Il Gdpr si sta dimostrando un freno all'innovazione. E ora l'Ue vuole correre ai ripari

Bruxelles. Gdpr. Dietro a questo acronimo c’è il Regolamento generale sulla protezione dei dati personali, lo strumento introdotto dall’Unione europea per tutelare la privacy che, secondo i suoi sostenitori, sta cambiando il mondo. Approvato nel 2016 e in vigore dal 2018, il Gdpr regolamenta la gestione dei dati personali. L’obiettivo generale è dare ai cittadini il controllo dei loro dati nel mondo fisico e in quello digitale. E’ stato di ispirazione in altri paesi, dal Giappone al Brasile, per regolare la tutela dei dati nel digitale. Anche negli Stati Uniti iniziano a esserci sempre più ammiratori. Ma, secondo i suoi critici, tra il mondo ideale della norma scritta in un momento dato e il mondo reale della sua applicazione nella continua evoluzione tecnologica, il Gdpr inizia a mostrare limiti. ChatGpt ne è solo l’ultimo esempio.

Dal 2016 il mondo digitale si è trasformato profondamente. La cultura dei dati e della loro protezione non si è mai generalizzata tra i cittadini, con risultati paradossali. Cliccando più o meno inconsapevolmente sul consenso previsto dal Gdpr, si autorizza la cessione dei dati a soggetti terzi, che ne fanno ciò che vogliono. Così i dati vengono spesso sfruttati da grandi piattaforme extra europee per rafforzarsi. Nell’Ue la complessità del Gdpr e il modo in cui viene applicato possono essere un freno per l’innovazione e la competitività in settori come l’internet delle cose, l’intelligenza artificiale e perfino la sanità. Pur non rinnegando il Gdpr, la Commissione europea si è accorta del problema. Da quando si è insediato, una delle ossessioni del commissario al Mercato interno, Thierry Breton, è di “sbloccare i dati”. Perché, tra burocrazia e paura di multe, i dati circolano troppo poco nell’Ue.

Per aggiustare alcuni effetti indesiderati del Gdpr e accelerare la transizione digitale, la Commissione ha presentato diverse proposte, senza mettere in discussione il principio base: l’utente deve poter avere il controllo dei suoi dati. La prima ad andare in porto è stato l’Atto sulla governance dei dati del 2020, che facilita la condivisione tra settori privati e autorità pubbliche e incentiva la creazione di società di intermediazione di dati. Poi è arrivata la Legge sui dati, proposta nel febbraio del 2022, il cui obiettivo è facilitare la circolazione dei dati industriali, con particolare attenzione ai prodotti connessi. Il volume dei dati nell’Ue è in costante crescita. Secondo la Commissione, se nel 2018 sono stati generati 33 zettabyte, per il 2025 sono previsti 175 zettabyte. Ma oggi l’80 per cento dei dati industriali non viene utilizzato. La Commissione ha individuato diversi problemi: mancanza di chiarezza riguardo a chi può accedere ai dati generati dai prodotti connessi e utilizzarli; le piccole e medie imprese non sono in grado di negoziare accordi di condivisione dei dati con gli operatori di mercato più forti;  la limitata capacità di mettere insieme dati provenienti da diversi settori. Un’altra proposta del maggio del 2022 è lo Spazio europeo dei dati sanitari. Per le autorità pubbliche, gli ospedali, le assicurazioni o i medici, la cessione dei dati è troppo complessa e rischiosa. I pazienti sono ostili o restii a firmare liberatorie sulle loro cartelle cliniche. Gran parte dei dati sanitari nell’Ue attualmente viene buttata. La Commissione vuole garantire accesso a grandi quantità di dati sanitari a ricercatori, innovatori, imprese e istituzioni pubbliche perché è di “importanza cruciale per elaborare terapie salvavita, vaccini o dispositivi medici”.

ChatGpt ha messo in luce il problema del Gdpr per l’Intelligenza artificiale (IA), su cui Parlamento europeo e governi stanno negoziando un nuovo regolamento. “Il Gdpr va applicato” ma, invece di bloccare tutto, “meglio portare in fondo lo sforzo di regolamentazione dell’IA”, dice al Foglio Brando Benifei, relatore al Parlamento europeo: “Fermare lo sviluppo rischia soltanto di accentuare squilibri competitivi” dell’Ue a vantaggio di Cina e Stati Uniti. La bozza di regolamento prevede un trattamento differenziato per i dati dell’IA altamente rischiosa da quella che non presenta rischi maggiori. In Europa sul Gdpr ci sono due campi, spiega Benifei: quelli che lo considerano “intoccabile” e quelli che lo vedono come il “male assoluto. Non mi ritrovo in nessun dei due. Si deve guardare all’impatto concreto sulle cose che si devono fare”.

• David Carretta