CONFERENZA INTERNAZIONALE
PRIVACY: DA COSTO A RISORSA

Roma 5-6 dicembre 2002

Gli obiettivi della Conferenza

di
Gaetano Rasi
(Garante per la protezione dei dati personali)

Questa conferenza si propone di valutare l'impatto della disciplina sulla privacy nell'attività delle imprese e quale funzione essa può svolgere nella globalizzazione dei mercati aperti. L'approccio vuole essere di natura dinamica e non statica, nonché di confronto fra indirizzi ed esperienza diverse.

Abbiamo voluto questo incontro con intenti che vanno oltre la pur impegnata trattazione scientifica. Desideriamo infatti che abbia luogo un ampio confronto tra chi opera nelle attività imprenditoriali, professionali e della cultura economica e giuridica, al fine di fare il punto sull'evoluzione della materia.

Il Garante italiano - e ritengo anche i colleghi di tutto il mondo che si occupano di protezione dati - trarranno utili indicazioni e motivi di ulteriore avanzamento per l'applicazione della normativa sulla privacy con particolare riferimento alla sua incidenza nella macro e nella microeconomia.

Le ragioni del presente cordiale ed impegnato confronto sono dunque avvertite da tutti noi.

1. Profondi cambiamenti

L'esigenza nasce da una considerazione: viviamo un'epoca di profondi cambiamenti che attraversano in modo sempre più intenso tutte le attività umane. I progressi tecnologici, da un lato rendono possibili meccanismi di comunicazione un tempo impensabili e consentono quasi di annullare le distanze nei trasferimenti di merci e servizi, dei capitali, delle persone e delle attività professionali e riducono i tempi di realizzazione delle scelte, influendo direttamente sulle modalità di produzione e di distribuzione delle merci e dei servizi; dall'altro, influiscono - oppure si sottraggono come nel caso di Internet - al tradizionale rapporto che collega l'efficacia di una normativa nazionale ad un ambito territoriale determinato. Tutto questo comporta, rispetto al tema della tutela dei dati personali, spunti di riflessione di varia natura che confermano giorno dopo giorno che la privacy è davvero il crocevia verso il quale convergono i possibili percorsi di sviluppo della società contemporanea.

Solitamente l'analisi delle conseguenze derivanti da queste innovazioni e da queste possibilità si sofferma su formulazioni di carattere giuridico che individuano i limiti, positivi o negativi, rispetto al diritto ad esercitare un controllo sulle informazioni che ci riguardano.

Ma, da economista, mi piace sottolineare che, insieme alle consapevolezze etiche ed alle posizioni giuridiche da tutelare, cambiano anche i meccanismi produttivi e distributivi e cambia l'organizzazione del lavoro all'interno delle aziende. Mutano inoltre inevitabilmente le relazioni tra le imprese ed i consumatori.

I pubblicitari, come affermava Vance Packard negli anni Cinquanta, utilizzavano le tecniche tradizionali dei persuasori occulti che "non vendono prodotti ma comprano clienti'' per l'industria standardizzata. Di fronte ad un mercato di massa anche la comunicazione commerciale tendeva alla massificazione. Il consumatore non era preso in considerazione in quanto individuo, ma come membro di un gruppo omogeneo, privo di diversificazioni. Al contrario oggi tendono ad affermarsi, anche a causa dei moderni sistemi di comunicazione interattiva, nuovi metodi di relazione fondati sulla personalizzazione dei messaggi pubblicitari: il consumatore si trova così al centro di una rete di messaggi che convergono per indurlo all'acquisto facendo leva sui suoi specifici interessi e bisogni individuali. Si è ormai realizzato il passaggio dal "mercato rivolto alle masse" al "mercato rivolto agli individui".

Ma non è solo il momento del"contatto commerciale" e dell'invito all'acquisto ad essere mutato. Anche la fase post-vendita, e quindi i servizi offerti a chi è già diventato cliente, risente fortemente della possibilità tecnica di modulare l'assistenza assecondando le mutevoli e diversificate esigenze del consumatore.

Non a caso oggi sempre più le aziende parlano di fidelizzazione del cliente e investono ingenti risorse per gestire con attenzione il rapporto con il cliente per protrarlo nel corso del tempo, secondo i metodi che la terminologia anglosassone qualifica come Customer Relationship Management (o CRM).

Credo sia importante osservare che anche la Pubblica Amministrazione, sia a livello centrale che locale, tende a utilizzare gli strumenti tecnologici per favorire i rapporti con i singoli cittadini al fine di offrire con celerità e trasparenza servizi: mi riferisco in particolare a quel processo di modernizzazione dell'attività burocratica che va sotto il nome di E-government. Questo cambiamento complesso, che contiene in sé aspetti positivi per le imprese ed i soggetti pubblici e di vantaggio per il consumatore ed il cittadino, presenta però elementi di problematicità e di pericolo.

2. Incidenza nei rapporti fra soggetti economici

In particolare, in questa prospettiva, la tutela dei dati personali assume una valenza centrale, incidendo profondamente nel quadro dei rapporti tra i soggetti economici. La privacy, quindi, mantenendo il suo ruolo essenziale nel contesto dei diritti fondamentali della persona (assurgendo a prerequisito per l'affermazione di tutti gli altri diritti individuali), acquisisce anche una funzione strategica per determinare gli sviluppi futuri del mercato. Essa, meritoriamente, può individuare il limite invalicabile per difendere il cittadino da azioni eccessivamente condizionanti intraprese dalle imprese oppure dalla Pubblica Amministrazione. Ma, negativamente, può anche costituire un limite per lo sviluppo di un'offerta che sappia adeguarsi ai bisogni della domanda espressa dalla società civile e dal mercato, come vuole una fondamentale legge economica. Si tratta quindi di definire i termini necessari per fare in modo che la tutela dei dati personali divenga una leva di sviluppo economico e non un fattore di limite alla crescita.

Posta in questi termini la problematica, appare evidente che la privacy è in ogni caso destinata a svolgere una funzione fondamentale per disegnare i futuri assetti del rapporto tra imprese e consumatori oltre che tra enti pubblici ed i cittadini.

Da una parte sta il rischio, reso possibile dalle nuove tecnologie, di un consumatore assediato, denudato ed influenzabile, conosciuto e scrutato quotidianamente dai "raccoglitori di informazioni personali" che, se non sono sottoposti a regolamentazioni e controlli - meglio ad autoregolamentazioni (i codici deontologici), potranno usare questi dati per sollecitare acquisti inutili o dannosi e stimolare bisogni non reali né attuali. Il rischio del plagio o del cedimento per stanchezza è la conseguenza finale. Dall'altra si può concretizzare la prospettiva di un mercato bloccato che, messo nell'impossibilità di dialogare con il consumatore e di stabilire un rapporto diretto con il cliente, sarà destinato a ritornare sui suoi passi ed a riutilizzare i metodi dei "persuasori occulti" per indurre a consumi di massa, ricorrendo a forme di pubblicità invadente e ridondante. Analoghe considerazioni si possono delineare nei confronti dell'operato delle amministrazioni pubbliche.

3. La privacy come qualità

La privacy, collocata in un efficiente e consapevole contesto economico, può invece offrire un utile supporto alla definizione di un corretto e più produttivo rapporto tra impresa e consumatore e, per l'altro aspetto, tra le Istituzioni ed i cittadini. L'esistenza di norme di tutela dei dati personali, infatti, può permettere di migliorare la qualità del rapporto con il cliente e con il cittadino: le aziende possono disporre di informazioni corrette e veritiere, raccolte con il consenso dell'interessato, che desidera effettivamente essere contattato per finalità commerciali e lo stesso discorso può essere effettuato rispetto ai dati trattati dagli enti che forniscono servizi di utilità generale. Si profila in tal maniera un contenuto di utilità sociale e di eticità diffusa per la moderna economia aperta che corrisponde alla società aperta.

D'altra parte se si esamina l'evoluzione della privacy nel corso della sua storia ormai secolare, sembra di poter dire che la capacità di adattamento alle nuove esigenze sociali sia proprio l'elemento caratterizzante il nocciolo di questa posizione giuridica.

La tutela dei dati personali rappresenta, da oltre trent'anni, un fenomeno normativo ampiamente codificato nell'area europea. La Data Protection si è inserita nella tradizione del diritto alla privacy che era nato alla fine del secolo XIX nel sistema giuridico statunitense come espressione elitaria del "diritto di essere lasciati soli". Ma oggi essa è diventata la risposta ad una esigenza diffusa trasversalmente nei diversi ceti sociali: quella di permettere ad ognuno di esercitare un controllo sulle informazioni che lo riguardano, in modo da essere arbitro del rapporto spesso conflittuale, che esiste tra l'individuo e la collettività. Così la protezione dei dati personali ha cessato di essere un diritto banalmente destinato a tutelare i privilegi di pochi ed è diventata un presupposto per lo sviluppo della personalità individuale, un prerequisito per l'esercizio dei diritti fondamentali di tutti i cittadini. Non a caso, proprio la protezione dei dati di carattere personale è inserita - nel capo dedicato alla Dignità della persona - tra i principi di apertura che definiscono la Carta dei diritti fondamentali dell'Unione Europea sottoscritta a Nizza nel dicembre 2000.

Questo è tanto più evidente in relazione all'impetuoso sviluppo tecnologico ed all'importanza, non solo sociale ma anche economica, che ha assunto il libero flusso delle informazioni. Se è diventato sempre più facile comunicare e raccogliere informazioni su ognuno di noi per le finalità più diverse, diventa essenziale stabilire entro quali limiti questi trattamenti di dati siano legittimi e secondo quali limiti possa essere esercitato il diritto all'autodeterminazione informativa del quale ognuno dispone.

Da questa premessa emerge chiaramente che il quadro normativo della Data Protection si intinge profondamente in argomenti che riguardano diversi settori di analisi, superando gli angusti steccati delimitati dagli articoli di legge e dei tecnicismi giuridici.

4. L'analisi economica del diritto

Un filone particolarmente interessante per capire la dinamica di questa normativa in relazione ad un modello sociale in costante evoluzione è offerto dall'analisi economica del diritto. Anche il giurista non può esimersi dall'esaminare il rapporto costi-benefici che l'esistenza delle norme sulla privacy determina in una società evoluta. Se è certo che la privacy è una esigenza irrinunciabile nella società contemporanea, è altrettanto evidente che tale bisogno va commisurato con le conseguenze economiche che l'esistenza di questo diritto comporta. L'economista può portare un contributo di analisi particolarmente importante per capire quale impatto abbia prodotto la legge sulla tutela dei dati personali rispetto alle attività produttive.

In un articolo di Maryfran Johnson (redattore capo di Computerworld Editorial Columns) su Computerworld del 25 febbraio 2002, si legge che cresce sia fra le imprese sia fra i consumatori, la consapevolezza che il rispetto della privacy offra l'occasione di maggiori guadagni e di una maggiore fidelizzazione dei clienti. Il rischio è che, altrimenti, le imprese e gli enti anche pubblici debbano pagare in sanzioni amministrative e in spese giudiziarie li quanto non hanno pagato per garantire la sicurezza dei dati. Un sondaggio recente di Harris Interactive ha indicato, per l'appunto, che la diffusione dei dati personali senza il consenso del cliente costituisce la maggiore fonte di preoccupazione per i consumatori, l'84% dei quali chiede una "verifica indipendente" della politica seguita dalle imprese in materia di privacy. Anche la Forrester Research ha stimato che il volume di affari online nel 2001 avrebbe potuto essere più consistente di 15 miliardi di dollari (rispetto ai 47,6 miliardi effettivamente conseguiti) se i consumatori avessero avuto più fiducia nella privacy garantita dalle imprese.

5. Casi di costi per infrazioni in USA e nell'UE

Alcuni casi verificatisi di recente negli USA hanno evidenziato l'importanza di questo fondamentale aspetto:

1. L'Università del Minnesota ha rivelato per errore ad oltre 400 trapiantati l'identità dei rispettivi donatori d'organo. Il database contenente queste informazioni, come sottolineato dalla stessa Università, non sarebbe neppure dovuto esistere.

2. La Eli Lily, una multinazionale farmaceutica, ha inviato una e-mail ad oltre 600 pazienti in terapia con Prozac rivelando per errore nominativo ed indirizzo e-mail di tutti gli altri destinatari. Il caso è stato esaminato dalla FTC (la Federal Trade Commission degli USA) e la società ha patteggiato un'ammenda molto salata.

3. Un ex-dipendente della Global Crossing, una società di telecomunicazioni, per vendicarsi di essere stato licenziato ha pubblicato sul proprio sito web nominativi, numeri della previdenza sociale e data di nascita dei dipendenti della società. La causa giudiziaria è tutt'ora in corso.

Per quanto riguarda la situazione europea, il Garante Italiano è intervenuto per sanzionare alcuni casi di inadempienza o di violazioni della legge sulla protezione dei dati, sia sul fronte privato sia su quello pubblico.

1. Contro la pratica dello spamming, l'invio cioè di e-mail pubblicitarie e commerciali non desiderate, l'Autorità ha disposto nei confronti di sette società operanti su Internet il blocco del trattamento dei dati personali contenuti nei loro data-base. Le società avevano infatti utilizzato, senza il consenso informato degli interessati, i loro indirizzi e-mail e altri dati per inviare comunicazioni di tipo commerciale e promozionale. Le società avevano dichiarato di aver attinto gli indirizzi di posta elettronica attraverso ricerche indiscriminate in Internet, da elenchi ritenuti erroneamente pubblici, o raccogliendoli sulla Rete attraverso software in grado di generare mailing list di massa

2. Numerosi sono stati, poi, i casi sottoposti al Garante riguardanti le cosiddette "centrali rischi" private create da banche e finanziarie per valutare l'opportunità di concedere soprattutto il credito al consumo di beni durevoli. L'Autorità ha di recente emanato un provvedimento di carattere generale che detta precise regole per una gestione di tali sistemi di rilevazione che non pregiudichi i diritti dei consumatori.

In precedenza il Garante italiano aveva imposto ad una di queste "centrali rischi"di eliminare dai suoi archivi i dati relativi a finanziamenti richiesti ma non concessi o ritirati dagli stessi clienti. La raccolta, la conservazione e l'uso di queste informazioni, infatti, pur non facendo riferimento alla puntualità e alla correttezza dei pagamenti, può ingenerare un concreto pregiudizio nei confronti di consumatori esponendoli al dubbio che i rifiuti derivino non tanto da politiche bancarie quanto da inaffidabilità e, di fatto, precludendo loro l'accesso al credito.

3. La stessa Autorità ha di recente applicato sanzioni amministrative di una certa rilevanza, così come prescrive la legge, a due importanti Comuni capoluoghi di provincia ed al massimo organismo nazionale di ricerca. In quest'ultimo caso le contestazioni riguardavano un sistema di videosorveglianza la cui presenza non era stata segnalata al pubblico e la cui utilizzazione non era stata comunicata al Garante nell'ambito della notificazione presentata a suo tempo dal soggetto titolare del trattamento.

Negli altri due procedimenti, invece, riguardanti i due Comuni, le sanzioni sono state applicate per non aver fornito le informazioni richieste dal Garante nel corso di alcuni accertamenti.

Qualche altro caso esemplare in Europa può essere riferito all'iniziativa dell'Agenzia de Protection de Datos (ADP, l'autorità spagnola per la protezione dei dati) che ha sanzionato una società informatica per un importo ragguardevole. La ditta in questione persisteva nell'invio di un messaggio di posta elettronica ad un privato nonostante che quest'ultimo avesse manifestato di non desiderarlo. Ed ancora, il Garante spagnolo ha sanzionato un istituto bancario ed un Ordine provinciale dei Medici Provinciale per l'inosservanza della richiesta formulata da un cittadino, che non desiderava che i propri dati personali fossero ceduti ad alcuna persona fisica o giuridica né `voleva ricevere materiale pubblicitario.

Fra gli altri, due casi interessanti riguardano la Commissione nazionale dell'informatica e delle libertà della Francia. Il Garante francese, ha proibito ai sindaci di utilizzare l'albo di stato civile per inviare messaggi personali ai cittadini, in particolare da parte dei sindaci in carica e dei candidati alle elezioni municipali. Inoltre ha introdotto una "cassetta della posta elettronica", chiamata "Boite à spam" cioè cassetta per spam, a cui chiunque può girare le mail indesiderate che sono pervenute. Il Garante francese si occuperà di analizzarle per stabilire se si può effettivamente parlare di spamming. Quindi procederà ad individuare origine geografica e mittente. Se ricorreranno le condizioni previste dalla legge per configurare un reato, lo stesso Garante segnalerà alla magistratura i mittenti dei messaggi che quotidianamente intasano senza permesso le mail box degli internauti francesi. L'iniziativa è attiva già da qualche mese con un notevole successo: sono già 203 mila le segnalazioni pervenute.

6. Necessità di equilibrio tra protezione dati e libera iniziativa

Dunque una maggiore attenzione alla sicurezza delle informazioni ed alla corretta gestione dei flussi di dati è indispensabile per evitare conseguenze spiacevoli. Per quanto riguarda le imprese, sempre la citata Computerworld ha indicato, in particolare, tre elementi che esse dovrebbero tenere presenti a questo scopo:

  • assicurarsi che i dati sulla clientela siano accurati, aggiornati ed uniformi per tenere conto in modo adeguato, ad esempio, delle preferenze espresse in materia di privacy;
  • evitare database sovradimensionati: "piccolo è meglio" per la privacy:
  • seguire gli sviluppi legislativi e regolamentari (che anche negli USA si fanno sempre più importanti in questo settore).

Ferma restando la necessità dell'attività sanzionatoria delle autorità garanti della privacy va peraltro sottolineato che questa funzione non deve in nessun caso trasformarsi in un ostacolo alla libera iniziativa economica, ma deve contribuire a rafforzare la certezza del diritto.

La ricerca dell'equilibrio del sistema di protezione dei dati personali è essenziale per rendere possibile uno sviluppo effettivo. La cultura della riservatezza nel nostro Paese sta sempre più diffondendosi. Dobbiamo quindi prendere atto - e ciò non vale solo per l'Italia - che l'"inglobamento" nelle merci e nei servizi del rispetto della privacy sta per diventare una esigenza proprio del mercato. L'impresa che non risponderà a questo tipo di nuova domanda rischierà di uscire da esso. Insomma si va verso un tipo di competitività per la quale l'offerta dei prodotti, che non corrispondono alla richiesta di rispetto della riservatezza, finirà per non trovare acquirenti.

Diventa quindi essenziale capire quale sia il costo economico (e come esso possa contribuire ad un prezzo competitivo perché comprensivo di questo nuovo tipo di qualità) della scelta di tutelare la riservatezza dei dati personali e quali benefici possa comportare non solo dal punto di vista sociale, ma anche da quello strettamente economico l'esistenza di un diritto alla tutela delle informazioni personali. Le più recenti evoluzioni del marketing, ed in particolare del cosiddetto permission marketing, che basa ogni iniziativa promozionale sul preventivo consenso dell'interessato, confermano che data protection e marketing efficace possono, anzi debbono, andare d'accordo e viaggiare di pari passo. Ripeto perciò che il rispetto della privacy può diventare una leva competitiva per le aziende che desiderano stabilire un rapporto di fiducia e trasparenza nei confronti dei propri clienti.

Questo convegno si propone di fare, per la prima volta in Italia, il punto su questi aspetti poco esplorati della tutela dei dati personali: l'obiettivo - mi sembra che sia chiaro da quanto finora detto - è quello di avviare una riflessione per definire quali siano i diversi criteri da tenere presenti per coniugare la effettiva protezione dei dati personali con l'efficienza di un sistema economico che punti allo sviluppo. Si tratta di una prospettiva di analisi finora trascurata, salvo lodevoli eccezioni, da parte degli studiosi ma che in realtà va esaminata per meglio comprendere e gestire i complessi cambiamenti sociali e tecnologici dei quali la tutela dei dati personali è una delle componenti essenziali.

7. I termini della nuova sfida

La privacy, nella sua lunga evoluzione, e così chiamata ad affrontare una nuova sfida: quella di essere il punto di convergenza tra le esigenze di crescita di sviluppo perseguite dalle imprese ed il bisogno di protezione che il singolo consumatore sollecita. In realtà si profila quella che la cultura anglosassone definisce una "win-win situation", nella quale entrambe le parti in gioco hanno da trarre beneficio dalla sottoscrizione di un accordo. Così la privacy, considerata nel quadro delle relazioni tra soggetti economici, è destinata a delinearsi come il valore fondante di un patto tra imprese e consumatori che consentirà lo sviluppo economico in un mercato composto da soggetti in grado di realizzare scelte consapevoli e libere. E' questa la nuova frontiera della tutela dei dati personali.

Con questo spirito il Garante italiano ritiene che sia utile sottoporre alla comunità scientifica internazionale questo tema: l'auspicio è quello di aprire la strada ad una nuova prospettiva di ricerca e di confronto tra le ragioni del diritto e le esigenze dell'economia e che perciò a questo primo Convegno potrà seguire un ulteriore dibattito sul futuro della data protection.

8. L'articolazione della Conferenza

Per dare conto di questo complesso scenario la Conferenza di oggi si articola in quattro sessioni:

  • la prima, La tutela dei dati personali nel mercato globale, si propone di introdurre i temi di discussione, individuando quale funzione svolga, nella percezione attuale, la tutela dei dati personali rispetto ai meccanismi del mercato globale ed all'incontro tra domanda ed offerta. Particolare attenzione viene data agli effetti sulle dinamiche economiche della coesistenza del modello di data protection di stampo europeo e del sistema di protezione adottato dagli USA. Oltre al punto di vista dei rappresentanti istituzionali si darà spazio all'esperienza diretta di strutture multinazionali sia statunitensi che europee e verranno introdotte le testimonianze di esponenti del mondo asiatico e latino americano. Si parlerà anche delle aspettative dei consumatori in un dimensione continentale europea.
  • La seconda, Libertà di impresa e diritto alla riservatezza, intende approfondire il ruolo della privacy nel quadro dell'attività d'impresa. Verranno presi in considerazione due aspetti: quello statico relativo alla struttura organizzativa delle aziende, analizzando l'impatto della protezione dei dati personali all'interno dell'impresa e sui problemi connessi con il rapporto di lavoro; quello dinamico con un esame della clausola del bilanciamento di interessi come strumento per garantire l'equilibrio in concreto tra libertà, impresa e diritto alla riservatezza. Verranno trattati i problemi del rapporto fra trasparenza e privacy e delle garanzie nei confronti delle nuove tecnologie.
  • La terza, La tutela dei dati personali nel rapporto tra impresa, utenti e consumatori, prende in esame i problemi concernenti l'uso dei dati personali nella comunicazione commerciale e nelle azioni di fidelizzazione dei clienti. Particolare attenzione viene prestata alle questioni relative ai problemi della sicurezza, alle modalità di raccolta dei dati utilizzati per attività di comunicazione e di marketing diretto, ai costi della raccolta di dati, alla relazione tra attività di vendita a distanza e trattamento di dati personali, all'utilizzabilità dei dati provenienti da elenchi pubblici, al ruolo del consenso come meccanismo di autotutela del consumatore ed alle possibili forme di protezione dei consumatori con particolare riferimento ai mercati sopranazionali. In questo quadro viene esaminato anche il tema dell'allocazione dei costi derivanti per l'impresa dalla violazione delle norme per la tutela dei dati personali.
  • La quarta, Verso la nuova frontiera: la privacy come risorsa per lo sviluppo economico, anzitutto affronterà il tema di come universalizzare le garanzie di tutela dei dati, sia dal punto di vista dei popoli, dei territori, delle strutture mondiali produttive e distributive delle merci e dei servizi. Inoltre - prendendo spunto dall'analisi, condotta nelle sessioni precedenti - dei cambiamenti in corso nel mercato globale nell'organizzazione dell'impresa e nel rapporto tra consumatori e produttori individua le possibili prospettive di sviluppo della privacy, intesa come valore verso il quale convergono tanto le aziende quanto i clienti per realizzare scelte consapevoli e libere. In questo quadro verrà messo in evidenza il ruolo che possono svolgere le tecnologie e l'autodisciplina (codici deontologici) per abbandonare una visione negativa (privacy come mero costo o limite allo sviluppo) e per favorire l'affermazione della tutela dei dati personali come strumento in grado di generare valore economico in una civiltà di cosciente, diffuso e superiore progresso.