Il progetto portato avanti dalla comunità MonitoraPA ha sicuramente destabilizzato lo status quo all’interno della comunità più sensibile alla questione del rispetto della privacy.
Se la maggior parte delle reazioni sono state improntate a un sostanziale entusiasmo, è stato possibile riscontrare anche una serie di critiche che, tramite i social o attraverso pubblici comunicati, sono state sollevate da parte di soggetti direttamente interessati dalle PEC di MonitoraPA o più semplicemente da parte di alcuni esperti.
L’articolo intitolato “Monitora PA, se l’attivismo fa danni: intervenga il Garante privacy” pubblicato su Agendadigitale.eu il 23 settembre, a firma degli avvocati Caputo, Ferorelli e Lisi, fornisce una sorta di riepilogo di tutte le critiche sollevate finora e, in tal modo, costituisce anche un’occasione interessante per spiegare perché tutte queste critiche sono da respingere con decisione.
Monitora PA, se l’attivismo fa danni: intervenga il Garante privacy
Chi scrive ha sentito il dovere civico di rispondere a titolo personale a queste critiche, dal momento che ha avuto la fortuna di seguire da vicino lo straordinario salto evolutivo che ha portato il progetto di MonitoraPA a trasformarsi, da semplice gruppo di discussione, in quella che costituisce probabilmente la più grande iniziativa collettiva di hacking civico che si sia mai vista in Italia.
Senza entrare nel merito delle interpretazioni di carattere legale, è fondamentale concentrarsi sulle tre affermazioni più gravi che sono state asserite nell’articolo:
1) quella secondo cui “i principi e i diritti riconosciuti dal GDPR sono stati strumentalizzati dagli “attivisti/hacker”;
2) il fatto che “tali azioni di attivismo digitale, infatti, potrebbero essere confuse con iniziative ufficiali promosse da parte delle istituzioni e delle autorità competenti”;
3) la conclusione per cui “tali diritti sono esercitati per effettuare un’indebita pressione su altri soggetti, finendo in tal modo per costituire uno strumento ritorsivo o di intimidazione”.
La presunta strumentalizzazione
Sul primo punto è necessario operare una premessa fondamentale che riguarda il rispetto dello stato di diritto all’interno dell’Unione Europea.
L’attuale quadro normativo italiano è infatti stabilito dal GDPR, che nella sua natura di Regolamento UE costituisce una fonte primaria del diritto e nella gerarchia delle fonti normative prevale su qualsiasi altra legge nazionale o decreto attuativo.
Con la sentenza Schrems II, la Corte di giustizia dell’Unione europea, il più alto organo del potere giudiziario dell’Unione, ha ritenuto che i requisiti del diritto interno degli Stati Uniti, e in particolare quelle leggi federali che consentono alle autorità pubbliche degli Stati Uniti di accedere ai dati personali trasferiti dall’UE agli Stati Uniti ai fini della sicurezza nazionale, comportino limitazioni alla protezione dei dati personali che non soddisfano i requisiti previsti dal diritto dell’Unione Europea.
Dal momento esatto in cui la sentenza in questione è stata emessa, ossia dalla metà del 2020, diverse pubbliche amministrazioni si sono improvvisamente ritrovate in un regime di irregolarità cui non solo non hanno posto rimedio tempestivamente ma che hanno anzi tollerato, perseverando nell’illegalità e promuovendo quindi un trattamento irregolare dei dati dei cittadini: tutto ciò è avvenuto malgrado l’Autorità Garante per la Protezione dei Dati Personali e i membri del suo collegio avessero rilasciato diverse dichiarazioni e, più recentemente, assunto alcune chiare prese di posizione.
Assodato quindi il fatto che i rilievi mossi dalle segnalazioni di MonitoraPA riguardano pratiche specifiche della pubblica amministrazione (e non solo di essa) che confliggono con una normativa europea automaticamente accolta da quella italiana, resta il fatto che le pratiche portate avanti dal progetto sono altro che una conseguenza della inaccettabile inerzia mostrata finora dalla pubblica amministrazione.
Le PA hanno infatti potuto contare come al solito sulla limitatezza di risorse degli organi di controllo, su un sotteso clima di insofferenza verso la privacy e di intimidazione verso la suddetta Autority da parte dello stesso Governo (un clima che ha prodotto l’infausto Decreto Capienze), ma soprattutto sulla sostanziale impossibilità da parte dei cittadini di risolvere il problema, sia a causa dell’asimmetria tra la resilienza delle PA alle rimostranze civili e le risorse limitate dei cittadini, sia a causa dell’estesissima dimensione del perimetro di illegalità.
Proprio a proposito della proporzionalità tra metodologie di lotta degli attivisti e perimetro di illegalità, è interessante ricordare come l’associazione “NOYB – Europäisches Zentrum für digitale Rechte”, guidata proprio da “quel” Max Schrems, ha elaborato un sistema che è in grado di presentare fino a 10.000 reclami (al momento dovrebbero esserne stati inviati più di 700) presso le aziende che non rispettano il GDPR: una automatizzazione necessaria per contrastare i numerosissimi tentativi di violare i diritti dei cittadini.
È evidente, infatti, come l’unica vera strumentalizzazione dannosa è quella dell’utilizzo di strumenti informatici in totale contrasto con le leggi e le sentenze, consentita dalla sostanziale impunità di fatto sulla quale hanno contato tutti coloro che, per interesse o per pigrizia o per incompetenza, hanno perseverato nell’illegalità; ma tutto ciò appare ancora più odioso quando i responsabili di questa inerzia sono stati i dirigenti della PA e i loro DPO.
Il cittadino peraltro conosce bene questa impunità diffusa perché può riscontrarla anche in ambiti di percezione più immediata per la vita di tutti i giorni: ambiti quali l’edilizia e l’affollamento delle scuole, l’agibilità e gli SLA della sanità, la sicurezza stradale, la tutela dell’ambiente o addirittura i processi di partecipazione e accesso alla rappresentanza per le elezioni politiche.
In questo contesto, pertanto, non è solo legittimo ma addirittura necessario da parte della cittadinanza praticare un metodo di lotta non-violenta che si avvalga di tutti quegli strumenti digitali che possono compensare l’asimmetria di potere che oggi avvantaggia esclusivamente le pubbliche amministrazioni.
La presunta opacità
L’accusa di non essere stati abbastanza chiari nelle finalità e nella natura dell’iniziativa appare sinceramente ingenerosa, dal momento che tutta la campagna di MonitoraPA è stata condotta all’insegna della più totale trasparenza.
Il paventato rischio per cui “tali azioni di attivismo digitale (…) potrebbero essere confuse con iniziative ufficiali promosse da parte delle istituzioni e delle autorità competenti” semplicemente non esiste! Basterebbe pensare al semplice fatto (e noi attivisti e cittadini abbiamo sempre potuto riscontrarlo) che, all’infuori dell’authority di Piazza Venezia, nessuna istituzione ha mai voluto impiegare un centesimo dei propri stanziamenti per promuovere campagne di sensibilizzazione e controllo sull’attuale quadro di illegalità diffusa.
La comunicazione inviata da MonitoraPA specificava inoltre chiaramente tutti i riferimenti necessari per comprendere che il soggetto promotore era costituito da comuni cittadini animati da un legittimo interesse nel tutelare un diritto umano come la privacy.
A questo proposito, vorrei ricordare che la trasparenza alla base dell’azione di MonitoraPA si è espressa in tutta la sua evidenza proprio grazie all’imponente lavoro di altissima qualità informatica condotto su base totalmente volontaria: l’iniziativa di monitoraggio attivo è infatti diventata un gigantesco repository costituito dai suoi periodici rilievi, in quello che è a tutti gli effetti un osservatorio eccezionale della Pubblica Amministrazione (e non solo).
Nel caso delle iniziative effettuate, infatti, sono state messe a disposizione ai destinatari delle diverse PEC, tutte le informazioni necessarie oltre che tutte le competenze degli attivisti coinvolti: competenze informatiche, legali e comunicative che hanno generato una campagna che è insieme attivamente informativa (perché offre informazione a enti che spesso ignoravano in buona fede il proprio stato di illegalità) e passivamente informativa (perché raccoglie informazioni, dati, carteggi pubblici e li espone per realizzare quel diritto alla conoscenza irrinunciabile per tutti i cittadini nonché per tutti i contribuenti).
Solo oggi e solo grazie alle iniziative di monitoraggio intraprese da MonitoraPA, la cittadinanza dispone di una sempre più reale e leggibile panoramica dell’impiego di strumenti problematici per il rispetto della privacy dei cittadini.
La presunta intimidazione e il presunto danno
L’affermazione, infine, che più di tutte sembra ingiusta è quella per cui il diritto della comunità MonitoraPA sarebbe stato esercitato “per effettuare un’indebita pressione su altri soggetti, finendo in tal modo per costituire uno strumento ritorsivo o di intimidazione”.
Per smontare questa accusa, basterebbe comprendere quanto la campagna di MonitoraPA costituisca un’opportunità per le Pubbliche Amministrazioni che potrebbero trovarsi di fronte a contestazioni puntuali e a trolling legale che potrebbero arrecare danni erariali in forza del comportamento inerziale e irresponsabile di dirigenti e DPO.
Si tratta di uno scenario che già era stato preso in considerazione in un post del blog di Michele Pinassi e che sembrerebbe essersi concretizzato con quella che, segnalata su linkedin dall’avvocato Polimeni, risulterebbe essere la prima azione di trolling legale comunitario sul tema.
Gli eccellenti risultati ottenuti da MonitoraPA con la campagna su Google Analytics, tra i quali quelli riassunti nel seguente grafico, potrebbero essere letti non solo come un trionfo della legalità, ma anche come una rappresentazione del potenziale perimetro di attacco da parte di studi legali senza scrupoli, e alla ricerca di facili guadagni!
Affermare che MonitoraPA possa provocare un danno o esercitare un’intimidazione costituisce perciò una oggettiva mistificazione che probabilmente deriva dall’incapacità di cogliere il significato di cosa sia la società cibernetica: una società nella quale tutti i cittadini sono destinati a operare la scelta di subire passivamente l’invasione della sorveglianza tecnologica che mina le basi dello stato di diritto, oppure quella di avvalersi di quel tesoro normativo che chi ci ha preceduto ci ha lasciato in eredità, ben custodito come in uno scrigno all’interno dello stato di diritto: un tesoro dal quale fortunatamente possiamo ancora attingere nel momento del bisogno!
Solo in questo modo si potrà ripristinare la legalità e solo in questo modo sarà possibile “diserbare” quelle piante infestanti che impediscono lo sviluppo di soluzioni rispettose della privacy, soluzioni che spesso sono anche sviluppate come software libero!
Queste soluzioni non sono state utilizzate neanche quando erano state messe a disposizione gratuitamente da volontari o, addirittura, da consorzi integrati nella pubblica amministrazione, come il GARR: la meravigliosa iniziativa di iorestoacasa.work ha dimostrato per esempio che non è bastato mettere a disposizione delle scuole risorse e competenze gratuite, ma che per promuovere il miglioramento delle scuole è necessario “stimolarle” con gli strumenti della legge.
Molte persone creative dimostrano un certo livello di insoddisfazione con lo status quo, la modalità prestabilita. Se guardi le cose diversamente, vieni considerato “diverso”. Le persone “diverse”, a loro volta, sono ritenute “pazze”. Jim Henson, burattinaio, regista e creatore dei Muppet
Perché le polemiche su MonitoraPA?
MonitoraPA non ha certo fatto scatenare polemiche perché ha toccato un nervo scoperto: le ha fatte scatenare perché ha toccato un “nervo coperto”.
Un nervo coperto dalla pigrizia, dal quieto vivere, dall’abitudine nostrana a interpretare le leggi e a ignorare quelle che non si possono interpretare e infine dall’emergenza pandemica. Un nervo coperto dalle continue campagne di lobbying mirate a far apparire la privacy una fisima e a far sembrare i trasferimenti transfrontalieri irregolari come se fossero l’ennesima “sora TINA” (There Is No Alternative).
Un nervo così coperto al punto che tutti i precedenti tentativi di denunciare mediaticamente la situazione si sono spenti sui pannelli anecoici del Palazzo.
Naturalmente, ci si può chiedere se queste reazioni siano dovute al fatto che l’iniziativa di MonitoraPA sia stata letta erroneamente come un modo per mostrare che troppi DPO e consulenti legali si sono finora adagiati troppo nel praticare una strategia di protezione dei dati personali poco proattiva e poco lungimirante.
Molto più realisticamente, si può affermare invece che queste reazioni eccessive siano più semplicemente dovute al fatto che la follia creativa di una comunità di hacker (non solo di informatici) ha cambiato lo scenario e ha disorientato tutti coloro che non avevano previsto quanto il paradigma dell’attivismo e della lotta per le legalità potesse evolversi in modo così inaspettato.
