Il GDPR (Regolamento UE 2016/679), ai sensi dell’art. 99, comma 2, si applica dal 25 maggio 2018. E’ trascorso un anno e molti fanno bilanci, mentre altri organizzano eventi o previsioni.
Il mio proposito non è celebrativo ma propositivo e prodromico: quali sono gli aspetti in materia di protezione dei dati personali su cui sarebbe opportuno riflettere e che meritano approfondimento?
Aspetto rilevante è certamente la “consapevolezza”, la cui etimologia trova riscontro in “cum-sapere” (consìpere) e cioè “avere esatta cognizione di sé”. Uno dei principi cardine del GDPR è la “responsabilizzazione” (accountability) prevista dall’art. 5, comma 2. Il titolare o il responsabile del trattamento che sono tenuti a rispettare il principio di responsabilizzazione devono necessariamente essere consapevoli e cioè “avere esatta cognizione di sé” sulla conoscenza delle norme e dei principi del GDPR. Non si tratta di una conoscenza meramente tecnico-giuridica che favorirebbe il giurista nella applicazione delle norme.
La lettura delle norme del GDPR spesso va oltre rispetto alla qualificazione delle regole di condotta che fanno parte dell’ordinamento giuridico: c’è dell’altro. Non si può prescindere dalla considerazione dei diritti fondamentali previsti dalla Carta europea e dalla Convenzione 108+.
Il 18 maggio 2018 il Consiglio d’Europa ha adottato un protocollo di modifica e nel preambolo, fa l’altro, si legge:
“Considering that it is necessary to secure the human dignity and protection of the human rights and fundamental freedoms of every individual and, given the diversification, intensification and globalisation of data processing and personal data flows, personal autonomy based on a person’s right to control of his or her personal data and the processing of such data; *Recalling that the right to protection of personal data is to be considered in respect of its role in society and that it has to be reconciled with other human rights and fundamental freedoms, including freedom of expression; Considering that this Convention permits account to be taken, in the implementation of the rules laid down therein, of the principle of the right of access to official documents; Recognising that it is necessary to promote at the global level the fundamental values of respect for privacy and protection of personal data, thereby contributing to the free flow of information between people”.
Spostando, quindi l’attenzione su livelli più alti rispetto alla qualificazione e alla applicazione del dato normativo, si registra una “esigenza” di attribuire il giusto rilievo ai valori della dignità umana, della protezione dei diritti umani e delle libertà fondamentali di ogni individuo, il rispetto del ruolo dell’individuo nella società, la libertà di espressione, la promozione dei valori fondamentali del rispetto della privacy e della protezione dei dati personali. Emerge, quindi, che si debbano considerare valori ontologicamente connessi alla persona, prima ancora di essere conformi al GDPR o alle norme nazionali o internazionali.
La consapevolezza è quindi frutto di un percorso di formazione della coscienza il cui punto di arrivo culmina con l’assimilazione dei valori primari appartenenti alla persona e, al contempo, diviene punto di partenza per una equilibrata e profonda conoscenza dei temi in materia di protezione dei dati personali.
La consapevolezza, nel percorso di formazione modella e sviluppa una coscienza che si conforma ai principi su indicati. Non si tratta di una coscienza morale perché i principi sono codificati e ciò costituisce il valore aggiunto per la formazione di una conoscenza strutturata e ampia, capace di contribuire alla autoderminazione del soggetto nelle scelte connesse alla protezione dei dati personali.
La consapevolezza implica anche riferimenti all’etica e alla formazione di una coscienza etica soprattutto riguardo al tema della protezione dei dati personali.
Riuscire ad acquisire una consapevolezza nel senso illustrato contribuisce alla formazione di una coscienza anche etica che consente di poter applicare correttamente le norme in materia di protezione dei dati personali.
L’applicazione delle norme in mancanza di una consapevolezza e di una coscienza, al contrario, costituisce un adempimento inconsapevole e quindi sterile riguardo ai valori appartenenti alla persona. Affrontare il tema della protezione dei dati personali senza aver maturato il pregio e il rilievo del valore “persona” potrebbe comportare il rischio di sconfinare nel tecnicismo e svilire la dignità umana. Quando si affrontano i temi del digitale in relazione ai dati personali non si deve correre il rischio di considerare la persona una sequenza di bit.
Intelligenza artificiale (Artificial Intelligence - AI), Robotica, Blockchain - solo per citarne alcuni - non possono prescindere dalla valutazione del valore della persona anche in applicazione del principio, previsto dall’art. 25 del GDPR, Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (Data Protection by Design and by Default).
Analisi di dati personali effettuate da algoritmi sviluppati probabilmente senza l’applicazione del principio menzionato e senza alcuna consapevolezza o coscienza etica sono pregiudizievoli per la persona e non consentono alla stessa di averne il controllo, contrariamente - ad esempio - a quanto indicato nel protocollo di modifica della Convenzione 108 (based on a person’s right to control of his or her personal data and the processing of such data).
In conclusione, esprimo l’auspicio possa crescere un approccio al GDPR maggiormente orientato al valore della dignità umana e della persona, considerando fondamentale la consapevolezza e il relativo percorso di formazione di una coscienza etica.