La privacy abolita per decreto? Cerchiamo di capire

Privacy e sicurezza - Manlio Cammarata - 11 ottobre 20121

I titoli dei giornali urlano. Il Fatto Quotidiano: «La privacy abolita per decreto!»;  Agenda digitale: «Terremoto privacy nel decreto Capienze, PA senza freni: ecco gli impatti»; Wired: «Privacy, decreto Capienze mette a rischio la protezione dei dati». E via così. Ma vogliamo piantarla di urlare e incominciare a ragionare con cognizione di causa?
Il decreto-legge N. 139 dell'8 ottobre 2021 non cambia la normativa europea e i suoi principi (né potrebbe farlo). Non "abolisce la privacy".

Il decreto modifica alcune norme nazionali, nel perimetro di discrezionalità che il GDPR riconosce agli Stati membri. Sono norme di dettaglio, contenute in quel che resta del cosiddetto "Codice privacy", ovvero il decreto legislativo 196/2003, che così subisce l'ennesimo rattoppo. Quindi nulla cambia, nulla viene "abolito" nel sistema di protezione dei dati personali (e non "della privacy") definito a livello europeo.

Ma perché il Governo ha ritenuto necessario limitare, in parte, il potere di intervento del Garante per la protezione dei dati personali in alcune attività normative istituzionali?
Nel corso della lunga pandemia da Covid-19 il Garante è intervenuto diverse volte per impedire trattamenti che avrebbero reso più efficace l'azione di contrasto alla diffusione del contagio. Un esempio: l'efficacia della sciagurata app "Immuni" era minata all'origine dall'imposizione di un anonimato totale, che rendeva impossibile alle autorità sanitarie compiere interventi mirati sulle persone a rischio di contagio (vedi Il fallimento di Immuni e il vero "rischio privacy").

Un altro esempio, più recente, è il divieto di registrare la scadenza del green pass da parte di chi è legittimato a controllarlo (vedi Il GDPR è un ostacolo nella lotta alla pandemia?), che rende inutilmente farraginoso il controllo degli ingressi nelle aziende, nelle scuole e in tutte le strutture collettive.

A tutto questo si aggiunge la crescente insofferenza per il continuo ripetersi del ritornello "non si può fare perché c'è la privacy" nel quale ciascuno inciampa ogni giorno nelle più diverse attività (vedi Il GDPR, i Garanti e La corazzata Kotiomkin).

I dati sanitari, recita l'art. 9 del GDPR, sono dati "particolari" e il loro trattamento è vietato in linea di principio, con una serie di eccezioni. Una di queste si applica quando "il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali" (paragrafo 2, lettera h). Un'altra eccezione al divieto di trattamento si applica quando "il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici" (paragrafo 2, lettera i).

La ratio di queste disposizioni è inattaccabile: il diritto del singolo alla riservatezza dei propri dati sanitari deve cedere di fronte all'interesse collettivo della tutela della salute pubblica.
Ma il Garante trascura questi dettagli ed esercita il suo potere con un'interpretazione inspiegabilmente parziale del GDPR, che fa prevalere l'interesse individuale su quello collettivo. Da qui l'intervento governativo. Contenuto, si noti, non nell'ennesimo DPCM, ma in un decreto-legge, così da soddisfare la condizione (giustamente) imposta dal GDPR di una norma di rango legislativo come "base giuridica" per determinati trattamenti.
Resta comunque il vaglio del Parlamento, che potrà modificare o addirittura cancellare queste disposizioni nella conversione in legge del decreto. 

E resta il problema di fondo di tutto il sistema di "protezione dei dati". Chi limita la libertà delle persone con l'uso – e l'abuso – delle informazioni personali non sono le istituzioni democratiche o le pubbliche amministrazioni, per quanto pasticcione e mal guidate dalla politica. Sono i predatori delle informazioni personali, le Big Tech, le reti sociali (che sarebbe più corretto chiamare "asociali" perché minano la convivenza nella società).

C'è un difetto di fondo nella normativa europea. Il funzionamento del GDPR – e prima ancora della direttiva del 1995 – ha come "motore" il trattamento dei dati più che i diritti delle persone. E di conseguenza non distingue in forma abbastanza chiara tra l'uso dei dati nell'interesse dei cittadini e l'uso (e l'abuso) dei dati nell'interesse di chi li raccoglie e li sfrutta a fini commerciali o politici.

Ora si può discutere se le misure introdotte dall'articolo 9 siano o no necessarie o opportune. Da una parte limitano oggettivamente il campo di intervento del Garante – e questo può aprire il campo a iniziative inutilmente limitative delle libertà costituzionali – dall'altra restituiscono al legislatore l'autonomia che la Costituzione gli attribuisce, anche nei confronti di "autorità indipendenti" la cui natura costituzionale non è ancora stata chiarita con argomenti convincenti.