Recent Developments on the Internet of Thing” del WP29 in cui la condizione viene definita “Lack of control and information asymmetry” (Mancanza di controllo e asimmetria informativa), una mancanza di controllo ed una asimmetria che abilitano atteggiamenti virtuosi o meno – a secondo del player – nella vasta prateria della Vendita dei dati.

NECESSITÀ: Necessario è analizzare la qualità del consenso dell’utente, le modalità di rilevamento invasivo di modelli di comportamento e profilazione e soprattutto comprendere una volta per tutte se la “vendita di dati per ottenere un bene o servizio” rappresenta o no un modello di business lecito e da incentivare.

• Sottoproblema: Comprendere se la vendita dati alle Forze dell’Ordine rappresenta o meno, e in che modalità, un modello di business lecito e da incentivare

FONTI

Guidelines for Securing the Internet of Things (Novembre 2020)
https://www.enisa.europa.eu/publications/guidelines-for-securing-the-internet-of-things

EDPS: Parere 4/2015 Verso una nuova etica digitale Dati, dignità e tecnologia
https://edps.europa.eu/sites/edp/files/publication/15-09-11_data_ethics_it.pdf

Opinion 8/2014 on the on Recent Developments on the Internet of Things (ARTICLE 29 DATA PROTECTION WORKING PARTY)
https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp223_en.pdf

Il Tavolo Legal Design, nel corso della giornata, ha individuato tre sfide e tre azioni che sono riassunte nella seguente relazione.

RELAZIONE FINALE

Il Legal Design è una metodologia multidisciplinare che ha l’obiettivo di comunicare, elaborare o creare norme, diritti, doveri, documenti, procedure, servizi in modalità anche non testuale, usando codici visuali e sensoriali con al centro la persona. Vi sono già molte applicazioni di questa metodologia in vari settori, come per esempio il diritto d’autore (le licenze Creative Commons), i contratti e la tutela dei diritti di protezione dei dati. Qui si intendono anticipare alcuni ambiti che sollevano sfide importanti per gli individui, la società e le imprese nei prossimi anni.

Nel mondo dei metaversi e della realtà aumentata e virtuale è importante pensare a nuovi metodi e linguaggi per esprimere i fondamenti del diritto, applicando tecniche di design con un codice di principi alla base quali inclusività, non-discriminazione, trasparenza, spiegabilità, autonomia di decisione.

Per raggiungere questi obiettivi alcuni canoni devono essere rispettati:

• Semplificare il linguaggio. Il linguaggio giuridico è uno strumento fondamentale per creare norme e regole, ma è al contempo un ostacolo alla diffusione e comprensione da parte di persone non esperte di diritto. La semplificazione è un passaggio fondamentale che deve non svuotare il senso giuridico del messaggio che si intende trasmettere;
• Centralità dell’utente. L’utente è al centro dell’analisi della trasformazione attuata dal Legal Design per rendere l’individuo informato e consapevole delle diverse opzioni, per metterlo nelle condizioni di scegliere liberamente, in autonomia o per proteggerlo di default. La progettazione centrata sull’utente passa, quindi, necessariamente anche da un’analisi delle asimmetrie informative e di potere nella società data-driven;
• Pluralità di metodi. Le tecnologie ci offrono molti strumenti per rendere piacevole l’esperienza di interazione uomo-macchina, ma allo stesso tempo si vuole facilitare l’inclusività e l’accessibilità anche a coloro che hanno diversi canali percettivi;
• Effettività. Creare un prodotto di Legal Design richiede molto tempo così come la sua validazione mediante parametri oggettivi per misurarne l’efficacia. Occorre bilanciare la produzione artistica con il rigore metodologico, la portabilità e scalabilità affinché si possa replicare l’esperienza in contesti affini;
• Cultura e etica. Occorre pensare a questi strumenti in modo sistemico e olistico, anche come strumenti culturali. Questo metodo dovrebbe entrare nella normale progettazione dei prodotti giuridici integrandosi con i canoni culturali di ogni sistema normativo. Allo stesso tempo è utile ambire a un processo di standardizzazione di principi così da rendere possibile un’armonizzazione interpretativa dei diversi segni non testuali e testuali, anche a beneficio degli operatori del diritto (e.g., giudici, amministratori).

In questo quadro lanciamo tre sfide:

1. Legal Design per la privacy nei metaversi: dalla trasparenza alla comprensione e l’effettività. Presso l’Università di Bologna nell’ambito del progetto Jean Monnet LED4XAI si terrà un workshop in Marzo 2023 con questo obiettivo coinvolgendo quanto più possibile imprese, istituzioni, studi legali, tribunali;
2.  Legal Design, dark pattern e minori per formare buoni cittadini del domani. LegalHacker lancerà un hackathon su questi temi nel Maggio 2023;
3. Legal Design e diritti dell’interessato – anche nella prospettiva di garantire all’interessato strumenti adeguati a manifestare le proprie scelte in merito all’uso dei propri dati – alla luce dei nuovi regolamenti europei, ispirandosi a metodologie consolidate (quali le licenze Creative Commons). Presso l’IGSG e la UCLouvain (Belgio) si organizzeranno tavole rotonde su questi temi.

Queste sfide necessitano tuttavia di una organizzazione strutturale. Per questo chiediamo la costituzione di una task force permanente di Legal Design all’interno del Garante Privacy italiano.

Il Tavolo Media, nel corso della giornata, ha focalizzato l’attenzione sull’esigenza di ripensare l’equilibrio tra privacy e libertà d’espressione, dando maggior valore (anche economico) ai dati e coltivando tutele giuridiche e forme di autodisciplina degli utenti.  In questa prospettiva ha individuato tre sfide e tre azioni che sono riassunte nella seguente relazione.

RELAZIONE FINALE

Il contributo del nostro panel all’evento del 23 settembre al Museo di Pietrarsa (Napoli), finalizzato a lanciare tre sfide per i prossimi 5 anni nell’ambito del rapporto tra media e privacy, potrebbe incentrarsi sui seguenti nuclei tematici:

PROFILI REGOLATORI E DI MERCATO: stimolare le istituzioni a individuare nuovi punti di caduta nella declinazione pratica delle regole dettate per i nuovi media, con l’obiettivo di monitorare gli elementi anti-competitivi derivanti dall’uso dei dati da parte delle piattaforme social. Si ravvisa che attualmente tale uso genera spesso disparità di trattamento penalizzanti per i media tradizionali, mentre occorre garantire un equilibrio competitivo attraverso la corretta applicazione della normativa sulla privacy, la cui minore o maggiore osservanza finisce per incidere in maniera decisiva sul business dei media. Il ragionamento sul punto deve tenere conto dell’esigenza di valorizzare, anche sulle piattaforme web e social, i contenuti di qualità, e punta ad analizzare la sostenibilità degli attuali modelli di business con riferimento al trattamento dei dati anche per finalità pubblicitarie. In questo contesto è altresì auspicabile che l’introduzione dell’equo compenso in materia di copyright, sulla base degli accordi assicurati dall’interlocuzione tra Governo, Fieg, Google e altri stakeholder, possa contribuire a realizzare un mercato più equilibrato sul piano economico e maggiormente rispettoso degli autori delle opere creative e del valore dei dati immessi nei circuiti mediali.

PROFILI DEONTOLOGICI: avviare un percorso condiviso tra Garante privacy, Ordine dei giornalisti e altri attori della filiera di produzione e distribuzione delle notizie che conduca a una revisione del Codice deontologico del 1998 relativo al trattamento dei dati personali e sensibili nell’esercizio dell’attività giornalistica. Ciò al fine di assicurare un adeguato bilanciamento tra il diritto all’informazione e quello alla riservatezza, con particolare riferimento ai processi mediatici (rappresentazione scorretta delle vicende giudiziarie con il duplice eccesso della violazione della presunzione di innocenza e della gogna mediatica perpetua), alla tutela dei soggetti deboli, soprattutto minori, al diritto all’oblio, all’utilizzo dei mezzi fraudolenti nell’ambito del giornalismo d’inchiesta. Rispetto alle diverse modalità di acquisizione delle notizie, è auspicabile l’individuazione di sedi di consultazione periodica per fissare dei punti di equilibrio tra l’interesse pubblico alla notizia e il doveroso rispetto della riservatezza dei soggetti coinvolti, fermo restando il limite invalicabile della tutela della dignità della persona. Con riferimento al diritto all’oblio, sarebbe auspicabile un’iniziativa congiunta del Garante della privacy, dell’Ordine dei giornalisti, degli editori, dei broadcaster, dei motori di ricerca come Google e degli altri soggetti coinvolti a vario titolo nella diffusione di contenuti informativi, affinchè vengano elaborate delle linee guida in grado di contemperare il diritto all’oblio con la tutela della memoria storica dei fatti di interesse pubblico, evitando sovraesposizioni mediatiche dei protagonisti dei fatti ma anche falle nella ricostruzione delle vicende di cronaca. Vanno cioè individuati e formalizzati parametri condivisi per facilitare il lavoro degli editori e, in generale, dei titolari del trattamento dei dati nella valutazione della rimozione dei contenuti ritenuti obsoleti o non pertinenti o non più di interesse sociale. Esiste infatti un duplice rischio di depauperamento degli archivi giornalistici e di uno squilibrio tra piccoli e grandi editori, essendo i primi maggiormente esposti ai rischi economici di risarcimenti per mancata applicazione del diritto all’oblio.

PROFILI EDUCATIVI E CULTURALI: realizzare un’alleanza educativa e culturale che coinvolga il Governo, le istituzioni scolastiche, l’intero sistema dei media e gli utenti differenziati per target e per età, sensibilizzandoli sulla necessità di percorsi formativi e informativi sull’uso critico dei media e la ricerca e la verifica delle fonti, attribuendo il giusto valore ai dati e promuovendo una tutela efficace della privacy on-line. La digital transformation va governata e orientata al rispetto dei diritti delle persone, tanto più nella prospettiva del Metaverso, che mette in gioco i paradigmi tradizionali del rapporto tra privacy e libertà d’espressione. I media, attraverso un nuovo progetto educativo, devono preparare i giovani al Metaverso quale raccolta di dati esperienziali, psicologici, emotivi. Il Metaverso dev’essere una dimensione che consente di capire meglio il mondo, non di distorcelo ancora di più. In questo filone culturale si inseriscono altre possibili riflessioni su argomenti correlati quali le fake news, l’hate speech e alcuni reati on-line come il cyberbullismo e il revenge porn. Diventa centrale il ruolo dei media nell’informazione vera, credibile, responsabile, accreditata (valorizzazione delle fonti affidabili). Se un semplice click contribuisce al realizzarsi di condotte di diffamazione, pubblicazione di fake news, pirateria e reati on line come cyberbullismo e revenge porn, conoscerne le conseguenze potrebbe aiutare a limitarne la diffusione. I media possono avere un’importanza decisiva nella pianificazione, gestione e comunicazione di questi interventi formativi ed educativi per favorire la crescita della cultura digitale.