Cookie free: nessun "biscotto" per spiare i lettori. Sono in corso di eliminazione i link di facebook, che tracciano chi clicca su "mi piace" o "condividi"

Giovanni Buttarelli: pronti in autunno

Privacy e sicurezza - 15 ottobre 2019

Diciamo meglio, 2296S e 2343S, che sono i numeri dei progetti del Senato decaduti con la fine della passata legislatura. La riproposizione dei due testi già approvati dalla Camera è motivata dalla necessità di evitarne la decadenza. I regolamenti di entrambe le camere prevedono che, se il Governo ripresenta senza modifiche entro sei mesi dallo scioglimento del Parlamento dei testi già approvati da un ramo, questi usufruiscono di una corsia preferenziale. E' il cosidetto "ripescaggio". Questo atto di impulso è motivato dalla necessità di guadagnare tempo nell'iter parlamentare. Ciò non significa che i testi debbano essere approvato tali e quali, però è un segnale molto significativo. Come è significativo che il Consiglio dei Ministri abbia approvato il disegno di legge già nella sua terza o quarta riunione.

C'è da supporre che questa fretta sia dovuta soprattutto alle pressioni intermazionali.

Seguo questa materia in varie sedi internazionali e posso dire che fino a questo momento la nostra immagine è veramente bassa, anche per questo motivo. Adesso c'è una certa fiducia nella nostra volontà di porre rimedio a queste lacune, però all'estero l'inerzia italiana appare veramente incredibile. Si comprende che c'è un dibattito sulla necessità di scegliere tra certi valori, se favorire quelli della privacy o quelli della funzionalità della pubblica amministrazione e delle imprese. Però non si riesce a capire perché il Parlamento non sceglie, privilegiando l'una o l'altra, o bilanciando gli opposti interessi. Questa politica dello struzzo all'estero è incomprensibile. Credo comunque che questa volta ci sia la certezza di avere la legge in tempi assai ravvicinati, molto probabilmente all'inizio dell'autunno.

Credo che occorra partire da ciò che era avvenuto al Senato, dove si era ripetuto il dibattito verificatosi alla Camera: la Commissione affari costituzionali aveva osservato che alcune deroghe, alcune "concessioni" fatte a chi riteneva che il provvedimento fosse troppo protettivo della privacy, erano state eccessive, e invitava a essere più cauti nel prevedere una minore protezione. Poi erano stati presentati oltre duecento emendamenti, anche se in buona parte ripetitivi, e quindi in realtà meno numerosi di quanto apparisse. C'era una parte di emendamenti "di bandiera", che non avevano nessuna speranza di essere presi in considerazione, perché contrari alla direttiva dell'ottobre '95 o alla convenzione di Strasburgo: messi così per fare colore o per prolungare il dibattito in modo di non arrivare all'approvazione prima dello scioglimento delle Camere. C'è invece un'altra serie di emendamenti che possono e debbono essere presi in considerazione, e vanno proprio nel senso dell'anticipazione nel corpo principale della legge di una parte delle misure che si prevedeva di adottare con un decreto delegato del Governo. Noi eravamo partiti dall'idea che l'urgenza della legge comportasse la necessità di inserire nel progetto la maggior parte possibile della direttiva, circa il settanta per cento, e il trenta per cento lo avevamo riservato al decreto delegato. Questo anche per beneficiare della riflessione che è in atto a Bruxelles sul modo migliore di attuare questo trenta per cento (per esempio riguardo alla deternimazione della legge appicabile). Ci sono stati emendamenti per riprendere alcune parti più "restrittive" o più "favorevoli" della direttiva e metterle nel provvedimento principale. Questo lavoro tecnico è già stato approfondito, e quindi non ci sono difficoltà, ferma restando la necessità di verificare la correttezza giuridica di questi emendamenti. Ma avremo molto da fare soprattutto dopo l'emanazione della legge, perché negli altri paesi è già iniziato il dibattito sul modo in cui la direttiva può essere applicata nel mondo delle tecnologie dell'informazione, soprattutto in Internet. Nel prossimo autunno ci sarà una conferenza internazionale dei garanti, che dedicherà molte energie a questo argomento, e c'è un gruppo di funzionari della UE che sta approfondendo questa tematica. Mentre noi ancora siamo agli albori, perché ci occuppiamo di cose che avremmo dovuto risolvere venti anni fa. Intanto il contesto internazionale è andato avanti, perché c'è già una proposta assai avanzata di una nuova direttiva comunitaria sulla protezione della privacy nel settore delle telecomunicazioni, condotta in porto durante il nostro semestre di presidenza. Questa direttiva aggiungerà qualcosa alla precedente e quindi offrirà degli scenari diversi. Per esempio, si occupa del diritto di comparire o non comparire negli elenchi telefonici, o della disciplina dell'identificazione del chiamante sulle linee ISDN. Qui c'è da una parte il diritto di chi chiama di sopprimere l'identificativo, e viceversa il diritto di chi è chiamato di non essere molestato da telefonate anonime. Ci sono anche riferimenti a chi, nell'ambito delle reti, è responsabile della sicurezza, un altro aspetto che la direttiva generale non aveva risolto.

Per il momento è tutto affidato alla buona volontà dei singoli operatori, dopo l'approvazione della legge le misure di sicurezza saranno obbligatorie per l'applicazione dell'articolo 15. C'è da osservare poi che il progetto della rete unitaria della pubbblica amministrazione porterà inevitabilmente alla redazione di norme aggiuntive per disciplinare aspetti che altrimento ostacolerebbero il processo di rinnovamento: penso ad esempio al pieno riconoscimento giuridico del documento e della elettronico e della firma digitale, e all'identificazione di alcune regole, se si riterrà di farlo, in materia di crittografia. A questo riguardo il Belgio ha adottato alcune settimane orsono una legge in materia di crittografia, molto breve e molto simile a quella francese, che probabilmente a mio avviso è superata. Comunque è una disciplina tutta nazionale, che non so quanto sarà efficace. Anche il dibattito che è in atto negli Stati Uniti sull'esportazione dei software per la crittografia è la dimostrazione che una disciplina interna non può risolvere il problema. Non so se matureranno le condizioni per un accordo internazionale. Nel farattempo però, facendo tesoro del dibattito americano, si potrebbe pensare ad una disciplina "soft", che faccia un uso apprezzabile dei codici di autoregolamentazione.