Senato – Audizione Privacy Network in Commissione Affari Costituzionali

Il 2 novembre 2021 Privacy Network, attraverso il portavoce Matteo Navacci, ha partecipato a un’audizione in Commissione Affari Costituzionali del Senato per sollevare alcune criticità del Decreto legge 139/2021 (“Decreto capienze”), che ha modificato alcune parti del Codice Privacy.

Secondo noi, e come spiegato in questo articolo, il Decreto capienze rischia di svuotare di significato l’applicazione della normativa privacy in Italia, mettendo in pericolo non solo i diritti dei cittadini, ma anche l’efficienza della pubblica amministrazione – che invece si vorrebbe migliorare.

Il testo dell’audizione

Di seguito il testo del discorso fatto durante l’audizione in Senato:

Come sapete, il Regolamento europeo per la protezione dei dati e l’art. 2-ter del Codice Privacy prevedono che la pubblica amministrazione sia legittimata a trattare dati personali quando necessario all’esecuzione di un compito di pubblico interesse

Il pubblico interesse dovrebbe essere di volta in volta indicato da specifica norma di legge, che dovrebbe anche prevedere gli obiettivi perseguiti e le caratteristiche del trattamento di dati, nel rispetto dei principi della normativa europea.

Il processo legislativo è infatti lo strumento usato dalla pubblica amministrazione per pianificare le attività e per garantire il rispetto dei principi democratici, come la trasparenza – che è uno dei pilastri di qualsiasi democrazia.

Con l’obiettivo di agevolare il trattamento di dati da parte della pubblica amministrazione il nuovo comma 1-bis amplia però la portata del pubblico interesse fino a svuotarlo di significato.

La norma si traduce infatti in una sorta di rinvio “in bianco”, che in modo quasi tautologico definisce legittimo ex ante qualsiasi trattamento di dati svolto nel pubblico interesse o nell’esercizio dei pubblici poteri, senza uno specifico processo legislativo alla base che possa definire gli obiettivi e pianificare il trattamento di dati.

Con questa legittimazione a priori, ogni pubblica amministrazione e società a controllo pubblico statale potranno acquisire, trattare e diffondere dati personali in modo arbitrario e non pianificato, secondo una logica di pubblico interesse per tutte le stagioni, da richiamare di volta in volta in base alle considerazioni del singolo ente.

Perseguire una logica di semplificazione è legittimo e anzi necessario, ma non bisogna confondere la semplificazione con la mancanza di pianificazione

Le modifiche all’articolo 2-ter del codice privacy rischiano infatti di azzoppare ancora di più l’efficienza della pubblica amministrazione. Senza legge, e quindi senza alcuna progettazione e pianificazione, i processi decisionali saranno forse più veloci, ma difficilmente più efficienti.

Ad esempio, migliaia di enti locali potranno ora acquisire grandi quantità di dati, nella speranza di potenziare in qualche modo le loro attività.

Ma senza progettazione, il rischio è che questi dati possano essere inesatti, obsoleti, o semplicemente ottenuti in modo non utile al raggiungimento degli obiettivi. Tutto questo si traduce in una violazione della normativa europea e in un possibile aumento dei contenziosi, con il risultato di paralizzare proprio quelle attività che invece si volevano agevolare.

Ma non solo. Sappiamo anche che la maggior parte dei sistemi informativi della pubblica amministrazione non sono sicuri, e che la moltiplicazione indeterminata di dati aumenta inevitabilmente la superficie di rischio in caso di attacco cibernetico. 

Questi scenari non sono solo ipotetici, ma una realtà che già esiste.

Abbiamo infatti già avuto notizia di diversi enti locali che hanno iniziato a chiedere dati personali sulla base del decreto 139, con una semplice PEC inviata ad altre amministrazioni e senza alcuna valutazione di rischio in merito alla trasparenza o alla sicurezza del trattamento. Lo stesso potrebbe dirsi anche per enti che trattano dati molto rischiosi, come ad esempio l’agenzia delle entrate.

In un periodo di estrema digitalizzazione, la pubblica amministrazione non può permettersi di perdere la fiducia dei cittadini a causa del trattamento incauto dei loro dati. Per questo, e per concludere, abbiamo pensato ad alcune proposte per mitigare questi rischi.

Una prima misura potrebbe essere l’obbligo di bilanciare in modo documentato l’interesse pubblico con le ragionevoli aspettative dei cittadini

Questa valutazione dovrebbe essere fatta dall’ente pubblico prima dell’inizio del trattamento e sentito il parere del responsabile per la protezione dei dati, per poi essere pubblicata integralmente sul sito web dell’ente. 

Questo processo di valutazione e di bilanciamento aiuterebbe l’ente pubblico a pianificare in modo agile il trattamento, e avrebbe anche il vantaggio di assicurare la dovuta trasparenza e accountability nei confronti dei cittadini, aumentando così anche la fiducia verso la pubblica amministrazione.

Un’ulteriore misura potrebbe essere quella di subordinare l’inizio del trattamento di dati a un’autorizzazione preventiva da parte dell’Autorità Garante, con un meccanismo di silenzio assenso in caso di scadenza dei termini, che dovrebbero comunque essere brevi.

È chiaro che quest’ultima misura richiederebbe un potenziamento delle risorse a disposizione dell’Autorità Garante, ma pensiamo che sia comunque imprescindibile, dato il percorso di estrema digitalizzazione che ci aspetta. A regime, potrebbe essere utile anche istituire una specifica task-force del Garante Privacy per la pubblica amministrazione.

Questi sono chiaramente solo esempi di misure che potrebbero essere adottate per meglio bilanciare l’obiettivo di agevolare il trattamento di dati per la pubblica amministrazione, ma Privacy Network rimane a disposizione per tutti gli ulteriori approfondimenti e per il supporto che dovesse rendersi necessario.

La registrazione dell’audizione

La registrazione dell’audizione può essere vista per intero dalla WebTV del Senato, cliccando qui.