In questi ultimi giorni stiamo assistendo ad una vera e propria crociata contro il Garante Privacy a forza di tweet, interviste, e comunicazioni pubbliche.
L’Autorità ha vigilato attentamente sull’evoluzione della lotta al Covid, e nel farlo ha di volta in volta emesso dei provvedimenti che hanno evidenziato le lacune nei progetti del legislatore, o semplicemente orientato l’azione verso una strada nel rispetto della legge.
Il primo caso di scontro è stato quello della vaccinazione sul luogo di lavoro: il datore non può venire a conoscenza dello stato vaccinale dei dipendenti, dice il Garante.
App IO “bloccata” dal Garante privacy causa tracker, “Ecco perché l’abbiamo fatto”
Una visione distorta della normativa privacy e del ruolo del Garante
Su questo, Carlo Calenda, politico e leader di Azione, è stato uno dei primi a buttarsi in una critica pubblica: “Il Garante Privacy è diventato un altro assurdo intoppo burocratico di questo paese. Interviene in ogni procedimento pubblico complicandolo”.
In realtà, il Garante non ha fatto altro che ricordare al legislatore e alle aziende quanto previsto dallo Statuto dei Lavoratori, che dal 1970 è un pilastro dell’Italia – una Repubblica fondata sul lavoro. L’articolo 5 dello Statuto prevede infatti il divieto di indagini sullo stato di salute dei dipendenti da parte del datore. Questo è d’altronde il motivo per cui è stata creata la figura del medico del lavoro.
La normativa per la protezione dei dati (“privacy”) non fa altro che fare da specchio a questo principio. Se il datore non può fare indagini sullo stato di salute, è chiaro che qualsiasi trattamento di dati sullo stato vaccinale (cioè informazioni sulla salute dei dipendenti) non potrà avere alcuna base giuridica, e sarà illegittimo. Ciò detto, è chiaro che le affermazioni di Carlo Calenda, a cui hanno fatto eco molte altre, arrivano da una visione distorta di quello che è la normativa privacy – che in questo caso è solo secondaria.
Il “caso” App IO
Dopo la vaccinazione sui luoghi di lavoro è arrivato il caso App IO, temporaneamente bloccata dal Garante a causa di gravi criticità riscontrate. Tra i vari motivi del provvedimento ci sono alcune gravi violazioni di legge in merito alla presenza di tracker e trasferimenti di dati al di fuori dell’Unione Europea. Il Ministero per l’Innovazione Tecnologica e Transizione Digitale, capitanato da Vittorio Colao, ha risposto insieme a PagoPA al provvedimento con una nota pubblica, cercando inutilmente di smentire, e costringendo il Garante a pubblicare la propria relazione tecnica per dimostrare quanto sostenuto con il provvedimento. Questo scontro ha creato un effetto a catena che ha portato molte persone a pensare, erroneamente, che il Garante avesse bloccato il Green Pass.
App IO e privacy, se l’Italia ignora i diritti base nell’era delle big tech
Tra questi, c’è l’economista Carlo Cottarelli, che in un tweet afferma: “Il Garante della privacy ha rinviato l’utilizzo dell’app IO per il rilascio del green pass, bloccando il più importante canale che il governo intendeva usare per il rilascio dei pass. Le legge sulla privacy va cambiata e subito. Non è più una tutela ma un ostacolo a tutto.”
Il Garante in realtà non ha mai parlato di Green Pass, ma ha semplicemente affermato che l’app IO non è una piattaforma adeguata, e che prima di erogare il Green Pass bisogna risolvere i problemi esistenti. Una volta risolti, non ci sarà alcun limite ad avere il Green Pass sull’app.
Anche in questo caso, il Garante non ha fatto altro che applicare la normativa europea, su un tema – il trasferimento di dati verso paesi terzi – che è stato recentemente oggetto di una sentenza della Corte di Giustizia dell’Unione Europea. L’Autorità italiana è stata in realtà fin troppo generosa nel chiudere un occhio nell’ultimo anno e mezzo, dato che negli altri Paesi membri ci sono state già sanzioni e provvedimenti sullo stesso tema a partire dallo scorso anno. Di nuovo quindi, non c’è nulla di cui stupirsi, e il Garante non è certo un’eccezione italiana.
Ricordo poi che la “legge sulla privacy”, come richiamata da Carlo Cottarelli, è un Regolamento europeo inderogabile, voluto da tutti i Paesi membri. L’Italia certo non può cambiare nulla, e non si capisce neanche per quale motivo dovrebbe essere cambiato, considerando che è uno dei fiori all’occhiello della normativa europea e un benchmark a livello globale. Il problema non è la legge, ma l’idea distorta che le persone hanno di questa legge. Forse potrebbe essere utile prima conoscerla, e poi discuterne.
Privacy vs salute pubblica? Perché è una falsa narrazione
La crociata contro la “privacy” e contro l’Autorità per la protezione dei dati non è però limitata agli ultimi giorni. Già dallo scorso anno stiamo assistendo ad un’assurda narrativa pubblica e politica che mette in antagonismo la privacy – intesa come riservatezza della vita privata – e la salute pubblica, come se per la prima volta nella storia umana le due cose debbano necessariamente escludersi a vicenda. “Siamo in guerra, niente privacy”, si leggeva su alcuni giornali. Eppure, per anni la privacy ha sorretto qualsiasi cura medica. Non credo sia immaginabile un mondo dove gli ospedali, gli psicologi, i medici di base, possano lavorare senza rispettare la privacy dei pazienti e il segreto professionale. Qual è il problema allora?
Questa distorsione, che ha un po’ il sapore del totalitarismo (siamo in guerra, tutto è lecito), deriva a mio avviso da almeno due motivi. Il primo, è la scarsa comprensione del framework normativo europeo e la superficialità della pubblica amministrazione e di alcune personalità pubbliche, come medici e virologi, che negli ultimi due anni hanno assunto posizioni sostanzialmente politiche. Questo ha fatto sì che persone che fino al giorno prima non si erano chiaramente mai occupate di privacy, di diritto, o di tecnologia, diventassero improvvisamente dei punti di riferimento per cose che non conoscevano.
I paletti del GDPR
Quella che in realtà viene chiamata come “legge sulla privacy”, infatti, non esiste. Esiste un Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati – quello che viene chiamato GDPR. Questo regolamento non ha nulla a che fare con la concezione tradizionale di privacy, e anzi come menzionato nel titolo ha lo scopo di promuovere la libera circolazione dei dati personali. Lo fa attraverso delle regole comuni che devono essere seguite da tutti i paesi membri, e che determinano specifici standard qualitativi per il trattamento di dati. Come sa bene chi lavora coi dati, senza regole comuni e standard elevati, diventa impossibile lavorare coi dati.
Da un punto di vista strategico, il GDPR è un passo avanti enorme rispetto alla normativa precedente, estremamente frammentata e diversa per ogni Paese membro.
Esiste però anche un diritto alla privacy, inteso come diritto al rispetto della vita privata e riservatezza delle comunicazioni, che è previsto dalla Carta dei diritti fondamentali dell’Unione Europea e dalla Direttiva ePrivacy. Certamente però, il rispetto della vita privata e delle comunicazioni dei cittadini italiani non ha nulla a che fare con la lotta alla pandemia o con il Green Pass. Fino a prova contraria, un virus si combatte con i vaccini, e non certo privando le persone della loro vita privata e della riservatezza delle loro comunicazioni.
La tecnologia non è una panacea
Il secondo motivo di questa crociata alla “privacy” è probabilmente dovuto dalle pressioni politiche dei tecno-soluzionisti, che vorrebbero risolvere qualsiasi problema con investimenti tecnologici senza alcuna seria progettualità e ponderazione. Qui il contrasto esiste davvero con il GDPR, perché la normativa europea prevede obbligatoriamente che qualsiasi trattamento di dati personali debba essere effettuato rispettando i requisiti previsti. La frustrazione del legislatore e della pubblica amministrazione è chiara: sarebbe molto più semplice “fare” senza rispettare le regole europee comuni che ci siamo dati, così come sarebbe molto più semplice – immagino – dare appalti pubblici senza rispettare il codice degli appalti pubblici e le regole anticorruzione. D’altronde l’incompetenza della Pubblica Amministrazione in questo senso viene confermata anche dallo stato disastroso in cui sono tenuti i data center, come descritto dal recente rapporto AgiD e come confermato anche dallo stesso Ministro Colao. E allora forse il problema non è nella legge, che vorrebbe elevati standard di sicurezza e protezione dei dati, ma nell’opera della PA.
Non è sempre colpa della legge se le cose non funzionano
In questo contesto di tecno-soluzionismo senza alcun riguardo per la normativa e per i diritti delle persone si inserisce un altro critico della privacy, Ernesto Maria Ruffini, Direttore dell’Agenzia delle Entrate. Recentemente ha affermato che: “la fatturazione elettronica non ha dato gli effetti sperati non perché non sia la via giusta ma perché abbiamo un armadio pieno di dati che non siamo in grado di utilizzare perché non siamo autorizzati a farlo per la privacy”. Il sillogismo, errato, dovrebbe in realtà leggersi così: abbiamo dati che non possiamo usare perché durante la fase di progettazione e sviluppo del sistema di fatturazione elettronica non abbiamo tenuto conto dei requisiti previsti dalla normativa europea. Uno scenario già visto molte altre volte. Quando le cose non si sanno fare per bene, è sempre colpa della legge (o di chi la legge cerca di farla rispettare).
Tra l’altro, già lo scorso anno il Garante si era espresso in merito a uno schema del Direttore dell’Agenzia delle Entrate sulla fatturazione elettronica, affermando che il sistema così pensato sarebbe stato un “sistema di controllo irragionevolmente pervasivo della vita privata di tutti i contribuenti”. Che non significa che la privacy viene prima della lotta all’evasione, ma che per farlo non è possibile instaurare un sistema di sorveglianza di massa di tutti i contribuenti. La normativa europea, il GDPR, è pensata esattamente per questo: consentire la libera circolazione dei dati, nel rispetto delle regole a tutela dei diritti delle persone.
Conclusioni
Forse, invece di puntare il dito contro i diritti e le libertà delle persone, sarebbe meglio lavorare affinché la pubblica amministrazione possa essere più efficiente e competente, e comprendere che non può esserci crescita economica, lotta alla pandemia, o innovazione tecnologica senza il rispetto delle regole comuni che tutti noi europei ci siamo dati.
In conclusione, è comunque vero che la privacy è un ostacolo. D’altronde, i diritti fondamentali sono pensati per essere un ostacolo. Al totalitarismo, alla repressione, all’abuso di potere, alla prepotenza dello Stato e dei privilegiati contro le minoranze e i soggetti più vulnerabili.