Cookie free: nessun "biscotto" per spiare i lettori. Sono in corso di eliminazione i link di facebook, che tracciano chi clicca su "mi piace" o "condividi"

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

"Articolo 9", un grave problema di comunicazione

Privacy e sicurezza - Manlio Cammarata - 27 ottobre 2021

Ancora polemiche sugli "eccessi di privacy" e sulla sua presunta "abolizione" da parte del Governo, con l'articolo 9 del decreto-legge N. 139. Da una parte il professor Burioni insiste: «Quali sono stati i costi sociali, economici, sanitari e in termini di vite perdute dell'ostilità feroce alle applicazioni di tracciamento in nome della intoccabile privacy?» (Twitter, 14 ottobre). Dall'altra interviene l'ex-direttore del Corriere della sera Ferruccio de Bortoli, con un articolo su 7 del  22 ottobre. Le sue osservazioni meritano un approfondimento.

De Bortoli affronta la questione con la pacatezza che gli è propria (e che avevo auspicato nel primo articolo sull'argomento La privacy abolita per decreto? Cerchiamo di capire). E scrive:

«Una delle vittime collaterali del Covid è la privatezza. Detto in questo modo non significa nulla. Per tutti è la privacy. Per combattere il virus l’abbiamo necessariamente ristretta. Lo prevede la legge quando è necessario tutelare un bene pubblico come la salute. Con la contestata estensione dell’obbligatorietà del green pass ai luoghi di lavoro, un fondamentale diritto soggettivo si è però trasformato addirittura in un fastidioso intralcio [...]
I controlli, a volte bizantini e macchinosi, sono per molti un’inutile perdita di tempo. Per tanti altri, al contrario, una seppur fragile barriera a difesa della riservatezza. Negli ultimi tempi è cresciuta però un’onda invisibile di irritazione verso la massa indistinta di moduli per il consenso informato firmati con un senso devastante di noia. Perché tutta questa burocrazia quando abbiamo la sensazione, nonostante le norme lo vietino, che i social sappiano tutto di noi (anche per la nostra ingenua collaborazione) e che ormai non vi siano più segreti grazie al geoposizionamento, al microtargeting, al riconoscimento facciale? Le nostre vite sono spiate e non sappiamo poi esattamente da chi. Qual è il giudice al quale, in caso di controversia, potremmo rivolgerci? Nessuno è in grado di rispondere».

La risposta c'è, almeno sulla carta: per il GDPR, contro le intrusioni dei giganti del web il giudice è l'autorità di controllo della Repubblica d'Irlanda (Data Protection Commission), perché la maggior parte degli Over The Top vi si è furbescamente stabilita per operare nell'Unione Europea. Oltre al trattamento fiscale di favore, i signori del web si avvantaggiano dell'inerzia istituzionale nella protezione dei dati personali: secondo Wired del 28 aprile 2021, In Irlanda il Garante della privacy ha chiuso 7 casi su 10mila in un anno.

Ma ritorniamo in Italia e all'art. 9 del decreto-legge 139, che introduce le due contestate modifiche al sempre più rattoppato DLGV 196/03, il cosiddetto "Codice privacy". I punti cruciali sono due: il nuovo comma 1-bis dell'art. 2-ter, e la soppressione dell'art. 2-quinquiesdecies. Per i non addetti ai lavori, ricordo che il "Codice privacy" contiene le disposizioni nazionali in materia di protezione dei dati personali, nei limiti previsti dall'intoccabile regolamento europeo 2016/679, noto come GDPR (General Data Protection Regulation).
Vediamo più in dettaglio le due novità.

1. Il nuovo comma dell'art. 2-ter stabilisce che qualsiasi trattamento svolto da una pubblica amministrazione "è sempre consentito se necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri a essa attribuiti". Ma con tutte le garanzie previste dal GDPR (indicazione del titolare e della finalità del trattamento ecc.). In sostanza, per le pubbliche amministrazioni non vale il divieto generale di trattare i dati, anche "particolari", fermi restando però i principi fondamentali per la protezione dei dati.

2. L'abrogato art. 2-quinquiesdecies stabiliva che "Con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati ai sensi dell’articolo 35 del Regolamento, il Garante può, sulla base di quanto disposto dall’articolo 36, paragrafo 5, del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio, prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare".

Per capire: l'art. 36, par. 5 del GDPR dice: "...il diritto degli Stati membri può prescrivere che i titolari del trattamento consultino l'autorità di controllo, e ne ottengano l'autorizzazione preliminare, in relazione al trattamento da parte di un titolare del trattamento per l'esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica".

"Titolare del trattamento", diceva la norma italiana abrogata, senza distinzioni, comprese quindi le istituzioni e la pubblica amministrazione. Un punto critico, che poteva suscitare dubbi di costituzionalità: se il titolare del trattamento è, per esempio, un ministero o una regione, deve chiedere un'autorizzazione preliminare a una "autorità" di incerta natura costituzionale, per l'esecuzione di un "compito di interesse pubblico" in materia di protezione sociale o sanità pubblica?
I compiti di interesse pubblico sono stabiliti dalla legge (o da un atto equivalente, come un decreto-legge). Ma per l'art. 2-quinquiesdecies il Parlamento e il Governo avrebbero dovuto "chiedere il permesso" al Garante per emanare una disposizione che riguarda la protezione sociale e la sanità pubblica. Una norma inaccettabile.

Eliminato l'art. 2-quinquiesdecies, il nuovo comma 1-bis dell'art. 2-ter sancisce l'autonomia della pubblica amministrazione "per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri a essa attribuiti". Specificando che "La finalità del trattamento, se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall'amministrazione, dalla società a controllo pubblico in coerenza al compito svolto o al potere esercitato, assicurando adeguata pubblicità all'identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano".

In parole povere: anche se le pubbliche amministrazioni svolgono trattamenti senza il permesso preventivo del Garante, non si toccano i principi e le garanzie del GDPR. E allora, qual è il problema? Leggiamo ancora l'articolo di Ferruccio de Bortoli:

"È però il modo che “ancor ci offende”. Se la tutela dei dati personali è così rilevante – a maggior ragione nel momento in cui vi è una grande tensione sociale e politica legata al green pass – una misura di tale delicatezza avrebbe meritato non solo una discussione più ampia, ma anche un provvedimento ad hoc".

Si può obiettare che la discussione più ampia sarà nel Parlamento, nella conversione in legge del decreto. E in quella sede le norme contestate potranno essere modificate o cancellate. Ma non è questo il punto. Se il Governo – e i governi che lo hanno preceduto –  fossero stati più attenti alla trasparenza, se avessero spiegato con chiarezza le ragioni e le finalità dei provvedimenti, tutto sarebbe stato più semplice.
Qualcuno ricorderà l'efficacia degli spot televisivi di vent'anni fa contro l'AIDS. Anche contro il Covid-19 si è tentato qualcosa di simile, ma troppo poco e, soprattutto, senza sfruttare la capacità persuasiva delle piattaforme sociali. Che vent'anni fa non c'erano.

Se ci fosse stata una comunicazione più efficace, forse non avremmo dovuto registrare rifiuti diffusi e risse (non solo verbali) su disposizioni di buon senso, come il green pass o l'obbligo di vaccinazione per determinate categorie. Ma così non è stato, non solo in Italia. Con le conseguenze terribili che leggiamo ogni giorno nei bollettini sull'evoluzione della pandemia.

Per intervenire su questo argomento clicca qui
Inizio pagina     Indice di questa sezione      Home
InterLex su Facebook
Manlio Cammarata - IL FURBOFONO
Arma di sorveglianza di massa che limita la nostra libertà. Possiamo difenderci?
Un piccolo libro per capire come le tecnologie "smart" invadono la nostra vita privata e influenzano le nostre scelte.
Per saperne di più
Leggi le prime pagine
Le recensioni
Stampato o ebook
Acquistalo su Amazon
Storie italiane di spionaggio
IL COLONNELLO REY
Il colonnello Rey su Facebook

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2021 -  Informazioni sul copyrightPrivacy