Ovvero: quando il Governo decide di allinearsi alle politiche di violazione della privacy e data mining dei big della rete. E lo fa sulla base di queste domande: perché loro – che sono il potere economico – sì e noi – che siamo il potere politico – no? Perché dobbiamo mantenere lo stato di diritto e attenerci alla legge quando si può violare la privacy (anche di dati sensibili) con un atto amministrativo, senza che un garante possa dirci se sia opportuno farlo?

Qualche giorno fa è entrato in vigore il Decreto Legge n. 139 del 08 ottobre 2021, soprannominato Decreto Capienze, recante Disposizioni urgenti per l’accesso alle attività culturali, sportive e ricreative, nonché per l’organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali.

Il DL, va subito premesso, non è ancora convertito in Legge. Ma possiamo subito immaginare che lo sarà, senza grandi modifiche.

Ciò per due ragioni.

La prima è che oramai il Parlamento è allineato al pensiero dominante, nonché privo di forza politica. Incapace – per svariate ragioni che non starò qui ad elencare ma che ho analizzato in altri articoli – di mettere un freno al dilagare del potere amministrativo. Potere che spetta, in primis, al Governo.

La seconda, se vogliamo un corollario della prima, è, come scrive il prof. Luca Perfetti,

(…) il comando dell’autorità [che] si pone come fatto, come necessità senza alternative e poco conta se i diritti della persona siano compressi in modo accettabile o meno e se le fonti costituzionali del diritto siano rispettate – il green-pass, ad esempio, è disciplinato da un atto del Governo, un decreto legge, e la sua applicazione interviene con un controllo parlamentare ex post, l’eventuale legge di conversione, che non potrà mancare perché ormai la misura è consumata dal fatto.

Il fatto. Ossia il potere esecutivo fa, e poi il potere legislativo converte un qualcosa che già è stato fatto. Secondo la Costituzione, la decretazione d’urgenza è una misura eccezionale, che va utilizzata con raziocinio, solo in casi a) straordinari, b) di necessità; c) urgenti. E poi, entro due mesi, il decreto legge dev’essere convertito in legge dal Parlamento. Oppure decade.

Mai, quando fu emanata la Costituzione, si sarebbe pensato che oggi tutto è un’emergenza. Anche fatti che, di per sé, sono strutturati (i mutamenti climatici; il terrorismo; il sistema mafioso; le fitopatie; le pandemie; ecc.).

Insomma, è un po’ come dire che al pronto soccorso ci si debba recare solo in casi straordinari, di necessità ed urgenti. Ma poi, per consuetudine – e per tacito consenso della dirigenza dell’ospedale – si va anche per un’unghia incarnita o per una cefalea. E’ chiaro che, così, il pronto soccorso perde la sua funzione e sostituisce quella dell’intero ospedale, con tutti i danni che possiamo immaginare.

Pesi e contrappesi vengono meno

E chi può mai contestare al Governo l’abuso dello strumento della decretazione d’urgenza, oppure – peggio – degli atti amministrativi monocratici (i famosi D.P.C.M.)? Il Parlamento? Ormai autoreferenziale, privo di rappresentatività e specchio di una sola classe sociale? Il Presidente della Repubblica? Garante della Costituzione ma soggiogato dalla ragion di Stato? O la Corte Costituzionale? Organo giurisdizionale di conformità delle leggi alla Costituzione, ma che ritrova nella stessa Costituzione la legittimità di ciò che una volta era l’eccezione ed oggi è la regola?

Anche i giudici, come il Presidente della Repubblica sono frutto dei tempi. Lo sono nella misura in cui il potere politico, determinato da quello economico ed influenzato da e influenzante quello mediatico, convince l’opinione pubblica (di cui i giudici, il presidente della Repubblica, i partiti, ecc. ne fanno parte) che siamo in un’emergenza infinita. E che è legittimo, sul piano giuridico, come su quello reale, esprimere il potere in modo libero, svincolato cioè dai lacci e lacciuoli dei controlli e dei pesi e contrappesi democratici. Con tutte le devianze che abbiamo sotto gli occhi.

Le disposizioni urgenti…

Già la rubrica della norma lascia intendere che siamo in emergenza.

Disposizioni urgenti è una formula politica prima di essere giuridica. Dimostra al Parlamento, come all’opinione pubblica, che non si può fare altrimenti, che bisogna fronteggiare un’emergenza, che occorre fare presto e, soprattutto, che ciò che ha deciso il Governo dovrà essere confermato dal Parlamento, senza discussione.

Se qualcuno ha da obiettare che, oggi, è legittimo emanare disposizioni urgenti in quanto siamo per davvero in una fase emergenziale, ricorderò che sono perlomeno 20 anni che il Governo emana misure urgenti, per ogni materia. Persino per il riordino degli Enti locali (il TUEL, del 2000) o per i contributi al settore dell’editoria, o per l’introduzione dell’euro (2001), che – mi pare – di urgente avesse ben poco (dopo più di 40 anni di trattati, negoziati e preparativi).

Ma entriamo nel merito e vediamo perché le modifiche alla legge sulla privacy hanno ben poco d’urgente, ma di grave – gravissimo – per noi, hanno tanto.

…in materia di protezione dei dati personali (privacy)

L’art. 9 del DL citato modifica diversi articoli del Codice della privacy (decreto legislativo 30 giugno 2003, n. 196). Non ci concentreremo sull’introduzione della norma in materia di revenge porn, che – pur se criticabile sul piano esegetico – è un passo in avanti in riferimento alla tutela dei minori e, più in generale, delle donne.

In questa sede vorrei solo concentrarmi sugli effetti che questa norma avrà sulle nostre vite. Ma prima di parlare degli effetti, occorre sorbirci il pappone giuridichese. Tuttavia cercherò di spiegarlo nel mio solito linguaggio da ubriacone del bar del porto.

Interesse pubblico e trattamento dei dati personali

La prima, importante, modifica è l’aggiunta del comma 1-bis all’art. 2 ter del Codice della Privacy. Secondo questa nuova aggiunta, il trattamento da parte di un’autorità pubblica

è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti (…). La finalità del trattamento, se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall’amministrazione, dalla società a controllo pubblico in coerenza al compito svolto o al potere esercitato, assicurando adeguata pubblicità all’identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano.

Cosa significa?

In buona sostanza, l’ente pubblico può trattare i dati personali di chicchessia ed è sufficiente che motivi il trattamento – negli atti di sua competenza – spiegando che lo sta facendo per il perseguimento di un interesse pubblico. Oppure in quanto il potere gli è attribuito da un organo superiore o di un altro livello (tipo: il Governo delega la Regione ad operare in una certa materia; la Regione devolve la funzione al Comune; il Ministero attribuisce la funzione alla Prefettura; ecc.).

Sul concetto di interesse pubblico ci sarebbe molto da disquisire, ma – a onor di brevità – possiamo dire che non è difficile trovare un interesse pubblico da contrapporre all’interesse privato della riservatezza dell’interessato (cioè il soggetto cui i dati si riferiscono). Sarà sufficiente giustificare il trattamento dei dati parlando di pubblica sicurezza, per accedere a questo blog e cambiarmi la password.

Ciò che è peggio è la formula “La finalità del trattamento, se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall’amministrazione”. Questo significa che sarà l’amministrazione, discrezionalmente, a determinare la finalità del trattamento.

Non più – e non solo – la legge. Ma un atto discrezionale di una qualunque PA.

Ciò apre ad una miriade di trattamenti di dati personali che – nel silenzio della legge – potranno essere raccolti, trattati ed utilizzati per reali o presunti interessi pubblici.

Anticipando quanto appresso dirò, se – per esempio – la legge non disciplina il trattamento dei dati relativi alle mie ricerche online, una qualsiasi pubblica amministrazione potrà accedervi, ottenerli, trattarli, studiarli ed utilizzarli perché, per dirne una, l’interesse pubblico alla sicurezza nazionale è preminente rispetto al mio interesse privato a farmi i cazzi miei quando giro per la rete.

Oppure, nel silenzio della legge, una PA può accedere ai dati raccolti dalla mia app che monitora i dati dell’attività fisica, inclusi quelli del sonno, i battiti cardiaci, gli spostamenti, per raccoglierli a fini statistici oppure per generici motivi di sanità pubblica.

Per concludere l’analisi della norma, va detto che l’unico diritto che spetta all’interessato è che è onere dell’Autorità informarlo che i suoi dati vengono trattati (l’adeguata pubblicità, sulla cui fumosità della formulazione sorvolo). Potrà anche ricevere conferma del trattamento dei dati (per esempio, a seguito di istanza), oppure una semplice comunicazione che lo informa che i suoi dati vengono trattati. Ma non è detto che lo si informi di quanti e quali dati vengano trattati.

Quali autorità possono trattare i nostri dati?

La norma lo specifica facendo diversi rimandi ad altre norme.

(…) amministrazione pubblica di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, ivi comprese le Autorità indipendenti e le amministrazioni inserite nell’elenco di cui all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, nonché (…) società a controllo pubblico statale di cui all’articolo 16 del decreto legislativo 19 agosto 2016, n. 175, con esclusione per le società pubbliche dei trattamenti correlati ad attività svolte in regime di libero mercato (…)

Vediamo di spacchettare il tutto e fare un elenco – non esaustivo (son troppi!) – di quali enti pubblici potranno trattare i nostri dati personali.

  • tutte le amministrazioni dello Stato;
  • istituti e scuole di ogni ordine e grado e le istituzioni educative;
  • aziende ed amministrazioni dello Stato ad ordinamento autonomo;
  • Regioni, Province, Comuni, Comunità montane, e loro consorzi e associazioni;
  • istituzioni universitarie;
  • istituti autonomi case popolari;
  • camere di commercio, industria, artigianato e agricoltura e loro associazioni;
  • tutti gli enti pubblici non economici nazionali, regionali e locali;
  • amministrazioni, aziende ed enti del Servizio sanitario nazionale;
  • Agenzia per la rappresentanza negoziale delle pubbliche amministrazioni (ARAN);
  • CONI;
  • Agenzie fiscali;
  • Agenzia di protezione civile;
  • Agenzia per la formazione e l’istruzione professionale;
  • Autorità indipendenti;
  • amministrazioni inserite nell’elenco annuale dall’Istituto nazionale di statistica (ISTAT);
  • società in house;
  • altre società a controllo pubblico statale, eccetto quelle che operano in regime di libero mercato.

Qualcosa mi sarà sfuggito, ma possiamo dire – a grandi linee – che la norma riguarda qualsiasi ente in regime di diritto pubblico e che persegua un interesse pubblico.

Il Garante che non garantisce più

l’art. 9, comma 1, lettera b) del DL in esame abroga l’articolo 2-quinquesdecies del Codice della Privacy.

Cosa diceva?

con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati ai sensi dell’articolo 35 del Regolamento, il Garante può, sulla base di quanto disposto dall’articolo 36, paragrafo 5, del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio, prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare.

Con l’abrogazione di questa norma, oggi una qualunque Pubblica amministrazione non è più obbligata a consultare il Garante prima di trattare dati sensibili (origine razziale ed etnica, opinioni politiche, appartenenza sindacale, dati sanitari e biometrici, orientamento sessuale, ecc.), dunque il Garante non potrà intervenire a tutela del diritto alla privacy dell’interessato.

Quindi se il Garante rileva che l’uso dei miei dati sensibili – per esempio i dati sui miei spostamenti da parte della questura della mia città – è effettuato in modo illegittimo, non potrà più censurare il comportamento della PA, in quanto quel suo potere è venuto meno.

Non è finita qui.

Prosegue la norma,

I pareri del Garante per la protezione dei dati personali richiesti con riguardo a riforme, misure e progetti del Piano nazionale di ripresa e resilienza di cui al regolamento (UE) 2021/241 del Parlamento europeo e del Consiglio, del 12 febbraio 2021, del Piano nazionale per gli investimenti complementari di cui al decreto-legge 6 maggio 2021, n. 59, convertito, con modificazioni, 1° luglio 2021, n. 101, nonché del Piano nazionale integrato per l’energia e il clima 2030 di cui al regolamento (UE) 2018/1999 del Parlamento europeo e del Consiglio, dell’11 dicembre 2018, sono resi nel termine non prorogabile di trenta giorni dalla richiesta, decorso il quale può procedersi indipendentemente dall’acquisizione del parere.

Dunque tutti i progetti che faranno parte di

  • Piano nazionale di ripresa e resilienza (PNRR);
  • Fondo complementare al PNRR;
  • Piano nazionale integrato per l’energia e il clima 2030;

potranno bypassare tranquillamente il parere del Garante. Per due ragioni.

La prima. Il Garante avrà solo 30 giorni di tempo per emettere il parere. Roba che, tra istruttoria, comunicazioni tra Enti e tra Enti, interessati e controinteressati (con tutti i termini di garanzia del caso), elaborazione e trasmissione del parere, ne servirebbero almeno 60, per un procedimento semplice.

Per quelli complessi servirebbero molti più giorni. E la stessa L. 241/1990, quando parla di procedimenti di una certa complessità, indica come termini medi 90 giorni. In alcuni casi anche 180. Il DL in commento no. Dà solo 30 giorni, indipendentemente dalla complessità del procedimento.

La seconda. Quando (e non se) il Garante non produrrà il parere, per le ragioni appena esposte, la PA potrà procedere indipendentemente dalla sua acquisizione. Dunque il ruolo del Garante viene di fatto svilito dalla riduzione dei termini entro cui produrre il parere.

E sia chiaro. Lo ribadisco. 30 giorni son nulla. Basti pensare che in un procedimento semplice in cui sono richieste comunicazioni endoprocedimentali agli interessati, 20 giorni se ne vanno solo per le comunicazioni e 10 giorni sono spesso insufficienti per procedere all’istruttoria ed elaborare il provvedimento. E stiamo parlando di procedimenti, chessò, di accesso documentale, ove occorre effettuare comunicazioni ad interessati e controinteressati.

Figurarsi quanto saranno sufficienti 30 giorni per pareri di rilevante complessità che riguardano i progetti relativi al PNRR e al piano energetico.

Con questa norma il Governo s’è garantita la possibilità di accedere a qualsiasi dato personale di chicchessia al fine di implementare le misure dei piani. E stiamo parlando di piani che riguarderanno ogni aspetto della vita pubblica e privata: dalla giustizia alla sanità, dalle infrastrutture pubbliche al lavoro, dalla PA alle politiche sociali, dall’energia all’ambiente. Tutto, insomma.

Il trattamento dei dati relativi al traffico telefonico e telematico

Altro aspetto critico della norma in commento è l’abrogazione del comma 5 dell’art. 132 del Codice della Privacy.

Cosa diceva?

Il trattamento dei dati per le finalità di cui al comma 1 è effettuato nel rispetto delle misure e degli accorgimenti a garanzia dell’interessato prescritti dal Garante secondo le modalità di cui all’articolo 2 quinquiesdecies, volti a garantire che i dati conservati possiedano i medesimi requisiti di qualità, sicurezza e protezione dei dati in rete, nonché ad indicare le modalità tecniche per la periodica distruzione dei dati, decorsi i termini di cui al comma 1.

Cosa diceva il comma 1?

Fermo restando quanto previsto dall’articolo 123, comma 2, i dati relativi al traffico telefonico conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione.

Dunque il Garante – prima dell’abrogazione della norma – poteva intanto prescrivere diverse misure a tutela della privacy degli interessati e, poi, prescrivere le modalità di distruzione dei dati raccolti, dopo due anni (per il traffico telefonico) oppure un anno (per il traffico web).

Oggi, invece, con la norma abrogata, i dati potranno essere liberamente trattati nonché conservati ad libitum da parte del gestore telefonico. Sicché una qualsiasi PA, per motivi di pubblica sicurezza, potrà accedere ai dati delle telefonate, delle ricerche web, dei siti visitati, ecc. e il Garante non potrà far nulla a tutela della privacy del soggetto cui i dati si riferiscono.

Un caso pratico

Analizzate le norme, c’è davvero poco da aggiungere. Credo sia abbastanza agevole capire che d’ora in avanti, se il DL sarà convertito in legge senza modificazioni (e sappiamo già che andrà così), i nostri dati – oltre ad essere barbaramente trattati per finalità commerciali e per esperimenti sociali da parte dei big della rete, potranno essere trattati allo stesso modo anche da pubbliche amministrazioni. Senza, però, le garanzie poste dalla legge a tutela degli interessi della privacy di ognuno di noi.

Giorni fa mi è capitato di ricevere su Telegram il solito messaggio delle solite catene di S. Antonio a cui, ormai, non faccio più caso. L’ho letto solo perché parlava del green pass e, in quei giorni, ci stavo scrivendo qualcosa in proposito. Ma non gli ho dato peso.

Oggi lo propongo, con una consapevolezza diversa rispetto ad allora. Alla luce, cioè, delle disposizioni normative in commento. Perché l’uso dei dati, integrati tra loro, potrà portare agli scenari prospettati dal testo seguente.

Il testo diceva

Un giorno ti presenti al cinema col tuo bel greenpass, ma il lettore non lo accetta. Riprovano, nulla, non lo rileva. Non vedi il film. Ti incazzi.

La mattina dopo vai nella farmacia dove ti hanno fatto il greenpass, anche il farmacista non riesce a capire cosa non va nel tuo passaporto verde.

Allora vai all’USL. E loro vedono che c’è un blocco nel tuo greenpass e ti dicono di rivolgerti al Comune.

E lì scopri cos’è successo. “Lei signore, non ha presentato la dichiarazione dei redditi!” “E questo cosa c’entra col greenpass?” “Con l’ultimo DPCM è stato inserito il blocco fiscale nel green pass!” Allora chiami il tuo commercialista, lo insulti, gli dici che hai il green pass bloccato.

Il poveretto in 24 ore ti presenta la dichiarazione, ti paga l’F24. Quindi ritorni al Comune, ma ancora il greenpass non si sblocca.

L’impiegata consulta la tua scheda nel suo computer: “Signore, mi risulta che lei non ha ancora pagato una multa per divieto di sosta…” Allora resti di merda.

Cominci a capire perché i governi dei conti e dei draghi insistevano tanto per abituarti a vivere con un passaporto verde. E tu che credevi davvero che lo facessero per il tuo bene, perché tenevano alla tua salute, e invece ti hanno fottuto. Grazie alla tua accondiscendenza, al tuo egoismo, ci hanno fottuti tutti!

Forse a quel punto ti renderai conto che quelle persone che gridavano in piazza “No green pass!” non erano così coglioni come tu credevi.

Altri esempi

Di esempi del genere se ne possono fare a centinaia. Il fatto che il DL 139/2021 elimini i contrappesi posti dalla legge nonché dall’azione del Garante della privacy e permetta alle PA di trattare qualsiasi dato personale con una semplice motivazione, permette – di fatto – abusi dell’uso di dati, anche sensibili.

E così, per fare qualche esempio, l’ASL potrà respingere una domanda di invalidità perché sa che l’interessato ha cercato on line informazioni per iscriversi in palestra. E allora si formerà il convincimento che la sua è una domanda falsa.

Oppure il migrante non si vedrà riconosciuto il diritto all’asilo perché, da intercettazioni telefoniche, che saranno disponibili su semplice richiesta al gestore telefonico, si viene a sapere che ha detto, al suo interlocutore, che i terroristi in fondo c’hanno ragione. Magari l’ha detta per scherzo, o senza crederci, oppure per tagliare corto con il suo interlocutore. Fatto sta che questo dato – personale – potrà essere utilizzato per fini amministrativi.

O, ancora, per l’assunzione ad un impiego pubblico, si potranno usare i dati delle ricerche effettuate sul web da parte del candidato per convincere la commissione che quel tizio non è idoneo a ricoprire il ruolo messo a concorso in quanto entra spesso su siti porno. E, siccome in alcuni concorsi è richiesta una condotta incensurabile, chi può dire che discrezionalmente non si possa escludere il candidato perché la sua condotta privata non è priva di censure?

Oppure il reddito di cittadinanza non verrà elargito in quanto la PA scopre che il beneficiario ha comprato on line una TV da 2000 euro. E quindi si convincerà che non è povero e che i dati reddituali sono falsi. Magari quei soldi gliel’ha regalati la madre per il compleanno. Ma chissene, l’Agenzia delle Entrate prima procede alla sospensione del RdC e poi, magari, sentirà le ragioni dell’interessato. Il quale – povero Cristo – dovrà dimostrare, dati alla mano, che quello era solo un regalo. La classica probatio diabolica.

O, ancora, i dati biometrici ottenuti dai sistemi di videosorveglianza potranno essere usati dalle forze di polizia per profilare i dissidenti, la gente che scende in piazza e agire preventivamente. Ossia fermare le persone prima che possano compiere un potenziale reato.

E abbiamo esperienze, in val di Susa, su cosa voglio dire quando parlo di reato e azioni preventive. Chissà se l’idea di Maroni, nel 2011, non troverà applicazione oggi.

O, infine, il mix di queste forme di acquisizione dei dati (biometrici, ricerche web, traffico telefonico, ecc.) potranno essere usati per meri scopi elettorali (vedi il caso di Cambridge Analytica o la rudimentale bestia della Lega), nell’ovvia considerazione che in determinati Enti pubblici (gli enti locali e le amministrazioni statali, per esempio) vige la distinzione tra direzione politica e gestione amministrativa. Quindi è compito del dirigente di quel certo settore trattare i dati. Ma chi può negare che un sindaco qualsiasi, come un Ministro, possano agevolmente accedere agli atti dei propri dirigenti? Peraltro spesso di nomina politica?

Ecco che sarà facile, da parte dei partiti (sia perette giganti che panini alla merda) ottenere i nostri dati e profilare campagne elettorali, oltre che influenzare e persino dirigere i comportamenti di massa.

Non so voi, ma da questi quattro esempi (che non son assurdi, anzi, mi sono trattenuto), mi vien la pelle d’oca. Pensando che in Cina già lo fanno, con i risultati di cui si parla in abbondanza in rete (vedi anche qui).

Ti va di iscriverti alla Newsletter?

Iscriviti per ricevere di tanto in tanto gli ultimi articoli pubblicati.

Leggi la Privacy Policy per avere maggiori informazioni. Ci tengo alla tua privacy tanto come alla mia.

Commenti

Non ci sono commenti. Vuoi iniziare una conversazione?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *