|
Ancora polemiche sugli "eccessi di
privacy" e sulla sua presunta "abolizione" da parte del Governo, con l'articolo
9 del decreto-legge N. 139. Da una parte il professor Burioni insiste: «Quali sono stati i costi sociali, economici, sanitari e in termini di vite perdute dell'ostilità feroce alle applicazioni di tracciamento in nome della intoccabile privacy?»
(Twitter, 14 ottobre). Dall'altra interviene l'ex-direttore
del Corriere della sera Ferruccio de Bortoli, con un articolo su 7 del 22 ottobre. Le sue osservazioni meritano
un approfondimento.
De Bortoli affronta la questione con la pacatezza che gli è propria (e che
avevo auspicato nel primo articolo sull'argomento La privacy abolita per decreto?
Cerchiamo di capire). E scrive:
«Una delle vittime collaterali del Covid è la privatezza. Detto in questo modo non significa nulla. Per tutti è la privacy. Per combattere il virus l’abbiamo necessariamente ristretta. Lo prevede la legge quando è necessario tutelare un bene pubblico come la salute. Con la contestata estensione dell’obbligatorietà del green pass ai luoghi di lavoro, un fondamentale diritto soggettivo si è però trasformato addirittura in un fastidioso intralcio
[...]
I controlli, a volte bizantini e macchinosi, sono per molti un’inutile perdita di tempo. Per tanti altri, al contrario, una seppur fragile barriera a difesa della riservatezza. Negli ultimi tempi è cresciuta però un’onda invisibile di irritazione verso la massa indistinta di moduli per il consenso informato firmati con un senso devastante di noia. Perché tutta questa burocrazia quando abbiamo la sensazione, nonostante le norme lo vietino, che i social sappiano tutto di noi (anche per la nostra ingenua collaborazione) e che ormai non vi siano più segreti grazie al geoposizionamento, al microtargeting, al riconoscimento facciale? Le nostre vite sono spiate e non sappiamo poi esattamente da chi. Qual è il giudice al quale, in caso di controversia, potremmo rivolgerci? Nessuno è in grado di rispondere».
La risposta c'è, almeno sulla carta: per il GDPR, contro le intrusioni dei giganti del web
il giudice è l'autorità di controllo della Repubblica d'Irlanda (Data Protection Commission),
perché la maggior parte degli Over The Top vi si è furbescamente
stabilita per operare nell'Unione Europea. Oltre al trattamento fiscale
di favore, i signori del web si avvantaggiano dell'inerzia istituzionale nella protezione dei dati personali: secondo Wired del 28 aprile 2021, In Irlanda il Garante della privacy ha chiuso 7 casi su 10mila
in un anno.
Ma ritorniamo in Italia e all'art. 9 del decreto-legge 139, che introduce le due
contestate modifiche al sempre più rattoppato DLGV 196/03, il cosiddetto "Codice privacy".
I punti cruciali sono due:
il nuovo comma 1-bis
dell'art. 2-ter, e la soppressione dell'art. 2-quinquiesdecies.
Per i non addetti ai lavori, ricordo che il "Codice privacy"
contiene le disposizioni nazionali in materia di protezione dei dati personali,
nei limiti previsti dall'intoccabile regolamento europeo 2016/679, noto come
GDPR (General Data Protection Regulation).
Vediamo più in dettaglio le due novità.
1. Il nuovo comma dell'art. 2-ter stabilisce che qualsiasi trattamento svolto da
una pubblica amministrazione "è sempre consentito se necessario per
l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di
pubblici poteri a essa attribuiti". Ma con tutte le garanzie previste dal
GDPR (indicazione del titolare e della finalità del trattamento ecc.). In
sostanza, per le pubbliche amministrazioni non vale il divieto generale di
trattare i dati, anche "particolari", fermi restando però i principi
fondamentali per la protezione dei dati.
2. L'abrogato art. 2-quinquiesdecies stabiliva che "Con riguardo ai
trattamenti svolti per l’esecuzione di un compito di interesse pubblico che
possono presentare rischi elevati ai sensi dell’articolo 35 del Regolamento,
il Garante può, sulla base di quanto disposto dall’articolo 36, paragrafo 5,
del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio,
prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare
del trattamento è tenuto ad adottare".
Per capire: l'art. 36, par. 5 del GDPR
dice: "...il diritto degli Stati membri può prescrivere che i titolari del
trattamento consultino l'autorità di controllo, e ne ottengano l'autorizzazione
preliminare, in relazione al trattamento da parte di un titolare del trattamento
per l'esecuzione, da parte di questi, di un compito di interesse pubblico, tra
cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica".
"Titolare del trattamento", diceva la norma italiana abrogata, senza
distinzioni, comprese
quindi le istituzioni e la pubblica amministrazione. Un punto critico, che
poteva suscitare dubbi di costituzionalità: se il titolare del trattamento è,
per esempio, un ministero o una regione, deve chiedere un'autorizzazione
preliminare a una "autorità" di incerta natura costituzionale, per l'esecuzione
di un "compito di interesse pubblico" in materia di protezione sociale
o sanità pubblica?
I compiti di interesse pubblico
sono stabiliti dalla legge (o da un atto equivalente, come un decreto-legge). Ma
per l'art. 2-quinquiesdecies il Parlamento e il Governo avrebbero dovuto "chiedere il permesso" al
Garante per emanare una disposizione che riguarda la protezione sociale e la
sanità pubblica. Una norma inaccettabile.
Eliminato l'art. 2-quinquiesdecies, il nuovo comma 1-bis
dell'art. 2-ter sancisce l'autonomia della pubblica amministrazione
"per l'adempimento di un compito svolto nel pubblico interesse o per
l'esercizio di pubblici poteri a essa attribuiti". Specificando che "La
finalità del trattamento, se non espressamente prevista da una norma di legge
o, nei casi previsti dalla legge, di regolamento, è indicata
dall'amministrazione, dalla società a controllo pubblico in coerenza al compito
svolto o al potere esercitato, assicurando adeguata pubblicità all'identità
del titolare del trattamento, alle finalità del trattamento e fornendo ogni
altra informazione necessaria ad assicurare un trattamento corretto e
trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere
conferma e comunicazione di un trattamento di dati personali che li riguardano".
In parole povere: anche se le pubbliche amministrazioni svolgono trattamenti
senza il permesso preventivo del Garante, non si toccano i principi e le garanzie del GDPR. E allora, qual è il
problema? Leggiamo ancora l'articolo di Ferruccio de Bortoli:
"È però il modo che “ancor ci offende”. Se la tutela dei dati personali è così rilevante
– a maggior ragione nel momento in cui vi è una grande tensione sociale e politica legata al green pass
– una misura di tale delicatezza avrebbe meritato non solo una discussione più ampia, ma anche un provvedimento ad
hoc".
Si può obiettare che la discussione più ampia sarà nel Parlamento, nella
conversione in legge del decreto. E in quella sede le norme contestate potranno essere modificate o cancellate. Ma non è questo il punto. Se il
Governo – e i governi che lo hanno preceduto – fossero stati più
attenti alla trasparenza, se avessero spiegato con chiarezza le ragioni e le
finalità dei provvedimenti, tutto sarebbe stato più semplice.
Qualcuno ricorderà l'efficacia degli spot
televisivi di vent'anni fa contro l'AIDS. Anche contro il Covid-19 si è
tentato qualcosa
di simile, ma troppo poco e, soprattutto, senza sfruttare la capacità
persuasiva delle piattaforme sociali. Che vent'anni fa non c'erano.
Se ci fosse stata una comunicazione più efficace, forse non avremmo dovuto
registrare rifiuti diffusi e risse (non solo verbali) su disposizioni di buon
senso, come il green pass o l'obbligo di vaccinazione per
determinate categorie. Ma così non è stato, non solo in Italia. Con le
conseguenze terribili che leggiamo ogni giorno nei bollettini sull'evoluzione
della pandemia.
|
sulle novità di
InterLex
Informazioni sul copyright