Privacy weekly | Come ogni venerdì ospitiamo il guest post di Guido Scorza, avvocato e componente del Collegio del Garante per la Protezione dei dati personali. Un viaggio intorno al mondo su tutela della privacy e digitale
Un’altra ChatGPT week è alle spalle con un buon numero di novità che, probabilmente, suggerirebbe di guardare sotto una luce diversa l’intera vicenda. Allo stato, infatti, la sintesi è che OpenAI riconoscerà agli utenti che si collegano dall’Italia un primo set di diritti e garanzie che sin qui non riconosceva loro, che in tutto il mondo si moltiplicano iniziative volte a richiamare la società americana a un miglior e maggior equilibrio tra innovazione e rispetto dei diritti e delle libertà delle persone e che il Board europeo dei Garanti ha istituito ieri una task force per promuovere il coordinamento delle azioni relative a ChatGPT. Probabilmente, però, umori ed emozioni attorno alla vicenda sono ancora troppo caldi e si rischia di riaprire inutili flame che non fanno bene a un dibattito aperto, serio, interdisciplinare ma, innanzitutto, informato e consapevole, che è invece quanto mai prezioso. Vale, quindi, la pena stare fermi ancora un giro rispetto alla questione. Anche perché, in settimana, per chi si occupa di cose della privacy, sul tavolo ci sono state altre questioni altrettanto importanti.
Tra tante, una è forse più centrale di tutte le altre, specie per chi si interessa a Internet e all’innovazione, e riguarda la crescente difficoltà di individuare una sorta di nuova lex mercatoria per la privacy globale che sia capace di garantire, come è naturale che sia, la libera circolazione transfrontaliera dei dati personali. Tante le notizie che suggeriscono questa riflessione. Nei giorni scorsi la Commissione per le libertà civili del Parlamento europeo ha domandato al Parlamento di chiedere alla Commissione di rinegoziare il Data Privacy Framework, il nuovo accordo che, a distanza di quasi tre anni dall’annullamento del precedente Privacy Shield, dovrebbe consentire una ripresa, in sicurezza, della circolazione dei dati tra Europa e Stati Uniti. Gli eurodeputati della Commissione libertà civili auspicano che la Commissione Europea non adotti la decisione di adeguatezza fino a quando non venga del tutto fugata una serie di dubbi sul rispetto dei diritti fondamentali. In particolar modo per quanto riguarda il rischio di eccessi di “curiosità” da parte delle agenzie di sicurezza statunitensi. Si tratta di una risoluzione non vincolante ma che dà comunque il polso della situazione.
Una luce in fondo a un lungo tunnel è invece arrivata, sempre in questi giorni, in relazione alla circolazione dei dati tra Europa e Oriente: dopo l’aggiornamento dell’accordo di adeguatezza tra UE e Giappone della scorsa settimana, infatti, si sono registrati passi avanti importanti nella cooperazione tra Unione europea e Corea del Sud. Nel loro ultimo incontro, il presidente della Commissione per la protezione dei dati personali coreana Haksoo Ko e il commissario europeo per la Giustizia Didier Reynders hanno esplorato le possibili vie per rafforzare la cooperazione già in essere. La recente riforma della legge coreana sulla protezione dei dati personali ha ulteriormente ampliato la sinergia tra le cornici normative della Repubblica di Corea e dell’UE, entrambe convinte che ciò apra nuove possibilità ad una cooperazione ancora più stretta in materia di privacy e flussi di dati. Notizia che fa ben sperare, ma che racconta solo quanto sia urgente e avvertita l’esigenza di una nuova lex mercatoria e non anche quanto sia facile – perché non lo è affatto – raggiungere tale obiettivo.
E, infatti, basta spostarsi al Medio Oriente per imbattersi di nuovo in notizie preoccupanti per la protezione dei dati personali. Nei giorni scorsi, infatti, Human Rights Watch ha sollevato una questione di non poco conto che riguarda l’Arabia Saudita.
Secondo HRW, Microsoft dovrebbe sospendere il suo investimento in un nuovo data center cloud in Arabia Saudita fino a quando non sarà in grado di dimostrare chiaramente come mitigherà il rischio di gravi violazioni dei diritti umani. Human Rights Watch ritiene che le leggi dell’Arabia Saudita possano minare gravemente il diritto alla privacy, consentendo una sorveglianza statale incontrollata e l’accesso ai dati per “motivi di sicurezza” con limiti troppo ampi e mal definiti. Microsoft ha sempre sottolineato il proprio impegno nell’implementazione dei Trusted Cloud Principles e l’approccio adottato per la gestione di data center in Paesi o regioni con problemi di diritti umani. Secondo HRW, però, le leggi e le pratiche dell’Arabia Saudita sono molto al di sotto degli standard internazionali sui diritti umani e degli standard delineati nei citati Trusted Cloud Principles di Microsoft.
Non facile, ancora una volta, trovare la quadra.
