Il decreto legge “Capienze” approvato dal governo giovedì scorso contiene anche una norma sulla privacy che sta facendo molto discutere. Persino troppo, secondo alcuni esperti interpellati da IlFattoquotidiano.it. La norma in questione, chiaramente ispirata al codice della privacy tedesco che viene “tradotto” pressoché testualmente, dispone che le pubbliche amministrazione possano utilizzare dati personali (non però quelli sensibili come ad esempio informazioni sanitarie ) senza una preventiva legge che lo autorizzi, quando questo è giustificato da finalità di interesse pubblico. La scelta di replicare la norma tedesca non va però letta come una soluzione di comodo, quanto piuttosto come un modo per mettere al riparo la norma da qualsiasi eventuale rilievo da parte di Bruxelles.
L’articolo 9 del decreto dispone che “In coerenza col quadro normativo europeo, il decreto in parola introduce alcune agevolazioni alla disciplina prevista dal decreto legislativo 196/2003 del trattamento dei dati con finalità di interesse pubblico. Sono stati ridotti a 30 giorni i termini per l’espressione dei pareri del Garante in merito al Pnrr”. Anche la riduzione dei termini da 45 a 30 giorni cambia poco, comunque la tempistica mal si concilia con la dimensione degli organici in forza presso il Garante: i pareri non arrivavano in tempo prima e non lo faranno ora.
Va precisato che la modifica non significa che vengano meno le regole che tutelano la riservatezza personale, alla quali la P.a. deve comunque attenersi. Il Garante per la privacy potrà però intervenire ex post, e non più in via preventiva come accedeva invece in precedenza. La modifica sembra essere funzionale per l’attività svolta dalla grandi amministrazioni, meno per le piccole che, non avendo più una puntuale base legislativa di riferimento, potrebbero incorrere in qualche incidente. Esempio del tutto ipotetico: un piccolo comune che investe per dotarsi di videosorveglianza che viene contestata ex post dal Garante, dopo che la spesa è stata ormai fatta.
“La mia prima valutazione è nel complesso positiva”, spiega a Ilfattoquotidiano.it Giorgio Resta, docente di diritto privato comparato all’Università Roma tre. “Accade spesso le esigenze di innovazione della pubblica amministrazione vengano ostacolate dalla mancanza della specifica norma autorizzativa per il trattamento dei dati, questa modifica semplifica le cose e responsabilizza le amministrazioni che devono comunque rendere conto delle finalità pubbliche perseguite e della congruità del modo in cui i dati vengono utilizzati, in particolare con riferimento alla proporzionalità e alla minimizzazione“, continua il docente che aggiunge: “Non dimentichiamo inoltre che si tratta di dati comuni e non di dati sensibili”. Il Garante, puntualizza il docente, continuerà a vigilare e a intervenire, solo verrà reso un po’ più semplice il lavoro della P.a. che, tra l’altro, non potrà più nascondersi dietro la mancanza dell’autorizzazione al trattamento dei dati per giustificare una sua eventuale inazione. “La norma”, conclude Resta, “mi pare peraltro sostanzialmente in linea con il paradigma dell’accountability (responsabilità, ndr) intorno a cui ruota l’intero regolamento Ue sulla privacy Gdpr, stimolando una valutazione responsabile da parte della P.a. circa le finalità perseguite, le modalità di uso dei dati e il rispetto delle regole”.
Il pensiero corre subito, ed inevitabilmente, all’Agenzia delle Entrate per cui sarà ora più agevole incrociare banche dati nella sua azione di contrasto all‘evasione fiscale, fenomeno che in Italia ha un peso circa doppio, in rapporto al Pil, rispetto a Francia o Germania. Secondo l’ex ministro delle Finance Vicenzo Visco un’evoluzione assolutamente positiva: “Una vera lotta all’evasione si fa solo incrociando le banche dati, con l’uso di Intelligenza artificiale e big data”. Ora, continua Visco, “questo può essere fatto solo caso per caso mentre la modifica contenuta nel decreto consente un’azione su larga scala“. L’ex ministro ricorda di auspicare da anni un maggior equilibrio tra finalità di bene pubblico e tutela della privacy, rammentando come il nostro Garante si sia storicamente distinto per eccesso di zelo.
“La prima decisione del Garante”, rievoca Visco, “fu ad esempio quella di oscurare il sito del Consiglio di Stato poiché vi erano pubblicate le sentenze, salvo poi fare marcia indietro dopo essersi accorto che le sentenze sono pubbliche per legge”. Visco dà poi una valutazione tranchant sulla scelta dello strumento del decreto legge, in un caso che, secondo i critici, avrebbe trovato una migliore collocazione in una legge ordinaria . “È l’unico modo perché questa modifica abbia davvero la possibilità di essere approvata, superando la controffensiva delle lobby”. L’economista fa infine notare come questa “ossessione per la privacy” nell’ordinamento italiano abbia una matrice culturale che rimanda alla destra anarchica statunitense, per cui l’individuo prevale sempre sulla collettività e lo Stato è sempre il nemico da combattere. “Non dimentichiamo”, osserva Visco, “che nel frattempo colossi del web come Facebook o Google fanno, indisturbati, carne da macello dei nostri dati. E pare davvero debole la difesa secondo cui nel momento in cui apre un profilo l’utente implicitamente acconsente a questo trattamento”.
Più dubbioso Fulvio Sarzana, giurista esperto di diritto informatico e delle tlc, secondo cui il decreto attribuisce un potere troppo ampio, sproporzionato rispetto alle finalità, alla totalità delle Pubbliche amministrazioni. Un cambiamento che potrebbe portare ad abusi sanzionabili solo ex post. Come ricorda Sarzana, l’analoga disposizione del codice tedesco fu voluta dall’ex ministro delle Finanze (ora vice Cancelliere, ndr) Olaf Scholz con l’obiettivo di poter attingere ai dati fiscali di banche dati sottratte illecitamente, legittimandone l’uso. “Ricordiamo che una volta dichiarata la finalità pubblica qualsiasi P.a. potrà fare uso dei dati, anche affidandoli a parti terze per procedere ad una loro elaborazione”, sottolinea il giurista che aggiunge: “Finché si tratta di lotta all’evasione, per cui comunque esistono già norme apposite, la disposizione potrebbe anche essere condivisibile, ma andrebbe in ogni caso meglio e più dettagliatamente circoscritta”. Secondo Sarzana infine non è del tutto casuale che la novità introdotta dal decreto arrivi poco prima del debutto del cloud nazionale.