Tempo di lettura stimato: 6'
In un precedente articolo, abbiamo parlato delle implicazioni giuridiche del Metaverso e dell’elaborazione di dati immateriali, da cui deriverà un effetto materiale, un effetto fisico. Abbiamo parlato anche della virtualizzazione delle nostre caratteristiche fisiche, grazie alle tecnologie: realtà virtuale e aumentata. In questo contesto, ragionare solo di GDPR è un dibattito vecchio, anche per chi si occupa di queste materie e di chi, al GDPR, deve moltissimo e vuole bene. Anche noi, che siamo legati a questa disciplina, dobbiamo renderci conto che occuparci di queste cose è occuparci di un futuro evolutivo, anche del diritto e non solo del fatto, perché il fatto tecnologico, organizzativo e contestuale cambierà anche quelle che sono le regole e la loro interpretazione. Se le regole non cambiano, cambia comunque la loro interpretazione, e quindi sostanzialmente cambiano, a prescindere da una loro evoluzione formale. A maggior ragione - come è successo col GDPR -, cambieranno anche formalmente, con l'approvazione di nuove norme.
Avvocati del Multiverso normativo del diritto dei dati
Più vado avanti e più mi sento avvocato del Metaverso, anzi, del Multiverso normativo del diritto dei dati e delle applicazioni tecnologiche. Perché si stanno estendendo gli universi normativi di cui tenere conto in relazione all'evoluzione fattuale. Cosa sta succedendo? Intanto sta succedendo che, essendo tutto sempre più guidato dall'elaborazione dei dati (data driven), anche che noi ci dobbiamo occupare sempre meno solo di compliance. Siamo chiamati, sia come avvocati che come consulenti, a guardare a queste dimensioni come dimensioni di sostanza, di prodotto e di servizio, per esempio. Dimensioni che hanno a che fare con l’ontologia del business, in senso lato, quindi intendendo anche quelli di una Pubblica Amministrazione.
Non andiamo più semplicemente a dire "Questa bicicletta può circolare perché è conforme rispetto agli standard X e Y", ma ci occupiamo anche di elementi funzionali sostanziali, che non sono lì semplicemente perché devono essere conformi ma che, nell'essere conformi, implicano funzionalità nuove. Funzionalità che, magari, non esistevano prima o utilizzi di certe funzionalità che, nascendo per ragioni di conformità, diventano funzioni di business, a tutti gli effetti.
E se questo è vero, essendo tutto ormai così pervasivo, anche da un punto di vista normativo, non possiamo più occuparci di queste materie in un'ottica verticale di silos.
Serve un approccio trasversale per bilanciare diversi aspetti del diritto
Dobbiamo necessariamente approcciare in modo trasversale le discipline di cui ci andiamo a occupare. Se è sempre meno compliance ed è sempre più design di business e di prodotto, di servizio, allora dobbiamo imparare a fare una cosa - che nella mera compliance non era richiesta, o era richiesta relativamente poco - ovvero combinare e bilanciare insieme diverse discipline, diversi aspetti del diritto, da applicare a un certo modello di vita, di relazione, di business, di interazione sociale.
Se si segue un progetto molto innovativo, che mette insieme elementi tecnologici, innovativi, contestuali che sono, in quanto tali o, in quanto combinati, innovativi, è necessario fare innanzitutto un Ethic Assesment.
Non puoi più fare un Data Protection Impact Assesment senza fare una valutazione più ampia sul piano etico di quello che stai andando a costruire, perché rischi di far riuscire perfettamente l'operazione, ma facendo morire il paziente. Rischi di prendere in considerazione una nuova modellistica, estremamente innovativa che, però, nel rispettare apparentemente la conformità in materia di protezione dei dati personali, magari travolge N altri diritti e libertà che sono sanciti nelle nostre Carte fondamentali. Fai un percorso by-design e by-default perfetto da un punto di vista della privacy e della protezione dei dati personali, peccato che quella nuova applicazione poi generi una forma di schiavismo - per ipotesi - e quindi travolga un altro dei diritti e delle libertà fondamentali che invece noi dobbiamo tutelare.
Allora prendiamo la Carta dei diritti fondamentali dell'Unione Europea che è il punto più avanzato di modernità che possiamo avere e trasformiamola in una checklist. Poi andiamo a vedere, con un atteggiamento aperto e neutro, se quella innovazione possa travolgere qualche altra libertà o qualche altro diritto fondamentale.
Mettiamoci certamente dentro anche la protezione dei dati personali e la privacy. Ma già qui siamo chiamati a trasversalizzare e a bilanciare.
In Europa è un arrivo uno tsunami di normative sui dati
Ci sono i Metaversi normativi, di cui tenere conto, che stanno arrivando. E sta arrivando lo tsunami, almeno a livello europeo, di normative sui dati.
In questi anni l'Unione Europea si è dotata di un impianto estremamente tutelante, un po' scoperto ancora lato E-privacy, ma in materia di protezione dei dati personali abbiamo posto dei presidi che sono importantissimi e che sono imitati, in malo modo, da mezzo mondo. Ci è rimasta scoperta l’altra faccia della luna, quella oscura, che invece è la possibilità di valorizzare i dati.
Allora, il legislatore europeo, su una certa onda, con un certo orientamento politico, ha detto "Bene, abbiamo messo al sicuro le salvaguardie in materia di dati personali. Adesso, nel rispetto dei diritti fondamentali, dobbiamo fare l'altro pezzo di strada che mancava: sbloccare l’utilizzo dei dati, consentire la valorizzazione dei dati."
Sono in arrivo discipline sulla valorizzazione dei dati e sull'utilizzabilità secondaria dei dati, sempre nel rispetto dei diritti fondamentali e inviolabili, che sbloccano, in effetti, l'utilizzo dei dati in determinati ambiti. Il Data Governance Act sbloccherà l'utilizzabilità secondaria dei dati, in particolare nel settore pubblico, da parte del settore privato e di altri enti pubblici. Il Data Governance Act è un regolamento di natura generale a cui si agganceranno i singoli regolamenti sugli spazi europei dei dati. Il primo, quello che è stato presentato, è lo spazio europeo dei dati sanitari.
Se prendiamo il testo del regolamento sullo spazio europeo dei dati sanitari - rilevantissimo per moltissimi consulenti e aziende sanitarie - troviamo apertis verbis, scritto nero su bianco, che il regolamento costituisce le basi giuridiche per l'utilizzo secondario dei dati sanitari, dati anche personali, anche sensibili.
Si fissano le basi giuridiche che, altrimenti, a livello di GDPR non ci sarebbero. Quindi si sbloccheranno trattamenti secondari, valorizzazioni secondarie di dati. Vuoi che servano per progetti di ricerca, vuoi che servano per ricerca e sviluppo di soluzioni più o meno intelligenti, che possono poi sfociare in dispositivi medici di nuova generazione, e così via.
Allora quello è il futuro. Quello è il futuro della riflessione sul Metaverso, sulle componentistiche che oggi riferiamo al Metaverso. Concentriamoci sulle singole componentistiche, da un lato tecnologiche, e dall'altro concentriamoci sugli orizzonti e le praterie che si stanno aprendo nella valorizzazione secondaria dei dati. Perché sarà un altro universo rispetto a quello che stiamo conoscendo e che conosciamo.
La sfida è immensa. Perché è una sfida di conoscenza delle tecnologie, di analisi approfondita di tutte le variabili contestuali relative a quell'utilizzo di quelle tecnologie ed è una sfida che riguarda la liceità delle finalità ulteriori del trattamento dei dati, e delle finalità diverse di trattamento dei dati, rispetto a quelle primarie a cui siamo stati abituati fino a oggi.
Sì al Metaverso Multiverso, no al Metaverso in senso fattuale
Quindi altro che Metaverso in senso fattuale. Il Metaverso in senso fattuale ha senso se lo spezzettiamo e lo inquadriamo in contesti specifici guardando ai dettagli. Invece sì, eccome, al Metaverso Multiverso. Per gli addetti ai lavori, inizia un'era di estensione del proprio universo di competenza su altri universi di competenza e di analisi giuridica - e non solo - che hanno a che fare con i dati, ma che non sono GDPR, privacy e protezione dei dati personali.
Fra poco, anzi già adesso, affrontare by-design, un'iniziativa innovativa con le sole ferramenta del GDPR, sarà del tutto sbagliato. Sarà addirittura colpevole. Da un punto di vista professionale, a maggior ragione in futuro, potrebbe essere considerato una forma di grezza colpa grave per un professionista che dia indirizzi in questi ambiti.
Articolo tratto dall’intervento di Luca Bolognini, Presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati (IIP), European data & privacy lawyer, avvocato dei dati e saggista, in occasione del GDPR Forum 2022. L’intervento completo è su Raise Academy.
Questo è solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.