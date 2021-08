Fra le tante polemiche suscitate dal caso Regione Lazio non poteva mancare quella sulla negligente protezione della “privacy” dei cittadini. Questo incidente — si dice — dimostra che hanno torto quelle importanti personalità istituzionali che, di recente, avevano rilevato l’attitudine paralizzante del regolamento sulla protezione dei dati personali rispetto alla necessità di perseguire fini di interesse collettivo come il contrasto all’evasione fiscale, per esempio, o la gestione della pandemia.

Queste critiche avevano già suscitato la reazione indignata (e in diversi casi, interessata) di chi considera la “privacy” una specie di superdiritto di fronte al quale tutti gli altri, compresi quelli della collettività, devono fare un passo indietro. Non è così in termini generali (la Costituzione stabilisce in più articoli la possibilità di comprimere diritti fondamentali) e in modo particolare per la “privacy” che nemmeno esiste come diritto autonomo.

Dovremmo discutere, semmai, di protezione dei dati personali che è un concetto diverso e molto più ampio. E, cosa ancora più importante, ci dovremmo anche domandare se l’interpretazione delle norme che il Garante dei dati personali ha deciso di sostenere, basata sostanzialmente sul principio di precauzione, abbia senso in un’ottica di costi-benefici.

Quella che potrebbe apparire come una questione puramente accademica ha, in realtà, un impatto concreto estremamente rilevante perché - a seconda dell’approccio operativo - si può produrre inerzia senza reale aumento della tutela dei diritti dei cittadini, oppure si può raggiungere un effettivo livello di protezione senza comprimere inutilmente l’attività di istituzioni e imprese.

Per analizzare il primo profilo torniamo, appunto, al caso del ransomware che ha infettato i dati di Regione Lazio.

Per quanto paradossale possa sembrare l’affermazione, se il tema è “proteggere la privacy” (e se è vero che, come pubblicamente dichiarato, i dati non sono stati esfiltrati), allora è chiaro che il ransomware non ha fatto danni. Se invece —come vuole la legge— il tema è garantire la disponibilità e l’integrità dei dati, allora l’attacco crea un problema di mancato rispetto della normativa e, in termini più sostanziali, di danno ai cittadini per negligenze di varia natura che sono intrinsecamente non scusabili. È opportuno ricordare, infatti, che già dai tempi della direttiva comunitaria che ha preceduto il regolamento 679/16 la responsabilità per il trattamento dei dati era sottoposta a un regime analogo a quello della gestione delle centrali nucleari.

Tuttavia, e passiamo al secondo punto, la (giustamente) elevata responsabilità di chi tratta dati personali non giustifica la scelta di applicare un principio di precauzione in nome del quale “bloccare” o “vietare” preventivamente, senza utilizzare delle metriche oggettive per identificare la soglia di rischio accettabile e per verificare, in concreto, quale sia il rapporto costi-benefici del trattamento (tema fondamentale, per esempio, in materia di ricerca medico-scientifica).

In altri termini, la flessibilità applicativa consentita dal regolamento comunitario, che avrebbe appunto garantito un’applicazione differenziata a seconda della natura dei dati, dei trattamenti e dell’interesse pubblico, si è trasformata nell’applicazione unilaterale di una visione ideologica che produce paralisi.

Per quanto complesso, questo ragionamento si può sintetizzare nei sei punti che seguono:

1 – Il GDPR tutela tutti i diritti fondamentali, non solo la “privacy”

Il GDPR (articolo 2 comma I) regola il trattamento dei dati personali in modo che vengano tutelati i diritti e le libertà fondamentali delle persone fisiche e che sia garantita la libera circolazione dei dati personali. Questo significa che la norma si applica a tutti i casi nei quali viene compromesso un diritto dell’individuo tramite il cattivo uso dei suoi dati. Ad esempio, sono “coperti” dal GDPR casi come le “cartelle pazze”, i danni subiti da un paziente per errori di compilazione di cartelle cliniche o l’indisponibilità di un servizio (pubblico) per indisponibilità di informazioni (i vari “blocchi” di siti istituzionali nei click-day o per via di incidenti più o meno prevedibili).

2 – La protezione dei dati personali è diversa dalla “privacy”

Benché la narrativa corrente abbia equiparato la protezione dei dati personali alla privacy questa equivalenza non è corretta.

A parte il fatto che il GDPR non contiene affatto la parola “privacy” o equivalente, i due termini esprimono istituti giuridici diversi e due ambiti di tutela non sovrapponibili.

Senza entrare nel tema complesso del definire la “privacy” (se sia, cioè, un diritto autonomo o un umbrella word che racchiude varie tutele costituzionali), è normativamente stabilito che la “privacy” sia uno dei diritti tutelati dal GDPR e non l’unico.

3 – La protezione dei dati personali è un diritto-mezzo

Il paragrafo precedente consente di concludere che la protezione dei dati personali è un diritto-mezzo rispetto alla tutela di un diritto-fine. In quanto tale, la tutela di questo diritto è soggetta a un giudizio di bilanciamento fra i diritti fondamentali concorrenti ma, soprattutto, in rapporto ai doveri dello Stato di garantirne il libero esercizio. In altri termini, il diritto alla protezione dei dati personali non è un “superdiritto”.

4 – Il GDPR va applicato bilanciando i diritti in gioco e in funzione di pericoli concreti invece di un paralizzante principio di precauzione sganciato da evidenze concrete

L’aspetto cruciale dell’applicazione del GDPR sta in altre due scelte strutturali storicamente adottate dall’Autorità nazionale di protezione dei dati.

La prima è quella di concentrarsi esclusivamente sulla questione “privacy” (e infatti, l’Autorità è raggiungibile online tramite il dominio garanteprivacy.it), adottando quindi una lettura unilaterale della normativa sulla protezione di dati personali.

La seconda è quella di interpretare le norme sulla base di un principio di precauzione che prescinde dal danno provocato alla persona fisica o quantomeno dalla sua esposizione a un pericolo concreto. Viceversa, la Corte di cassazione ha spesso ribadito che anche in materia di trattamento dei dati personali il danno subito dall’interessato deve essere concretamente dimostrato. Ci troviamo, dunque, di fronte a un paradosso: la tutela risarcitoria del diritto alla protezione dei dati personali richiede la prova del danno, ma il mancato rispetto del GDPR viene sanzionato anche se non ci sono conseguenze per l’interessato, analogamente alle violazioni meramente formali del diritto tributario.

Inoltre, il principio di precauzione è applicato senza riferimenti a metriche o dati che possano consentire una effettiva valutazione di bilanciamento fra le necessità di trattare determinati dati in un certo modo e le conseguenze per i diritti dell’interessato.

5 – È possibile applicare il GDPR in modo flessibile, privilegiando controlli ex post rispetto a prescrizioni rigide ex ante

Il GDPR può essere interpretato flessibilmente perché è strutturato in modo da lasciare ai singoli soggetti che trattano dati la facoltà di compiere le scelte in piena autonomia a condizione di documentarne il razionale e consentire all’autorità di valutarlo.

Di conseguenza, nulla vieterebbe un approccio al GDPR basato sul privilegiare la fase dei controlli a posteriori piuttosto che l’imposizione preventiva e trasversale di obblighi a prescindere dalla loro razionalità o ragionevolezza rispetto al caso concreto. Questo è vero, in modo particolare, quando la necessità e urgenza di gestire organizzativamente strumenti di circolazione come il Green Pass richiede necessariamente di privilegiare l’interesse collettivo della tutela della salute pubblica rispetto a un potenziale e non dimostrato pericolo per il singolo individuo.

6 - Il trasferimento di dati (personali) verso gli USA è un elemento costitutivo dei modelli industriali del comparto software e non è accettabile sanzionarlo in modo selettivo

Un altro elemento spesso stigmatizzato dal Garante è l’invio da parte di software per computer e smartphone di una serie di dati a server localizzati in USA o comunque al di fuori della UE.

Questo modo di funzionare dei software è uno standard del mercato IT. I modelli decentralizzati, che impongono al terminale di interagire con un server, hanno diverse funzioni, dall’identificazione dell’utente alla verifica della sussistenza dei diritti di proprietà intellettuale, alla raccolta di dati per analisi di tipo tecnico. Ovviamente, la raccolta dei dati è finalizzata anche ad analisi comportamentali o di profilazione.

Se questo modo di progettare servizi e prodotti in modo che comunichino dati al di fuori della UE viola il GDPR, allora questa violazione deve essere contestata sempre e comunque e non solo in casi specifici.

Concludendo