Digital Omnibus, privacy e AI: IAB Italia analizza i nodi europei
Giulia Sala, external legal counsel di IAB Italia e co-responsabile del team Data Protection e AI dello studio legale DGRS, analizza criticità e possibili impatti del nuovo pacchetto normativo europeo su consenso digitale, pubblicità online e innovazione
Giulia Sala
La revisione del quadro normativo digitale europeo entra in una fase cruciale. Con il Digital Omnibus, Bruxelles punta a semplificare regole e procedure per sostenere innovazione, competitività e sviluppo dell’intelligenza artificiale. Ma secondo IAB Italia alcune delle proposte sul tavolo rischiano di generare nuove complessità, soprattutto sul fronte della gestione del consenso, della pubblicità digitale e del rapporto tra GDPR e AI Act. Per capire quali potrebbero essere le conseguenze per imprese, utenti e mercato europeo chiediamo lumi a Giulia Sala, external legal counsel di IAB Italia e tra le principali esperte italiane di data protection e AI applicate all’ecosistema digitale (ospite mercoledì 13 maggio di DailyOnAir - The Sound Of Adv).
Quali sono oggi le principali criticità che vedete nelle proposte su GDPR, AI Act e gestione del consenso?
«Senz’altro per noi l’obiettivo di semplificazione è fondamentale e quindi la spinta innovativa della Commissione Europea è assolutamente da lodare. Il problema è che alcune delle proposte, così come sono state formulate, rischiano purtroppo di produrre l’effetto opposto. In particolare il Digital Omnibus debutta con questa proposta di pacchetti di norme che punta a riallineare GDPR, AI Act e soprattutto le regole in materia di cookie, ma alcune proposte rischiano in realtà di creare un quadro più frammentato e non più semplice. Immaginiamo quanto sia cruciale in questo momento, anche dal punto di vista competitivo per l’Europa, investire e innovare sull’intelligenza artificiale: servono norme più veloci, ma soprattutto più facili da rispettare per le imprese e più semplici su cui investire in termini di compliance. Il rapporto tra AI Act e GDPR è quindi fondamentale che sia più allineato. Poi, ovviamente, tutto quello che riguarda il mondo dei cookie e delle tecnologie di trattamento per noi è centrale, perché l’ecosistema della pubblicità digitale si basa su questo. Tenere due regimi frammentati, distinguendo tra dati personali e non personali quando un cookie può raccogliere entrambe le tipologie, è problematico dal punto di vista della gestione. Immaginiamo il caso in cui ci sia un’autorità europea che regola il dato non personale e un’altra che invece regola il dato personale: una società potrebbe trovarsi a rispondere, per lo stesso strumento, a due autorità differenti».
Perché IAB Italia ritiene che un modello centralizzato di browser-level consent possa creare problemi sia dal punto di vista tecnico sia da quello concorrenziale?
«Siamo tutti un po’ affaticati dalla cosiddetta consent fatigue, cioè dal continuo presentarsi dei cookie banner nei vari ambienti digitali, e quindi di pancia la soluzione della gestione del consenso a livello browser potrebbe sembrare semplice, quasi la soluzione al problema. Ma nella pratica ci sono problemi molto seri legati a questa proposta, soprattutto dal punto di vista privacy: il consenso deve essere informato e specifico, quindi ogni sito e ogni servizio dovrebbero essere in grado di spiegare il proprio consenso e questa cosa non rispetterebbe la normativa se fosse gestita soltanto a livello browser. Questo è sicuramente un primo problema. Poi c’è un tema di gestione tecnica: immaginiamo quanti dispositivi utilizzi ogni cittadino europeo, quindi più browser, app, smartphone, connected tv, computer. Non si può avere un consenso centralizzato per tecnologie diverse a cui tutti noi siamo connessi, magari anche con gli stessi account. Inoltre esiste un piano concorrenziale fortissimo, perché i browser hanno già un vantaggio competitivo rispetto ai fornitori di servizi e, se diventassero anche i soggetti che gestiscono un unico consenso, avremmo un problema molto importante di accesso al rapporto con l’utente».
Quanto potrebbe pesare sulle imprese italiane la riduzione dei tassi di consenso legata a questi nuovi dispositivi?
«Abbiamo diffuso di recente una nota sul sito di IAB Italia citando uno studio che collega direttamente la riduzione dei tassi di consenso alla riduzione degli introiti pubblicitari. La ricaduta è diretta sulla pubblicità: meno consenso significa meno possibilità di misurare le campagne, minore efficacia della pubblicità e quindi anche meno efficienza dal punto di vista della resa per advertiser e investitori. La stima economica dell’introduzione del consenso a livello browser è, a livello europeo, di almeno 40-50 miliardi di euro, pari al 30-35% a parità di spesa rispetto a quanto vediamo oggi. Inoltre la correlazione stimata è di circa 600-800 milioni di euro per ogni punto percentuale di riduzione del tasso di consenso. Sono cifre molto importanti».
Qual è secondo voi il punto di equilibrio tra tutela della privacy, sviluppo dell’intelligenza artificiale e competitività dell’ecosistema digitale europeo?
«È sicuramente complicato, però per noi il punto centrale deve essere collegare la semplificazione alla certezza giuridica e alla maggiore facilità per le imprese. Quando le aziende riescono a capire meglio le norme e soprattutto ad applicarle più facilmente, allora si riesce davvero a proteggere i cittadini, perché sono le imprese a svolgere le attività di trattamento dei dati o quelle legate ai sistemi di intelligenza artificiale. Quindi semplificare davvero significa anche comprendere le esigenze dei mercati. Un altro punto importante è che esistono soluzioni concrete: per esempio noi proponiamo di allargare le maglie di esenzione del consenso per quei trattamenti che, come indicano anche i garanti europei, sono a basso impatto. Parliamo della prevenzione delle frodi, di alcune misurazioni e della pubblicità non profilata, cioè casi in cui i trattamenti non sono invasivi per gli utenti. In queste situazioni continuare a presentare banner crea soltanto fastidio senza un reale impatto sulla tutela. In sostanza l’obiettivo deve essere proteggere le persone senza indebolire il sistema digitale europeo: privacy e competitività non sono nemici, ma obiettivi paralleli che possono convivere attraverso regole più semplici, coerenti e tecnicamente applicabili».
