L’innovazione tecnologica corre e il legislatore la insegue. E anziché stabilire le regole del gioco in tempo, le norme arrivano dopo e il divario aumenta. Se da una parte il mondo accademico studia le nuove frontiere del diritto, dall’altra gli studi legali affrontano, giorno per giorno, esigenze e timori delle aziende nell’uso e nella gestione delle nuove tecnologie.
Stefano Mele, avvocato, “partner†di Carnelutti Studio Legale Associato presso il quale è il Responsabile del Dipartimento di Diritto delle Tecnologie, Privacy, Cybersecurity e Intelligence, affronta il tema nella sua complessità , senza limitarsi solo al presente, ma con una forte visione del futuro, soprattutto in termini di preparazione (o impreparazione) sia del mondo politico sia dell’offerta formativa di scuole e università .
Come vive il mondo imprenditoriale lo scollamento tra norme e tecnologia?
«Tutta la sicurezza delle grandi aziende è preventiva anziché reattiva. Le norme però bloccano qualsiasi tipo di tecnologia o la maggior parte di strumenti di controlli preventivi. Questo per via dell’art.4 dello Statuto dei Lavoratori, secondo il quale non si può controllare il lavoratore durante l’attività lavorativa. Il punto è la protezione dei dati personali: il GDPR è molto rigoroso. Il mondo imprenditoriale vive questa situazione in modo conflittuale: da una parte security e IT security spingono verso l’ottimizzazione dei processi di sicurezza a favore dell’azienda, con il controllo delle attività e di ciò che avviene all’interno della rete aziendale; dall’altra l’ufficio legale della stessa azienda mette paletti su ciò che si può fare o no in termini legali. È un conflitto di cui è responsabile il legislatore. È grave che non ci non ci sia un dibattito serio e approfondito sui temi reali della vita delle aziende, della PA, della sicurezza nazionale. Pensando a tecnologie più innovative che arrivano sempre più velocemente sul mercato, come blockchain, machine learning o intelligenza artificiale, occorre capire le norme come si comporteranno e fino a che punto sarà possibile “allargarleâ€Â».
Un esempio di un caso che si è trovato ad affrontare?
«Nel 2015, con il mio studio legale, ho provato a inserire nei processi aziendali di una multinazionale tecnologia blockchain, consapevole dei problemi che sarebbero sorti nel momento in cui all’interno della blockchain sarebbero stati inseriti dati personali. Questo perché, per le caratteristiche di sicurezza della stessa blockchain, i dati non si possono più cambiare né modificare. La persona a cui i dati si riferiscono non può esercitare i propri diritti in ottemperanza al GDPR. Da qui il rischio di incorrere in sanzioni. Questo è il limite più evidente della blockchain, oltre ad altri aspetti tecnici e tecnologici. Ma è chiaro che siamo all’alba di un nuovo strumento che rivoluzionerà le comunicazioni. Blockchain potrebbe essere il protocollo di comunicazione dei futuri robot che vivono in maniera autonoma, perché ha delle caratteristiche di sicurezza rilevanti».
Quali sono le priorità per le aziende oggi?
«Innanzitutto la cybersecurity. Le aziende cercano il supporto di avvocati specializzati nel settore che sappiano interpretare la parte tecnologica per declinarla poi sul piano legale, trovando un compromesso tra sicurezza, privacy e protezione dei dati personali. In secondo luogo, la tecnologia blockchain sta suscitando molta curiosità . Il compito di noi legali al momento non è solo individuare la soluzione più giusta sul piano tecnologico in relazione alle esigenze del cliente. Ciò può anche voler dire non fare una blockchain, ma semplicemente database con chiavi crittografiche e il riconoscimento attraverso certificati. Si tratta sempre di coniugare esigenze del cliente con normative lontane anni luce. Si pensi appunto al legame tra blockchain e i dati personali. Noi avvocati esperti di tecnologia aiutiamo i clienti che avvertono l’esigenza di innovare con le tecnologie emergenti. Il terzo aspetto riguarda intelligenza artificiale e machine learning: siamo ancora in una fase in cui il programmatore scrive algoritmi. La questione si pone dunque in termini di diritto della proprietà intellettuale “tradizionaleâ€. I legali debbono capire la responsabilità giuridica di un algoritmo in relazione, ad esempio, a un incidente stradale nel caso di una macchina a guida autonoma, o a delle lesioni che un robot ha provocato a una persona. Ci arriveremo. Al momento la normativa tende ad essere “umano-centricaâ€, facendo ricadere laddove possibile la responsabilità sull’essere umano. Si cerca di prendere ciò che sia ha e “tirarloâ€. L’Unione europea ha cominciato a produrre in questo senso delle raccomandazioni in relazione allo sviluppo di queste tecnologie».
I diversi approcci giuridici riflettono i diversi approcci culturali. Si arriverà a un’armonizzazione delle norme fra Stati?
«Sarà difficile. Gli interessi economici e militari che ruotano attorno alle nuove tecnologie sono enormi. In Europa la normativa della protezione dei dati personali guarda all’individuo, confrontata a quella vigente negli Usa, dove prevale la sensibilità per le esigenze commerciali delle public companies, o all’Asia, dove la regolamentazione guarda alle esigenze del governo e al controllo sui cittadini. Si troveranno delle soluzioni con accordi bilaterali o multilaterali stretti, che argineranno comportamenti particolarmente disallineati. Mi riferisco al Privacy Shield (2016), cioè l’accordo tra Ue e Usa relativo al trattamento dei dati personali secondo cui le company americane, quando trattano dati di cittadini europei, debbono applicare la normativa Ue».
Tecnologia e sicurezza. Quale è la vera sfida per la cybersecurity?
«Comprendere che il mondo della criminalità è cambiato. Gli interessi degli Stati attraverso le intelligence, i comandi militari ponti a conflitti armati usando nuove tecnologie hanno cambiato il paradigma. E perciò la sicurezza, sul lato tecnico, si è dovuta adattare. Ma la strada è lunga. Non abbiamo ancora esempi di successo. C’è bisogno di una mano più larga sulla possibilità di controllare. E questo contrasta con le norme. Il legislatore deve capire e reagire alla richiesta di sicurezza che c’è. Attualmente abbiamo il perimetro di sicurezza nazionale cibernetica (provvedimento stabilisce una cornice che permette di reagire in tempi accettabili ad eventuali intrusioni in procinto di entrare in vigore, ndr). Ma non basta. Si chiede questo sforzo alle aziende ma poi ci si scontra con norme nazionali ed europee che guardano all’uomo, troppo all’uomo. La sicurezza deve evolvere in senso preventivo anziché reattivo, com’è ora. Occorre scarificare qualcosa dell’individuo in nome di una maggiore sicurezza. Non significa non riconoscere più i diritti dell’individuo. Ma la normativa in materia di protezione dei dati personali guarda alla protezione dei dati, non alla non consultazione dei dati, al non trattamento dei dati, al non accesso dei dati. La corporate security deve avere una mano più larga sul controllo di certe attività legate alla sicurezza, mantenendo la protezione dell’informazione a cui accedono; non che non accedano a quell’informazione. Altrimenti siamo sconfitti. Oggi e domani».
C’è miopia da parte della politica, anche nel progettare l’offerta formativa, tesa a creare profili preparati a queste sfide?
«Enorme. C’è mancanza di comprensione e preparazione culturale su questi temi. Ma il problema è anche legato al mantenimento delle posizioni acquisite. Qualunque cosa si cerchi di fare per mettersi al passo con i tempi, la politica non osa alterare gli equilibri per il timore di perdere consensi, pur capendo in certi casi quanto sia cruciale procedere con il cambiamento. Cambiare l’articolo 4 dello Statuto dei Lavoratori vuol dire mettersi contro i sindacati, con tutte le implicazioni del caso, senza capire che la cosa potrebbe notevoli vantaggi anche ai lavoratori stessi».
Il rilancio economico passa da qui?
«Certo. Puntare alla tecnologia, declinandola in innovazione, sicurezza, protezione dei dati personali vuol dire cambiare l’economia di un Paese. Ciò avviene se l’imprenditore è favorito nel creare innovazione. Si pensi ad Israele, dove negli ultimi 5-6 anni è stato creato un cyberparco a Beer-Sheva, con università , aziende consolidate nella cybersecurity, centri di ricerca. Si è generato un ecosistema, con startup nel campo della cybersecurity. Oggi Israele è uno degli attori più importanti attori nella produzione di tecnologie in ambito di cybersecurity. Hanno creato economicamente il giusto humus, con agevolazioni fiscali e un clima favorevole a livello normativo».
Crede che ci sia disinformazione su questi temi?
«Sì certo. Una parte di informazione sta cercando di far passare da anni una cultura della sicurezza informatica in trasmissioni che però vanno in onda di notte. Quando l’ascolto è basso. Negli Usa questi argomenti passano regolarmente ai tg. Addirittura Bloomberg fa uno speciale giornaliero sulle tecnologie, con interventi di protagonisti del settore. In Italia, come avvocato mi trovo a curare invece la vendita di realtà italiane, e non sono poche, a colossi americani, che hanno fiutato l’eccellenza e il valore delle nostre tecnologie e competenze. E questo perché in Italia ci sono molte complicazioni, la pubblica amministrazione è lenta. Si applicano metodi degli anni 70-80 a realtà che debbono essere veloci e immediate. Occorre capire se vogliamo essere il più grande museo a cielo aperto del mondo oppure se vogliamo evolvere».
Crede che l’offerta formativa sia adeguata rispetto alle esigenze?
«Alla luce del fatto che a essere specializzati in questo campo siamo in pochissimi, direi che l’offerta formativa è molto scarsa. C’è invece un enorme bisogno di avvocati specializzati in diritto delle tecnologie, privacy e cybersecurity. Oggi l’avvocato deve avere una competenza orizzontale, dato che internet coinvolge tutti i settori, abbracciando tutti i campi toccati dalla tecnologia e dove dunque c’è bisogno di un adeguato supporto legale. Il mestiere sta cambiando: prima era più verticale, oggi meno. Un avvocato che si occupa di diritto delle tecnologie deve avere anche delle competenze tecniche. Molti si stanno affacciando, ma da una parte manca la giusta umiltà ; dall’altra le università non preparano bene. C’è solo un corso di laurea magistrale di giurisprudenza, Scienze giuridiche sella sicurezza dell’Università di Foggia. È il primo corso di laurea orientato alla coniugazione tra diritto e sicurezza. Gli studenti possono poi scegliere tra un indirizzo di sicurezza del lavoro, in termini aziendali, o sicurezza nazionale».