Il rischio “privacy” nel decreto capienze
Il cd “decreto capienze” (D.L. 8 ottobre 2021, n. 139) avrebbe potuto fare ordine su alcune criticabili limitazioni per gli enti pubblici in materia di trattamento presenti nel Codice per la protezione dei dati personali, come aggiornato in maniera forse un po’ troppo rigida dal D. Lgs. 101/2018 (che lo ha allineato ai principi del Regolamento europeo 679/2016 – GDPR). Invece, tale riforma contenuta nell’art. 9 del D.L. è riuscita con le sue piccole “correzioni” nel difficile intento di rendere il Codice ancora più inadeguato (o poco comprensibile) rispetto allo spirito del GDPR, tanto da aver fatto gridare allo scandalo molti studiosi della materia. Il rischio paventato è che con le ultime modifiche introdotte nel Codice si sarebbero troppo allargate le maglie della condivisione dei dati tra le PA, consentendo anche una lotta troppo “spontanea” all’evasione fiscale da parte dello Stato italiano (attraverso interrogazioni incrociate dell’Agenzia delle Entrate che avrebbe così la piena disponibilità dei vari database delle diverse PA italiane). Si spera comunque che almeno il Parlamento, in sede di conversione, coinvolga doverosamente l’Authority per la protezione dei dati personali in modo che si possa correggere il tiro di una riforma effettivamente non perfettamente riuscita.
Il caos normativo sul green pass
Inoltre, a due giorni dall’obbligo di controllo del green pass previsto per il 15 ottobre scorso, sono arrivati non uno, ma ben 2 DPCM, accompagnati da un parere dell’Autorità Garante per la protezione dei dati personali e anche dalle ormai consuetudinarie FAQ, destinate come al solito a interpretare normative arrivate all’ultimo minuto. Per fortuna che tutto ciò che si sarebbe dovuto porre in atto per adeguarsi alla fatidica scadenza del 15 era abbastanza prevedibile, perché – studiando e facendosi guidare da buon senso e dall’esperienza – certe scelte potevano risultare spontanee o inevitabili-; diversamente, l’adeguamento organizzativo e tecnologico – a due giorni da una scadenza a corpose normative e precise indicazioni operative – sarebbe stato pressoché impossibile.
Ma che attinenza hanno queste due notizie una con l’altra?
In realtà, entrambe denotano ancora una volta e in modo piuttosto evidente la sciatteria legislativa che pervade l’ultimo periodo che stiamo vivendo. Del resto, ci stiamo ormai abituando a una pericolosa granularità legislativa, a minuziose ricostruzioni tecnico-giuridiche su “cosa si debba fare e cosa no” per essere in regola con una legislazione piovuta dall’alto come un fulmine a ciel sereno. Ma, in emergenza, a due giorni dalla fatidica scadenza dell’obbligo del green pass, questo aiuto dell’ultimo minuto assume comunque il sapore non di una cicuta, ma di un brodo di giuggiole, che con la sua dolcezza è in grado di portarci verso l’agognata salvezza interpretativa. Del resto, possiamo scriverlo con franchezza, il Governo interviene, con l’aiuto del Garante, e pure con delle FAQ, perché la normativa si sa già nel momento in cui la si predispone che non sarà abbastanza chiara per tutti. E quindi è giusto accompagnarla più volte da aiutini interpretativi, pur se arrivano proprio all’ultimo minuto.
Lavoro encomiabile, per carità, questo da parte del Governo e dalle altre istituzioni, ma che sarebbe senz’altro evitabile in un Paese diverso dall’Italia. In un Paese normale, insomma. Ma non è così per il nostro, perché ormai diamo tristemente per scontato che una legislazione non possa aspirare alla chiarezza e abbia bisogno necessariamente di successive integrazioni, correzioni, aggiustamenti, interpretazioni più o meno autentiche dalle diverse fonti istituzionali. Insomma, è il caos. E del resto e non per nulla siamo il Paese dell’ipertrofia normativa.
Il coraggio dell’interpretazione
A mio avviso, Legislatore e Garante che – con approccio paternalistico – ci aiutano come balie, che ci indicano ogni puntiglioso dettaglio delle nostre azioni, sono conseguenza ormai della nostra svogliatezza, del nostro senso di smarrimento. Siamo noi a ricercarli in questo ruolo, anche a causa di una ormai scarsa abitudine (o forse mancanza di coraggio) a interpretare. E invece regolamentazioni così puntigliose e interventi così particolareggiati sarebbero astrattamente in contrasto con il principio di accountability del GDPR. Ma ormai ci meritiamo questo.
E tanto è scarsa la voglia di provare a mettere in atto uno sforzo interpretativo che, anche quando poi la nostra voce si fa sentire, urlando allo scandalo contro una novità normativa piovuta dall’alto e arrivata senza preavviso, come nel caso della riforma “privacy” contenuta nel decreto capienze, in realtà, si ha la spiacevole sensazione che si abbia anche in questo caso poca voglia e coraggio di interpretare sistematicamente quanto il legislatore sta pericolosamente proponendo. E invece, in casi come questi, si potrebbe reagire, interpretando, con il puntiglio dello studioso, profondo conoscitore della norma, che in punto di diritto guida quanto criticamente legge, portando così la narrazione normativa verso più corretti binari interpretativi.
Questa riforma, senz’altro perfettibile e frutto di quella sciatteria legislativa che pervade l’ultimo periodo, potrebbe facilmente essere ridimensionata, se l’interprete la guidasse, riportandola appunto nell’alveo dei principi del GDPR (e delle restanti parti del Codice) che non possono essere messi in discussione a colpi di accetta legislativa.
Ma la riforma del decreto capienze è davvero contra legem?
In realtà, si ritiene che rendere operativa e interoperabile la condivisione di database e archivi digitali delle PA italiane sia corretto, anzi necessario. Del resto, tutto questo è previsto da anni nel Codice dell’amministrazione digitale. Il problema oggi – più che di “privacy” (che non esiste in realtà, e andrebbe chiaramente definita “protezione dei dati personali”) – è il voler rendere possibile quanto da anni declinato nel CAD in termini di trasparenza, semplificazione, efficientamento organizzativo, senza il necessario e indispensabile corredo di garanzie di esattezza, integrità, autenticità, qualità dei dati e documenti previste nello stesso CAD, nelle sue regole tecniche e linee guida, nonché dagli stessi principi generali della normativa sulla protezione dei dati personali.
Il problema aperto e lacerante resta solo e soltanto questo. Lo stato pietoso, arretrato e reale della “digitalizzazione a norma” delle PA nel nostro Paese. E, in questo stato, condividere dati e documenti informatici tra amministrazioni resta un rischio altissimo per i diritti e le libertà dei cittadini. Perché un archivio o un database non sicuri, aggredibili, manomettibili, facilmente hackerabili, mettono gravemente a rischio le garanzie su cui si poggia la nostra stessa democrazia, oltre che i diritti e le libertà delle persone fisiche (che il GDPR impone di tutelare dai rischi derivanti da qualsiasi trattamento di dati personali).
In poche parole, gli impatti effettivi delle novità sulla protezione dei dati personali contenute nel decreto capienze sembrano meno catastrofici di quanto si vorrebbe far apparire oggi. Il vero problema è, invece, lo stato del Paese, dal punto di vista legislativo, organizzativo…e anche interpretativo.
Riprendiamoci almeno il coraggio dell’interpretazione. Sarebbe già un passo in avanti verso un Paese normale, magari anche con un maggiore grado di consapevolezza e cultura digitale.
