Il Gdpr alla “prova” del covid-19: così la normativa Ue sta vincendo la sfida | Agenda Digitale

privacy vs salute

Il Gdpr alla “prova” del covid-19: così la normativa Ue sta vincendo la sfida

In queste settimane di emergenza sanitaria, non è passata inosservata la tendenza, da più fronti, a accusare il GDPR di aver fallito, o meglio, non aver raggiunto i risultati sperati sul piano dell’enforcement. Il Covid-19, sta invece dimostrando la grande duttilità e resilienza della normativa. Vediamo come

13 Mag 2020
Rocco Panetta

avvocato, managing partner di Panetta & Associati, esperto di Internet e Privacy, Country Leader per l’Italia di IAPP International Association of Privacy Professionals


L’emergenza Covid-19, sta dimostrando con una certa evidenza la grande duttilità e resilienza del Gdpr, che pure viene attaccato da più fronti, anche con l’accusa di aver ostacolato la lotta contro l’epidemia.

Accuse che non trovano, però, un riscontro oggettivo nella realtà dei fatti. Vediamo perché, augurandoci, innanzitutto che tra i tanti cambiamenti auspicabili guardando oltre l’emergenza covid-19, sia importante soffermarsi sulla percezione dei propri diritti.

Mai come in questi mesi, dal secondo dopoguerra in poi, infatti, i nostri diritti fondamentali hanno subito una tale, diffusa, compressione. Per salvaguardare il diritto alla salute, che in circostanze come queste si identifica con il diritto alla vita, altri principi e libertà sanciti dalla Costituzione hanno dovuto – momentaneamente – cedere il passo. Quando il piatto della bilancia non dovrà più sopportare il peso di una pandemia quelle stesse libertà, trascurate e mai abbandonate, troveranno di nuovo respiro e applicazione. Confido allora che tali diritti “quotidiani”, come mai prima d’ora sbandierati nella loro temporanea assenza, potranno essere nuovamente e maggiormente apprezzati.

La fame e la sete di libertà, d’altronde, aumentano proprio quando se ne viene privati.

Diritto alla salute vs diritto alla privacy

Molte volte in queste settimane abbiamo assistito, in Italia, ma anche nel resto del mondo, a dibattiti caratterizzati da un massimalismo brutale, volto a contrapporre diritti e libertà nella logica dicotomica del diritto alla salute contro tutto e tutti.

La vittima prediletta di queste forme subdole e violente di pensiero semplicistico e strumentale è, manco a dirlo, quasi sempre la privacy, che se ridotta a pura tutela della riservatezza dell’individuo è chiaro che non possa reggere da sola il peso sulla bilancia della tutela della salute collettiva.

Peccato che privacy è categoria sintetica che evoca, presuppone e cela piuttosto ogni categoria di diritto fondamentale e libertà nella declinazione dinamica del trattamento dei dati personali, ponendosi quindi come condizione irrinunciabile per l’esercizio e il godimento di ogni altro diritto garantito dalla Costituzione repubblicana.

WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?

Ecco perché, in una società come quella contemporanea dove il trattamento dei dati è alla base di ogni attività organizzata e socialmente rilevante svolta dall’essere umano, parlare di privacy in maniera distratta e superficiale è un pericoloso indice di assenza di quella coscienza civile che ha permesso alla nostra società di crescere, maturare e combattere per la libertà contro la tirannia delle dittature del secolo scorso, garantendoci 75 anni consecutivi di godimento dei diritti democratici costituzionali.

Il dibattito sull’app Immuni

Ne è testimonianza il travagliato iter ed il relativo dibattito sull’app “Immuni” – sulla quale nel frattempo è arrivata anche la norma del Governo, preceduta dal puntuale parere dell’Autorità Garante per la Protezione dei Dati Personali, in primissima linea in questi mesi, a tutela e garanzia di tutti – il quale ha rivelato, in rete come sui giornali, una diffusa considerazione della propria riservatezza digitale che non mi sembra un azzardo definire senza precedenti. Non ho motivo di dubitare che la scelta dell’app, proprio perché operata da esperti di indubbia professionalità e sottoposta al vaglio dell’Autorità Garante, porterà agli esiti sperati, se integrata con politiche di contrasto al contagio sul territorio attraverso tamponi e test sierologici diffusi. Ma il Paese si è diviso proprio sui temi della privacy e non sempre correttamente, quando invece si sarebbe dovuto mobilitare per pretendere più test diagnostici per tutti. Alcuni hanno sollevato legittime preoccupazioni, egregiamente sintetizzate nella lettera promossa da Nexa Center for Internet & Society, sottoscritta da centinaia di giuristi, intellettuali, professionisti e persone comuni come chi scrive, altri invece hanno usato mediaticamente la vicenda, polarizzando la discussione che ha generato anche l’odioso appellativo di No-Tracks.

Lo sciacallaggio contro il Gdpr

Fuori però dalle forzature derivanti dall’emergenza Covid19, non è passata inosservata una tendenza, da più fronti, ad attaccare il Regolamento Generale sulla Protezione dei Dati (“GDPR”), che proprio in questi mesi è sotto la lente di ingrandimento della Commissione Europea per la sua prima revisione (senza contare la partita ancora in corso per l’approvazione del gemello Regolamento ePrivacy).

Le critiche non sono nuove, e tuttavia lo sciacallaggio in tempo di crisi di certo conferisce potere anche alle posizioni più ardite. E così si sostiene, ad esempio (anche in un recente articolo del New York Times), che il GDPR avrebbe fallito, o meglio, non avrebbe raggiunto i risultati sperati sul piano dell’enforcement. Le sanzioni ad oggi sarebbero state poche, inconsistenti, non omogenee tra i vari Stati membri e, soprattutto, incapaci di incidere sulle politiche delle grandi società. Ancora, e facendo tesoro del contesto emergenziale, ci sono voci a sostegno di un asserito ruolo di ostacolo delle norme e dei principi del Regolamento nella lotta sanitaria al coronavirus. Sul punto è intervenuto, smentendo e sbugiardando tale posizione, anche l’European Data Protection Board (“EDPB”) con una lettera di risposta alla United States Mission to the European Union sul tema dei trasferimenti negli Stati Uniti di dati personali sanitari a fini di ricerca scientifica.

È indubbio, infatti, che il tema dell’incisività delle nuove sanzioni previste dal Regolamento sia reale, serio e di oggettiva importanza. Non occorre nasconderlo e sarebbe inutile negarlo, ora come a maggior ragione prima dello scoppiare della pandemia. Ma si tratta di un falso positivo. Basta, infatti, volgere lo sguardo alla realtà per rendersi conto che un problema in realtà non esiste. E ciò in quanto il GDPR è come doveva essere e come non poteva non essere, ovvero una normativa complessa, il coordinamento di leggi, culture e autorità di quelli che oggi sono 27 Stati Membri, differenti per ordinamento giuridico, storia, lingua, bilancio statale e sensibilità. Senza poi considerare l’importanza del giusto orizzonte temporale d’analisi. Chi scrive ha sempre sostenuto che serviranno dai tre ai cinque anni dal quel fatidico 25 maggio 2018 per poter registrare e quindi valutare i primi risultati stabili della normativa. In questa prospettiva siamo solo agli inizi del periodo di osservazione e, occorre dirlo, i primi segnali – positivi, invero – non mancano. È sufficiente ricordare come la nostra Autorità Garante ha iniziato questo 2020: se l’unico criterio che ai critici sembra importare è il peso delle sanzioni, i tre principali provvedimenti emanati a cavallo del nuovo anno in Italia hanno raggiunto complessivamente i 39,3 milioni di euro di carico sanzionatorio, registrando un record per il nostro Paese e collocandosi tra i più alti anche in ambito UE. Certo, siamo ancora lontani dal fatidico 4% del fatturato di gruppo del trasgressore con cui molti sedicenti esperti hanno cavalcato l’irresistibile ascesa del GDPR, incuneando paure e offrendo soluzioni e ricette non sempre a buon mercato.

La privacy baluardo della dignità dell’individuo

Il GDPR, grazie alle puntuali letture e indicazioni fornite dall’EDPB e, in linea con esse, dalle singole Autorità nazionali, sta fornendo risposte pronte ed efficaci per permettere di tutelare la salute collettiva garantendo al contempo il rispetto della protezione dei dati personali degli individui, che siano cittadini alle prese con applicazioni per il contact tracing o lavoratori sottoposti a misure di prevenzione e contrasto al virus in azienda.

Le aziende, le pubbliche amministrazioni hanno tutte dimostrato, in questi giorni, altissimi livelli di attenzione alle esigenze del trattamento dei dati e di conseguenza ai diritti di tutti, ad esempio, per accedere ai luoghi di lavoro, sia come dipendenti o semplici visitatori, fornitori, clienti. La cultura della privacy è viva ed è stata correttamente metabolizzata in questi anni di corsa alla compliance al GDPR. I DPO e gli uffici privacy, legal e compliance delle aziende stanno svolgendo un lavoro eccezionale nel contemperare le esigenze di tutti, nel rispetto delle norme del regolamento ed in molti, proprio in questi giorni, stanno scoprendo che il GDPR è di ausilio e non di intralcio alcuno nel meglio definire flussi e conservazione dei dati acquisiti nel corso dell’emergenza.

Ma c’è di più: a conferma dell’immenso valore che reca la normativa sulla privacy e soprattutto il GDPR, basti guardare le FAQ rilasciate proprio in questi giorni dal Garante: si tratta di un lavoro enorme e di grande qualità che fornisce risposte a tutti e per tutti i settori, dalla scuola ai luoghi di lavoro, dagli ospedali agli enti locali e ai luoghi in cui si svolge in queste ore la ricerca scientifica.

Il trattamento dei dati è cruciale per far si che ogni azione normata dello stare insieme rispetti l’imperativo etico dell’uguaglianza, della non discriminazione e del divieto d stigmatizzazione. La privacy è il baluardo della dignità dell’individuo di fronte ai modi frettolosi e spesso sommari della nostra società, non dimentichiamolo mai.

Conclusioni

Si tratta, insomma, di un momento in cui la normativa è messa alla prova, ma tale situazione, pur eccezionale, è perfettamente fisiologica nel processo di implementazione del GDPR che, ripeto, non può ritenersi fatto e compiuto in una sola notte. Occorre, pertanto, rifiutare con forza le visioni patologiche dello stato di attuazione del GDPR. Ciò non solo per una non trascurabile questione di principio e non solo perché influenzare in tal modo il processo di revisione in corso porterebbe soltanto a conseguenze decisamente negative, per gli operatori del mercato come per i diritti e le libertà degli individui. Strumentalizzare l’emergenza è, ora come non mai, il pericolo da evitare e tali posizioni sembrano proprio andare in questa direzione.

Misurare, poi, lo stato di salute di una normativa attraverso le sole misure di enforcement ed in particolare contando i record di sanzioni irrogate è sterile e specioso. Una norma è utile se aiuta l’uomo a essere migliore e a superare situazioni complesse e delicate come quella che stiamo vivendo. Ed il GDPR si sta dimostrando tale.

L’enforcement riprenderà e le sanzioni, ahimè, arriveranno. Ma il successo di una normativa è funzione del cambio culturale che con essa si manifesta, piuttosto che del numero di violazioni perseguite e sanzionate.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

@RIPRODUZIONE RISERVATA

Articolo 1 di 4