Articoli

Un’opera collettiva a tutela della nostra privacy. Discorso del Presidente Soro in occasione della presentazione della relazione annuale

Avv. Vincenzo Colarocco

Il 7 maggio, alle ore 11:00, il Presidente del Garante per la protezione dei dati personali, Antonello Soro ha presentato al Parlamento e al Governo la relazione annuale dell’Autorità.

Dalle parole del Presidente è sembrato emergere che la rinnovata attenzione mostrata negli ultimi tempi alla privacy, in parte dovuta all’applicazione di una normativa non più solo nazionale, ha cristallizzato una certa consapevolezza: il dato è tanto l’oggetto di un diritto inviolabile quanto un bene suscettibile di valutazione economica, capace di produrre ingenti profitti. La stragrande maggioranza dei nostri dati è nella disponibilità di piattaforme digitali; l’unico modo per evitare un’inutile quanto infruttuosa guerra alla digitalizzazione, è scommettere sia sulla persona che sul progresso, nella prospettiva di trovarne un giusto bilanciamento. Il Dott. Soro, infatti, conferma che se è vero che le tecnologie e le innovazioni digitali condizionano le scelte delle persone fisiche, sia come singoli sia come appartenenti ad una collettività, è anche vero che delineano l’esercizio della sovranità. La razionalizzazione e l’armonizzazione, soprattutto a livello europeo, del quadro giuridico di riferimento, compendiato dalla predisposizione di misure efficaci, sono gli unici strumenti in grado di prevenire “totalitarismi digitali” e “capitalismi della sorveglianza”.

Vicende come Facebook-Cambridge Analytica dimostrano che l’assoluta prevalenza accordata a sistemi predittivi, funzionanti sulla base di algoritmi privi di qualsiasi intermediazione umana, potrebbe certamente mettere a repentaglio la stessa forma democratica, se sottratti ad un progetto etico giuridico e politico. Per tali ragioni, il Presidente ha affermato che seppur debba essere riconosciuta “l’inadeguatezza di un algoritmo a svolgere valutazioni necessariamente discrezionali e complesse”, si deve anche comprendere che il processo d’informatizzazione è troppo prezioso per il nostro Paese per potervi del tutto rinunciare. Da ciò nasce l’esigenza di renderlo “pienamente compatibile con i principi di proporzionalità e minimizzazione”.

Sebbene il Collegio guardi con occhio critico talune scelte legislative – un esempio tra tutti la data retention – perché talvolta miopi rispetto all’osservanza dei principi ricordati, tuttavia riconosce che tanto è stato fatto.

In questo senso, il Presidente ricorda le previsioni che consentono di richiedere, con una procedura particolarmente agile, la cancellazione o rettifica dei dati illegittimamente trattati in ambito giudiziario penale; l’adozione di alcune garanzie essenziali, omogenee per tutti gli uffici giudiziari, per impedire, in fase d’indagini, fughe di notizie pregiudizievoli anche della riservatezza individuale; la legge sul cyberbullismo, che ha valorizzato l’esigenza di tutela in forma specifica dell’immagine e dell’identità del minore; le disposizioni in tema di videosorveglianza negli asili per prevenire gli abusi; le nuove forme di esercizio del potere di vigilanza disciplinate con il protocollo d’intenti siglato con il Dis nel novembre 2013 e i costanti solleciti dell’Autorità al legislatore in alcune materie particolarmente sensibili come quella concernente il fenomeno del giornalismo di trascrizione; le disposizioni che, mirando ad appianare le asimmetrie contrattuali, garantiscono anche la tutela della riservatezza. Si pensi alla possibile qualificazione, come pratiche commerciali scorrette, le informative reticenti o, come abuso di posizione dominante, le illecite concentrazioni di data set anche di terze parti; allo Statuto dei lavoratori, come modificato dal Jobs Act; alle previsioni che regolamentano il tessuto endo-associativo dei partiti politici

Tuttavia, la regolamentazione non è tutto o meglio non basta. Il Garante ricorda come il 2018 è stato definito, dal Clusit, l’anno peggiore per la sicurezza cibernetica, così costantemente esposta a minacce tanto da configurare una sorta di cyber-guerriglia permanente. Se è vero che “il diritto alla protezione dei dati personali viene sempre più invocato di fronte alle innumerevoli “servitù volontarie” cui rischiamo di consegnare noi stessi, in cambio di utilità e servizi che paghiamo al prezzo di porzioni piccole o grandi della nostra libertà”, ne consegue che la consapevolezza di tutti noi è di cruciale importanza e occorre porsi come obiettivo la tutela di questo diritto di libertà, che diviene forma e regola dell’agire individuale e collettivo. “A quest’obiettivo nessuno può sentirsi estraneo: perché involge il senso stesso del nostro essere persona e la natura della società in cui viviamo”.

No alla pubblicazione dei dati dei dirigenti pubblici: l’arresto della Corte costituzionale

Avv. Vincenzo Colarocco

Con sentenza n. 20, del 21 febbraio 2019, la Corte Costituzionale ha dichiarato l’illegittimità della disciplina sulla pubblicazione dei dati patrimoniali dei dirigenti pubblici: la disposizione viziata estendeva a tutti i dirigenti pubblici, a prescindere dal ruolo ricoperto, l’obbligo di pubblicazione dei dati relativi, da un lato, ai compensi percepiti per lo svolgimento dell’incarico, dall’altro, ai dati patrimoniali ricavabili dalla dichiarazione dei redditi, dalle annotazioni risultanti dai registri immobiliari, nonché dal possesso di quote societarie. A parere della Corte, il diritto alla riservatezza dei dipendenti pubblici, da intendersi come il diritto a controllare la circolazione delle informazioni inerenti la propria persona, è stato compresso a fronte dell’esigenza di garantire il principio di trasparenza delle pubbliche amministrazioni, finalizzato alla lotta alla corruzione nella pubblica amministrazione. La P.A. –sostiene la Corte– non ha in precedenza dato applicazione al principio di proporzionalità del trattamento che domina la disciplina a tutela dei dati personali, pienamente recepito dall’art. 5 del Regolamento europeo 2016/679, meglio noto come GDPR, andando a prediligere la misura più appropriata per assicurare il bilanciamento tra i diritti e per non sacrificare la riservatezza degli interessati. Se da un lato, si rende necessaria la previsione di strumenti che consentano al cittadino di accedere liberamente alle informazioni sull’impiego delle risorse pubbliche, dall’altro – come correttamente rileva la Corte – non appare giustificato l’accesso incondizionato anche in relazione a categorie di dati non strettamente connesse all’esercizio di pubblici incarichi, come ad esempio il patrimonio immobiliare del dipendente pubblico. A ciò si aggiunga che nella pubblicazione di tali dati la P.A. non ha operato alcuna distinzione tra i dirigenti, in relazione al ruolo, alle responsabilità e alla carica ricoperta: la Corte ha ritenuto tale scelta un effettivo rischio di generare “opacità per confusione”, oltre che di stimolare forme di ricerca tendenti unicamente a soddisfare mere curiosità. Con la pronuncia del 21 febbraio, sono stati opportunamente bilanciati e garantiti il diritto alla privacy e la tutela minima delle esigenze di trasparenza amministrativa, individuando, in conclusione, nei dirigenti apicali delle amministrazioni statali (previsti dall’articolo 19, commi 3 e 4, del decreto legislativo n. 165 del 2001) coloro ai quali sono applicabili gli obblighi di pubblicazione imposti dalla disposizione censurata: con riferimento a tali dirigenti di compiti di elevatissimo rilievo, infatti, l’obbligo di totale trasparenza non è appare irragionevole. A fronte di tale intervento della Corte, il legislatore nazionale è ora tenuto a ritracciare il perimetro della categoria dei destinatari degli obblighi di trasparenza e delle modalità con cui questi devono essere attuati, nel rispetto dei principi tracciati da questa pronuncia.

Reddito di cittadinanza e GDPR: Il Garante interviene evidenziando i gravi rischi

Avv. Vincenzo Colarocco

Il Presidente dell’Autorità Garante per la protezione dei dati personali, con la memoria dell’8 febbraio 2019, evidenzia come molte norme del decreto legge 28 gennaio 2019 n. 4 presentino notevoli criticità sotto il profilo della protezione dei dati personali. Si rileva come, non essendo stato richiesto il parere preventivo previsto dall’art. 36 al paragrafo 4, non sia stato possibile preventivamente individuare i rischi derivanti dalle diverse attività di trattamento. Ad avviso del Garante, infatti, le norme mancano di sufficiente precisione: le previsioni, di portata generale, si rivelano inidonee a definire con sufficiente chiarezza le modalità di svolgimento delle procedure di consultazione e verifica delle varie banche dati. In particolare, non appare rispettato il principio di proporzionalità poiché la sorveglianza su larga scala, continua e capillare, dei soggetti interessati determinerebbe un’intrusione sproporzionata e ingiustificata nella sfera privata dei singoli. Si contesta, in particolare, che attraverso le due piattaforme digitali, da istituire una presso l’ANPAL e l’altra presso il Ministero del lavoro, transiterebbe un massivo flusso di informazioni e di dati, riferiti tanto ai richiedenti quanto ai componenti il nucleo familiare degli stessi – ivi inclusi i dati dei minorenni – idonei anche a rivelare lo stato di salute o l’eventuale sottoposizione a misure restrittive della libertà personale. La mancanza di regole pertinenti e di adeguati accorgimenti, in grado di garantire la qualità e l’esattezza dei dati, espone a rischi di non poco momento. Forti dubbi si nutrono anche in merito al cd. monitoraggio sull’utilizzo della carta Rdc, su cui possono essere compiuti dei controlli puntuali, centralizzati e sistematici sulle scelte di consumo individuali, in assenza di procedure ben definite. L’Autorità si mostra preoccupata anche dalla Dichiarazione sostitutiva unica (DSU), presupposto per il riconoscimento del reddito di cittadinanza e prodromica al rilascio dell’attestazione Isee: il documento in parola, infatti, verrebbe precompilato a cura dell’INPS, con la collaborazione dell’Agenzia delle Entrate. La precompilazione, per quanto risponda all’ esigenza di semplificazione amministrativa, non può pregiudicare la sicurezza e l’integrità dei dati contenuti.. Il Garante, infine, rileva come il sito web del Governo, dedicato al reddito di cittadinanza, mostri alcune carenze, specie con riferimento all’informativa sul trattamento dei dati.