L’art.9 del decreto-legge ‘capienze’, varato dal governo, prevede meno privacy per noi italiani. Ma non ha sollevato l’indignazione da parte della politica né dai cittadini, perché la protezione dei dati (come è più corretto dire, in quanto la privacy riguarda più la nostra riservatezza), non è un argomento da campagna elettorale e non scalda (ancora) gli animi. Interessa solo agli esperti del settore, nonostante riguardi la vita online e offline di tutti noi. Anzi è considerata una “fisima”, un ostacolo all’innovazione tecnologica e alla lotta all’evasione fiscale fino alla causa di “vite perdute” con il Covid-19, secondo questo tweet di Roberto Burioni.
Manca una ‘Greta Thunberg’ per la protezione dei dati e per i diritti digitali e la consapevolezza dei cittadini
In realtà, la protezione dei dati non interessa all’opinione pubblica, perché non c’è ancora una consapevolezza sui vantaggi per la tutela della data protection e sui rischi della sorveglianza digitale.
Manca una ‘Greta Thunberg’ per la protezione dei dati e per i diritti digitali.
Max Schrems si sta dimostrando il Davide contro Golia, ma non ruba i cuori. Encomiabile è il lavoro di Hermes Centers con l’iniziativa Reclaim Your Face, ma è incentrata sul vietare la sorveglianza di massa biometrica. Il 21enne anglo-italiano, Joseph Donat Bolton, ha presentato l’istanza al Garante che è finita con una multa da duecentomila euro ai danni della sua università “Bocconi” per aver trattato in maniera illegittima i dati personali degli studenti, filmati durante gli esami a distanza. Ma è un caso isolato.
Cercasi un testimonial o un influencer in grado di spiegare in modo semplice, diretto ed anche con il linguaggio dei social perché il decreto ‘capienze’ comprime il diritto alla protezione dei dati personali dei cittadini nei confronti delle pubbliche amministrazioni e anche delle società private, a cui le Pa possono, secondo il decreto, trasferire i dati dei cittadini.
Rischiamo di perdere il controllo sui nostri dati personali
Il grave rischio? Far perdere a noi il controllo sui nostri dati. Li cediamo, per esempio, al nostro Comune e poi li possiamo ritrovare nel data breach subìto da un’altra piccola amministrazione locale o azienda privata. Una follia in vigore, ma che può essere fermata con alcune puntuali modifiche al decreto-legge in corso di conversione in legge da parte del Parlamento.
Il primo ‘Privacy Pride’ a Roma il 13 novembre
Contro il decreto-legge ‘capienze’ è stato indetto il primo ‘Privacy Pride’, che si terrà a Roma alle ore 16 il 13 novembre:
“Scendiamo in piazza per non farci erodere i nostri diritti digitali dal decreto-legge capienze”, spiega a Key4biz Francesco Macchia, tra i promotori dell’iniziativa. “La manifestazione statica”, spiega, “sarà di fronte alla sede del Garante Privacy in piazza Venezia per tributare solidarietà all’Autorità. Daremo poi spazio ad interventi programmati ed anche aperti ad altri sul valore della protezione dei dati e sui rischi legati alla sorveglianza statale e dei privati”.
“In Italia”, conclude Francesco Macchia, che gestisce anche il gruppo Telegram della manifestazione ‘Privacy Pride’, “non abbiamo una lobby che possa presentare alla politica le ricadute positive della protezione dei dati per rilanciare il mercato ICT in Italia e la trasformazione digitale del Paese, la privacy non è un ostacolo all’innovazione”.
Il decreto ‘capienze’, perché comprime il diritto alla protezione dei dati personali dei cittadini? Quali le migliorie possibili
Il decreto-legge ‘capienze’ per l’organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali mira, senza riuscirci, ad essere coerente con il GDPR. E risponde anche ad una reale esigenza di semplificazione dei processi e di accelerazione dei progetti del PNRR. “Ma questa esigenza non può avvenire a detrimento della privacy dei cittadini”, ha avvertito Pasquale Stanzione, presidente dell’Autorità Garante per la protezione dei dati personali, durante l’audizione di fronte alle Commissione Affari costituzionali del Senato che sta esaminando il decreto-legge per la sua conversione in legge.
Infatti, il testo della norma è stato tramutato in un “colpo di spugna”, commenta a Key4biz, l’avv. Giovanni Maria Riccio, ordinario di diritto comparato, secondo cui “tutte le PA possono sempre trattare i dati personali, tra l’altro di natura comune ossia non sensibili, effettuati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri senza una legge di riferimento, ma solo attraverso un semplice atto interno delle pubbliche amministrazioni”.
- Limitare solo alle PA centrali il trattamento dei dati, perché è sia necessario un incrocio di dati tra Inps, Inail, MEF, Agenzia Entrate ecc. sia perché sono pubbliche amministrazioni dotate di DPO. Questa la prima proposta di modifica illustrata da Riccio in audizione al Senato davanti alla Commissione.
- La seconda è individuare “una tipologia di dati che possono essere trattati ai fini dei progetti del PNRR, non tutti”, conclude Riccio.
I reali rischi del decreto
Ecco i reali rischi di questa norma, non considerati dal consiglio dei ministri.
- Ripetute e gravi violazione delle norme sulla protezione dei dati, perché non tutte le pubbliche amministrazioni locali hanno esperti di privacy o Data Protection Officer.
- Installazione di telecamere ovunque nelle strade o, come già successo di recente, perché il decreto è in vigore, l’attivazione di sensori che rilevano i cellulari per evitare assembramenti in centro a Verona. Oggi, grazie alla preventiva interlocuzione con il Garante Privacy, la pubblica amministrazione centrale ha potuto realizzare secondo i princìpi di privacy by design e by default, per fare alcuni esempi, la fatturazione elettronica, le app Immuni e IO e il sistema green pass. Il decreto legge, ora, cancella il potere del Garante di prescrivere, prima del rilascio di una soluzione digitale, misure e accorgimenti a garanzia dei cittadini. Sono stati abrogati i provvedimenti prescrittivi di carattere generale su casi specifici. Ora, il Garante dovrà avviare consultazioni individuali per trattamenti con impatti a rischio elevati.
- In virtù del decreto ‘capienze’, l’Autorità potrà intervenire solo ex post in caso di violazioni delle norme in materia, come dire “a danno fatto”. È troppo tardi.
4 correttivi da adottare al decreto Capienze, secondo il Garante Privacy
La modifica più rilevante del decreto legge è quella dell’articolo 2-ter del Codice Privacy, che, sostanzialmente, è volta ad escludere la necessità di una disposizione legislativa o regolamentare per il trattamento di dati comuni al fine di pubblico interesse. Il presidente dell’Autorità Garante per la protezione dei dati personali, Pasquale Stanzione, ha proposto alla Commissione Affari costituzionali del Senato questi 4 correttivi.
“Circoscrivere l’ambito entro cui le Pa potranno trattare i dati dei cittadini”
La proposta del Garante è modificare solo il comma 1 esistente, che disciplina le basi giuridiche: semplicemente ampliandone l’elenco. Quindi il nuovo testo legislativo diventerebbe “leggi, regolamenti e”, ecco la novità, “atti amministrativi generali” da parte della PA. In questo modo si potrà circoscrivere l’ambito entro cui le Pa potranno trattare i dati dei cittadini per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.
’Inserire una clausola di salvaguardia“
Inoltre, ha osservato Stanzione “sarebbe auspicabile limitare la generale legittimità del trattamento al solo profilo della base giuridica. E per questo fine, sarebbe utile l’inserimento di una clausola di salvaguardia che preveda il rispetto degli obblighi previsti dai regolamenti europei e dal Codice della privacy. In questo modo non si anderebbe a vanificare la valutazione su trasparenza, proporzionalità, sicurezza e minimizzazione dei dati”.
Draghi copia Merkel, ma dimentica questi numeri. In Germania 800 persone per i Garanti federali, in Italia solo 162
Facciamo notare che Draghi ha copiato Merkel sul decreto per le modiche in materia di protezione dei dati. Infatti, il governo italiano si è rifatto alla legge federale sulla protezione dei dati del 30 giugno 2017 adottata dal Parlamento tedesco. Ma il consiglio dei ministri italiano ha dimenticato che il personale complessivo dei 16 Garanti federali tedeschi è di 800 persone con un costo pari a 100 milioni l’anno. In Italia la protezione dei dati personali è svolta da un unico Garante che può contare solo su 162 risorse umane, con un costo di 30 milioni di euro l’anno.
È necessario rafforzare anche il personale dell’Autorità (“è a rischio collasso” ha detto apertamente Agostino Ghiglia, uno dei sui componenti) se il Governo vuole accelerare l’iter per l’approvazione dei progetti del PNRR (ma anche fronteggiare meglio lo strapotere delle big tech), anche se Stanzione ha assicurato “siamo in grado di dare un parere urgente ben al di sotto di 30 giorni come previsto dal decreto, perché oggi già avviene così. Per cui la modifica va a positivizzare la prassi”.
Trasferimento dei dati tra Pa e aziende private “introdurre, almeno, una preventiva comunicazione al Garante“
Il quarto correttivo. Il decreto prevede un lungo elenco di soggetti pubblici che possono trasferire i dati tra di loro, anche a soggetti terzi, privati, senza una qualsiasi norma o regolamento. “Introdurre, almeno, una preventiva comunicazione al Garante da parte del soggetto pubblico, prossimo titolare del trattamento, in cui manifesta l’intenzione di trasferire i dati per consentire all’Autorità di poter verificare la compatibilità dell’attività con la disciplina europea sulla materia”, ha auspicato il presidente Stanzione davanti ai senatori della commissione, che possono iniziare a porre fine alla “liberalizzazione” dei dati e al grave rischio di farci perdere il controllo, il ‘governo’, sui nostri dati personali.
Taggate tutti i possibili testimonial/influencer della privacy, in Italia e all’estero 🛡👁
