A volte l’attenzione mediatica per un tema non corrisponde al rilievo che ha per la vita di tutti perché magari ancora non ci si è accorti di quali effetti potenziali porta con sé. Poi però, quando ciò avverrà, sarà faticoso risalire la china per eliminare i guasti e riportare le cose nel giusto equilibrio. Un esempio che va a toccare tutti è quanto, nelle ultime settimane, ha riguardato il ruolo dell’Autorità garante della protezione dei dati personali a proposito dei dati sensibili di ciascun cittadino rispetto alle misure di contrasto e contenimento della diffusione del coronavirus.
Proprio in questa occasione così seria, è il momento di fare qualche riflessione di fondo sul perché e sul come oggi si proteggono i dati personali.
Il tema dell’indipendenza delle autorità amministrative
Partiamo dalla predicata «indipendenza» della autorità amministrative e tra esse del Garante per la protezione dei dati personali.
Per indipendenza delle “autorità”, si sa, s’intende prima di tutto l’indipendenza dal Governo. E non è solo indipendenza strutturale, nel senso che la loro configurazione organica e la provvista dei loro organi non dipende dal Governo ma dal Parlamento e deve avvenire non per consenso politico, ma in ragione della qualificazione professionale dei prescelti. È anche – direi soprattutto – indipendenza funzionale: nel senso che l’azione del Governo, che è espressione per antonomasia della politica, non può che trovare il limite invalicabile quando si tratta del dar seguito alle statuizioni dell’autorità. Altrimenti il rapporto tra Autorità e Governo sarebbe non di autentica indipendenza, ma di altro genere: collaborazione, coordinamento, consulenza…: insomma quello dell’Autorità resterebbe un opinamento, autorevole sì ma pur sempre solo opinamento, iscritto in un procedimento amministrativo dove l’ultima parola spetta al Governo stesso, alias all’opzione politica. Era così in passato, prima che le Autorità venissero istituite, quando il Governo aveva i suoi uffici consultivi per decidere, di apparato o istituiti ad hoc che fossero.
Ma poi ci si è accorti che in quel modo le cose non andavano, che l’invadenza della politica riusciva sempre a farsi sentire rendendo deboli i diritti dei cittadini. Ecco perché si è deciso – con una trasformazione della costituzione materiale ispirata dagli standard europei e internazionali – di istituire le Autorità di garanzia e di vigilanza proprio per porre, nell’interesse generale, un argine alla discrezionalità politico-amministrativa che connotava l’azione dell’Esecutivo e sostituirla con determinazioni dalla matrice tecnica quanto oggettiva.
A garanzia di tutti, appunto: insomma, la cura dell’interesse generale al posto della cura dell’interesse pubblico. Il passo è stato notevole.
In questa prospettiva, il Garante per la protezione dei dati personali è stato istituito con la legge n. 675 del 1996.
A un quarto di secolo di distanza, è necessario parametrare quel traguardo con le trasformazioni che la nostra società ha intanto subìto e che incidono di loro sulla gestione e circolazione dei dati personali: in primo luogo l’impatto della rivoluzione e trasformazione digitale.
Così, anzitutto, occorre contestualizzare a oggi quel concetto di indipendenza, partendo dall’idea che qui si tratta di diritti e libertà fondamentali dell’uomo garantiti dalla Costituzione, oltre che da Convenzioni e Trattati sovranazionali (CEDU, Carta di Nizza, TFUE).
Procediamo per punti.
Da chi l’Authority deve essere indipendente
Per quanto concerne l’Autorità di garanzia della protezione dei dati personali, passata e assorbita la stagione della protezione della riservatezza dall’ordinario rischio di intrusione, cioè del diritto “ad essere lasciato in pace”, ormai l’ubi consistam della sua azione risiede nell’esigenza di preservarne la integrità e la inviolabilità a fronte delle continue, e soprattutto diffusive, forme di “aggressione” che le nuove forme di sviluppo delle cosiddette “digitalization technologies” implicano. Negli specifici campi di pertinenza (per il Garante privacy, appunto la protezione dei dati personali), l’Autorità deve poter operare in piena autonomia ed indipendenza. In altri termini, per la pregnanza degli interessi, dei diritti e delle libertà dei consociati che devono essere tutelati e garantiti è necessario che tale munus di controllo, di regolazione, di conformazione, di ingiunzione/inibizione, e di repressione/sanzione, sia affidato ad Autorità in certo modo “scorporate” ed avulse dal plesso “amministrativo-ministeriale” stricto sensu inteso. L’attività di vigilanza, di regolazione, di composizione giustiziale dei conflitti, o di repressione degli illeciti, non può essere in alcun modo “contaminata” dalle finalità e dall’indirizzo politico che necessariamente condiziona, e cui necessariamente soggiace, l’Amministrazione tradizionalmente intesa (per il tramite del circuito democratico-rappresentativo ex art. 95 Cost.). Di qui l’esigenza di Autorità – amministrative, beninteso – che da quel circuito siano svincolate, al fine di assicurare la piena indipendenza e autonomia di giudizio nell’esercizio dei compiti di regolazione e di garanzia loro affidati. Se ciò non fosse, se cioè le Autorità dovessero comunque aderire all’indirizzo del pubblico potere, specie del Governo, sarebbero esse stesse branche della Pubblica Amministrazione, direzioni di un Ministero, con i preposti sottoposti alle direttive del Ministro.
Ovvio che indipendenza non significa autoreferenzialità, ma, al contrario, ricerca di quel bilanciamento che è “necessario fondamento di ogni struttura sociale”, nel quale si iscrive, ricordando Alberto Predieri, l’azione delle Autorità indipendenti. Non è compito facile. Anzi, è officium assai delicato e, il più delle volte, decisamente scomodo. Ma se le Autorità non dovessero perseguire questa continua ricerca di equilibrio verrebbe meno la ragione del loro esistere.
Non solo. L’affidamento della funzione di “regolazione e garanzia” – in settori delicati e nevralgici per l’ordinamento democratico, in ragione della delicatezza dei diritti e delle libertà che si fronteggiano – ad Autorità amministrative indipendenti staccate ed avulse dall’apparato ministeriale (“servente” il potere esecutivo), si giustifica in ragione del peculiare “tecnicismo” della materia da “regolare e controllare”.
L’importanza di una tale “missione” regolatoria delle Authorities, anche in funzione attuativa e specificativa di clausole normative generali fissate dalla legge nazionale – oltre che dalla normazione sovranazionale – esige ed impone un atteggiamento collaborativo da parte di tutti (istituzioni, privati, cittadini), tanto più doverosa nel momento di emergenza di un Paese. L’Autorità della privacy ha sempre assicurato la collaborazione con i decisori pubblici, un preciso impegno sottolineato in ogni sede e messo costantemente in pratica. E ciò con ciò dando attuazione ai principi di legalità e di imparzialità (art. 97 Cost.), in funzione di generale garanzia dei diritti e degli interessi dello Stato-Comunità, oltre che di tutela e salvaguardia dei diritti fondamentali dell’uomo (artt. 2 Cost. e 8 CEDU).
Si dirà che manca il legame “democratico” sostanziale reciso alla radice in ragione dell’“autonomia” dall’apparato ministeriale/governativo (che pur risponde al Parlamento ex art. 95 Cost.). Eppure, anche questo non è propriamente corretto. Tale legame viene infatti recuperato attraverso l’“elaborazione dal basso” delle regole, con l’ausilio e l’intervento partecipativo dei cittadini e degli operatori e dando così vita ad una forma di “democrazia procedimentale”. Si pensi ai processi di formazione delle misure regolatorie delle Authorithies, attraverso il metodo cosiddetto. “notice and comment”:
- pubblica consultazione su di un testo di articolato, con l’acquisizione delle osservazioni e delle proposte di integrazione/modificazione da parte di tutti i soggetti interessati, massimamente da parte degli operatori del settore e delle associazioni rappresentative degli utenti/consumatori;
- adozione definitiva del testo della misura di regolazione, con apposita motivazione, nel senso di estrinsecazione delle ragioni dell’accoglimento, ovvero del rigetto, delle osservazioni presentate durante il processo di consultazione.
Perché il Garante deve essere indipendente
L’indipendenza dell’Authority è importante perché vi sono diritti fondamentali ora al centro di una battaglia fra interessi contrapposti. E per tutelarli bisogna astrarsi dal piano del dibattito contingente, dalle finalità e dagli interessi politici che lo permeano e lo informano. E bisogna guardare con vera terzietà e neutralità alle fattispecie da regolare, conformare, controllare e, eventualmente, reprimere e sanzionare.
La visione di ampio respiro ha come interesse esclusivo i cittadini titolari di quel diritto. Per questo esistono Autorità indipendenti in tutte le società organizzate ad un certo livello di civiltà giuridica: Autorità di regolazione, che calmierano e ordinano mercati complessi; Autorità di vigilanza, che controllano il rispetto di normative, poste a tutela di soggetti più deboli; Autorità di garanzia che difendono diritti individuati dal legislatore come meritevoli di particolare protezione. Per assicurare questa indipendenza, gli organi di vertice di alcune Autorità sono scelti dal Parlamento con ampie maggioranze e devono, altresì, essere equipaggiate di risorse organizzative, di personale e finanziarie tali da potere esercitare effettivamente i compiti che sono loro affidati, senza potenziali condizionamenti o pressioni da soggetti pubblici o privati. In questo senso va la recente Raccomandazione del Parlamento europeo del 25 marzo a proposito delle Autorità di protezione dati europee.
È noto, infatti, come le Autorità amministrative indipendenti traggano la loro giustificazione, la ratio legis della loro stessa istituzione, nella “legittimazione di natura tecnica” che le connota, quali Istituzioni a forte impronta tecnico-specialistica, svincolata da influenze politiche. Tali tratti caratteristici trovano la loro prima espressione proprio nel processo di selezione degli organi di vertice di tutte le Autorità, per i quali sono, per l’appunto, richiesti requisiti di professionalità, onorabilità ed indipendenza, sovente verificati sulla base di un processo selettivo pubblico, nel rispetto di una procedura articolata, definita in dettaglio dalla legge nazionale, e dei principi di professionalità e terzietà che sono imposti agli Stati Membri dal diritto dell’Unione.
Ce lo chiede l’Europa di essere indipendenti
Ed è proprio l’Unione europea, con il suo Regolamento entrato nella sua piena applicazione tre anni orsono, che prescrive agli Stati membri (e, prima ancora del Regolamento, la Direttiva del 1995) l’istituzione di un’Autorità di controllo indipendente a garanzia della protezione dei dati personali, materia che è emanazione dell’Europa essa stessa. Il Garante italiano non interviene arbitrariamente, ma esegue ed applica sul territorio italiano una normativa che è da tempo parte del nostro ordinamento nazionale e che ha contribuito a sviluppare con la sua decennale azione di tutela. L’Autorità questo fa, e non potrebbe non fare, pena il non adempimento dei suoi compiti e dei suoi doveri regolatori, conformativi, ingiuntivi, inibitori, sanzionatori.
È ancora l’Unione europea che ha stabilito che gli atti normativi o amministrativi nazionali in contrasto col diritto europeo siano, addirittura, da considerarsi invalidi e, dunque, disapplicabili. La giurisprudenza è univoca nell’affermare che “In caso di accertato contrasto della normativa interna con una disposizione comunitaria, l’Amministrazione ha l’obbligo di dare prevalenza alla seconda, disapplicando la prima” (cfr., la nota pronuncia della Corte di Giustizia della Comunità europee del 9 settembre 2003, resa in causa C-198/01, Consorzio industrie fiammiferi (Cif) c/ Autorità Garante della Concorrenza e del mercato[1]. Del resto, chi mai si sognerebbe di mettere in discussione la normativa europea a protezione delle pari opportunità, dell’ambiente, dei consumatori? Non si può essere europeisti “a corrente alternata”, a seconda delle circostanze. Si deve esserlo proprio quando in discussione ci sono i diritti fondamentali, patrimonio costituzionale europeo e, più in generale, conquista di tutto il costituzionalismo.
Il diritto alla protezione dei dati non è un “cavillo” giuridico: perché è così difficile accettare?
A letture stereotipate, ma, soprattutto, superate – sembra incredibile ma ci si scontra ancora con una qualche narrativa pubblica che racconta di una privacy che poco o nulla ha ormai a che vedere con la dimensione contemporanea di essa, alla luce del nuovo GDPR e della società digitale – è d’obbligo replicare che il diritto alla protezione dei dati è oggi la protezione della nostra stessa vita, tanto più nella dimensione immateriale nella quale siano immersi. Non è azzardato ritenere che il sistema delle libertà costituzionali nel suo complesso vada ripensato in modo nuovo, poiché la privacy, intesa come dato personale, è davvero il crocevia dove tutto andrà a sintesi. Un diritto straordinario – lo ha ricordato il Presidente Pasquale Stanzione nella sua Relazione al Parlamento (2 luglio 2021) – requisito ad un tempo di libertà e di democrazia, strumento di difesa delle persone, specie le più vulnerabili, da vecchie e nuove discriminazioni, riequilibratore dei rapporti sociali nella direzione dell’uguaglianza e della pari dignità sociale indicate dalla nostra Costituzione.
Ripresa e resilienza nella digitalizzazione cominciano dalla protezione dell’identità e dell’integrità della persona a partire, appunto, dai suoi dati. Semplificazione amministrativa, giustizia, sanità, fisco, istruzione, telelavoro ecc. tutto passa dalla regolazione dei dati, non solo di quelli personali. I dati sono il fulcro del nuovo mondo e della nuova civiltà.
Comprendere questo significa essere in grado di affrontare, preparati, le sfide al tempo di intelligenze artificiali, big data, economia comportamentale, che si alimentano di dati personali.
Solo una Autorità di vigilanza e di regolazione, dotata delle necessarie risorse professionali umane e finanziarie – e davvero indipendente da ogni altro apparato ministeriale-governativo – sarà in grado di compiutamente assolvere al ruolo fondamentale di presidio di garanzia dei diritti fondamentali del cittadino, mai come in epoca di pandemia sottoposti a tensione.
Ecco perché occorre, prima di tutto, un nuovo approccio culturale al tema che parta dalla consapevolezza di cosa è “in gioco” quando parliamo di privacy. Ci riguarda tutti, anzitutto come cives.
- Sul tema, Cass., 9 luglio 2004, n. 12716; CdS, 4 gennaio 2005, n. 2; si veda, altresì, Corte Cost., 18 aprile 1991, n. 168; d’altra parte, la primazia del diritto dell’Unione comunitario e la salvaguardia del suo effetto utile, presuppone ed implica un meccanismo di applicazione delle relative prescrizioni in via decentrata, come già statuito nella sentenza della Corte di Giustizia del 22 giugno 1989, in causa C-103/88, Fratelli Costanzo; cfr. CGUE, 29 aprile 1999, Ciola, causa C-224/97; 28 giugno 2001, Larsy, causa C-118/00; 4 ottobre 2001, Melgar, causa C-438/99; TAR Lombardia, I, 28 novembre 2019, n. 2358. ↑
