Si discute molto su quale sia l’elemento più innovativo portato dal GDPR nel mondo dei dati personali. Alcuni sostengono sia il principio di autoresponsabilità (accountability), che sposta la prospettiva dell’adempimento dal formalismo all’effettività. Altri sostengono che siano la privacy by design e privacy by default, che impongono di pensare a prodotti, servizi e processi rispettosi dei diritti e delle libertà degli individui fin dalla loro ideazione. Per me, il concetto più rivoluzionario del GDPR è il diritto alla portabilità dei dati.
Semplificando, la portabilità dei dati è il diritto dell’individuo di ottenere, in qualsiasi momento e gratuitamente, l’estratto completo dei suoi dati in quanto trattati da un titolare in un formato strutturato, di uso comune e leggibile da dispositivo automatico.
L’applicazione più concreta, attuale ed intuitiva della portabilità è quella che tutti noi sperimentiamo quando, per passare da un fornitore di servizi ad un concorrente, ci avvaliamo degli obblighi di comunicazione diretta dei dati tra gli operatori, come regolati dalle normative di settore. L’esempio più classico è la trasmissione di dati tra operatori del settore della telefonia mobile secondo un protocollo definito dall’autorità di riferimento. Esiste già da alcuni anni. Ma la stessa cosa potrebbe trovare applicazione in molti altri ambiti della vita comune. Cambiamo la banca su cui appoggiamo il nostro mutuo casa? Usiamo la portabilità. Cambiamo il medico di base? Cambiamo l’assicuratore? La portabilità gratuita dei dati personali tra fornitori di servizi e prodotti omogenei diventa una piccola ma importante forma di semplificazione della vita delle persone ma soprattutto di incentivazione dei meccanismi della concorrenza e del libero mercato, con ricadute a vantaggio dell’utente/ consumatore in termini di prezzi, qualità, trasparenza e controllo. Fino a qui, tuttavia, niente di rivoluzionario. Questo tipo di portabilità non è stato certamente introdotto dal GDPR, esisteva già. In questo primo ambito, l’impatto del GDPR potrebbe essere semplicemente quello di favorire l’estensione della portabilità anche a quei settori di mercato, ma anche di servizi pubblici e privati, per i quali ad oggi non esiste una regolamentazione specifica.
Tuttavia, non dobbiamo dimenticare che viviamo in un contesto sociale e culturale sempre più orientato alla creazione di identità virtuali parallele alle identità fisiche. Le nostre vite si stanno sviluppando sempre più in un mondo immateriale che, talvolta è una rappresentazione digitale del mondo materiale, talaltra è una rappresentazione autonoma di un’identità distinta. E, in questo contesto, il mondo immateriale ha degli indubbi vantaggi di tracciabilità e di analiticità che il mondo materiale, per sua natura empirico, non ha. I provider dei servizi a cui noi affidiamo le nostre identità digitali detengono un numero estremamente elevato di dati che riguardano noi, sia come entità digitali che come entità materiali. Cosa se ne fanno, di questi dati? Non lo sappiamo esattamente, ma lo possiamo intuire. Li analizzano, elaborano ed utilizzano allo scopo di generare dei profitti per sé. E, nella misura in cui questo può aumentare la loro disponibilità di dati ed il loro conseguente profitto, per offrirci dei servizi che ci possano piacere. Tutto questo, si badi bene, non è fatto alla luce del sole, ma, per così dire, sottotraccia. Quello che l’utente finale percepisce di questo mondo è il prodotto che utilizza e non, chiaramente, la macchina che lo genera.
Immaginiamo invece di poter raccogliere tutti i dati che ci riguardano da tutti i provider che li trattano. Immaginiamo che ogni provider ci fornisca i dati in un formato che sia in grado di dialogare con i dati forniti dagli altri provider. Immaginiamo che questo insieme di dati, poiché organizzato a monte in un formato standardizzato, sia facilmente organizzabile. Questo straordinario risultato non solo ci permetterebbe di raggiungere repentinamente un livello di consapevolezza estremamente più elevato (rispetto all’attuale) sulla massa di dati trattati che ci riguardano. Ma, soprattutto, permetterebbe a ciascuno di avere in mano la sua (semi)completa, intera ed aggiornata identità digitale.
Per farne che cosa? Per esempio, per decidere a chi affidare quali dei suoi dati per quali scopi. Sarebbe un cambio di prospettiva portentoso. Oggi, i nostri dati sono detenuti da soggetti a cui li abbiamo più o meno consapevolmente conferiti, e che li gestiscono per i propri scopi, rendendoci in cambio dei servizi che essi hanno strutturato non tanto sulla base delle nostre esigenze, quanto sull’obiettivo di massimizzazione dei propri interessi/ profitti. Domani, grazie alla portabilità, potremmo disporre noi stessi dei nostri dati, ed affidarli a chi è in grado di offrirci dei servizi che interessano a noi, non ai providers. Facciamo un esempio. Voglio organizzare la gestione economica della mia vita privata attraverso un’analisi dettagliata degli acquisti e dei consumi, allo scopo di ottenere una migliore qualità della vita spendendo di meno? Basterà ottenere da tutti i provider che gestiscono i miei sistemi di pagamento e di consumo (banche, gestori di carte di credito, gestori di carte fedeltà, utility, ecc.) i dati che mi riguardano, ed affidarli ad un provider che, in modo indipendente e senza condizionamenti commerciali, mi offrirà un servizio di analisi degli stili di vita, dei consumi e degli acquisti restituendomi un percorso di efficientamento della mia esistenza. Facciamo un altro esempio. Voglio capire quale sia, in base allo stile di vita ed alla disponibilità economica della mia famiglia, la migliore soluzione per gestire le esigenze di mobilità. O per gestire le esigenze abitative. L’enorme massa di dati che la mia famiglia ha disperso nel web, combinata all’enorme massa di dati relativa alle soluzioni possibili (beni, servizi, risorse, tempo, …) può offrire soluzioni razionali e mirate al mio obiettivo.
La portabilità, dunque, può essere la chiave per razionalizzare le vite degli individui, rendendole più efficienti, ma al tempo stesso rendendo le persone più consapevoli, protagoniste e libere. Al tempo stesso può liberare un mercato dei dati che oggi tende sempre più ad essere oligopolizzato da pochi mastodontici soggetti (gli OTT), i quali, disponendo (e costudendo gelosamente) di una massa incommensurabile di dati sono in grado di escludere i pesci piccoli da ogni concreta possibilità di confronto. Questi soggetti, costretti a rendere disponibili i dati che detengono (e di cui, grazie al GDPR, risulta chiaro non possano essere considerati proprietari!) potrebbero essere sfidati da operatori molto più piccoli, ma con una visione che oserei definire più “umanistica”. La competizione economica si sposterebbe dalla disponibilità effettiva dei dati (su cui oggi esistono mostruose posizioni dominanti) alla capacità di rispondere, con soluzioni tecnologiche avanzate, alle reali necessità delle persone.
Ma non solo. Continuando il nostro viaggio immaginario, proviamo a passare dall’impatto della portabilità sulla vita degli individui all’impatto della portabilità sulla collettività. Il continuo aumento della popolazione umana, il progressivo esaurimento delle risorse disponibili, la legittima richiesta di ampie fasce dell’umanità di poter accedere ad un discreto livello di benessere ci impongono di orientare drasticamente le tecnologie disponibili e quelle a venire nella direzione della riduzione degli sprechi, pena il rapido declino del pianeta terra o l’estinzione del nostro genere. Ottimizzare le risorse disponibili in un’ottica di sostenibilità non significa solo sviluppare tecnologie più efficienti o prodotti e servizi più green, ma significa soprattutto modificare il comportamento degli individui e, ovviamente, gestire in modo efficiente i loro dati. La disponibilità di un alto numero di informazioni processate in modo estremamente analitico e per scopi definiti permette infatti di massimizzare l’utilizzo delle risorse, rendendole fruibili al massimo del loro potenziale, riducendo i consumi senza però comprometterne l’utilità, con ricadute benefiche sulla sostenibilità e sulla qualità della vita. Non parlo di risorse esclusivamente in termini di petrolio, energia, denaro, … ma anche in termini di tempo, salute, benessere psicofisico, suolo, acqua, aria. La sharing economy, ovvero l’utilizzo condiviso di risorse, è forse la frontiera più estrema della sostenibilità. Non è una riedizione della proprietà collettiva, e neppure una forma di pauperismo mascherata. È piuttosto uno stile di vita che punta a fruire delle cose (materiali ed immateriali) senza disporne in modo esclusivo, permettendone lo stesso livello godimento ad un costo ed impatto ambientale largamente inferiori. E si può efficacemente realizzare soltanto attraverso la condivisione delle informazioni. Quanto spreco c’è in una automobile privata, utilizzata mediamente una o due ore al giorno per trasportare un solo individuo? Quanto risparmierebbero in termini di tempo, denaro, salute e stress psicofisico gli individui che, rinunciando ad un’automobile privata, optassero per un servizio condiviso che permettesse, tramite una mobilità integrata e resa intelligente da un’ampia condivisione di dati, un totale immediato efficiente accesso alle esigenze di trasporto con risparmio di costi e a ridotto impatto ambientale? Uno scenario di questo tipo, a vantaggio degli individui e del pianeta, si potrebbe realizzare in due soli modi: o attraverso una centralizzazione massiva coatta di dati, magari da parte di un’autorità pubblica che si arroga il diritto di disporre della vita delle persone (con buona pace delle libertà individuali), oppure attraverso l’adesione spontanea dei singoli resa possibile dalla piena disponibilità dei dati che li riguardano attraverso l’applicazione concreta del principio di portabilità.
Una piena ed estesa attuazione del principio di portabilità potrebbe dunque condurre ad innumerevoli vantaggi per gli individui, per la collettività, per il mercato.
Non mi sono estranei tuttavia gli ostacoli ed i limiti in cui il percorso della concreta realizzazione del principio di portabilità potrebbe incappare, rendendo così vana, o limitando, il potenziale sviluppo di questi processi. Ostacoli di carattere tecnico, normativo, culturale ed economico. Innanzitutto, il presupposto che può rendere dati provenienti da entità diverse capaci di dialogare tra loro è un’efficace standardizzazione. In assenza di questa, gli individui potranno disporre di “pacchetti” di dati disomogenei tra loro, e le relative identità digitali saranno frammentate e scarsamente utilizzabili. A chi spetta imporre gli standard tecnici per i dati portabili? È legittimo pensare che potranno farlo le autorità di controllo istituite dal GDPR, o il relativo sistema di coordinamento (“meccanismo di coerenza”) magari facendo leva sull’obbligo legale che i dati portabili siano di “formato strutturato, di uso comune e leggibile da dispositivo automatico”? Possibilmente sì, resterebbe tuttavia da capire se le autorità abbiano la volontà ed il potere di rendere vincolanti questi modelli, se ed in quanto predisposti, piuttosto che semplicemente prevedere delle raccomandazioni non vincolanti.
Ostacoli di carattere normativo, si è detto. Il GDPR, nel parlare di portabilità, circoscrive il diritto in questione al presentarsi di una serie di condizioni: che il dato sia stato “fornito” al titolare del trattamento (dallo stesso interessato, si presume), che il trattamento sia effettuato con mezzi automatizzati, che il trattamento si basi sul consenso o abbia a presupposto l’esecuzione di un contratto, e così via. Sembrerebbero dunque esclusi dal diritto di portabilità i dati reperiti presso terzi, i dati frutto di elaborazione (metadati) i dati conservati con modalità analogiche, tutti limiti che, in prospettiva, potrebbero escludere dal novero della portabilità una gran quantità di elementi che compongono le nostre identità digitali. In tal senso, un’interpretazione quanto più possibile estesa del diritto potrebbe essere la chiave attraverso cui sviluppare il principio, anziché svilirlo.
Ostacoli culturali, si è detto. Per spostare l’asse del dominio sui dati dalle OTT agli individui, il grande motore potrà essere solo la consapevolezza e volontà degli individui nell’esercitare i diritti che spettano loro. I giganti del web sono veloci nel cogliere le opportunità di business. La consapevolezza, la diffusione della cultura dei dati, invece, sono processi che richiedono tempo, spirito di adattamento, senso civico diffuso e curiosità intellettuale. La sfida è aperta, ma il tempo è poco.
Ostacoli economici, infine. I colossi che hanno interesse ad impedire questi processi sono estremamente potenti ed influenti, ma soprattutto in grado di giocare la loro partita su diversi piani, quello economico, quello politico, quello reputazionale ed ideologico. Le istituzioni pubbliche dovranno essere estremamente ferme ed attente, utilizzando tutti gli strumenti normativi che permettano loro di perseguire l’obiettivo. Non solo gli strumenti del GDPR, ma anche e soprattutto gli strumenti dati dalle normative antitrust che oggi assumono una nuova prospettiva, se applicate al mondo dei dati. Sono strumenti adeguati o andranno messi a punto? Difficile dare una risposta, essenziale discuterne apertamente. Certamente, mi si permetta di dire, solo istituzioni rappresentative di mercati di primissimo piano, come la UE o gli USA, avranno la capacità di contrastare lo strapotere degli operatori economici del settore di fronte ai quali, i paesi presi singolarmente possono apparire come dei nani.
Come concludere questo mio piccolo, forse ingenuo, ma sincero e visionario apporto alla discussione del tema della portabilità dei dati? Con l’auspicio che possa essere uno stimolo ad un’aperta discussione su un tema a mio avviso di primaria importanza per il futuro della nostra società ma che sembra non goda ancora della rilevanza che meriterebbe.