Il GDPR, i Garanti e La corazzata Kotiomkin

Privacy e sicurezza - Manlio Cammarata - 29 luglio 2021

Replica il difensore d'ufficio, il quotidiano online Key4biz, con un articolo del direttore Raffele Barberio. Barberio osserva: "L’autore dell’articolo ignora evidentemente il peso della protezione dei dati, il ruolo che hanno nell’economia digitale, il fatto che 7 delle prime 10 società al mondo per capitalizzazione hanno modelli di business fondati sulla profilazione e la sorveglianza di massa". Condivisibile.
Ma forse il titolo del pezzo non centra il bersaglio : "Il Gruppo GEDI all’attacco del Garante Privacy? Cosa c’è dietro l’articolo de L’Espresso?"

Non è una questione di dietrologia. Il fatto è che la normativa sulla protezione dei dati e le iniziative del Garante italiano (ma non solo di quello italiano) stanno sollevando diffuse reazioni di insofferenza. Su Twitter si leggono interventi di nomi importanti.
Carlo Cottarelli: "Le legge sulla privacy va cambiata e subito. Non è più una tutela ma un ostacolo a tutto".
Carlo Calenda: "Il Garante della Privacy è diventato un altro assurdo intoppo burocratico di questo paese. Interviene in ogni procedimento pubblico complicandolo. Assurdo".
Roberto Burioni: "La riservatezza sui dati sanitari è sacrosanta. Però lo stato vaccinale non riguarda solo la persona stessa, ma anche gli altri. Chi non è vaccinato è potenzialmente contagioso. Per questo su questo dato dovrebbe cadere ogni forma di privacy per garantire la comunità, secondo me".

La rassegna potrebbe continuare. Ma per concludere basta l'osservazione più sfumata, ma non meno grave, del direttore dell'Agenzia delle entrate Ernesto Maria Ruffini in un'intervista al Corriere della sera: "Premesso che la tutela dei dati personali è doverosa, ma occorre trovare il giusto equilibrio, altrimenti il diritto del singolo prevarica quello della collettività a disporre delle risorse derivanti dal pagamento delle tasse. Negli ultimi anni la digitalizzazione ha permesso significativi passi avanti e il patrimonio di dati e informazioni di cui disponiamo consentirebbe risultati ancora maggiori. Ma se non siamo autorizzati a utilizzarli, la lotta all’evasione fiscale avrà sempre le armi spuntate".

Ma davvero la normativa sulla protezione dei dati personali (e non "sulla privacy", come continuamente si dice) è un freno per le attività economiche, per l'efficienza del fisco, per la lotta alla pandemia?
Qualche dato può aiutarci a rispondere. Il Regolamento europeo (GDPR) si compone di circa 30.000 parole, ma per capirci qualcosa si devono leggere anche i "considerando" che lo precedono (altre 24.000 parole). Poi c'è il cosiddetto "Codice privacy" nazionale, un pasticcio di 27.000 parole. E infine ci sono i provvedimenti del Garante, che nessuno riesce più a contare.

Tutto questo si traduce in una massa ingovernabile di regole che incidono su ogni iniziativa, ogni progetto, ogni operazione elementare in cui compaiano dati personali, anche i più innocui. E i Garanti si affannano a fare le pulci e a sanzionare anche la più piccola trasgressione, anche solo formale. Mentre, a livello globale, il commercio dei dati personali da parte delle Big Tech continua indistubato, infischiandosi di qualche sanzione che non colpisce alla radice il traffico delle informazioni.

Lo dimostrano le accuse rivolte dalla Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo (LIBE) e dall’autorità tedesca per la protezione dei dati (BFDI) al Garante irlandese, competente per le violazioni commesse dalle big tech che hanno insediato in quel Paese le loro sedi europee per il più conveniente trattamento fiscale (Google, Facebook eccetera). L'Autorità di Dublino, come riferisce Wired, non fa praticamente nulla contro le violazioni che, sia chiaro, riguardano tutti i cittadini europei.

Mia sia permesso di concludere con una nota personale. Mi occupo di questa materia da più di trent'anni (ricordo le discussioni con Enrico Borruso nel 1988, a proposito della sua visione della riservatezza nel libro Computer e diritto). Ho studiato la normativa anche nei suoi sviluppi storici, ne scrivo dal 1993. Ho anche lavorato come responsabile della protezione di dati, combattendo contro le difficoltà interpretative e applicative di una congerie inestricabile di norme.
Ebbene, ogni volta che rileggo qualche passaggio del GDPR o del Codice nazionale, o una torrenziale disposizione del Garante italiano, una bizzarra associazione mentale mi ricorda l'analisi del ragionier Ugo Fantozzi alla fine dell'ennesima proiezione de La corazzata Kotiomkin.

In un prossimo articolo cercherò di spiegare perché.