G7 Privacy: l’innovazione ha bisogno di regole. L’Ue non arretri

Tra le tante parole in grado di sintetizzare l’importanza di questa edizione me ne viene in mente una in particolare. E questa parola è tempismo.

Il ruolo strategico del G7 Privacy 2025

La riunione dei Garanti dei Paesi del G7 (Canada, Francia, Germania, Giappone, Italia, Regno Unito, Stati Uniti), insieme anche al presidente dell’European Data Protection Board -EDPB (Anu Talus) e all’European Data Protection Supervisor – EDPS (Wojciech Wiewiórowski), si è svolta quest’anno a Ottawa, sotto il coordinamento del presidente della Commissione canadese per la protezione dei dati, Philippe Dufresne.

Molti sono stati i temi affrontati nelle giornate di lavoro (17-20 giugno), a cui hanno portato un decisivo contributo tutti i componenti del Collegio del Garante italiano, rappresentato dal presidente Pasquale Stanzione, dalla vicepresidente Ginevra Cerrina Feroni e dai componenti Agostino Ghiglia e Guido Scorza. E occorre riconoscere e apprezzare lo sforzo che questo Collegio – che si appresta a presentare la propria Relazione Annuale al Parlamento la prossima settimana – ha profuso durante tutto il proprio mandato per rendere nuovamente il nostro Garante protagonista sulla scena internazionale, sforzo che ha avuto il suo momento più alto e solenne proprio nel G7 Privacy di Roma dello scorso anno.

L’agenda del G7 privacy tra intelligenza artificiale e cooperazione

A Ottawa si è parlato di circolazione dei dati libera e responsabile e di cooperazione transfrontaliera, ma anche dell’impatto delle nuove tecnologie emergenti, a partire naturalmente dall’intelligenza artificiale – ciò, tra l’altro, è avvenuto proprio nei giorni in cui la Camera dei deputati ha approvato, con modificazioni, il disegno di legge italiano sull’IA, che ora è al vaglio del Senato.

La dichiarazione congiunta dei Garanti e i principi operativi

Gli impegni condivisi dalle Autorità sono stati quindi condensati nella dichiarazione congiunta “Promoting Responsible Innovation and Protecting Children by Prioritizing Privacy” pubblicata lo scorso 19 giugno.

È questo un documento di assoluta rilevanza strategica, che mette in luce l’importanza di integrare la protezione dei dati personali nel cuore dell’innovazione tecnologica, con una particolare attenzione da dedicare alla tutela dei minori online. La dichiarazione non si limita a indicare approcci di principio, ma pone anche una serie di fondamentali ricadute operative, incoraggiando le organizzazioni ad agire come innovatori responsabili adottando pratiche di privacy by design anche quando non richieste ex lege.

La data protection come volano di competitività

Tra i punti più importanti della dichiarazione di Ottawa c’è sicuramente il ruolo che la circolazione e protezione dei dati personali può avere sul piano dello sviluppo tecnologico, economico e competitivo.

Rifacendosi fedelmente alle parole dei Garanti, «[w]e, the G7 DPAs, emphasize that prioritizing privacy by identifying and addressing potential privacy and data protection issues in the design, development and deployment of new technologies can achieve more than facilitating compliance with legal obligations. It can also be a driver of economic success and societal growth» (“Le autorità di protezione dei dati del G7 sottolineano che dare priorità alla privacy, identificando e affrontando i potenziali problemi legati alla privacy e alla protezione dei dati nella progettazione, nello sviluppo e nella diffusione delle nuove tecnologie, può ottenere molto di più che facilitare il rispetto degli obblighi di legge. Può anche essere un motore del successo economico e della crescita della società”, ndr).

In altre parole, le Autorità intendono ricordare che «[t]he prioritization of privacy throughout the lifecycle of a technology, from design to development to deployment, can allow organizations to unleash innovation, seize market opportunities, and do so in a cost-effective way» (La priorità della privacy durante l’intero ciclo di vita di una tecnologia, dalla progettazione allo sviluppo fino all’implementazione, può consentire alle organizzazioni di liberare l’innovazione, di cogliere le opportunità di mercato e di farlo in modo economicamente efficiente, ndr).

Si tratta di un messaggio di grandissimo rilievo, ancor di più perché reso dai Garanti del G7. Riconoscere il valore della compliance alla normativa data protection come volano di competitività e valore economico, nel costante e accurato bilanciamento con il rispetto dei diritti e delle libertà fondamentali, è oggi più che mai necessario. Tornano a mente letture e affermazioni sul ruolo della data protection, da costo a risorsa, oggetto di una campagna del Collegio del Garante a guida di Stefano Rodotà, circa vent’anni fa, voluta fortemente da uno dei componenti dell’epoca, Gaetano Rasi. 

La minaccia della deregolamentazione in Europa

Non è una novità: in Europa soffia un pericoloso vento di deregolamentazione. Tra le normative in materia di data economy, il Regolamento Generale sulla Protezione dei Dati (GDPR) è stato il primo provvedimento destinatario di alcune proposte di modifica da parte dell’Unione europea. E anche rispetto all’Artificial Intelligence Act (AI Act) non mancano istanze e richieste di depotenziamento, che peraltro arrivano in un momento storico in cui la legge non è ancora nemmeno pienamente efficace.

Se è lecito e sempre necessario perseguire tentativi di semplificazione delle regole, non è al contempo un bene per l’Europa, per le sue aziende e tutti i cittadini, sconfinare nelle terre della deregolamentazione. Le regole che alcuni vorrebbero vedere depotenziate sono in realtà quelle che tutelano i nostri diritti e valori fondamentali rispetto all’abuso dello strumento tecnologico e che permettono quel bilanciamento tra esigenze di business e libertà personali che è la cifra caratteristica dell’Unione Europea nel panorama mondiale. Ma sono anche – e questo ce lo hanno ricordato i Garanti del G7 – un fattore in grado di assicurare vantaggi competitivi e inedite esternalità economiche.

Occorre dunque abbandonare ogni anacronistica visione che contrappone il rispetto delle norme all’innovazione, come se in presenza dell’uno non ci possa essere l’altra. Le regole sulla data economy e la tutela dei diritti fondamentali, che le stesse presidiano come eredità della tradizione costituzionale occidentale, sono invece un fattore abilitante dell’innovazione. Se rispettate, se sostenute, le norme europee sui dati, cosi come quelle sull’AI, possono diventare il vero valore aggiunto per le imprese che innovano e vogliono innovare, generando profitti e benessere sociale a beneficio di tutti i cittadini.

Roadmap, iniziative pubbliche e messaggi chiave

Ma non solo. Particolarmente interessante è stato il lancio, a Ottawa, della G7 AI Adoption Roadmap, volto a promuovere un’adozione responsabile e sicura dell’AI, con l’obiettivo di sostenere le piccole e medie imprese che rappresentano la spina dorsale delle economie globali ed in primis di quella italiana. Ma anche sul fronte del settore pubblico, questo G7 non ha mancato di lanciare la G7 GovAI Grand Challenge, con lo scopo di favorire l’incubazione e lo sviluppo di iniziative che diffondano l’uso responsabile dell’AI nel settore pubblico. Si è altresì parlato di efficienza energetica ed impatto dell’AI e dello sviluppo della data economy sui data center esistenti e su quelli necessari per servire questa fase di accelerazione tecnologica.

La strada non è certamente facile, ma è proprio nel momento in cui l’attacco alle regole si fa più forte che certi messaggi devono essere riaffermati con forza. Il G7 dei Garanti ha dimostrato di non rappresentare un forum inutile e ridondante, operando con coraggio, in un momento difficile, e soprattutto agendo con un tempismo perfetto.