Tre passi sulla luna: nuove proposte IIP per il futuro Collegio del #GarantePrivacy e per il legislatore italiano ed europeo

di Luca Bolognini, avvocato e Presidente dell’Istituto Italiano per la Privacy e la Protezione dei Dati

l.bolognini@istitutoprivacy.it@lucabolognini

Nell’ormai lontano 2008, 12 anni fa, una voce iniziò a levarsi, in Italia, sulle tematiche della privacy e della protezione dei dati personali, criticando l’ordine (con relative giurisprudenza e dottrina) costituito e proponendo idee, prospettive, angolazioni innovative e, per certi versi, rivoluzionarie. Alcuni definirono l’Istituto Italiano per la Privacy e la Valorizzazione dei Dati (IIP) una “shadow-authority”, una sorta di “Garante-ombra” sul modello anglosassone. Facevamo il controcanto costruttivo, creativo, ma competente, difficilmente liquidabile con sprezzo top-down. A volte, siamo stati davvero irrispettosi, me ne rendo conto e ne chiedo scusa a nome di tutti gli esperti di IIP. Altre volte, siamo stati perfino terribilmente irrispettosi, e ringrazio il cielo che lo siamo stati. Abbiamo spostato il confine più in là. Io stesso, nella doppia veste di presidente dell’Istituto e di avvocato dei dati, in questi anni mi sono sentito spesso domandare: “Ma con le tue uscite critiche e polemiche, non hai paura che l’Autorità si offenda? Non temi di incrinare i rapporti con il Garante, che dopotutto “ti serve” nell’attività professionale che svolgi?”. E la mia risposta è sempre stata: “No. L’Istituto esiste per questo: per esercitare il diritto di critica e di ricerca avanzata in materia di privacy e protezione dei dati. Inoltre, se all’inizio qualche nervosismo lo percepimmo, da molti anni ormai troviamo solo apprezzamento, anche negli interlocutori istituzionali, per il coraggio che abbiamo nel guardare ai problemi in maniera differente, sorprendente, alcune volte sacrilega e non ortodossa”. Peraltro, gli studiosi dell’Istituto hanno contribuito significativamente, in questi anni, alla produzione scientifica nelle nostre materie, e credo che questo si sia rivelato determinante nell’essere presi sul serio, senza sotto né sopra valutazioni.

Oggi, in questo cattivo e surreale aprile 2020, posso confermare quello che penso e che ho maturato nel tempo. Quando muoviamo critiche, non abbiamo dubbi di trovare nell’interlocutore istituzionale una mentalità aperta e non certo, mai, un atteggiamento permaloso da “lesa maestà”. I buoni rapporti, di natura scientifica e intellettuale, si costruiscono giorno dopo giorno tra soggetti pensanti, studianti e disposti alla dialettica nel merito, e non a colpi di adulazioni, captatio benevolentiae e altre codardie opportunistiche, come taluno, povero di spirito e di coraggio, potrebbe immaginare.

Perché questa premessa di fondo? Perché adesso sento di voler condividere ulteriori (scandalose, forse) idee per il nuovo Collegio del Garante per la protezione dei dati personali – o, se esso verrà prorogato sine die, anche per l’attuale – e comunque per tutti i dirigenti e funzionari che ne fanno e faranno parte, ma anche per il legislatore e i leader politici che su questi temi sono chiamati sempre più a decidere.

Come noto, un anno fa presentammo il “programma” per il nuovo settennato del Garante, e l’Istituto lo condivise con tutti i Parlamentari di Camera e Senato (vi invito a leggere le nostre sempre valide proposte, qui: https://www.istitutoitalianoprivacy.it/2019/04/01/il-garante-privacy-del-futuro-idee-per-il-prossimo-collegio-2019-2026/). Fummo gli unici a farlo in modo così strutturato, confidando in un nuovo approccio – moderno, serio, con audizioni parlamentari pubbliche nel merito delle idee – nella scelta dei futuri quattro Membri alla guida dell’Autorità, che si troveranno a dover traghettare per ben 7 anni l’Italia – e in parte l’Europa con lo European Data Protection Board – (attra)verso l’Intelligenza Artificiale, l’Internet delle Cose, i servizi pubblici smart e, ora possiamo purtroppo affermarlo, l’emergenza epidemiologica digitale. Sfide immani. Al migliaio di e-mail che inviammo a Deputati e Senatori, e relativi leader politici, con allegato il programma, purtroppo risposero solo alcune decine di essi, da ogni schieramento. Apprezzando le nostre proposte, discutendole, e concludendo tutti, però, con doglianze di “impotenza”, poiché i criteri di elezione sarebbero stati ben altri, legati ai rapporti fiduciari tra la leadership del rispettivo partito o movimento e i designandi, e non certo a ragionamenti relativi alla visione e alle proposte. Non vi dico la frustrazione: ma sappiamo stare alle regole del gioco, non demordiamo, non smettiamo di “fare ombra” e di ledere maestà varie con le nostre idee.

Qualche settimana fa, attirandoci l’ira di chi crede che avvocati e consulenti privacy lavorino solo grazie alle multe del Garante, abbiamo fatto pubblicamente appello all’Autorità (https://www.istitutoitalianoprivacy.it/2020/03/10/emergenza-coronavirus-e-crisi-economica-appello-al-garante-privacy-nel-2020-una-moratoria-delle-multe-meglio-le-misure-correttive/) affinché applichi, nel corso del 2020, in prima istanza, i poteri correttivi ex art. 58 paragrafo 2 del GDPR, ad esclusione delle sanzioni pecuniarie, vista la tragedia economica in atto a causa del lockdown da coronavirus. Il che vuol dire osservare le regole vigenti, senza strappi, solo valorizzando le circostanze, i bisogni e l’illuminata discrezionalità del Garante – pur sempre nel perimetro riconosciuto alle Autorità dal GDPR, quindi senza alcuna “sospensione” ma con ragionevolezza e proporzionalità in ossequio alla Costituzione e all’art. 52 della Carta dei Diritti Fondamentali UE. Negli stessi giorni, il Direttore Scientifico dell’Istituto, l’avvocato Diego Fulco, ha ipotizzato  alcune opportunità legate alle ingenti risorse che – se non nel 2020, che sarà sperabilmente in moratoria, ma almeno a partire dal 2021 – il Garante otterrà dalle sanzioni pecuniarie, per immaginare con “fantasia tecnica” le più auspicabili destinazioni di questa nuova ricchezza per le casse dell’Autorità (https://www.agendadigitale.eu/sicurezza/privacy/garante-privacy-ecco-i-vantaggi-delle-nuove-risorse/).  In tutti questi casi, siamo stati felici per le reazioni – per la maggior parte positive e stimolanti, anche da parte di dirigenti e funzionari oltre che di esperti ed addetti ai lavori, in altri casi sconcertate, e va bene così.

Dunque, oggi rincariamo la dose. Aggiungendo un’esortazione a compiere tre passi nel “cammino istituzionale e giuridico della privacy”. Potrebbero sembrare passi sulla luna, nel bene e nel male. Li indico di seguito, in estrema sintesi, per lanciare il sasso-asteroide nello stagno e avviare un dibattito costruttivo – non indispettito, miope, dispettoso o permaloso – tra addetti ai lavori:

  1. Primo passo: è tempo che l’Autorità si “managerializzi” e assuma, aprendosi, un approccio proattivo, estendendo la propria funzione di servizio pubblico oltre le tutele degli interessati e la guida del settore pubblico, e rivolgendosi invece alle imprese e agli enti privati, cioè ai titolari e responsabili del trattamento che gestiscono la maggior parte dei dati personali in Italia. Questa trasformazione potrebbe implicare, per esempio, forme inedite di tempestività, efficienza, efficacia e chiarezza esemplificativa (“come fare per”) nella gestione di questioni vessate e diffusissime per imprese ed altre organizzazioni non pubbliche. Linee guida pratiche, che indirizzino concretamente – oltre che teoricamente, per carità – le azioni dei titolari e dei responsabili del trattamento di dati nel settore privato. È quello che già fa, partecipando a tavoli di lavoro e rilasciando continui pareri ed orientamenti, l’Ufficio del Garante con il suo Dipartimento competente per le realtà pubbliche. Un’opera quotidiana, attentissima, svolta in maniera virtuosa e costante, fiore all’occhiello dell’Autorità e riconosciuta dai DPO della Pubblica Amministrazione, che andrebbe estesa a tutti i settori. Qual è la prova della necessità che il Garante attui una trasformazione proattiva del proprio operato di “servizio pubblico” nei confronti delle imprese? Il caso coronavirus: nel primo mese d’emergenza, abbiamo apprezzato la pubblicazione sul sito dell’Autorità della sezione relativa all’uso di assistenti domestici (tipo Siri, Google Assistant, Alexa, ecc.) ma solo dopo settimane abbiamo potuto trovare una sezione dedicata all’emergenza COVID19. E anche ora, che la sezione esiste, essa contiene orientamenti teorici di principio, in forma di pareri e provvedimenti adatti solo a giuristi, e molta rassegna stampa, ma manca una guida, una “manualistica” che dica in concreto come comportarsi alle imprese e ai datori di lavoro. Addirittura le rassegne giuridiche relative alla normativa d’emergenza non sono coordinate e spiegate. Stesso approccio potrebbe seguirsi prevedendo – e basterebbe una modifica dei regolamenti interni del Garante – un diritto d’interpello preventivo per imprese e altri titolari, almeno su certi temi, con la possibilità di ottenere riscontri suscettibili di legittimo affidamento in maniera ben più robusta dell’attuale URP “a voce e senza impegno” (come già avviene, ad esempio, innanzi all’Agenzia delle Entrate). Servirebbe un piglio pragmatico tipico di culture – come quella anglosassone dell’ICO, il garante inglese – che fanno della certezza applicativa del diritto una chiave irrinunciabile per gli investimenti e la libertà d’intrapresa economica nel rispetto dei valori fondamentali. È un consiglio, non una critica fine a se stessa, beninteso. Ma richiede un cambio di mentalità, più probabilmente nelle corde di un manager con MBA che di un giurista con LLM. Serve un organico di 1000 dipendenti anziché di due centinaia, per il Garante, per realizzare questo servizio? Battiamoci perché le risorse di bilancio siano aumentate ex lege, e perché una parte significativa delle sanzioni sia destinata all’incremento di risorse umane, anche solo con contratti a termine. Dopotutto, il comma 7 dell’attuale art. 166 del Codice Privacy già prevede che i proventi delle sanzioni, nella misura del cinquanta per cento del totale annuo, siano “destinati alle specifiche attività di sensibilizzazione e di ispezione nonché di attuazione del Regolamento svolte dal Garante”.

 

  1. Secondo passo: legislatori (statali e UE, come minimo) e Autorità di protezione dei dati dovrebbero incontrarsi “sul cammino del cambio di mondo” che stiamo vivendo. Il nomotèta non vive fuori dal mondo. Parecchi affermano: “dopo il coronavirus niente sarà come prima”. Sì, ma cosa può voler dire, concretamente, questo “niente sarà come prima”? Traduciamolo. Potrà significare, ad esempio, che alcuni trattamenti di dati oggi inconcepibili – in primis da parte delle Autorità di controllo sulla privacy e la protezione dei dati personali europee – potranno e quindi dovranno essere compresi ed accettati nella loro inevitabile, quotidiana necessità. Non stiamo parlando dei maxi-tracciamenti digitali d’emergenza, ma del dopo, della normalità diversa che ci attende per rinascere. Di controlli e selezioni più pervasivi nei luoghi pubblici e aperti al pubblico. Siamo sicuri che essi non debbano essere ammessi in futuro? Che non si debba accettare che il concetto di “necessità” e il concetto di “innovazione”, adesso più che mai, vadano intesi in senso inestricabilmente connesso tra loro? Lo stesso potrebbe dirsi dell’adozione di “cabine telefoniche” per il test rapido anti-COVID19 prima dell’accesso a ospedali e ambulatori e altri uffici sensibili, sul modello sudcoreano, o altre prassi prudenti che inevitabilmente abiteranno con noi, per consentirci di vivere sani e sicuri, nei prossimi decenni. Sforziamoci di pensare al futuro senza preconcetti, con mentalità aperta e non novecentesca.

 

  1. Terzo passo: uniamoci nella battaglia politica affinché il legislatore – quello italiano innanzitutto, ma dovrebbe rappresentare una sfida di livello pure europeo – faccia due cose nei prossimi mesi, cruciali per il nostro destino libero e democratico: riconosca all’Autorità per la protezione dei dati personali anche la competenza in materia di Intelligenza Artificiale (competenza da non dare per scontata, leggendo il libro bianco sull’Intelligenza Artificiale pubblicato nel febbraio 2020 dalla Commissione Europea), e insieme assicuri al Garante la legittimazione attiva per il ricorso diretto alla Corte Costituzionale (in UE, alla Corte di Giustizia) al fine di poter contestare la costituzionalità/validità di leggi nazionali che prevedano trattamenti di dati – personali e non – incompatibili con i principi nazionali ed europei a tutela dei diritti fondamentali e inviolabili dell’essere umano. Quanto sarebbe vitale un meccanismo del genere, già oggi, alle prese con la legislazione d’emergenza per il contenimento e contrasto della pandemia da coronavirus!

 

Se quanto scritto sopra vi sembra mera “fantascienza giuridica”, confido almeno nel fatto che il colore acceso-shocking delle idee narrate abbia arricchito e divertito il noioso trascorrere di questi giorni di clausura dei privacyisti. Ma considerate che, nella storia dei nostri Paesi, numerose proposte apparentemente lunari e spiazzanti, scaturite all’improvviso, in materia di nuovi diritti, si sono tradotte in normative, leggi, provvedimenti, in Italia e in Europa. Raramente, ma felicemente, è accaduto che le persone giuste per approvare un’idea rivoluzionaria sapessero comprenderla e potessero votarla; a volte, capita (con l’accento sulla a, ma anche sulla i).