Privacy contro tutto e tutti? Le polemiche degli ultimi giorni sul “peso” col quale la tutela della riservatezza grava importanti gangli della vita economica, sociale e dei servizi evidenzia le molte distorsioni del più ampio dibattito sulla “burocrazia” e le “semplificazioni”.
Il candidato alla carica di sindaco di Roma, Carlo Calenda ha per primo in questo periodo posto il problema della compatibilità tra esigenze di privacy dei lavoratori e necessità organizzative dei datori di lavoro, rispetto al tema del potere/dovere/facoltà dei datori di venire a conoscenza della vaccinazione dei propri dipendenti, contestando la posizione del Garante, secondo il quale i dati sulle vaccinazioni debbono restare riservati.
App IO “bloccata” dal Garante privacy causa tracker, “Ecco perché l’abbiamo fatto”
Green pass su app IO e i controlli fiscali
Stessa musica rispetto alla decisione, sempre del Garante, di non concedere, almeno per ora, che l’app IO possa essere il vettore del green pass vaccinale.
Con proteste del ministro dell’innovazione Vittorio Colao e del noto economista Carlo Cottarelli.
Il Garante della privacy ha rinviato l’utilizzo dell’app IO per il rilascio del green pass, bloccando il più importante canale che il governo intendeva usare per il rilascio dei pass. Le legge sulla privacy va cambiata e subito. Non è più una tutela ma un ostacolo a tutto.
— Carlo Cottarelli (@CottarelliCPI) June 12, 2021
E ancora la privacy è stata considerata dal direttore dell’Agenzia delle Entrate Ernesto Maria Ruffini come uno tra i fattori che inceppano la fatturazione elettronica, poiché la tutela della riservatezza non consente di utilizzare appieno e soprattutto incrociare i molti dati in possesso della PA, preziosi per un’efficace lotta all’evasione.
È evidente che il dibattito non si può ridurre al semplicistico “privacy sì, privacy, no”. Né è corretto inquadrare l’Autorità garante di per sé come “burocrazia” e ostacolo alla gestione di molti servizi pubblici.
Il Garante ha correttamente osservato che la normativa sulla privacy è di derivazione europea e a essa non si può certo derogare in via amministrativa. Non si può pretendere che il Garante adotti linee interpretative contrastanti con le norme, per quanto il superamento anche in via straordinaria di determinate cautele in circostanze particolari, come il tentativo di rilancio dell’economia connesso strettamente alle vaccinazioni, possa spingere a ritenere opportuno derogare e fornire letture meno “ortodosse”.
Il Garante ha il dovere istituzionale di dare attuazione alla disciplina vigente. E, ad esempio, se non si risponde a monte alla domanda se sia possibile trattare il dato relativo alle vaccinazioni in ambiti diversi da quelli strettamente sanitari, liberandoli dalla privacy, è oggettivamente difficile aspettarsi che il Garante possa essere favorevole alla loro raccolta nei server necessari al funzionamento dell’app IO.
È, dunque, da questo punto di vista erroneo dipingere i soggetti, come il Garante, che hanno il compito di attuare le norme, come la fonte della “burocrazia” e immaginare che i veri o presunti impedimenti alla semplificazione si eliminano pretendendo “comportamenti gestionali” diversi dall’obbligo di attuare correttamente le norme.
Ma, c’è un “ma”
Fatta questa precisazione, appare senz’altro corretta la sensazione che le Autorità, e in particolare il Garante privacy e l’Anac, dilaghino fin troppo nella normazione e gestione operativa delle PA (e nella vita dei cittadini), anche perché a tali authority il Legislatore ha finito per attribuire sempre crescenti poteri che dalla semplice regolazione di settore, sono andati via via trasformandosi in veri e propri atti generali e astratti di tipo normativo. Finendo così per configurare le autorità come fonti di produzione normativa, per altro non legittimate dal voto di nessuno.
Ma, allora, il rimedio alla pervasività delle Autorità va perseguito con una correzione di rotta delle leggi. Deve essere il Legislatore a determinare nuove regole e condizioni, per orientare l’esercizio delle competenze delle Autorità.
Per esempio, vi sarebbe un grandissimo bisogno di comporre le letture totalmente contrastanti e fin qui inconciliabili proprio tra Garante della privacy e Anac in merito al diritto di accesso agli atti; se per l’Anac la trasparenza di tutto è il faro, il Garante invece la vede in modo opposto. Di mezzo, poi, vi è il giudice penale, chiamato troppo spesso dal Legislatore a dire la sua sul piano, appunto, penale in merito alle violazioni relative alla privacy.
Chiunque conosca la normativa sulla tutela della riservatezza, in particolare il Regolamento Ue 2016/679 (noto anche come GDPR) e la normativa interna, il d.lgs 196/2003, sa quanto confusionaria e poco dettagliata sia la disciplina che considera lecito il trattamento dei dati da parte delle pubbliche amministrazioni. L’articolo 9, comma 2, lettera g), del GDPR ritiene che le speciali cautele allestite per la riservatezza non si applicano laddove trattamento sia necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Tutela della privacy in situazioni particolari: spetta al Governo fare chiarezza
In presenza di situazioni speciali e particolari, come l’emergenza sanitaria o anche la necessità dei datori di lavoro di assicurare adeguate garanzie di sicurezza e organizzazione, dovrebbe essere compito del Governo e del Parlamento assumersi la responsabilità di chiarire, esplicitamente, se sia ammissibile, anche solo per un certo lasso di tempo, ridurre le tutele della privacy, qualificando determinati trattamenti dei dati come legittimi.
Una chiara iniziativa normativa potrebbe e dovrebbe fugare ogni dubbio in merito al green pass. Allo stesso modo, il Legislatore deve chiarire che il trattamento dei dati finalizzati allo scambio delle banche dati pubbliche, unico modo per garantire efficienza e modernizzazione delle procedure, deve essere ammesso, indicando con precisione i casi nei quali, invece, ciò non sia possibile.
È il Legislatore che ha il compito e il potere di semplificare e chiarire gli aspetti delle norme, legiferando con chiarezza. Lasciare le norme fumose e indeterminate, apre poi spazi a equivoci, molto forti sul piano logico. Appare, in effetti, appunto sul piano logico, eccessivo considerare come fosse un dato sanitario la vaccinazione. A ben vedere, questo specifico dato non rivela in alcun modo lo stato di salute o di malattia, ma si limita ad esplicitare lo status di presunta protezione della persona in una situazione di permanente pandemia. Tuttavia, senza l’espressa chiarificazione che questo dato possa essere raccolto anche nei data base funzionali all’app Io e conseguentemente trattato, il Garante non ha molte alternative alle sue motivate opposizioni alle proposte non sorrette da adeguata iniziativa legislativa.
