Il governo “balneare” – nel senso che dopo qualche giorno sarebbe andato in vacanza istituzionale – del presidente Paolo Gentiloni, prima di andare – appunto – in ferie, ha lasciato a tutti noi, traumatizzati dalle vicende Facebook/Cambridge Analytica e da altre amenità del genere, un “ricordino” in tema di privacy, dandocene notizia attraverso un trionfante comunicato stampa del 21 marzo scorso.
Nello specifico il Consiglio dei ministri ha approvato, in esame preliminare, il decreto legislativo utile all’adeguamento della normativa nazionale alle disposizioni dettate dal nuovo Regolamento europeo per la protezione dei dati personali delle persone fisiche e per la libera circolazione degli stessi (GDPR). La direttiva attualmente in vigore cesserà di essere applicata dal 25 maggio 2018. Uno schema che non è stato reso pubblico in precedenza, né appare essere stato oggetto di alcuna consultazione preliminare.
Come sempre in questi casi invece di poter disporre di un testo da sottoporre ad una consultazione si è dovuto ricorrere ad alcuni leaks sul testo entrato in Consiglio dei Ministri, ed il sottoscritto, come altri, convinto della necessità di rendere trasparenti tutte le scelte del legislatore ha pubblicato un testo che era circolato in rete. Apriti cielo!
I “Soloni” del diritto hanno subito stigmatizzato il fatto che la pubblicazione di testi normativi in itinere sarebbe una grave violazione dei principi di segretezza dell’attività del governo, come se il popolo “bue” non avesse diritto a sapere cosa decide di fare l’Esecutivo con i propri dati personali, ed eventualmente suggerire modifiche o miglioramenti.
Nel frattempo però il Garante Europeo della protezione dei dati, Giovanni Buttarelli, che evidentemente è convinto – come il sottoscritto – della necessità di scrivere le norme in maniera appropriata, ha dichiarato: “Quello che ho visto mi trova profondamente deluso per tipo di approccio tecnico, per sostanza e per alcune scelte di fondo che trovo un’occasione perduta e non conforme né alla legge delega né al regolamento comunitario – ha continuato Buttarelli – mi auguro che ci sia un’attenzione al margine di manovra e a quello che oggi ha senso presentare come biglietto da visita di un paese che è stato per anni leader in questa materia. Abolire il 167 e non perfezionarlo merita un ripensamento”.
Il Garante Europeo si riferisce ad esempio al fatto che il governo, in aperto contrasto con quanto previsto dalla legge delega, ha deciso di depenalizzare il trattamento illecito di dati. Così i casi più gravi di violazione dei dati personali compiuti, ad esempio da multinazionali o anche istituzioni estere, sono di fatto eliminati. E, a quanto sembra dalle critiche svolte da molti esperti del settore, la depenalizzazione appare essere solo una delle scelte adottate dal governo, per usare le parole di Buttarelli, che sarebbero “non conformi né alla legge delega né al regolamento comunitario”.
Altri gravi dubbi sono nati sulla necessità di abrogare di peso il Codice privacy, che ci aveva posto all’avanguardia in Europa, e sul trasferimento all’interno dello schema normativo di articoli tratti da un diverso testo normativo (la direttiva e-privacy) che sono completamente fuori delega e non c’entrano alcunché con il GDPR.
La norma spuntata dal nulla, dovrebbe essere la risposta Italiana al Regolamento Europeo in materia di trattamento dei dati personali, ma a quanto pare costituisce un palese esempio di quanto le normative dell’esecutivo debbano mutare in un contesto di democrazia diretta oramai irrinunciabile, pena l’isolamento normativo e le logiche conseguenze in sede di impugnazioni. Questo a maggior ragione in un momento in cui la discussione sulla privacy è rovente per le note vicende occorse in queste ultime settimane e per le prese di posizione decise come quella di Mark Zuckerberg, che avrebbe dichiarato di non voler applicare le regole del GDPR al di fuori dell’Europa salvo poi smentire.
La privacy insomma riguarda oramai tutti noi, e tutti dovremmo poter dire la nostra. Le norme sui diritti fondamentali non possono più essere appannaggio, in sede di redazione e di pubblicazione di un ristretto gruppo di soggetti il cui operato non possa essere sindacato, riveduto e corretto dall’aiuto dei cittadini, prima che le norme stesse siano entrate in vigore. Ed appare imprescindibile l’obbligo di “tracciare” i passaggi delle norme e le persone che mettono mano ai vari step, per capire dove e come sono state prodotte norme fondamentali per i cittadini. E soprattutto chi le ha scritte e perché.
Una funzione necessaria che purtroppo è del tutto inapplicata nel nostro ordinamento, pur quando è obbligatoria, è quella della valutazione di impatto delle norme, che prevede un’analisi preventiva in chiave economico-sociale degli atti regolamentari del governo e delle authority pubbliche, ma non ad esempio gli atti di derivazione comunitaria a cui mette mano l’Esecutivo o agli altri atti del governo.
La democrazia muore dietro le porte chiuse dell’amministrazione, scriveva il Giudice della Corte Suprema Statunitense Damon Keith, commentando la richiesta in giudizio di un contadino per conoscere che cosa avesse fatto il primo cittadino del suo villaggio, da cui scaturì il riconoscimento giurisprudenziale del Freedom of information act. Nel villaggio globale di Internet il cittadino italiano si trova di fronte a veri e propri portoni sbarrati e la privacy, da strumento utile per difendere i propri diritti, finisce per assurgere a nuovo strumento di segreto e di esclusione dai diritti costituzionalmente tutelati.