Intervento di Ginevra Cerrina Feroni, vice Presidente del Garante per la protezione dei dati personali
Il Messaggero, 28 aprile 2021
C’è ancora un bei po’ di strada da fare nel nostro Paese, in punto di cultura di protezione e valore dei dati, se a fronte di misure come quelle adottate in queste settimane dal Governo, il Garante privacy non è stato coinvolto in fase di loro adozione. Obblighi vaccinale per sanitari e certificati verdi per spostarsi tra Regioni rappresentano infatti il più grande ed importante trattamento pubblico di dati “sensibili” della storia della Repubblica. Eppure entrambe le misure presentano gravi criticità sotto il profilo della privacy. Sull’obbligo vaccinale per sanitari non è stabilito, ad esempio, quali sono le categorie di soggetti obbligati, i tempi di conservazione dei dati, le modalità con cui gli ordini professionali e i datori di lavoro devono comunicare alle Asl gli elenchi degli interessati, le misure a garanzia degli interessati. Non sono state stabilite neppure le misure a tutela di coloro che non possono vaccinarsi. Quanto ai certificati verdi, l'”awertimento” recapitato al Governo mette in chiaro che ottenere in via preventiva il parere dell’Autorità su tutti i provvedimenti normativi che coinvolgono dati personali, non è un optional, ma obbligo di legge.
Lo prevede a chiare lettere il Gdpr, ovvero il Regolamento europeo in vigore dal 2018. Il mancato coinvolgimento del Garante nella fase prodromica alla adozione di misure normative di così grande impatto sui dati personali: a) esclude l’apporto tecnico dell’Autorità che, ex lege, è chiamata agarantire la legittimità dei trattamenti di tali dati; b) si pone in aperto contrasto con norme specifiche e puntuali del diritto dell’Unione, con possibili conseguenze in via giudiziaria; c) contraddice i principi fondamentali di ed. “better regulation”, che esigono il confronto e la interlocuzione preventiva; d) priva i cittadini di un filtro di tutela per la protezione di un diritto che l’ordinamento ha riconosciuto come fondamentale.
Inutile dire che il coinvolgimento del Garante non a monte, ma eventualmente a valle al momento dell’attuazione in via amministrativa, pone più problemi che soluzioni, se la comice legislativa nasce inadeguata. C’è bisogno di una presa di coscienza collettiva dell’evidenza che la protezione dati è parte essenziale del rilancio del Paese, a partire dalla definizione del Piano nazionale di ripresa e resilienza (Pnrr) di cui si sta discutendo in queste ore. Semplificazione amministrativa, digitalizzazione, transizione ecologica, riforma Fiscale, giustizia, telemedicina, fascicolo sanitario, solo per citarne alcuni, hanno a che fare con la regolazione di dati, non solo di quelli personali. I dati sono il fulcro del nuovo mondo e della nuova civiltà e nessuna politica pubblica di successo fondata, ad esempio, sull’intelligenza artificiale, potrà prescindere dal ruolo propositivo del Garante nell’attività, innanzitutto, di regolazione, ma anchedi vigilanza e controllo sulla circolazione dei dati pubblici e privati, personali e non personali. Prospettiva miope e, soprattutto, fuori tempo è l’insopportabile refrain di una privacy come intralcio, addirittura ostacolo, all’efficiente azione di Governo. Nelle imprese più virtuose si è già affermata la consapevolezza che la tutela dei dati è strumento di valore e di competitivita nei mercati.
Il Parlamento europeo nella recentissima Risoluzione del 25 marzo 2021 ha richiamato l’urgenza di dotare le autorità privacy europee delle risorse necessarie per adempiere efficacemente ai loro compiti ed esercitare i loro poteri enormemente aumentati. Eppure l’Autorità Garante italiana- diversamente da ciò che accade ad esempio in Germania o nel Regno Unito, e che pure ha assunto, anche a seguito del Regolamento europeo, un ruolo strategico nel Paese, non è dotata delle risorse umane, finanziarie e strumentali adeguate ai compiti che deve esercitare. L’indipendenza di una istituzione la si garantisce dotandola dei mezzi per esercitare le sue funzioni e questa sottovalutazione è la spia che, anche su questo profilo, urge fare un salto di qualità in punto di cultura di protezione e valore dei dati.
Tutelare la privacy oggi significa non tanto proteggere il “diritto ad essere lasciati soli”, ma, soprattutto, conformare un evento inedito, universale e dinamico, come è la società dei dati, ad un nuovo paradigma etico-culturale ancora da costruire. Avere “visione” di ciò sarebbe già un passo decisivo.