“Tutto dovrebbe essere reso il più semplice possibile, ma non più semplicistico”: questa citazione di Albert Einstein racchiude un principio essenziale che il Legislatore, alle prese con l’adeguamento del quadro normativo nazionale in materia di protezione dei dati personali, avrebbe dovuto tener presente, al pari del principio di accountability, ossia della “responsabilizzazione”, parola d’ordine del GDPR e l’unica, reale rivoluzione contenuta nello stesso.
A ben vedere è proprio la responsabilizzazione del nostro Legislatore ad essere venuta a mancare in un momento storico cruciale per la protezione dei dati personali sulla cui circolazione e aggregazione incessanti si fonda ogni moderna forma di interazione tecnologia e sociale. Il Regolamento dell’Unione europea 2016/679 (in seguito GDPR – General Data Protection Regulation), emanato oltre 20 anni dopo la “direttiva-madre” 95/46 (che viene abrogata) rivoluziona di fatto l’approccio alla protezione dei dati personali, introducendo un regime di accountability, cioè di responsabilizzazione, proprio in ragione del rinnovato paradigma relazionale che ormai ne permea ogni possibile ambito.
Ecco che per l’adeguamento della normativa nazionale al GDPR, la soluzione più semplic(istica) possibile è stata individuata nell’annunciata approvazione di uno schema di decreto legislativo che prevede espressamente l’abrogazione del Codice in materia di protezione dei dati personali. Un Codice, in realtà, autorevole, che vanta una sua storia e che ci ha reso pionieri, più di venti anni fa, in quella stessa Europa, di cui oggi siamo il fanalino di coda. Già, perché l’Italia, caso piuttosto singolare, ha intrapreso il suo percorso di adeguamento in netto ritardo rispetto alle tempistiche da record registrate in altri Paesi Europei, alle prese con questo lavoro già dal 2016. Si è “iniziato” così, solo nel gennaio di quest’anno e lo scorso 21 marzo è stata appunto annunciata dal Consiglio dei ministri l’approvazione di uno schema di decreto, condotta a luci spente e in posizione verosimilmente supina rispetto agli interessi delle multinazionali dei dati.
Mentre il mondo continua a confrontarsi con i dettagli sempre meno rassicuranti emersi della vicenda “Cambridge Analytica”, l’Italia lascia così il fianco scoperto a una mossa potenzialmente incostituzionale, frutto di un palese eccesso di delega, come già osservato da Elena Bassoli. La delega al governo per far fronte al previsto adeguamento imponeva al governo di “abrogare” espressamente (solo e soltanto) le disposizioni del decreto legislativo 196/2003, incompatibili quelle introdotte dal GDPR, modificare il Codice 196/2003 “limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel GDPR”, coordinando, infine le disposizioni vigenti in materia con quelle introdotte dal Legislatore Europeo. Solitamente si cerca sempre di seguire (in modo più o meno rigoroso) la delega ricevuta per non incorrere nell’eccesso previsto dall’art. 76 Costituzione. Con questo schema incredibilmente si è scelto invece di andare proprio da un’altra parte – e in modo piuttosto schizofrenico – non ultimo alla luce dell’annunciata abrogazione anche delle sanzioni penali previste dal Codice che la legge delega aveva espressamente richiesto di mantenere.
Come si spiega tutto ciò? Maliziosamente non si può non sospettare che, a causa dei ritardi nell’affrontare la questione, la data del 25 maggio sembrava ormai a un Legislatore maldestro e svogliato troppo vicina per riuscire a coordinare i dettagli del Codice, operazione sicuramente difficile e dispendiosa. Più comodo gettare all’aria tutto il nostro sistema normativo preesistente, dando anche ai più la pericolosa sensazione che il Regolamento vada in qualche modo ulteriormente precisato e non sia direttamente applicabile nel nostro ordinamento giuridico, tanto da portare qualcuno a consigliare in questi giorni di sospendere qualsiasi adeguamento al GDPR.
Se è vero che l’approccio all’accountability non riguarda solo la parte tecnologica o strettamente organizzativa, ma anche e soprattutto l’assegnazione dei ruoli, sulla base della loro documentata competenza, è ora più che mai necessario comprendere e applicare questo principio, non solo all’interno di un’impresa o di una PA, ma anche e soprattutto nelle “alte sfere”, cioè nei riguardi di chi, in primis, ha il ruolo (anzi, il dovere) di decidere in materia. E’ sempre più urgente che, infatti, la certezza del diritto ci aiuti a garantire la protezione della nostra esistenza (anche quella più intima), dal momento che – secondo quanto paventava tempo fa Stefano Rodotà – siamo diventati tutti cittadini di vetro sempre visibili ai detentori del potere politico ed economico, con un rischio evidente per la libertà e la democrazia. Si chiede a gran voce quindi al legislatore di ritrovare una strada semplice, ma sorretta dal raziocinio. A richiederlo sono oggi molte associazioni autorevoli, che studiano la materia da anni con pazienza e serietà, e conoscono i pericoli di un approccio dettato dalla fretta e dal semplicismo che esporrebbe a rischi l’intero nostro Sistema Paese.
Non possiamo permettercelo.