Digitale, la “semplificazione” del GDPR fa gli interessi delle aziende (e limita la privacy degli utenti)

Bruxelles – Nel disperato tentativo di riguadagnare alle imprese europee la tanto agognata competitività economica persa a vantaggio di Stati Uniti e Cina, la Commissione UE potrebbe essere in procinto di prendere a picconate uno dei principali testi normativi in ambito digitale: il Regolamento generale sulla protezione dei dati, meglio noto con l’acronimo inglese GDPR.

Stano alle indiscrezioni circolate nelle ultime ore sulla stampa internazionale, nel cosiddetto “Omnibus digitale” che l’esecutivo comunitario dovrebbe presentare nelle prossime settimane sarebbero contenute una serie di proposte tese a riformare radicalmente il GDPR, fin qui osannato a Bruxelles come una delle legislazioni più avanzate a livello globale in materia di tutela della privacy degli utenti nel mondo informatico.

La spinta arriverebbe nientemeno che da Mario Draghi. Il GDPR, adottato nel 2016 ed entrato in vigore nel 2018, era uno dei bersagli del rapporto sulla competitività europea da lui presentato nel settembre 2024. In diverse occasioni successive, l’ex premier italiano ed ex numero uno della Bce si è sperticato in accuse contro la normativa sui dati, criticando soprattutto alcuni aspetti legati alla sua farraginosa implementazione.

A suo dire, l’eccessiva frammentazione e complessità dell’impianto attuativo creerebbero un onere insostenibile per le imprese, soprattutto quelle di piccole e medie dimensioni (PMI), genererebbero incertezza giuridica (sovrapponendosi peraltro alle norme del più recente AI Act) e ostacolerebbero lo sviluppo di un vero mercato unico digitale.

Nello specifico, per quanto riguarda l’addestramento dei modelli di intelligenza artificiale (IA), il GDPR rallenterebbe l’innovazione delle aziende europee, creando una zavorra burocratica artificiale di cui, de facto, vanno a beneficiare le controparti statunitensi e cinesi. Addirittura, Draghi indica un aumento di circa il 20 per cento nei costi sostenuti dagli operatori economici in Ue per la gestione dei dati. Su queste premesse, ha a più riprese difeso la necessità di una “semplificazione radicale” del Regolamento, nonché di una maggiore armonizzazione a livello di implementazione.

Dato che la competitività industriale è una delle Stelle Polari dell’agenda politica della Commissione, il Berlaymont si sarebbe dunque messo al lavoro per smantellare alcuni elementi centrali del GDPR per facilitare la vita degli sviluppatori. L’obiettivo è quello di favorire l’affermazione dell’Unione quale polo mondiale dell’intelligenza artificiale, secondo una strategia di deregulation a dodici stelle enunciata mesi fa dalla stessa Ursula von der Leyen.

Nella corsa all’egemonia globale in questo settore critico, a cui Bruxelles vuole partecipare costruendo una serie di AI Gigafactories dove allenare modelli di IA made in Europe (un’iniziativa che sembra aver interessato l’industria), il nuovo oro del XXI secolo è rappresentato dai dati degli utenti, raccolti in enormi quantità da piattaforme digitali e servizi vari col pretesto di fornire un’esperienza personalizzata e più efficiente.

La Commissione starebbe dunque facendo in modo di rendere più facile l’accesso dei giganti digitali ai dati, ridimensionando le regole fissate dai legislatori comunitari a tutela dei cittadini dei Ventisette. Tra le prime sezioni del GDPR a finire sotto la scure della semplificazione ci sarebbe quella relativa al concetto di “interesse legittimo“. A norme vigenti, le aziende sono obbligate a richiedere il consenso esplicito degli utenti per raccoglierne i dati, a meno che non riescano a dimostrare un presunto interesse legittimo per giustificare una sorta di “pesca a strascico“. Gli emendamenti preparati dall’esecutivo Ue andrebbero nella direzione di allargare appunto le maglie di questa base giuridica, consentendo alle imprese di mettere le mani su una quantità di informazioni molto maggiore (senza doverne chiedere l’autorizzazione).

I recenti aggiornamenti di giganti come Meta e Google e di piattaforme come X e LinkedIn stanno andando precisamente in questa direzione. Ad esempio, impostando per default un consenso preventivo degli utenti all’utilizzo dei dati contenuti nei loro post per l’allenamento delle rispettive intelligenze artificiali. L’utilizzatore informato e consapevole può disattivare questi consensi con facilità, ma è verosimile che, statisticamente, una parte consistente dei consumatori non venga nemmeno a conoscenza di simili meccanismi.

Inoltre, la Commissione punterebbe a introdurre nuove eccezioni per le aziende di IA sull’uso dei cosiddetti dati sensibili (quali le convinzioni politiche, il credo religioso, l’appartenenza etnica o i dati sanitari), rivedendo parallelamente la definizione legale di tale categoria di informazioni, nonché ad allentare le disposizioni relative alla profilazione degli utenti, rendendo più semplice il tracciamento mediante cookies.

Si tratta, a conti fatti, di uno dei dilemmi etici caratteristici del nostro tempo, almeno per le società post-industriali. Quello che vede contrapposti, se non altro all’apparenza, il progresso tecnologico e la tutela dei diritti fondamentali. Da un lato, il profitto dei colossi del tech (che ad oggi rimangono principalmente statunitensi) e l’attrattività dei mercati europei nell’era digitale. Dall’altro, l’aderenza ai valori costituenti dell’Ue, incluso il rispetto della privacy dei cittadini.

Eppure, sostengono alcuni esperti del settore, c’è modo e modo di riformare il GDPR. Se è vero che vi si possono apportare una serie di migliorie tramite interventi mirati, è altrettanto vero che sacrificare la tutela degli utenti sull’altare della sburocratizzazione – a vantaggio quasi esclusivo di un ristretto numero di aziende private –  rischia di produrre conseguenze difficilmente prevedibili.

Nel rincorrere Washington e Pechino, ragionano i critici di questo approccio, forse Bruxelles dovrebbe ricordarsi di cosa distingue l’Unione dai suoi principali competitor globali. E cioè la tanto proclamata economia sociale di mercato, dove al guadagno e all’efficienza economica pura andrebbero anteposte considerazioni etiche più elevate. Procedere nella direzione suggerita dagli emendamenti in questione, ammoniscono, equivarrebbe ad una resa incondizionata agli interessi privati dei colossi informatici.

Ad ogni modo, come accaduto per i precedenti pacchetti Omnibus presentati dal Berlaymont, pure questo dovrà passare l’esame dei co-legislatori, Europarlamento e Consiglio Ue. Dove, con ogni probabilità, assisteremo ad un acceso scontro politico tra i fautori della semplificazione e chi non ne vuole sapere di riaprire il GDPR.