CONFERENZA INTERNAZIONALE
PRIVACY: DA COSTO A RISORSA

Roma 5-6 dicembre 2002

Diritti fondamentali e libertà di iniziativa economica

di
Giovanni Buttarelli

Il dibattito giuridico sul rapporto che intercorre tra la libertà di iniziativa economica e i suoi limiti sembra datato e aver perso di attualità.

Ho voluto però sfiorare questo tema perché vi ho trovato elementi utili per la Conferenza.

Prenderò spunto dal contesto italiano, cercando di globalizzare alcune riflessioni e di tener presenti le problematiche del mercato interno europeo e dei flussi internazionali di dati.

L'art. 41 della Costituzione italiana afferma che l'iniziativa economica privata è "libera" e non deve svolgersi in contrasto con l'"utilità sociale" o recando danno alla libertà e alla dignità umana.

Qualcuno ha sostenuto che l'iniziativa economica privata dovrebbe perseguire non tanto il fine particolare del singolo operatore di mercato, quanto una "funzione sociale" ed essere pertanto orientata a conseguire i beni dell'utilità sociale e della dignità umana.

In alcuni casi la Corte costituzionale ha interpretato l'espressione "utilità sociale", ma non è stata enucleata una nozione generale e unitaria

"Utilità sociale" è anzi un concetto indeterminato e in costante evoluzione, da adattare ai tempi, al punto che Massimo Severo Giannini ritenne che l'art. 41 non sia tra le disposizioni più "perspicue" della nostra Costituzione.

Una cosa è più chiara: dietro le espressioni "utilità sociale" e "dignità umana" vi sono non tanto singoli beni individuali dell'uomo quanto i valori costitutivi della soggettività umana e della personalità, che sono inscindibili.

In norme di questo tipo, anche in altri Paesi, abbiamo quindi una garanzia unitaria dei diritti e delle libertà fondamentali della persona e non di singoli suoi frammenti.

Non siamo oggi qui per sostenere il primato dell'intervento pubblico sul principio di libertà imprenditoriale.

Del resto, diritti e libertà fondamentali della persona vanno rispettati "a monte" da chi esercita un diritto di liberta quale quello di iniziativa economica (che è anch'esso tutelato costituzionalmente, ma che non è agevolmente riconducibile ai "principi fondamentali" della prima parte, della Carta costituzionale).

In platea sono rappresentate molte imprese.

Permettetemi quindi di assicurarvi che non intendiamo chiedervi di non perseguire un fine di profitto, di divenire "benefattori" della privacy e di prestare un servizio sociale per il quale dovreste essere a questo punto remunerati.

Il profitto può essere però perseguito in una dimensione nuova.

Il mercato non è solo un luogo di scambi, di produzione e lavoro. E' anche un contesto in cui bilanciare valori e interessi in nome del principio del rispetto.

Questo bilanciamento di interessi non dovrebbe essere fatto solo ex post, con norme di legge sulla privacy che "correggano" un'attività economica che si svolge già da tempo.

Il bilanciamento dovrebbe invece far parte dell'esperienza quotidiana dell'operatore economico.

Non è però configurabile una piena autodisciplina del mercato.

Quando si tocca la sfera più intima della persona (come in questa materia), la formula dello "Stato minimo" non è facilmente utilizzabile nel mercato.

Si potrebbe obiettare (prendendo in prestito le parole di Luigi Einaudi) che il mercato soddisfa "domande", non "bisogni".

Si potrebbe però replicare che esiste anche un'esigenza di soddisfare bisogni che non si esprimono in domande aventi i requisiti richiesti dal mercato: e che ciò accade proprio per i diritti della personalità, i quali non sono nati per essere commercializzati.

Questo è ancor più vero in tempi di globalizzazione, nei quali, in assenza di una disciplina come quella europea attuale sulla privacy, avremmo corso il rischio di globalizzare una lex mercatoria, a svantaggio dei diritti della persona.

In passato, gli interessi che ruotano attorno alla privacy non hanno trovato nel mercato una loro conciliazione spontanea.

Questo spiega come le leggi sulla privacy abbiano cercato di non lasciare il cittadino al giuoco del mercato, affermando ad esempio il principio di proporzionalità nel trattamento dei dati il quale prevale sulla logica del consenso dell'interessato.

Le diverse decisioni adottate in Europa negli ultimi due anni in tema di flussi transfrontalieri di dati, e i recenti approfondimenti in atto a Bruxelles a proposito delle garanzie che le imprese possono offrire attraverso binding corporate rales, dimostrano lo sforzo dei c.d. watchdog europei della privacy di tener conto delle nuove sfide del mercato interno europeo, alla luce del Trattato di Amsterdam, e di una corretta competizione su scala Mondiale: è l'impegno che 27 Paesi hanno preso nel 2000 con la "Carta di Venezia" sottoscritta dalle rispettive autorità garanti della privacy.

Ora che le regole sulla privacy si sono in parte armonizzate nel mondo, e si basano meno sugli adempimenti formali, guardando alla sostanza della tutela e favorendo la combinazione flessibile di diversi strumenti di regolamentazione (compresa la deontologia), è giunto il momento in cui l'impresa può guardare alla privacy in modo nuovo e non più come controparte.

A mano a mano che cresce l'integrazione nella Società dell'Informazione sale il trend secondo il quale il rispetto della privacy è sentito da ampi strati di popolazione informata e non più da ristrette elite.

In una ricerca del 2001 Alan Westin individua in una quota alta (63 % del campione intervistato, rispetto al 55 % nel 1990) coloro che hanno una buona percezione del rischio privacy e sono quindi disponibili a permettere il trattamento di informazioni personali in cambio di servizi personalizzati, offerte e sconti solo se soddisfatti del grado di correttezza con cui queste informazioni sono trattate.

Un restante 25 % di campione viene ironicamente definito da Westin come composto di "privacy fundamentalists", mentre la percentuale dei "privacy unconcerned" scende dal 20 % del 1990 al 12 %, appunto, del 2001.

Ripetuto il sondaggio a novembre del 2001, dopo i gravi fatti dell'11 settembre, il numero dei "privacy fundamentalists" è salito al 34%, quelli dei "privacy unconcerned" è sceso all'8% (quello dei semplicemente "pragmatici" scende conseguentemente dal 63% al 58%).

Siamo al punto più alto di evoluzione di idee, regole, dispositivi e procedure per rendere sicura la custodia dei dati personali.

Ma siamo anche ad un punto in cui, mai come ora, si sono create le condizioni per condizionare contestualmente e negativamente i diritti della personalità di milioni di persone sull'intero pianeta.

Vorremmo non accettare passivamente l'idea secondo cui l'integrazione in rete delle persone comporta un'inevitabile compressione della loro riservatezza.

Al contrario, sulla base dell'esperienza alle nostre spalle -che comincia a farsi lunga- pensiamo che sia maturo il momento per un'ennesima svolta nella disciplina della privacy.

Abbiamo attraversato due o tre generazioni di regole basate (la prima) sulla presenza di pochi elaboratori e su freni alla loro interconnessione, (la seconda) sulla tendenza delle leggi a dettagliare i principi di privacy in molti settori e (la terza) sulla semplificazione di adempimenti non vitali per concentrare l'attenzione sulle garanzie sostanziali, sulle privacy enhancing technologies e sui privacy audits.

Cosa ci aspettiamo dalla privacy di quarta generazione?

Una combinazione di strumenti giuridici diversi, ma, anzitutto una privacy condivisa, una privacy orientata spontaneamente al rispetto della persona, concepita come una trave portante e non come un fardello.

Non può essere altrimenti: i casi e le occasioni in cui numerosi cittadini sono coinvolti sono infiniti e siamo di fronte ad una vera e propria questione di massa.

La semplice prospettiva di un passaggio dal marketing invasivo al "permission marketing" appare già modesta e insufficiente ancor prima di essersi affermata nel mercato.

Vi chiediamo di scrivere assieme una ben altra pagina nella protezione dei dati, nella quale l'impresa assicuri un grado elevato ai diritti della persona per effetto di un nuovo sentire.

Una pagina nella quale dovrebbe essere il mercato stesso, prima che il legislatore, a confinare nella patologia i casi in cui la privacy è assicurata solo quando interviene un reclamo, una richiesta di risarcimento del danno o una sanzione.

Vi chiediamo di scrivere questa pagina sfruttando quel connotato propulsivo e creativo che è insito in ogni attività imprenditoriale.

Il vostro mestiere è combinare i fattori della produzione per creare nuova ricchezza: usate meglio l'ingrediente privacy.

Dobbiamo tutti rivalutare il valore della manifestazione di volontà dell'interessato, non banalizzarla o addirittura commercializzarla in cambio di sconti e gadget.

Occorre soddisfare la legittima aspirazione di tutti gli utenti ad utilizzare di più la rete, ad essere curiosi nella navigazione e ad avere differenti gradi di solitudine e di socializzazione, senza essere per tutto ciò penalizzati.

Chi tratta dati personali non ha di fronte oggetti, ma persone.

Che sensazione vi darebbe accorgervi all'uscita di un centro commerciale che vi era stato attaccato alla schiena un cartello che indicava, di minuto in minuto, la lista dei negozi visitati, l'elenco dei prodotti guardati e acquistati, il tempo speso davanti ad una vetrina; sapere che questo cartello è stato copiato, vostro malgrado, da altri che vi hanno poi aggiunto altre considerazioni, valutazioni e notizie che vi riguardano?

Penso che anche se vi sentiste perfetti sconosciuti nel centro commerciale non apprezzereste tutto ciò.

Eppure è questo che accade in rete, dove è come se milioni di uomini sandwich fossero masticati da una minoranza che ingenera rassegnazione circa la possibilità di decidere se e come indossare quel cartello, cosa scriverci e a chi farlo eventualmente vedere.

Se è vero che l'iniziativa economica ha come suo pendant il fattore-rischio dobbiamo anche essere più consapevoli che cresce il rischio di infortuni, contrazioni di mercato e di sostanziali fallimenti proprio a causa di erronee valutazioni del fattore privacy.

Con le diverse clausole contrattuali-tipo sul trasferimento dei dati all'estero sono state valorizzate le garanzie per le persone fornite su base contrattuale: quante imprese, però, se ne avvalgono?

Noi possiamo raccogliere ancora una volta la vostra domanda di avere regole certe, chiare e di facile applicazione.

Lo vorremmo fare con la vostra collaborazione, visto che con la nuova generazione di codici deontologici potete costruire voi stessi alcune regole per stabilire quando un trattamento è legalmente lecito e corretto.

Va raccolta anche la domanda di valutare preventivamente e in modo più approfondito l'impatto della disciplina della privacy: lo possiamo fare subito utilizzando meglio, in tutti i Paesi, lo stesso strumento delle audizioni e delle consultazioni pubbliche.

Adottando nuove best practices in materia di privacy vi rimarrebbe egualmente un ragionevole margine di utile economico e di convenienza ad iniziare e proseguire un'attività che si basi sull'utilizzo di dati personali.

Così come, dopo l'11 settembre dello scorso anno, abbiamo coniugato lo slogan "privacy e sicurezza non sono in antitesi" possiamo azzardarci a pensare che la privacy è compatibile con il profitto, anzi, che può essere un volano per il profitto. Basti pensare -per puro esempio- ai risparmi che le società che offrono servizi di telecomunicazione possono trarre nel non conservare per svariati anni miliardi e miliardi di dati di traffico telefonico.

Può darsi che siano utili alcuni audit interni all'azienda, la formazione professionale, investimenti nella ricerca di tecnologie pulite, come pure certi meccanismi di certificazione.

Assai più utile risulterebbe anche una prassi diffusa di studio dell'impatto sulla privacy, prima del lancio di un nuovo prodotto o servizio o di una metodologia di lavoro interna all'azienda.

Occorre maggiore attenzione ai profili sostanziali della tutela, anziché solo agli adempimenti formali.

Le risorse impiegate per la privacy customer satisfaction non sono mal utilizzate, specie a medio-lungo termine. Lo potranno dimostrare le riflessioni di questi due giorni sul danno all'immagine dell'impresa, sui costi derivanti da contenziosi, procedure amministrative e sanzionatorie, dal clima negativo che può determinarsi in azienda a seguito di un controllo occhiuto dell'uso del p.c., dalla ridotta fiducia del consumatore sulla correttezza dell'impresa, sulla sicurezza della rete e sui mille tranelli della democrazia elettronica.

E' di poche ore fa la notizia della seconda sentenza italiana di risarcimento del danno, successiva alla legge sulla privacy del 1996, che obbliga uno sportello bancario a rifondere circa 40 mila euro -determinati forfettariamente-a causa del solo dubbio che alcune informazioni pregiudizievoli custodite distrattamente presso uno sportello bancario siano state sbirciate dal pubblico in fila.

Non è detto che una privacy più soft di quella che teorizziamo avvantaggi l'impresa: l'inchiesta sullo spamming di cui ha dato notizia lo scorso settembre il mensile italiano "Happy Web" ei dice ad esempio che nel 2001 solo le aziende italiane hanno speso ben 10 milioni di euro in connessione per scaricare dai propri computer la "spazzatura elettronica". Ci dice che con questo trend, entro tre anni, saranno oltre 14 mila le spam e-mail che ciascun utente italiano riceverà in un anno.

Alla domanda: "chi paga i costi di un elevato livello di privacy?", ovvero "quanta parte dei costi ricade sul consumatore-utente ?", possiamo comunque replicare che con questa eventuale quota contributiva l'interessato si sottrae comunque ad una situazione deteriore.

Potremmo infine chiederci perché mai, nel groviglio delle esenzioni, rottamazioni, detrazioni e sconti fiscali per le imprese non vi sia spazio per qualche incentivo per documentate iniziative, quantomeno di ricerca o di formazione professionale.

Non pensiamo solo al dilemma divulgare dati "sì" divulgare dati "no".

Guardiamo anche ai benefici che l'impresa può trarre dalla circolazione di notizie esatte, pertinenti e aggiornate, private del "rumore" di un eccesso di notizie esuberanti.

Riflettiamo anche, anche in sede pubblica, su altri nodi, ad esempio su alcuni riflessi negativi sulla privacy che possono derivare da interventi pubblici, pur doverosi, a tutela della concorrenza nel mercato.

A questo punto l'avrete intuito: non siamo qui per nascondere o sottovalutare il tema "costi".

Che ci siano "costi" in questa materia lo riconosce espressamente la direttiva europea-madre sulla privacy, come pure, per implicito, la legge italiana in materia che, riguardo alle misure tecniche di sicurezza, sposa l'idea che è sensato obbligare le imprese a spendere in misure di sicurezza solo se tali misure, benché costose, sono al top dell'evoluzione tecnologica.

Stime incontrovertibili sui costi non sono disponibili e sono condizionate al genere di attività svolta e alle relative modalità, al Paese in considerazione. Vanno infine storicizzate in base alle regole di volta in volta vigenti.

Uno studio dell'Aston Business School del 1994 di stima dell'impatto della direttiva europea del 1995 ridimensionava le preoccupazioni formulate in ambienti privati.

Successive stime hanno quantificato tali costi nel 2% circa della spesa complessiva edp.

Quel che vogliamo verificare con voi è il margine di ricavo che deriva dai costi: quanto, cioè, si può essere ripagati dalla singolare opportunità che viene da questa necessità di tutelare diritti e libertà comunque fondamentali.

Sembra avere compreso questa opportunità la società EarthLink, nell'esperienza che Ann Cavoukian e Tyler J. Hamilton sintetizzano nel recente volume "Privacy PayOff" di cui sembriamo oggi, mi rendo conto, mandanti.

Ancor più sembra comprenderlo l'RBC Financial Group, istituzione finanziaria canadese, secondo i cui studi interni il tasso di privacy assicurato dal Gruppo contribuirebbe già oggi, nella misura del 7%, alle scelte del consumatore e, sempre per il 7%, al valore aggiunto dell'organizzazione, sicché la banca stima già al 14% il contributo che la privacy può dare al marchio RBC.

Per iniziare, non è poco.