Il Garante per la protezione dei dati personali ha dato parere negativo sul decreto che fissa le regole della piattaforma per la raccolta delle firme online per referendum e progetti di legge. Nella risposta al Ministero per l’Innovazione, resa nota martedì, l’Autorità afferma che “sono troppi i profili critici emersi dall’esame di un provvedimento che incide su istituti di democrazia diretta costituzionalmente garantiti, quali appunto i referendum”. Secondo l’Autorità, il testo non prevede adeguate tutele per il pieno rispetto dei diritti e delle libertà fondamentali dei cittadini: il rischio rilevato è che “il trattamento dei dati dei sottoscrittori competa […] al gestore della piattaforma” al quale è demandato l’intero sviluppo dell’infrastruttura, secondo regole che lui stesso redigerà e che non verranno sottoposte all’esame del Garante e del Ministero della Giustizia. Il Garante invita pertanto il Ministero a “una profonda revisione del testo”.
Guido Scorza, componente del collegio del Garante per la protezione dei dati, spiega in questo post le ragioni del No e perché non si tratta di una bocciatura dello strumento del voto online.
[ndr]
***
Come era prevedibile il parere con il quale il Garante per la protezione dei dati personali ha rilevato numerose criticità nel testo del decreto del Presidente del consiglio dei Ministri con il quale avrebbero dovuto essere disciplinate, in forza di quanto previsto dalla legge del 2020 che ha istituito una piattaforma per “la raccolta delle firme degli elettori necessarie per i referendum” e le leggi di iniziativa popolare, “le caratteristiche tecniche, l’architettura generale, i requisiti di sicurezza, le modalità di funzionamento della stessa piattaforma, i casi di malfunzionamento”, ha acceso un vivace dibattito.
Secondo un copione che, specie negli ultimi anni abbiamo visto andare in scena con una certa frequenza, in questo dibattito il Garante per la protezione dei dati personali viene talvolta considerato reo di mettersi di traverso rispetto alla trasformazione digitale del Paese e la privacy di essere un ostacolo a questo o quel progetto a alto contenuto innovatore.
Si tratta, naturalmente, di un’opinione legittima al pari di ogni altra opinione. E, tuttavia, certamente il parere in questione non può rappresentare un elemento di prova di tali pretese istanze anti-innovatrici del Garante.
Il “no” del Garante non è – e non avrebbe neppure potuto essere trattandosi di una scelta già compiuta dal Parlamento e estranea alle proprie competenze – un “no” all’idea di utilizzare il digitale per “rimuovere gli ostacoli che impediscono la piena inclusione sociale delle persone”, specie quelle con disabilità, né per “garantire loro il diritto alla partecipazione democratica” secondo le finalità individuate nella legge del 2020 che ha istituito la piattaforma in questione.
Il “no” del Garante è, esattamente al contrario, un “no” all’idea che la trasformazione digitale che potrebbe e dovrebbe rappresentare il più potente strumento di amplificazione dei diritti e delle libertà delle persone a cominciare, naturalmente, da quelli fondamentali e costituzionalmente garantiti si trasformi nel suo opposto ovvero in uno strumento di affievolimento di tali diritti e di aumento dei rischi democratici connessi al loro esercizio. E le motivazioni alla base di questa conclusione sono facili e accessibili anche ai non addetti ai lavori come spesso capita per le decisioni semplicemente giuste, ragionevoli, assunte nell’interesse delle persone e a garanzia dei diritti e delle libertà.
Ecco le principali.
Il procedimento per la raccolta delle firme necessarie a referendum e leggi di iniziativa popolare è disciplinato innanzitutto dalla Costituzione e, quindi, dalla legge che ha dato attuazione ai precetti costituzionali. Tale disciplina identifica una serie di soggetti quali i promotori del referendum, l’ufficio centrale per i referendum presso la Corte di Cassazione, la Camera dei Deputati nel procedimento strumentale all’adozione delle leggi di iniziativa popolare e, naturalmente, gli elettori.
Ciascuno di tali soggetti, come è giusto che sia, ha propri ruoli, competenze e responsabilità rigorosamente identificati dalla legge.
In tale contesto il draft del decreto del Presidente del Consiglio dei Ministri introduce, senza, peraltro, neppure preoccuparsi di identificarlo puntualmente, un nuovo soggetto non contemplato dalla legge: il gestore della piattaforma per la raccolta delle firme. Tale soggetto, nella versione digitale delle procedure per la raccolta delle firme, avrebbe, naturalmente, un ruolo di assoluto protagonista giacché tutti i dati e le informazioni necessarie transiterebbero per i suoi sistemi e verrebbero scambiati e conservati sotto la sua responsabilità giuridica e tecnologica.
Si tratterebbe, in sostanza, del deus ex machina del processo referendario.
È davvero difficile, in tale contesto, accettare l’idea che tale soggetto sin qui non identificato in nessuna norma di legge, non venga identificato neppure nel draft di Decreto del Presidente del Consiglio dei ministri se non con un generico riferimento a una “persona giuridica a cui la Presidenza del Consiglio dei Ministri affida la realizzazione, la gestione e la manutenzione della piattaforma”.
Ed è altrettanto difficile condividere l’idea che tale soggetto sia scelto e dipenda, almeno nella dimensione contrattuale, dalla Presidenza del Consiglio dei Ministri e, quindi, ancora una volta, nella sostanza, dal Governo un soggetto che, per ragioni agevolmente comprensibili, la disciplina referendaria e quella relativa alle leggi di iniziativa popolare vuole terzi e estraneo alle relative procedure. Se a tutto questo si aggiunge che i dati personali che tale non meglio identificato gestore della piattaforma, alle dipendenze della Presidenza del Consiglio dei Ministri si troverebbe a trattare sono dati particolari in quanto idonei a rivelare le opinioni politiche di milioni di persone, probabilmente, è facile per chiunque comprendere, già sotto tale profilo, le ragioni del necessario “no” del garante alla disciplina sottoposta al suo parere.
Ma c’è un’altra ragione, solo per limitarsi alle due principali, non meno significativa della prima.
Come si è detto il decreto, secondo quanto previsto dalla legge istitutiva della piattaforma avrebbe dovuto, sentito il Garante per la protezione dei dati personali, disciplinare “le caratteristiche tecniche, l’architettura generale, i requisiti di sicurezza, le modalità di funzionamento della stessa piattaforma, i casi di malfunzionamento”. Il draft del Decreto, tuttavia, date poche indicazioni di alto livello – non sempre, peraltro, puntuali e coerenti l’una con l’altra – in relazione a tali questioni, demanda poi al “manuale operativo” della piattaforma da redigersi a cura del nominando gestore della piattaforma, d’intesa con il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri senza, in questo caso, sentire il Garante, la “descrizione” delle “caratteristiche tecniche, delle regole tecniche, e dei requisiti di sicurezza della piattaforma”.
Un po’ il “gioco delle scatole cinesi” ma, in questo caso, un gioco che finisce con l’affidare a un soggetto non identificato – e che non è ancora neppure chiaro se sarà pubblico o privato, né da chi sarà controllato – il compito di identificare misure organizzative e tecnologiche che potrebbero garantire effettivamente la solidità del processo in questione e del trattamento dei dati personali di milioni di persone o, al contrario, esporli a inimmaginabili rischi con ricadute rilevanti anche sul versante democratico e costituzionale.
Non sono questi i presupposti per fare del digitale quello straordinario amplificatore dei diritti e delle libertà delle persone che tutti vogliamo che sia e, quindi, forse, dire “no” all’idea che si vada verso una digitalizzazione qualsiasi anche a costo di affievolire le garanzie, i diritti e le libertà delle persone è, al contrario di quel che appare, il modo migliore per supportare, sostenere e promuovere la buona digitalizzazione della società e della democrazia che non può che essere nel segno del rispetto dei diritti e delle libertà a cominciare da quelli fondamentali come, appunto, il diritto alla privacy.
E pazienza se il prezzo da pagare è sentirsi additare come nemici dell’innovazione.
Nota di trasparenza: sono componente del Garante per la protezione dei dati personali