Il Governo non ha consultato l’Autorità Garante per la protezione dei dati sui due decreti leggi con cui ha introdotto il green pass e l’obbligo vaccinale per i sanitari. Ma l’esecutivo è obbligato dal GDPR a coinvolgere il Garante Privacy. Su questa violazione di legge del Governo e sui rischi privacy non considerati dal Consiglio dei ministri sul certificato verde e vaccini obbligatori per medici e operatori sanitari in prima linea nella battaglia contro il Covid, abbiamo intervistato Ginevra Cerrina Feroni, vicepresidente Autorità Garante per la protezione dei dati personali.
Key4biz. Professoressa Cerrina Feroni, vi siete lamentati del mancato coinvolgimento da parte del Governo su norme di grande importanza come quelle sui certificati verdi e gli obblighi vaccinali. Che succede?
Ginevra Cerrina Feroni. Nessuna ragione di necessità e di urgenza può mai giungere ad estromettere gli interessi fondamentali al cui presidio è posta l’azione del Garante per la protezione dei dati personali. Interessi che assumono rango quanto meno equiordinato rispetto a quelli, pur legittimamente, posti a fondamento delle misure del Governo. Il mancato coinvolgimento del Garante non è tanto, o solo, un problema di natura formale e di fluidità dei rapporti tra istituzioni, di cui peraltro agli italiani può interessare ben poco, ma sostanziale.
Riguarda, per l’appunto, i loro diritti e libertà costituzionali fondamentali. E questo, invece, interessa molto. Entrambi idecreti legge adottati dal Governo – certificati verdi per spostarsi tra Regioni e obbligo vaccinale per sanitari – presentano gravi violazioni sotto il profilo della protezione dati.
Key4biz. Per quali motivi?
Ginevra Cerrina Feroni. In relazione ai certificati verdi per spostarsi tra Regioni abbiamo adottato un formale provvedimento di “avvertimento” al Governo, evidenziando che il “decreto riaperture” è privo di una valutazione dei possibili rischi su larga scala. Non sono definite le finalità per il trattamento dei dati, non è indicato il titolare del trattamento, non è rispettato il principio di minimizzazione, non sono contemplati i tempi di conservazione, non sono previste misure per garantire la loro integrità e riservatezza.
Key4biz. E sull’obbligo vaccinale per i sanitari?
Ginevra Cerrina Feroni. Quanto all’obbligo vaccinale la situazione è pure più grave. Non è stabilito, ad esempio, quali siano le categorie obbligate, i tempi di conservazione dei dati, le modalità con cui gli ordini professionali e i datori di lavoro debbano comunicare alle ASL gli elenchi degli interessati, le misure a garanzia degli interessati. Non sono definite neppure le misure a tutela della privacy di coloro che non possono vaccinarsi e i cui dati, per ovvie ragioni, sono ancora più sensibili. All’Autorità in tre settimane sono arrivati più di 1.500 reclami o segnalazioni.
Key4biz. Il Governo è obbligato a chiedere il parere del Garante Privacy, perché non lo fa?
Ginevra Cerrina Feroni. Corretto parlare di obbligatorietà. Eppure, evidentemente, manca ancora questa consapevolezza. Il coinvolgimento dell’Autorità su tutti i provvedimenti normativi che coinvolgono dati personali in via preventiva, cioè nel momento di costruzione della norma, non è un mero “accessorio”, ma un obbligo di legge. Lo stabilisce il Regolamento europeo entrato in vigore nel maggio 2018 che contiene norme direttamente applicabili nel nostro Paese e che prevalgono sempre e comunque sulle leggi dello Stato nazionale. In ben due disposizioni, l’art. 36 e l’art. 57, si prevede l’intervento della Autorità “durante l’elaborazione” di un atto legislativo o regolamentare che incida sul trattamento dei dati personali. Il mancato coinvolgimento del Garante nella fase prodromica alla adozione di misure normative di così grande impatto sui dati personali pone problemi seri. Per prima cosa priva il Governo dell’apporto tecnico della Autorità indipendente che, ex lege, è chiamata a garantire la legittimità del trattamento dei dati personali. In secondo luogo si pone in aperto contrasto con norme specifiche e puntuali del diritto dell’Unione, potendosi arrivare alla disapplicazione in via giudiziaria della norma nazionale contrastante. In terzo luogo contrasta con i principi di cd. “better regulation”, che esigono il confronto e la interlocuzione preventiva. Infine, elimina per i cittadini un presidio forte di garanzia su un diritto costituzionale fondamentale. Se la legge nasce gravemente viziata in punto di tutela della protezione dati non si rimedia con l’intervento del Garante in un momento successivo, ad esempio in fase di attuazione in via amministrativa.
Key4biz. C’è una mancanza di cultura della protezione dati a tutti i livelli, dunque…Stiamo scontando un ritardo rispetto ad altri Paesi europei?
Ginevra Cerrina Feroni. Vorrei dire prima entrerà nel “dna collettivo” che la protezione dati è parte essenziale del rilancio del Paese, a partire dalla definizione del PNRR, meglio sarà per tutti. E tutti ne guadagneremo. Semplificazione amministrativa, digitalizzazione, giustizia, fascicolo sanitario, ma anche previdenza, fisco, didattica a distanza, telelavoro ecc… Tutto passa dalla regolazione dei dati, non solo di quelli personali. I dati sono il fulcro del nuovo mondo e della nuova civiltà. Ad esempio – e lo abbiamo segnalato al Governo – il successo o l’insuccesso delle politiche pubbliche e private basate sull’intelligenza artificiale dipenderà in larghissima misura dalle regole che governeranno la progettazione, lo sviluppo e l’uso degli algoritmi e dall’attività di regolamentazione, vigilanza e promozione della circolazione dei dati pubblici e privati, personali e non personali.
Key4biz. Occorre governare il futuro, ma anche proteggere i nostri dati
Ginevra Cerrina Feroni. Certo. Scegliere se e quanto investire nella regolamentazione, vigilanza e promozione di queste materie significa, in buona misura, decidere quale “comunità di destino” – per usare una nota citazione – vogliamo essere nei prossimi vent’anni. Prospettiva usurata, ma soprattutto, contraddetta dai fatti, continuare a ghettizzare la privacy nell’abito stretto del “diritto ad essere lasciati soli”. Poco lungimirante pensare poi alla privacycome ad un intralcio, addirittura un ostacolo, all’efficiente azione di Governo. Nelle imprese più strutturate, ad esempio, sta già nascendo la consapevolezza che la tutela dei dati è anzitutto valore. E il valore lo misuri in termini di tutela dei clienti e di competitività nei mercati.
Key4biz. L’Autorità ha risorse adeguate per svolgere i suoi compiti?
Ginevra Cerrina Feroni. L’Autorità Garante, anche a seguito dell’entrata in vigore del Regolamento europeo, ha assunto un ruolo strategico nel Paese cui però non è seguito un adeguamento conseguente sotto il profilo delle risorse umane, finanziarie e strumentali. L’indipendenza di una istituzione la si garantisce anche dotandola delle risorse necessarie per svolgere i suoi compiti. E le nostre sono assolutamente inadeguate. Pensi che il Garante italiano può contare, ai sensi della normativa vigente, su una dotazione organica di 162 persone di cui allo stato 134 in servizio. A parità di compiti in Francia ne hanno 215, nel Regno Unito 680, in Germania addirittura 887. Solo nel 2020 noi abbiamo ricevuto oltre 12.000 richieste di intervento, che significa avere aperto 12.000 nuovi fascicoli. Anche il Parlamento europeo nella recentissima Risoluzione del 25 marzo 2021 ha espresso preoccupazione e richiamato l’urgenza di dotare le autorità privacy delle risorse necessarie per adempiere efficacemente i loro compiti ed esercitare i loro poteri enormemente aumentati. Si sta lavorando da mesi con una pressione fortissima per non rallentare provvedimenti utili al Paese. La nostra disponibilità non è mai mancata. Ma per collaborare bisogna essere in due. Ci auguriamo che questo messaggio venga recepito dal Governo.
Key4biz. A proposito di Europa. Sul green pass annunciato da Bruxelles qual è la posizione del Garante?
Ginevra Cerrina Feroni. Le due proposte di Regolamento UE, recentemente varate, mirano ad istituire un quadro comune per il rilascio di certificati comuni relativi alla vaccinazione, ai test e alla guarigione dal COVID-19, in tal modo facilitando l’esercizio del diritto di libera circolazione all’interno dell’UE. L’obiettivo è permettere al viaggiatore di fornire una prova documentale, universalmente riconosciuta (nel territorio dell’Unione), volta a consentire il superamento delle misure restrittive foggiate dagli Stati membri in funzione del contenimento della pandemia da Covid-19. Anche il diritto dell’Unione, quindi – ma sul punto si è espressa altresì l’Assemblea del Consiglio d’Europa – non contempla in alcun modo l’obbligo della vaccinazione. La somministrazione del siero anti-Covid non costituisce, pertanto, la condicio indefettibile per l’esercizio di libertà fondamentali, quale quella di circolazione; alle persone non vaccinate, per le più disparate ragioni, potranno solo richiedersi oneri particolari, quali la effettuazione di tamponi ovvero, eventualmente, periodi di quarantena. Il carattere assai sensibile dei dati trattati, e la dimensione “europea” del trattamento, dovrebbero indurre alla adozione di un sistema che contempli il più ampio numero di garanzie. In ossequio al principio di “minimizzazione” e di “proporzionalità”, dovrebbero essere circoscritti in modo puntale l’ambito e gli scopi dei trattamenti, ridotte allo stretto indispensabile le categorie di dati ed informazioni richieste, precludendo altresì l’accesso ai dati contenuti nei certificati una volta cessata la emergenza pandemica. Lo stesso certificato dovrebbe essere “neutro”, e cioè non indicare la specifica ragione giustificativa del rilascio.
Key4biz. Come è possibile far crescere la consapevolezza delle persone riguardo al valore dei propri dati?
Ginevra Cerrina Feroni. Si sta scrivendo, causa pandemia, forse la più importante pagina della storia italiana di trattamento di dati sensibili. Eppure siamo qui a fare questa intervista per spiegare perché è un ossimoro che il Garante privacy non sia stato coinvolto. È evidente che dobbiamo fare ancora molta strada in questo Paese sulla cultura della protezione e del valore dei nostri dati. Da parte nostra, saremo presenti mediaticamente e nel pubblico quanto più possibile. Ci appoggeremo ad iniziative prestigiose del terzo settore, anche internazionali, per svolgere la nostra missione a contatto con gli operatori, i gruppi d’interesse ed i cittadini del mondo digitale. Il Collegio si è insediato da pochi mesi. Il nostro progetto è di lungo corso e la sfida è appena iniziata.