Seconda edizione del commentario Giuffrè sulla protezione dei dati personali. Il nostro apporto

E’ in libreria la seconda edizione del commentario edito da Giuffrè sulla normativa a tutela dei dati personali, nella collana dei Codici commentati. E’ un’opera riveduta e ampliata di 1668 pagine.

Immagine dal sito dell’editore Giuffrè

Ne siamo orgogliosi, perché, come per la prima edizione, registra un apporto significativo dei partner del nostro studio legale.

Gli avvocati Luciana Grieco ed Enrico Pelino hanno contribuito alla redazione dei commenti a disposizioni chiave del GDPR (applicazione territoriale, nozioni fondamentali, diritti, per fare solo alcuni esempi), del Codice privacy (articoli 2-ter, 2-sexies, diverse altre norme iniziali, tutele amministrative e giudiziali, per menzionarne alcune) e del d.lgs. 101/2018.

Inoltre, l’avv. Enrico Pelino ha condiviso la curatela e la direzione dell’opera con il collega Luca Bolognini, presidente dell’Istituto italiano per la privacy e la valorizzazione dei dati.

La prima edizione del 2019 aveva ricevuto ampio riconoscimento tra gli esperti della disciplina per l’approfondimento esegetico e l’ampiezza delle fonti censite. L’auspicio è che anche questa nuova ampliata pubblicazione divenga un apprezzato strumento di lavoro e di studio.

Le principali novità della seconda edizione

Le novità sono molte: le fonti sono state ulteriormente arricchite, i principali commenti rivisitati in profondità e talvolta riscritti. Si è tenuto conto delle sostanziali evoluzioni della normativa (es. AI ACT, DSA), della dottrina, della tecnologia e soprattutto della giurisprudenza. Sono stati, in particolare, valorizzati gli apporti decisivi della Corte di giustizia dell’Unione.

Si è deciso di modificare anche la struttura interna dell’opera, creando un lavoro che, per riassetto interno, costituisce più di una mera seconda edizione. Ha contribuito allo studio e alla redazione, prossima ai dieci milioni di battute, una squadra imponente di giuristi, ventisei Autrici e Autori. Come per la prima edizione, i commentatori hanno avuto ampia libertà intellettuale nel proporre chiavi di lettura ragionatamente personali, pur nel rispetto di una regia unitaria.

Per chi voglia approfondire

Sono liberamente consultabili l’indice e un breve estratto (link esterni al sito dell’Editore).

Meta: pagare per non essere profilati. E’ lecito?

Il 30 ottobre 2023 Meta ha confermato che offrirà le proprie piattaforme (Facebook, Instagram) senza pubblicità, mirata o generalista, dietro pagamento di una quota d’abbonamento.

Si pagherà cioè per non essere fatti oggetto di profilazione (questo è il termine tecnico, cfr. art. 4.4 GDPR) e di marketing “targhetizzato”, ossia costruito sulla misura di quella profilazione.

Che cos’è la pubblicità mirata? Facciamo un esempio. Sono in difficoltà e cerco un prestito? La piattaforma raccoglie questa informazione e mi invia pubblicità specifica su mutui e prestiti. Sono stato profilato come qualcuno che ha bisogno di denaro.

Oppure semplicemente ho guardato un contenuto generalista di scarsa qualità? Gli algoritmi della piattaforma mi inondano di canali spazzatura.

E chi non paga il nuovo servizio “premium” proposto da Meta? Continuerà a essere profilato. Ossia: pagherà non in denaro ma in diritti, dunque in cessione di spazi di riservatezza.

L’utente in tal caso continuerà cioè a essere il “prodotto” venduto a terzi dal fornitore delle piattaforme social.

Se non altro, l’annuncio della multinazionale statunitense serve a suggerire al grande pubblico un’idea del valore economico dei nostri dati, del giro d’affari che permette, della realtà delle cose: l’utente è una merce.

In questo contesto, continua a colpirmi che i fruitori del servizio inondino le piattaforme social dei dettagli più intimi della propria vita e persino di quella di minori.

Ma la normativa che cosa prevede?

Ora, dobbiamo chiederci se il modello di business costruito da Meta sia lecito. Se, in altre parole, sia consentito chiedere un pagamento contro l’impegno di non profilare per finalità di marketing.

Innanzitutto, dobbiamo domandarci: lecito o illecito rispetto a quale disciplina giuridica? Rispetto innanzitutto al GDPR (reg. UE 2016/679) e alla dir. e-Privacy (dir. 2002/58), che si dimostrano ancora una volta fondamentali presìdi di tutela.

Bene, non può che fornirsi risposta negativa, ossia: no, non è lecito, almeno a parere di chi scrive.

Osta infatti a una profilazione by default sia la mancanza di un’idonea base giuridica sia la regola della data protection by default, ossia la sussistenza di un principio esattamente opposto alla profilazione per impostazione predefinita.

Eppure la decisione di Meta è presa. E’ del tutto naturale collegarla al “modello paywall”, che, in assenza di provvedimenti del Garante, si è affermato di fatto nell’editoria italiana.

La logica infatti è la stessa: si è profilati senza scelta nel servizio base, per non esserlo occorre scegliere un’opzione premium a pagamento.

Per un’analisi giuridica più dettagliata e per il collegamento logico con il modello paywall, rimando il lettore al mio articolo di approfondimento pubblicato oggi da Agenda Digitale: Facebook e Instagram a pagamento: ma la privacy non può essere un servizio premium.

Conclusioni

In definitiva, lo schema di Meta e il modello paywall costituiscono la normalizzazione di un completo rovesciamento del sistema giuridico: pagare per vedersi riconosciuti diritti che già hanno.

E’ una situazione resa evidentemente possibile da rapporti di forza e mancate reazioni. Lo scenario che si palesa è decisamente distopico, anche perché l’estrema frammentazione della platea degli interessati (in definitiva qui gli utenti finali) non pone certo le condizioni perché l’intera materia sia portata all’attenzione del giudice ordinario.

Presentazione del libro sul DSA-DMA

Oggi il nostro partner di studio, avv. Enrico Pelino, presenterà a Roma dalle 17:00 alle 19:00, presso Binario F, in Via Marsala 29H, il recentissimo volume dedicato al Digital Services Act e al Digital Markets Act, di cui è co-curatore e coautore. Qui la locandina.

E’ possibile collegarsi online all’evento, concepito anche come webinar, via Zoom al seguente link: https://us02web.zoom.us/j/82306974459.

Saranno presenti anche gli avvocati Luca Bolognini e Marco Scialdone, a loro volta co-curatori e coautori dell’opera.

Interverranno i Colleghi Maria Vittoria La RosaMassimiliano Nicotra e Fulvio Sarzana di Sant’Ippolito, che hanno firmato numerosi contributi di pregio del volume.

L’incontro, significativamente intitolato DSA+DMA:GDPR=X, si propone come prima riflessione degli impatti dei nuovi regolamenti europei sulla normativa in materia di protezione dei dati personali. Mai finora il legislatore dell’Unione aveva affrontato in maniera così organica e profonda i meccanismi di controllo dell’informazione digitale. I riflessi sociali, economici e perfino politici sono enormi.

Si pensi alla diffusione virale di contenuti, alla libera espressione delle idee, alla moderazione sulle piattaforme online, agli algoritmi di raccomandazione, alla pubblicità microprofilata, alla cessazione di fenomeni come lo shadow banning, ma anche al rapporto tra gatekeeper (ossia piattaforme di base, per così dire “infrastrutturali”) e libera concorrenza, dunque, per es., al ruolo dei marketplace.

Al webinar saranno inoltre presenti relatori di META, società multinazionale ampiamente interessata dal DSA e dal DMA, ponendo così le premesse per un dibattito attualissimo e aperto sul recepimento dei nuovi corpi normativi da parte di uno principali attori del mercato digitale.

International School in Digital Governance: docenza dell’avvocato Pelino

Il nostro partner di studio, avvocato Enrico Pelino, ha aperto questa mattina la seconda edizione dell’International School in Digital Governance dell’Università di Pavia, con una docenza in materia di diritto alla protezione dei dati personali e diritto alla privacy.

L’International School in Digital Governance costituisce un corso di eccellenza nell’approfondimento della normativa di settore.

L’intervento ha affrontato differenze e aree di sovrapposizione dei questi due diritti fondamentali, ed esaminato i pilastri essenziali della disciplina collocandoli in una ricca casistica applicativa.

L’occasione è stata anche utile per tracciare gli elementi essenziali dei rapporti tra il GDPR e la vastissima legislazione recente dell’Unione europea in materia di strategia digitale e di data driven economy, dunque l’enorme crescita in complessità che sta registrando il diritto digitale.

In particolare, vanno menzionati il fondamentale pacchetto sui servizi digitali, composto dal DSA (Digital Services Act, reg. UE 2022/2065) e dal DMA (Digital Markets Act, reg. UE 2022/1925) e il DGA (Digital Governance Act, reg. UE 2022/868) in materia di condivisione e riutilizzo di informazioni.

Il quadro è completato dalle proposte di DA (Data Act) e soprattutto di AI Act. Quest’ultimo strumento di disciplina, su cui si concentra un vivace dibattito, darebbe all’Unione il primato mondiale nella regolamentazione organica dei servizi di intelligenza artificiale.

Le allucinazioni dell’intelligenza artificiale

Allucinazioni dei modelli generativi_Intervento Avv Pelino al PrivacySymposium2023

Allucinazioni dell’intelligenza artificiale: una delle maggiori criticità dei modelli generativi, come GPT-4, sono le cd. “hallucination”, vale a dire la creazione di fatti in realtà inesistenti.

Prendiamo il caso del professore universitario Jonathan Turley, che secondo ChatGPT sarebbe stato accusato di molestie sessuali. La notizia, generata falsamente dal chatbot, costituisce un esempio molto preoccupante di allucinazione.

E’ evidente l’impatto reputazionale e sociale, ed è altrettanto chiaro che, una volta proiettata in rete la fake news da allucinazione, sarà estremamente complesso bloccarne la propagazione.

Quali tutele

Ma quali tutele fornisce la normativa in proposito? E’ questo il contenuto dell’intervento presentato dall’avvocato Enrico Pelino al Privacy Symposium 2023, nella splendida cornice dell’auditorium Santa Margherita di Venezia – Università Ca’ Foscari (foto qui in basso).

Si può leggerne qui, pubblicato da Agenda Digitale, il testo integrale, esposto in versione più sintetica durante il convegno.

Allucinazioni dei modelli generativi_Intervento Avv Pelino al PrivacySymposium2023

In tema di tutele, appaiono fondamentali due istituti del GDPR: il diritto a non essere sottoposti a una decisione unicamente basata su un trattamento automatizzato (art. 22) e il diritto alla trasparenza, declinato come diritto a una spiegazione.

Entrambi questi istituti presentano vulnerabilità, discusse dall’autore, e dunque andrebbero potenziati e adattati al contesto attuale, in modo da sintonizzarli sugli avanzamenti nel settore dell’AI.

Del resto, proprio l’interazione del sistema giuridico con i progressi della società digitale ha prodotto formulazioni giuridiche oggi fondamentali come il diritto all’oblio. Senza l’eterno presente delle informazioni su Internet, sarebbe cioè mancata l’esigenza di imporre la loro progressiva deindicizzazione. E’ dunque auspicabile che altrettanto accada nel settore dell’intelligenza artificiale.

Le lacune della proposta di AI Act

Non può non notarsi come costituisca invece una delusione il principale corpo normativo progettato dall’Unione europea nella materia in questione, il cd. AI Act. Più esattamente, la proposta di regolamento era subito apparsa molto deficitaria, sia nel senso di “catturare” le novità tecnologiche sia in quello di apprestare mezzi di ricorso.

Il testo aveva ad esempio sottovalutato la rilevanza dei large language model e dell’intelligenza generativa, ossia di quelle applicazioni di cui ChatGPT costituisce oggi uno dei principali esempi. Non prevedeva inoltre rimedi giuridici specifici per i soggetti vulnerati e neppure obblighi proattivi adeguati, quali valutazioni d’impatto sui diritti fondamentali.

Si è tuttavia recentemente intervenuti, sia pure frettolosamente e su un testo carente, a completare molte lacune, come rivela la bozza di compromesso divulgata proprio in data odierna. Il testo dovrà essere adottato tuttavia dal Parlamento europeo in sessione plenaria e quindi sottoposto alla procedura di “trilogo” con il Consiglio e la Commissione.

Google deve rimuovere i contenuti diffamatori anche in mancanza di accertamento giudiziale

Di che parla la nuova normativa DSA-DMA e che cosa ha stabilito di recente la Corte di giustizia, sentenza C-460/20, in merito alla rimozione di contenuti diffamatori?

Partiamo con ordine. Le piattaforme social, es. Twitter, Instagram, Facebook, TikTok, i motori di ricerca (il pensiero va innanzitutto a Google), i marketplace sono tecnicamente “intermediari della società dell’informazione”. Non sono gli unici esponenti della categoria, ne sono certamente i più rappresentativi, quelli cioè che determinano in concreto la forma dei flussi di informazioni e incidono sulla comunicazione e sul successo di attività imprenditoriali online, ma anche semplicemente sulla formazione culturale del Paese. Perché?

Perché l’intermediario è così determinante?

Bloccare una pagina per un’impresa o un professionista ha ripercussioni evidenti sulla capacità di stare sul mercato. Collocare un sito in una posizione sfavorevole nella lista dei risultati di un motore vuol dire sottrargli visibilità e potenziali clienti. Incidere sulla presenza di notizie in rete, favorire una determinata tipologia di contenuti, indurre le persone a cedere dati personali e dare dunque visibilità a spazi privati, talvolta intimi, tutto questo vuol dire esercitare una profonda influenza sociale, plasmante dei modi di pensare, di esprimersi, di prestare o non prestare attenzione a stimoli. Mettere a disposizione dati personali per rendere micro-mirate (micro-targeting) campagne politiche, come si è visto (ma solo per citare uno dei tantissimi esempi) nello scandalo Cambridge Analytica, ha effetti di dirottamento delle scelte elettorali, pertanto conseguenze dirompenti sulla tenuta stessa dell’assetto democratico.

L’intermediario è dunque chi sta in mezzo tra coloro che immettono contenuti e coloro che ne fruiscono (ruoli spesso interscambiabili), è chi regola il flusso delle informazioni, chi decide attraverso decisioni automatizzate quali informazioni vanno promosse e come estrarre intelligenza dalle informazioni, determinando per esempio l’incentivazione o la disincentivazione di contenuti, si pensi ai sistemi cd. di “raccomandazione” algoritmica.

Disciplinare gli intermediari: il DSA e il DMA

Il grande protagonistica dell’era dell’informazione è dunque l’intermediario, è nell’intermediario che si concentra il potere.

Finora questo potere è stato ampiamente lasciato all’autoregolamentazione, alle condizioni generali di servizio, dunque all’autodeterminazione privatistica, e a una manciata di articoli nella direttiva 2000/31.

Oggi il quadro giuridico cambia, almeno in parte, e il diritto interviene in maniera più pregnante a stabilire regole, disciplinare gli intermediari e i loro doveri di diligenza. Il corpo principale della nuova normativa è costituito, com’è noto, dalla coppia DSA (Digital Services Act) e DMA (Digital Markets Act). Il primo è maggiormente focalizzato sulla libertà di espressione, sulla trasparenza, sui reclami, su profili limitrofi alla protezione dei dati personali, sulle regole di due diligence da osservare per limitare i contenuti illeciti, il secondo è diretto alla costruzione di un sistema di regole di mercato, alla tutela della concorrenza, alla protezione delle parti deboli, alla limitazione dei poteri dei gatekeeper, alla lettera “guardiani dei cancelli”, ossia le grandi società che dominano il mercato, stabilendo chi sta dentro e chi sta fuori.

La sentenza CGUE C-460/20

Non bisogna però attendere il 17 febbraio 2024 e il 2 maggio 2023-25 giugno 2023,ossia le date in cui rispettivamente il DSA e il DMA avranno piena e completa applicabilità. Strumenti giuridici di rilevante efficacia sono già forniti dal GDPR. Prendiamo il caso di cui si è occupata la Corte di giustizia dell’Unione (CGUE) nella vicenda Google, C-460/20, decisa con sentenza dell’8 dicembre 2022.

Due interessati si dolevano del fatto che Google proponesse contenuti lesivi della loro reputazione, il diritto alla protezione dei dati personali è infatti legato (come tutela dell’immagine) anche al diritto alla reputazione e all’onore. Si trattava di notizie che presentavano, secondo gli interessati, elementi di inesattezza, ne chiedevano pertanto al motore di ricerca la rimozione dalla lista dei risultati ai sensi dell’art. 17 GDPR.

Questa norma infatti, di regola associata al diritto all’oblio, riconosce in senso più ampio il diritto alla cancellazione di dati che non appaiano conformi alla normativa.

Google rifiutava di procedere all’eliminazione dei link, sul presupposto che mancava una pronuncia giudiziale di accertamento dell’illiceità dei contenuti. La Corte ha invece ritenuto che non si possa far carico all’interessato dei tempi e degli oneri necessari all’ottenimento di una pronuncia giudiziale. L’intermediario (la pronuncia è evidentemente esportabile all’intera categoria) è invece chiamato a una valutazione di massima sulla verosimiglianza delle allegazioni dell’interessato ed è tenuto ad applicare l’articolo 17 citato, pur senza essere tenuto a un ruolo attivo di indagine.

Certo, osserva la Corte, occorre esercitare particolare prudenza nella rimozione di contenuti dalla società dell’informazione e occorre evitare che scelte eccessivamente cautelative degli intermediari possano determinare una rimozione troppo facile di informazioni. Per approfondire questi temi, la diramazione concettuale che aprono e alcuni passaggi centrali della sentenza citata, mi permetto di rimandare al mio contributo dal titolo “La custodia dei contenuti nella società dell’informazione: osservazioni sulla sentenza CGUE C‑460/20” pubblicato sul numero 1-2023 della Rivista elettronica di diritto, economia, management, pp. 99-105.

La regola dell’alternatività viola il GDPR. Finalmente!

La Corte di giustizia dell’Unione europea (CGUE) ferma un principio dirompente per la normativa italiana: l’interessato può esperire in maniera parallela il reclamo ai sensi dell’art. 77 GDPR e il ricorso giurisdizionale ex art. 79 GDPR.

Perché la sentenza CGUE è così importante?

La pronuncia (ved. più sotto) ha enormi ricadute concrete nel sistema italiano.

Vige infatti all’art. 140-bis cod. privacy (d.lgs. 196/03) una preclusione fortemente limitante per i diritti dell’interessato, nota come “regola dell’alternatività”.

La regola, a pena di improponibilità, impone di scegliere tra due strade alternative: ricorso al Giudice ordinario oppure reclamo al Garante per la protezione dei dati personali.

Vale insomma il meccanismo electa una via non datur recusus ad alteram (scelta una strada non è consentito attivare l’altra), fermo restando che la decisione amministrativa del Garante sarà poi sempre impugnabile avanti all’Autorità giudiziaria.

Quanti danni la regola dell’alternatività ha prodotto nel sistema italiano?

Numerosi. La regola dell’alternatività riduce infatti drasticamente i mezzi di tutela, invece molto ampi, che il GDPR ha inteso in modo espresso riconoscere all’interessato.

Ciò determina una compressione significativa del diritto a una tutela effettiva, e non esiste un diritto alla protezione dei dati personali senza tutela effettiva.

Per apprezzare i danni in concreto, si pensi al contenzioso giuslavoristico che riguardi anche un trattamento di dati personali. Ad es., al caso sempre più frequente di licenziamenti basati su un trattamento di dati personali (un filmato di videosorveglianza, una registrazione, gli esiti di un sistema di valutazione algoritmico, altro).

Il dipendente ha precisi termini processuali per l’impugnazione del licenziamento ed è costretto a trattare le questioni di protezione dei dati personali in quel contesto, rinunciando a giovarsi del rilevante apporto che potrebbe fornire il Garante, Autorità specializzata nella valutazione dei profili “privacy”.

Ma gli esempi che potrebbero farsi sono innumerevoli.

E ora?

Fissiamo un punto. La regola dell’alternatività è abusiva. Ed è sempre stato evidente che lo fosse, dal momento che il GDPR indica chiaramente che reclamo dell’interessato e ricorso giurisdizionale sono proponibili con salvezza reciproca.

Sia permesso ricordare che lo scrivente si è sempre espresso per la macroscopica contrarietà al GDPR dell’art. 140-bis cod. priv.. Ad esempio, nel commentario Bolognini-Pelino (direttori), “Codice della Disciplina Privacy”, ed. Giuffrè, indicavo:

La disciplina europea, lungi dal prevedere la regola dell’alternatività dei rimedi, appare semmai orientata al principio della coesistenza dei mezzi di tutela. E’ infatti precisato dagli artt. 77 e 79 GDPR che i rimedi amministrativi e giurisdizionali non si escludono a vicenda, ma sono esperibili senza mutuo pregiudizio, “without prejudice of”, passaggio reso in italiano [nel testo del GDPR, n.d.r.] con la clausola di salvezza “fatto salvo”.

E’ esattamente quanto ha precisato la Corte di giustizia con sentenza 12 gennaio 2023, causa Budapesti Elektromos Művek, C-132/21.

Era difficile pervenire a una pronuncia su questo tema specifico in Italia, per ovvie ragioni: nessuno rischia l’improcedibilità per affermare un principio che verosimilmente dovrà attendere fino al (non scontato) rinvio pregiudiziale ex art. 267 TFUE alla Corte di Giustizia per essere esaminato.

Dunque è provvidenziale che la questione sia stata sollevata da un’autorità giudiziaria ungherese a meri fini di chiarimento interpretativo (la normativa locale è diversa da quella italiana) e che la Corte l’abbia trattata.

Adesso in Italia sarebbe necessaria una modifica urgente dell’art. 140-bis cod. priv., altrimenti l’alternativa, ingiustamente penalizzante per gli interessati, è quella di chiedere di volta in volta al Giudice (ma anche al Garante, perché anche questo, benché poco noto, può essere fatto) la disapplicazione della norma nazionale in contrasto con il diritto europeo, attraverso argomenti giuridici ben strutturati e con l’alea sempre presente di incomprensioni.

Lo scrivente continuerà a battersi per la riconduzione del codice nazionale al regolamento eurounitario.

Corre l’obbligo di segnalare che quella in esame non è, peraltro, l’unica disposizione del codice privacy in palese violazione del GDPR.

Clearview AI salva imputato da procedimento penale

Clearview AI, com’è noto, si occupa di raccolta di immagini di volti, che poi elabora con tecniche di intelligenza artificiale (AI), per estrarne i componenti biometrici. Una volta individuata, la persona può essere riconosciuta in altre foto o filmati, confrontando l’impronta biometrica presente nell’archivio di Clearview con quella presente nelle foto o nei filmati analizzati.

La raccolta dei volti avviene all’insaputa degli interessati, con tecniche cosiddette di web scraping, ossia di apprensione automatica di contenuti da Internet, prevalentemente da piattaforme social. Tale attività è illecita ai sensi del GDPR perché svolta senza consenso esplicito conforme all’art. 9.2.a( GDPR (i dati biometrici sono dati sensibili, o “particolari”) e senza informativa. Mancano poi una serie di condizioni ulteriori, come una DPIA conforme all’art. 35 GDPR.

Nonostante ciò, licenze di utilizzo del software sono state in passato sottoscritte da molte autorità di polizia e altre LEA (Law Enforcement Agency) dell’Unione europea. Per ovvi motivi: in fase di indagine, comprendere chi è una certa persona che compare in un filmato o in uno scatto fotografico può essere decisivo.

Riassumendo perciò:

  • la piattaforma in questione “si nutre” delle immagini pubblicate spontaneamente per ragioni relazionali e ricreative dagli stessi utenti o da loro amici e conoscenti su piattaforme social (es. Facebook, Instagram, LinkedIn). Si nutre all’insaputa dei soggetti fornitori, cioè;
  • tale attività è illecita ai sensi del GDPR (e nella misura in cui esso trova applicazione territoriale);
  • questo software illecito è (stato) utilizzato da forze di polizia per attività tuttavia commendevoli, in abstracto, quali l’indagine e il contrasto di attività criminali.

E’ chiaro che la piattaforma pone rilevanti problemi etici e soprattutto, per quanto ci riguarda, evidentissimi problemi giuridici. Non a caso il trattamento è stato considerato illecito da numerose autorità di controllo dell’Unione, tra le quali per l’Italia il Garante per la protezione dei dati personali, e sanzionata applicando lo scaglione più alto previsto dal GDPR.

In effetti, la piattaforma rappresenta un esempio perfetto del paradigma del “capitalismo della sorveglianza” di cui ha scritto Shoshana Zuboff nel saggio diventato ormai un classico per comprendere e definire concettualmente i modelli di potere ed economici del contesto digitale. La società estrae – alla lettera – da milioni di persone fisiche, considerate come materie prime (raw material) da sfruttare, informazioni che acquistano rilevante valore economico una volta elaborate e vendute a terzi sul mercato digitale. E’ esattamente questo il business model di Clearview AI.

Ma che cosa succede se la piattaforma permette a un avvocato difensore di individuare un testimone chiave e di far cadere un’imputazione per omicidio stradale a carico di un suo assistito? E’ esattamente quanto avvenuto recentemente negli Stati Uniti. La vicenda rappresenta insieme un tentativo del produttore di software di migliorare la sua immagine pubblica, fortemente compromessa da una serie di iniziative di contrasto giuridico, non solo europee, e anche un modo per apportare una nuova prospettiva di valutazione del suo prodotto e porre stimolanti sfide logiche. Ne ho parlato per Ius Law Web Radio – la radio dell’avvocatura, in un’intervista ascoltabile qui (link esterno). Qui invece la mia precedente intervista relativa alla sanzione venti milioni di euro comminata dal Garante alla società.

Il green pass viola GDPR e Costituzione

Il green pass viola GDPR e Costituzione, vediamo perché. La Costituzione è il nucleo cellulare che contiene il DNA della Repubblica. Su questo semplice concetto dovremmo essere tutti d’accordo. La questione oggi non è vaccini sì, vaccini no. La questione è: possiamo usare un sotterfugio, una via traversa, ossia il green pass, per ottenere qualcosa che deve essere conseguito solo nel binario della Costituzione? Ovviamente no. Ciò è anzi eversivo, nel significato etimologico di evertĕre, ossia “abbattere”. Abbattere che cosa? Le garanzie poste expressis verbis, vale a dire in maniera espressa, dalla Costituzione

Che cosa impone l’art. 32 Cost.

E quali sono dunque queste garanzie? Sono due e sono indicate all’art. 32, norma di formulazione tanto breve quanto limpida. La vaccinazione è un trattamento sanitario perfettamente libero, questo indica l’art. 32: “Nessuno può essere obbligato”. Ma se lo Stato vuole renderlo obbligatorio, può farlo solo a patto che rispetti due regole non derogabili, ossia:

  1. Introduca l’obbligo di trattamento sanitario attraverso una “disposizione di legge”, nella specie una legge vaccinale, cd. garanzia della “riserva di legge”.
  2. Osservi i “limiti imposti dal rispetto della persona umana”, limiti essenziali questi perché distinguono uno Stato moderno e civile da formazioni barbare nelle quali si batte con la lancia sugli scudi.

Ripeto: sono due garanzie costituzionali, e non possono essere toccate. E infatti nella storia della Repubblica ogni vaccinazione obbligatoria è stata introdotta con una legge vaccinale. Sempre. Senza eccezioni. Oggi no: oggi, non esiste un t.s.o. vaccinale imposto per legge alla generalità della popolazione. Questo è un fatto nudo e crudo. Non è un’opinione, è un fatto.

Orbene, quando varie dichiarazioni provenienti dall’arco governativo, e documentabili, indicano che il green pass serve invece, proprio in mancanza di una legge vaccinale generalizzata che non si è voluto o potuto introdurre, quale strumento di coercizione e punizione verso chi sceglie liberamente (non c’è obbligo generalizzato, ricordiamolo) di non sottoporsi al trattamento sanitario o per chi, pur vaccinato, non accetta tutti gli update del farmaco, sono abbattute le due garanzie ricordate, poste dall’art. 32 Cost.

È infatti abbattuta la garanzia della riserva di legge, perché ove manchi una legge vaccinale, come infatti manca, la conseguenza è che “nessuno può essere obbligato”, men che meno obbligato togliendogli addirittura l’esercizio di diritti fondamentali, come quello al lavoro, alla retribuzione, allo spostamento e riducendolo sostanzialmente a un paria.

Viene abbattuta anche la garanzia dell’osservanza dei “limiti imposti dal rispetto della persona umana”, essendo la coercizione attraverso la punizione, o, come qualcuno ha addirittura dichiarato, attraverso l’inflizione di una sofferenza, per definizione contraria a quei limiti. È degradante e disumana, così come è degradante e disumano un permesso amministrativo per l’esercizio di diritti fondamentali di cui già si dispone, questo è infatti il green pass. È degradante, per intenderci, anche per coloro che ne fanno uso e sono tenuti a giustificare a ogni angolo di strada il loro titolo a fare cose perfettamente lecite e che hanno sempre fatto senza dover chiedere permessi.

Ragionevolezza, proporzionalità e necessità

Non basta l’osservanza delle due garanzie poste dall’art. 32 Cost. perché una legge vaccinale sia lecita. Occorre anche che tale legge rispetti il principio di ragionevolezza che ha sede nell’art. 3 Cost. e i principi di proporzionalità e necessità, ugualmente espressione della Costituzione e previsti altresì dall’art. 52 Carta dei diritti fondamentali dell’Unione europea, o CDFUE. La CDFUE, giova rammentare a chi lo ha scordato, ha “lo stesso valore giuridico dei Trattati“, come espressamente indica l’art. 6.1 TUE.

Facciamo qualche esempio: un obbligo vaccinale per gli ultracinquantenni è palesemente irragionevole, sproporzionato e non necessario, tanto più in fase di regresso della pandemia. Si è scelto 50 per fare cifra tonda, come al mercato quando ci dicono “Signore, che faccio aggiungo una fetta e andiamo a 200 grammi precisi?”. Bisognerebbe inorridire per essere precipitati così in basso nell’esercizio del potere normativo.

Le violazioni del GDPR

E il GDPR che cosa c’entra? C’entra perché le leggi sono collocate in una gerarchia e capita che il DL 52/2021 e le varie appendici normative collegate stiano sotto in questa gerarchia, mentre il GDPR stia sopra. Ciò che sta sotto, nel sistema giuridico, non può entrare in contrasto con i piani superiori. Stesso ragionamento si applica al Reg. (UE) 2021/953. Ricordo a me stesso che disapplicare la normativa nazionale che contrasta con norme eurounitarie sovraordinate non è una scelta, è un obbligo, e lo anche per le autorità amministrative, come ha più volte ricordato la Corte di Giustizia dell’Unione europea.

Le violazioni del GDPR sono innumerevoli. Rimando il lettore che ha avuto la pazienza di seguirmi fin qui a un articolo che espone il mio ragionamento in maniera più completa: Green pass e privacy, ecco perché sono violati GDPR e Costituzione – Cyber Security 360.

Il green pass viola GDPR e Costituzione, sul punto rimando anche alla segnalazione-esposto sottoscritta insieme a numerosi Colleghi, consultabile e scaricabile qui in basso. Chiunque può ovviamente fare ciò che crede con le argomentazioni contenute nella segnalazione-esposto, esempio utilizzarle in un qualsiasi contenzioso, se le ritiene opportune.

Che cos’è un trasferimento di dati personali extra UE?

È stato pubblicato in data odierna sulla rivista specialistica Cybersecurity 360 un nuovo articolo dell’avv. Enrico Pelino in materia di trasferimento dei dati personali extra UE.

Al tema sono state dedicate il 18 novembre scorso le recentissime linee guida 5/2021 del Comitato dei Garanti europei, o EDPB. Il documento, come di regola, è in pubblica consultazione e, considerata la rilevanza del tema, non sono da escludere modifiche sostanziali ad esito dell’apporto di contributi esterni.

Ma perché è così significativo? Vediamolo insieme

Il contesto

La ragione di rilevanza più evidente è che una definizione di “trasferimento extra UE” manca nell’elenco dell’art. 4 GDPR. E il quid concettuale non dipende, come il lettore avrà intuito, da soli elementi geografici.

Ora, determinare che cosa esattamente costituisca o non costituisca trasferimento di dati personali verso un Paese terzo è essenziale, perché ne derivano precise conseguenze giuridiche, previste dal GDPR. E responsabilità.

Ad esempio, dalla definizione dipende la scelta di utilizzare le standard contractual clause, o clausole contrattuali standard, come prescritto dall’art. 46 GDPR, vale a dire il principale e più diffuso strumento a disposizione di società, professionisti, enti pubblici e altri soggetti che trattano dati personali altrui.

Le nuove SCC del 4 giugno 2021

Giova ricordare che dal 4 giugno 2021 le clausole sono state del tutto rinnovate dalla Commissione europea, attraverso l’introduzione di un testo molto più strutturato che in passato, finalmente modulare e idoneo a coprire una pluralità di rapporti prima esclusi, ossia quelli che hanno come punto d’origine un responsabile del trattamento (processor) soggetto al GDPR.

Le nuove SCC sono obbligatorie per tutti i nuovi trattamenti a partire dal 27 settembre 2021, ed entro il 27 dicembre 2022, superata la fase di transizione, dovranno essere applicate anche a quelli già in essere.

Giova anche ricordare che a seguito della sentenza cd. “Schrems II“, causa C-311/18, della Corte di Giustizia dell’Unione europea, occorre, anche nel contesto delle SCC, valutare l’adozione di misure supplementari o supplementary measure.

C’è già bisogno di un ulteriore modulo di SCC?

Ebbene, la posizione dei Garanti europei guarda ancora più avanti e propone di ragionare su un ulteriore gruppo di clausole standard per l’estero. Quelle di giugno restano in vigore, ma sono percepite come insufficienti a coprire l’intero arco dei trasferimenti.

In particolare, l’EDPB chiede apertamente di valutare l’introduzione di clausole standard per data importer, ossia destinatari dei dati, che siano a loro volta soggetti al GDPR.

Per approfondimenti su quest’ultima posizione, sia permesso rimandare alla lettura dell’articolo.

Le radici degli sviluppi odierni

Quello che oggi ci occupa non è che l’ultimo dei cerchi concentrici formati da un evento di moltissimi anni fa. Dobbiamo infatti tornare alla struttura di supporto per giornalisti e whisteblower creata da Julian Assange e all’appoggio fornito a Edward Snowden. Sono state proprio le rivelazioni di Snowden a provvedere l’attivista austriaco Maximilian Schrems delle evidenze necessarie ad azionare il lungo procedimento giudiziario che ha poi registrato due momenti decisivi, appunto, nelle pronunce Schrems I del 2015 e Schrems II del 2020 della Corte di Giustizia.

Da qui hanno preso le mosse le dichiarazioni di invalidità prima del Safe Harbor poi del Privacy Schield e quindi la valutazione sull’efficacia delle clausole standard. I nuovi strumenti della Commissione tengono appunto conto di questo articolato percorso giuridico.