l'intervento integrale

I 25 anni del Garante Privacy. Cerrina Feroni: “Il diritto alla protezione dei dati è il fulcro della tutela dei diritti individuali e collettivi dei cittadini”

di Ginevra Cerrina Feroni |

Pubblichiamo la relazione della professoressa Ginevra Cerrina Feroni, Vicepresidente del Garante per la Protezione dei Dati Personali, al Convegno di celebrazione dei 25 anni di attività del Garante.

Quello che proverò a fare è raccontarvi una storia.

Lo farò ripercorrendo questi venticinque anni in una narrazione che mostri come il Garante, anche quando non si vedeva, era lì, al fianco degli Italiani, a sostenere la Repubblica nel suo cammino, ad aiutare la Costituzione nel suo compimento.

Proverò a rappresentarvi come l’azione del Garante abbia non solo accompagnato, ma spesso anticipato o stimolato i cambiamenti sociali, economici, culturali ed istituzionali del nostro Paese. Un’Amministrazione strutturalmente votata al futuro e la cui vocazione è stata dall’inizio (ed è ancora) essere al servizio dell’uomo, oggi nella dimensione, ricca di opportunità quanto di rischi, del digitale.

Non amo le retoriche e, dunque, anche se in una giornata di celebrazioni come è questa, non dirò che è stata una storia epica: è la storia di decine di donne e di uomini intelligenti e coraggiosi, impegnati a lavorare, con passione e diligenza per proteggere i cittadini italiani dallo squilibrio delle nuove forme di potere, da artifici coercitivi, dalle intrusioni indesiderate e aggressive nella propria vita più intima.

Non è epica, perché nessuno reclama la gloria per un lavoro che svolge con dedizione, serietà e spirito di servizio, ma di certo è stata una grande, per certi aspetti, entusiasmante, avventura!

1. Una nuova Authority

Il Garante nasce in un mondo che cambia. L’istituzione in sé ha la forma moderna dell’Authority, questo strano organismo che s’incunea nelle maglie e nelle categorie di un’ingegneria istituzionale che negli anni ’90 inizia a scontare qualche incrinatura e necessita pertanto di nuova linfa e nuove idee.

Nello “Stato osmotico” – per citare il mio maestro Alberto Predieri – in cui i fenomeni micro e macro economici prevengono e spesso inglobano quelli istituzionali, occorrono entità inedite, costituite per cambiare, contro l’esistente, politico e amministrativo, ma anche come snodo di un potenziale contropotere.

L’indipendenza invocata, praticata, dimostrata, rivendicata, esercitata ne è la caratteristica essenziale, vitale direi, stante i suoi compiti ed i suoi poteri. Indipendente dalle maggioranze parlamentari, dai colori di Governo e Opposizioni, ma ancor più dalle trame interessate del mercato, dai ricatti economici e dalle pressioni di gruppo. Un Autorità amministrativa, dunque, che seppure manifestazione di una deroga al principio democratico, né è al contempo inveramento, garantendo un’azione neutrale, nel senso d’imparziale e volta all’esclusiva ed intrattabile tutela dell’individuo, scevra anche dalla sola ombra di compromissioni e fini reconditi.

2. La digitalizzazione

L’Autorità nasce in una giungla feconda in pieno fermento tecnologico tanto nel pubblico, quanto nel privato.

Le ricche banche-dati, da cui ha avuto origine la disciplina della privacy, diventano sempre più connesse, facilitando una condivisione del patrimonio informativo senza precedenti, attraverso la digitalizzazione delle reti di telecomunicazione sempre più estese e pervasive.

La popolazione italiana entra in possesso di dispositivi presto diventati status symbol di un’epoca in cui l’accessorio doveva essere interattivo, consentire di comunicare e quanto più possibile ricco di funzioni.

3. Fra europeizzazione e globalizzazione

Gl’investimenti pubblici e privati nella digitalizzazione sono figli di una precisa strategia sollecitata dall’Europa (Commissione Delors).

E il Garante è figlio di quella strategia. La più europea di tutte di tutte le Autorità indipendenti.

Ed in Europa trova, infatti, la sua sede ideale di confronto e conforto, una vera e propria avanguardia nel processo di europeizzazione che in seguito coinvolgerà l’intera amministrazione.

A Bruxelles, nelle sedi dell’allora Comunità europea ed a Strasburgo in seno al Consiglio d’Europa, il Garante trova la maniera di proporre il proprio modello e talvolta di imporre la propria linea, distinguendosi per la visione innovativa, sviluppando con decenni d’anticipo categorie e concetti che saranno acquisiti negli altri Stati membri solo col GDPR.

Se l’Europa è quindi il contesto operativo naturale, l’interconnessione ormai planetaria sconvolge la scacchiera tradizionale delle comunicazioni internazionali. Non più le banche, ma i flussi transfrontalieri rappresentano la dimensione fisiologica del dato: è la globalizzazione digitale, lo stadio estremo dell’intensificazione degli scambi economico-commerciali e degli investimenti internazionali su scala mondiale, il cui effetto immediato è un’interdipendenza sempre più stretta, si potrebbe dire simbiotica, fra l’Europa, grande consumatrice, e l’America grande produttrice di tecnologia. Una transazione che s’invera in cambio di dati personali.

4. La minaccia del terrorismo internazionale

È proprio dagli Stati Uniti che giunge la notizia, destinata a modificare, più che il corso della storia, il nostro modo di vivere. L’11 settembre ripropone il più terribile e forse più antico bilanciamento: quello fra sicurezza collettiva e garanzia dei diritti individuali.

L’Autorità ha vigilato – con molte complesse decisioni – sui trattamenti effettuati dalle forze di polizia, nel tentativo di trovare il punto di equilibrio tra esigenze di prevenzione, indagine, accertamento, perseguimento e repressione dei reati e diritto alla protezione dei dati personali, quale presidio di libertà e dignità della persona. Penso anche all’impegno profuso fino agli ultimi mesi della sua esistenza dal dott. Buttarelli, proprio in merito alla normativa sulla conservazione dei dati di traffico – che ci vede ancora molto insoddisfatti

5. Il regionalismo all’italiana

Sul fronte interno, invece, il vero urto arriva dalla Riforma del Titolo V della Costituzione, che ricompone i rapporti di forze e gli equilibri fra il Governo centrale e le amministrazioni regionali. Il riassetto delle competenze coinvolge, ovviamente, anche i patrimoni informativi e la geografia delle potestà sui dati dei cittadini.

Centralizzazione e decentralizzazione della titolarità dei dati rappresentano da allora le coordinate binarie di riferimento in questo ambito, non senza incertezze laddove – rispetto medesimi set di dati – si costruiscono trattamenti per determinate finalità a livello regionale ed altri trattamenti, per altre finalità, a livello centrale. Esemplare è la vicenda infinita del Fascicolo Sanitario Elettronico.

In questo contesto, il Garante è chiamato a sciogliere i nodi, senza drastiche soluzioni, ma attraverso un dialogo incessante con Giunte e Governo.

Non posso neppure chiamare in rassegna i settori esplorati dal Garante in quegli anni: penso, tra i molti, alla ricerca scientifica, con alcune prese di posizione risolute dell’Autorità rispetto a trattamenti di categorie molto particolari di dati, come quelli genetici, o all’istruzione, con i tanti provvedimenti a tutela degli studenti (dalle pagelle, alla video sorveglianza, oggi al rating reputazionale).

Anche se sul tema dell’istruzione si deve purtroppo rilevare una grande carenza, ovvero la mancata presa di coscienza da parte delle istituzioni preposte, che la privacy, come educazione civica digitale, è materia di studio essenziale per forgiare i cittadini di domani. Un tema, per noi Autorità, molto sentito.

6. Gli effetti della grande crisi economica

Il primo decennio del ventunesimo secolo si chiude con un altro cigno nero: la grande recessione del 2008. Un veleno dall’impatto dirompente per la società, capace di cambiarne profondamente gli approcci alla spesa ed al risparmio.

Le banche sono da sempre un laboratorio privilegiato di sperimentazione di trattamenti di dati innovativi ed è per questo che il Garante, con le sue decisioni in materia, ha richiesto standard alti di correttezza e di trasparenza nei confronti dei clienti ed in ispecie nei momenti di crisi sistemica.

Da qui anche l’opera di disciplina – ora divenuta di auto-disciplina – dei sistemi d’informazione creditizia e commerciale, uno spigoloso test di proporzionalità fra la tutela dei legittimi interessi degli operatori e la dovuta prudenza nei confronti delle – ahimè, sempre più numerose – posizioni non in bonis dei clienti.

Mutatis mutandis, le medesime precauzioni il Garante le ha sempre pretese anche dal Fisco, nell’adozione di misure di sicurezza stringenti per la salvaguardia dei dati di quello che è, a tutti gli effetti, il più importante patrimonio informativo del Paese, costantemente alimentato dai dati di spesa e quindi di vita dei cittadini italiani, attraverso una pluralità di strumenti che vanno dalla precompilata, alla fatturazione elettronica, o addirittura innovative applicazioni di intelligenza artificiale a scopi predittivi, e quindi più aperte al rischio di deduzioni errate, come il discusso redditometro.

7. L’invenzione dell’oblio

Il lavoro di scandaglio, indagine ed intervento del Garante non avrebbe mai potuto essere così multiforme ed allo stesso proattivo, senza il contributo incessante della società stessa.

Voglio dire che la sollecitazione di ricorsi, poi reclami e segnalazioni pervenuti da centinaia di migliaia di cittadini e da associazioni di categoria hanno concretamente plasmato la “giurisprudenza” del Garante.

Una casistica la cui risoluzione è riuscita in alcune occasioni, non soltanto a definire il perimetro interpretativo ed applicativo delle forme di tutela, ma anche a determinare l’imporsi di nuove conquiste giuridiche: così è stato per l’oblio, ovvero poter esercitare il diritto, in determinate circostanze, di cancellare il passato o quantomeno di attutirne gli effetti nefasti sul presente.

In quest’ambito, ed in assenza di criteri applicativi generali, si è estrinsecata un’opera minuziosa di ricerca di volta in volta del punto critico di equilibrio fra diritti ed interessi contrapposti: il diritto all’oblio ed il dovere della memoria; la libertà di essere lasciati in pace ed il diritto di cronaca.

8. La promessa disattesa di una riforma della giustizia

C’è poi il convitato di pietra, ovvero il tema della giustizia ed in ispecie di quella penale.

L’assenza di un’adeguata disciplina (sanzionatoria per un verso, e risarcitoria dall’altro), della violazione del segreto istruttorio rimane forse la più grave ferita al diritto della protezione dei dati personali in un ordinamento costituzionale e liberaldemocratico. Nei limiti delle sue funzioni, il Garante è intervenuto, supplendo per quanto possibile, e dalla prospettiva amministrativa della privacy, regolando i trattamenti di dati personali ricavati a mezzo di intercettazioni o sanzionando altre deprecabili eversioni.

 La tanto attesa riforma della giustizia, punto nevralgico di molte stagioni del dibattito politico non potrà e – consentitemi – non dovrà ignorare il tema della privacy per potersi dire all’altezza della situazione e del suo tempo.

9. Trasparenza amministrativa e lavoro

Mi piacerebbe soffermarmi, ma non c’è il tempo, sull’azione del Garante su due grandi settori: trasparenza amministrativa e lavoro. Quanto al primo tema, ricordo solo, di concerto con l’ANAC, le linee guida per l’accesso civico, e l’azione – direi quasi settimanale – di valutazione delle reali esigenze di genuina partecipazione al dibattito democratico, da un lato, e di riservatezza dall’altro. Quanto al lavoro, il c.d. Jobs Act, ha impegnato non poco l’Autorità che, forte di una cospicua tradizione in tema di controlli a distanza, ha cercato di fornire una lettura ragionevole delle norme, nella salvaguardia della dignità del dipendente innanzitutto come persona in un mercato del lavoro sempre più dematerializzato e, potenzialmente, sempre più sorvegliato.

10. La rivoluzione copernicana del GDPR

E così siamo giunti al vero turning point della nostra storia.

Più di vent’anni dopo la sua prima incursione, il Legislatore europeo è tornato a trattare la materia della protezione dei dati personali, ma forte di un’esperienza pratica maturata. Siamo nel mezzo del data rush, la febbre dei dati.

Impensabile ricomprendere, entro un unico modello, ogni sorta di trattamento; irrealistico imbrigliare nelle maglie di una disciplina generale, ogni ipotesi di trattamento.

Occorreva ribaltare la prospettiva, inquadrare il fenomeno da un punto di vista diametralmente opposto: dal punto di vista di chi, in questo aggiornato stato di cose, conosceva ed avrebbe sempre conosciuto meglio di tutti il singolo, unico trattamento, ovvero il titolare.

In ciò consiste la c.d. rivoluzione copernicana apportata dal GDPR: il polo della responsabilizzazione, della verifica di compliance si sposta sul titolare (mentre all’Autorità di controllo spetterà il ruolo di “valutatore della valutazione” del titolare).

È il singolo titolare a dovere adottare un taglio sartoriale alle misure organizzative e tecniche di sicurezza che risulti perfettamente calzante al proprio specifico trattamento ed al suo contesto particolare. Compito tutt’altro che semplice, organizzativamente oneroso ed economicamente impattante, specie su un tessuto di piccole-piccolissime aziende come è il nostro sistema produttivo. È un tema che ci è molto a cuore e sul quale il Garante si è speso cercando, per quanto possibile, di accompagnare il Paese, con tanta attività di formazione ma anche con strumenti di più immediata comprensione per le aziende (linee guida, FAQ, ecc.) 

11. Pandemia digitale

Il banco di prova del Regolamento è giunto subito, inatteso, indesiderato, imprevedibile.

Sin dal principio la pandemia si è connotata per essersi iscritta completamente in una dimensione digitale. Un nemico antico, la paura più arcaica della malattia e della morte si è affiancata al racconto degli aspetti più futuribili della nostra società.

Rispetto a tutte le passate pestilenze, è stata la prima a venire fronteggiata, analizzata, gestita con gli strumenti della tecnologia informatica. Anzi, proprio su questo tema, sul rapporto fra diffusione della pandemia e governamentalità digitale si è fatta la distinzione fra modelli non solo amministrativi, ma anche giuridico-politici da un lato e dall’altro del globo.

Il Garante è stato coinvolto sin dall’inizio nella lettura di fenomeni che più che tecnologici diremmo sociali. L’incremento del lavoro di emergenza fattasi quotidianità ha richiesto un impegno, prima ancora che regolatorio, di comprensione di quanto stava accadendo nel Paese.

I fronti aperti sono stati diversi: 1) da un lato, confrontarsi con le iniziative private, dapprincipio sporadiche, talora improvvisate, mirate a mantenere la produttività, l’occupazione, in qualche modo la salubrità sui luoghi di lavoro e in quelli aperti al pubblico; 2) dall’altro, confrontarsi con gli Esecutivi succedutisi nel “governo del contagio”, ciascuno foriero delle proprie ricette tecnologiche per frenare e tracciare la diffusione del virus; 3) ed all’interno di questo scenario, garantire quanto più possibile una gestione unitaria, centralizzata, che non disperdesse i trattamenti dei dati relativi alla salute dei cittadini in un mosaico di titolarità a livello sanitario regionale o locale.

In tutto questo, nell’estate del 2020 il Garante ha rinnovato il suo Collegio: in piena corsa abbiamo ereditato un fardello montante di casi, di crisi, di problematiche legate alla convivenza col virus, al quale si sono aggiunte tematiche di volta in volta scottanti all’ordine del giorno (dai certificati verdi nelle loro varie versioni, alla didattica a distanza, allo smart working).

Mai come nel corso della pandemia ci si è resi conto di quanto il diritto alla protezione dei dati personali sia veramente il fulcro della tutela dei diritti individuali e collettivi dei cittadini di un sistema liberaldemocratico attuale.

Il Garante presidia uno spazio virtuale, immateriale, in cui il precetto antichissimo dell’habeas corpus vale in termini informazionali in una dimensione elettronica intelligente che può concretamente disfare, disintegrare, estrarre l’essenza di un’identità e ricomporla in maniera distorta e discriminatoria.

E qui si apre il grande nodo, direi oggi cruciale, delle intelligenze artificiale, della cornice regolatoria di cui al GDPR. Vorrei solo dire che su questo tema la giurisprudenza del Garante, direi per facta concludentia, ha dettato per anni linee e indirizzi su trattamenti automatizzati di dati che oggi troviamo inserite nelle proposte europee in discussione.

In questi mesi intensi, il ruolo del Garante di controllore indipendente delle scelte politiche si è estrinsecato in un’attività consultiva tecnica e giuridica quasi quotidiana: non è stato un esercizio semplice e non è stato banale. Perché non semplice e non banale è esercitare l’indipendenza, specie nel momento della massima emergenza.

Il rischio di risultare impopolari in tempi difficili è stato assunto con la serietà di chi è votato a difendere i cittadini, se questo può dirsi, anche da se stessi.

Ma l’irriducibilità di certi diritti merita l’intransigenza delle istituzioni chiamate a proteggerli.

12. Il vaso di PNRR

L’esperienza della pandemia lascia un segno profondo in tutti i campi della società civile.

Sicuramente c’è un prima e ci sarà un dopo: così nella sanità, nella politica, nell’economia, nel diritto, nei diritti e nella socialità.

All’alba, che già speriamo di intravedere, di questo nuovo mondo, dobbiamo chiederci cosa resterà della privacy e della protezione dei dati.

Digitalizzazione è la parola d’ordine di ogni piano di ripresa e lo è concretamente del nostro PNRR.

Come istituzione siamo chiamati ad un ulteriore sforzo, forse ancora più impegnativo, che è quello di accompagnare la ripresa attraverso ogni progetto innovativo che passa attraverso i dati personali dei cittadini, affinché questi siano sempre considerati un valore e mai un mero strumento.

È domani, ma forse oggi stesso, che l’Autorità è chiamata a svolgere i bilanciamenti più difficili fra diritti ed interessi vitali, libertà, mezzi e fini, assicurando che i principi a tutela della protezione dei dati personali e con essa, come abbiamo detto, dell’integrità delle identità in uno spazio quasi totalmente digitale, rimangano la stella polare di ogni prospettato trattamento: la proporzionalità, la minimizzazione dei dati trattati, la liceità e la correttezza.

13. Lo scopo del gioco

Quando si parla di riforme strutturali, noi, inevitabilmente saremo lì. La finanza, l’industria, l’Amministrazione che ambiscono ad alleggerirsi e velocizzarsi col digitale devono tenere a mente che nulla è più leggero dell’irresponsabilità, ma questa, come ha insegnato Hans Jonas, non è ammissibile nella società tecnologica, quando l’umanità è al culmine del rischio di disintegrarsi.

Per citare un precedente Presidente dell’Autorità, il Prof. Pizzetti, nelle parole di un altro Presidente, l’On. Soro: questi venticinque anni raccontano la storia della rivincita di un diritto mite sullo spirito del tempo.

Dev’essere ancor più vero oggi, al tempo del Metaverso, tutt’uno con la vita fisica, fuori dallo schermo. Online/offline sarà una dicotomia impraticabile. Saremo l’avatar di noi stessi nel mondo reale, il corpo fisico dei dati che vivono in Rete – sarebbe interessante immaginare quale suggestiva lettura ce ne offrirebbe il Presidente Rodotà.

Per questo, dico, bisogna ripensare tutto: se non vogliamo che si dissolvano anche tutele e diritti, occorre fondare un nuovo diritto coerente col mondo nuovo, costruire una nuova politica ed una nuova geo-politica per gli spazi informi della Rete.

Bisogna identificare gli attori rilevanti, al di là dei titoli e delle forme, riconoscendo i veri rapporti di forza. Intorno a noi, tutto è cambiato ed oggi irreversibilmente, se non cambiamo anche noi, non sopravvivremo all’impatto.

Ciò che resterà saldo è il nostro unico parametro di riferimento, la nostra bussola: l’uomo al centro, al centro dell’ecosistema tecnologico, che certo non neghiamo, perché non potremmo mai negare la ragione per cui operiamo ed esistiamo.

L’uomo al centro, non solo consumatore, ma con la sua vita privata, immateriale, spirituale.

Ecco, nell’endiadi uomo e macchina noi vediamo e vedremo sempre una priorità irrinunciabile.

Questa è – in sintesi – la nostra storia.

Tra sfide passate e scommesse per il futuro.

Grazie a tutti voi per essere qui.