Proliferano gli opinionisti “antichi” e, tra essi, purtroppo, anche politici ed esponenti della cosiddetta classe dirigente economica, scientifica, tecnologica, che sostengono, stolidamente, che la privacy sia una perdita di tempo, una fisima inutile, un peso nell’emergenza coronavirus.
Chi pensa che la privacy sia una perdita di tempo non ha capito niente
Non hanno capito niente, o quasi: hanno ragione solo quando pensano alla “privacy” vecchiamente intesa come burocrazia e riservatezza otto-novecentesche; quando pensano ai cavilli formalistici, alle capziosità strumentalizzate di giorno in giorno per impedire alle nostre imprese e ai nostri uffici pubblici di digitalizzarsi. Ma sul resto, sul grosso che conta, queste menti offuscate dichiarano mostruosità anacronistiche. Perché non hanno capito che la “privacy” è diventata da decenni, in Europa, protezione non già e non solo della riservatezza e della privata, quanto, piuttosto e soprattutto, degli individui rispetto ai possibili effetti negativi, materiali o immateriali, che possono derivare dal trattamento di informazioni che li riguardano.
Altro che mera riservatezza. La privacy e la protezione dei dati personali c’entrano ogni giorno di più con la possibilità di trovare o mantenere un lavoro, con il diritto di circolare e fare impresa, col poter votare liberamente alle elezioni, col non farsi cadere una tegola in testa per il fatto di avere certe idee o caratteristiche. Un politico, un cittadino, un imprenditore, uno scienziato che non lo capiscano, nell’aprile 2020, dovrebbero farsi un serio esame di coscienza allo specchio. Si sveglino, cortesemente, che è tardi. La protezione dei dati, cioè la protezione degli esseri umani in un mondo data-driven, è e sarà ingrediente essenziale di qualsiasi scelta politica d’ora in avanti.
Per meglio comprendere il concetto, “godetevi” adesso una noiosa, ma sintetica, parentesi tecnico-legale – apparentemente riservata agli addetti ai lavori ma anche no, se letta in una dimensione quasi “zen”.
Dpia (Valutazione d’impatto) e App Immuni
All’app di contact tracing anti-COVID19 Immuni servirà certamente una Valutazione d’Impatto sulla Protezione dei Dati ex art. 35 del Regolamento privacy UE/2016/679 (cosiddetta “DPIA”). Costituirà un obbligo di legge, non se ne potrà fare a meno, perché è prevista dal diritto dell’Unione Europea. Essa sarà indispensabile per analizzare i rischi per i diritti e le libertà delle persone e i rischi cybersecurity, verosimilmente comportati dai futuri monitoraggi massivi della popolazione, individuando i profili di compatibilità con i principi costituzionali e con quelli generali in materia di protezione dei dati, e identificando le misure di mitigazione tecniche, giuridiche e organizzative da adottare. La DPIA andrà, però, fatta in modi e tempi particolari.
La DPIA la dovrà effettuare il Titolare del trattamento, che sarà lo Stato verosimilmente. Tuttavia, prima di avviare questo sistema di tracing, il Governo dovrebbe essere tenuto ad approvare una norma ad hoc che ne costituirà la base giuridica ex artt. 2-ter/2-sexies Codice Privacy ed artt. 6.1.c)-e) e 9.2.g)-i) GDPR: proprio in quella fase, nell’ambito dell’adozione della base giuridica, si dovrebbe svolgere una DPIA generale (allegandola alla norma) ex art. 35.10 GDPR.
Il Titolare del trattamento non sarà ovviamente Bending Spoons (la quale agirà, presumibilmente, come mero Responsabile esterno ex art. 28 GDPR: interessante a tal proposito sarà leggere il testo del contratto di sua designazione, per evitare qualsiasi ipotesi di riuso dei dati per machine learning et similia).
Per fare una DPIA serve avere le idee chiare sul funzionamento della tecnologia, sulla motivazione e sugli scenari-obiettivi di suo utilizzo; dalla lettura delle carte finora disponibili, il Governo non sembrerebbe avere ancora raggiunto un tale grado di dettaglio e approfondimento. In questo senso, serve una classe politica che sappia dove vuole andare – in termini di obiettivi e di salvaguardie dei diritti – e che lo dimostri con trasparenza (pubblicando almeno estratti della DPIA come allegato alla normativa di copertura) e nel rispetto dello Stato di diritto, proprio al livello “alto” della scrittura delle norme di emergenza, e non al “piano terra” della technicality.
Dunque, è chiaro che la DPIA governativa dovrà contenere, ben argomentate, la visione, la progettualità, la problematizzazione e la razionalizzazione risolutiva della strategia di governo per il contrasto ai contagi COVID-19 in fase 2, da considerare anche off-app per giustificare la dimensione in-app (quindi con riferimento alla “ciambella” che starà intorno al “buco” dell’applicazione: i tamponi, le azioni di contenimento sui soggetti a rischio, i controlli su dipendenti e visitatori richiesti alle imprese e agli enti sul territorio, ecc.): la DPIA porterà con sé, auspicabilmente, la spiegazione ragionata delle azioni previste dallo Stato per vincere la “guerra pandemica” in corso, nel loro complesso. Caspita, mica poco. Riflettiamoci.
Tra qualche anno il termine “privacy” (in senso generale, sia di tutela della sfera privata sia di protezione delle informazioni personali) non vorrà dire ciò che significa per molti sepolcri imbiancati, e destinati ad estinguersi, ancora oggi. Perché la data protection sarà tutto, riguarderà la nostra intera vita di persone, di consumatori, di produttori e di cittadini. Il “privacyista”, l’esperto di diritto dei dati, diverrà lo “statesman”, lo statista inevitabile dei prossimi decenni. Con buona pace di chi non sarà stato in grado di comprendere, mentre esplodeva chiarissima nei decenni, la sostanziale “datificazione” del mondo.
