Le elezioni americane hanno del tutto eclissato un’importante vicenda interna come quella dei “dossieraggi”. Dalle anomalie nelle condotte di Striano e Laudati ai politici spiati dalla società Equalize dell’ex superpoliziotto Carmine Gallo, le cronache che la riguardano si sono sparite come un fiume carsico, anche a causa dei tanti “omissis” che compaiono sulle carte. Ma ci sono altri aspetti da considerare, oltre quello giudiziario, e riguardano il controllo, la prevenzione e la protezione delle banche dati.
Va abbandonata la logica emergenziale, spiega al Sussidiario Ginevra Cerrina Feroni, costituzionalista, vicepresidente del Garante per la protezione dei dati personali (GPDP), e servono più risorse: “come Autorità siamo assolutamente sottodimensionati rispetto ai fenomeni che ci troviamo a fronteggiare”.
Ma c’è un grande problema politico non ancora percepito nella sua gravità: “oggi il potere lo detiene chi controlla i dati personali, e proteggere i dati personali è tutelare la democrazia”, spiega la giurista.
Professoressa, quella dei cosiddetti “dossieraggi” è una vicenda che riguarda molti profili: sicurezza pubblica, mancati controlli, privacy. Ci aiuta ad inquadrarla?
Ci troviamo di fronte a un fenomeno dai contorni preoccupanti e che ha visto un numero crescente di casi critici negli ultimi mesi. La presenza di un supposto gigantesco “mercato” di dati personali esfiltrati dalle più grandi banche dati pubbliche minerebbe le fondamenta del nostro ordinamento democratico, con due principali implicazioni.
Quali?
In primo luogo, avremmo constatato una sistematica violazione di un diritto fondamentale quale quello alla protezione dati dei cittadini, oltre che dei decisori pubblici. Poi entrerebbe in gioco l’enorme tema della difesa dell’integrità dello Stato e delle istituzioni che lo compongono.
Le cronache ci parlano di tre filoni di inchiesta. Il primo riguarda Striano e Laudati. Il secondo l’accesso ai conti, tra gli altri, della presidente del Consiglio; il terzo ruota intorno alla società Equalize. Sono tutti accomunabili alla voce “dati rubati”. Ce n’è uno più grave degli altri?
I recenti casi di accesso illecito a banche dati come quello di Striano, o la vicenda del bancario pugliese che ha acceduto ai conti corrente di diversi politici, sono tutti ugualmente gravi e hanno un comun denominatore: rendono evidente che la tutela dei dati personali deve tornare al centro di investimenti necessari nel pubblico come nel privato, permeare l’agire politico e amministrativo in modo sistematico e continuativo, non in chiave episodica ed emergenziale. La protezione dei dati personali deve, insomma, rientrare al centro del dibattito pubblico e di interventi strutturali con ricadute a lungo termine perché si tratta di un valore da proteggere, che tocca il cuore della nostra democrazia, la tenuta dell’ordinamento costituzionale, l’effettività dei nostri diritti e libertà.
Ad essere coinvolti sono soprattutto politici: come persone spiate, ma anche, pare, come “committenti” dell’accesso alle informazioni. È solo “cosa loro” o ci riguarda?
Posto che sono ancora in corso le indagini e questi aspetti dovranno essere attentamente verificati, se effettivamente venissero confermati questi “mandati” a raccogliere i dati, si configurerebbe una responsabilità di tipo penale. Ci tengo a precisare che nella vicenda “dossieraggi” ci si muove su un doppio binario di tutela: da un lato quello penale e dall’altro il nostro, quello amministrativo. Tutti i dossieraggi sono sanzionabili da parte nostra non ovviamente con la reclusione, ma con sanzioni pecuniarie elevate.
Nelle cronache prevale l’aspetto giudiziario, poi quello voyeuristico. Non crede che al mondo dell’informazione sfugga qualcosa? Perché stavolta non reclamiamo i “diritti” intoccabili che esigiamo a ogni piè sospinto?
Come lei afferma correttamente, si tratta di una violazione sistematica di diversi diritti e libertà fondamentali, tra cui la riservatezza, la segretezza della corrispondenza e, chiaramente, la protezione dei dati personali di cittadini e rappresentanti pubblici. Eppure, come accennava lei all’inizio, ci stiamo dimenticando già di questa vicenda, sommersa da nuove notizie.
Per quale motivo c’è questa disattenzione?
È sintomatico di un atteggiamento diffuso e radicato nel nostro dibattito pubblico: il diritto fondamentale alla protezione dei dati personali viene derubricato a questione di secondo piano. Episodi gravi come quelli di cui stiamo leggendo in queste settimane sono banalizzati, quasi normalizzati, mentre dovrebbero contribuire a porre la riservatezza di cittadini in primo piano.
Ma perché la riservatezza è un aspetto squisitamente politico?
Difendere i dati personali e le infrastrutture dove sono trattati e conservati non è mai stata, né è ora, una questione prettamente tecnica e riservata solo agli “addetti ai lavori”. Significa arginare lo straripare di poteri pubblici e privati, in quanto oggi il potere lo detiene chi controlla i dati personali.
Non ha la sensazione che privacy e trasparenza si siano invertite, ossia che la trasparenza manchi là dove dovrebbe esserci e viceversa?
I diritti alla privacy e alla trasparenza si fronteggiano soprattutto nel nuovo scenario digitale. In questo ambito, da un lato i diritti personali possono essere posti in pericolo dalla circolazione indiscriminata delle informazioni; dall’altro, proprio la più ampia circolazione dei dati può meglio consentire a ciascuno di informarsi, comunicare e agire. La tensione dei due valori si risolve in una delicata attività di bilanciamento di cui si fa carico anche il Garante nella sua veste di authority indipendente, ad esempio nell’ambito dei procedimenti relativi all’accesso civico. Proprio nei momenti di eccezionalità e di concentrazione massima di potere questa attività deve essere svolta in modo ponderato.
Forse è bene insistere su questo punto: non è chiaro perché tutto questo sia un “pericolo per la democrazia”.
Si tratta di una grande minaccia alla democrazia perché, dobbiamo ricordarlo sempre e farlo nostro, la privacy è un suo asse portante. La violazione della privacy impatta, infatti, sul concetto di forma di Stato, cioè sul rapporto tra governanti e governati, tra potere e cittadini, e sbilancia tale rapporto nel senso di determinare concentrazioni di potere a tutto vantaggio di chi detiene le informazioni. Potere ovviamente politico, ma anche potere privato.
Dunque, ogni volta che rinunciamo alla privacy…
Perdiamo anche una piccola parte della nostra libertà di essere noi stessi. Ecco perché c’è una frase che non dovremmo mai, dico mai, pronunciare e soprattutto pensare, che invece è molto diffusa: “Tanto io non ho nulla da nascondere”. Il concetto dell’uomo di vetro, dell’uomo trasparente, piace molto ai regimi autoritari di ogni tempo. Vale a dire, “se sei un buon cittadino non hai niente da nascondere e se hai qualcosa da nascondere non sei un buon cittadino”. No. Dobbiamo diffidare da queste letture e tenere a mente un altro concetto: oggi la vera partita della privacy si gioca sulla tutela del dato personale nell’era digitale, nell’era delle nostre vite perennemente connesse. Cioè l’autodeterminazione sulle informazioni che ci riguardano.
Di cosa parliamo esattamente?
Specialmente dei dati sanitari, biometrici, genetici, ma anche delle opinioni politiche, delle credenze religiose, degli orientamenti sessuali. Quando si possono acquistare per pochi euro i dati sanitari dei cittadini nel dark web, magari quelli sulla sieropositività, allora si comprende quanto quella protezione sia vitale.
Il Garante della Privacy ha creato una task force. Con quali poteri?
Abbiamo deciso di costituire una task force interdipartimentale. I diversi dipartimenti dell’Autorità – Realtà pubbliche, Realtà private, Sanità, Tecnologico, etc. – collaboreranno, secondo le rispettive competenze, per accertare sia dal punto di vista tecnico che normativo quali siano state le violazioni avvenute e, di conseguenza, individuare le risposte sanzionatorie e correttive dell’Autorità. L’obiettivo ultimo della task force è prevenire episodi di questa natura, il che significa proteggere i dati personali di ciascuno di noi e quindi, come ho detto, la nostra democrazia.
Il GPDP fa anche attività preventiva e di monitoraggio. Qual è lo stato dell’arte del vostro lavoro sulle banche dati?
Quando agiamo in via di prevenzione, lo facciamo indicando misure efficaci e robuste per garantire la sicurezza delle banche dati. La loro sicurezza è al centro delle nostre attività provvedimentale e consultiva, penso ad esempio a Sogei, UniCredit, le Procure nel 2013, tutti casi in cui abbiamo segnalato la vulnerabilità di sistemi delicatissimi.
Esiste il rischio zero?
No, la vulnerabilità è intrinseca alla tecnologia digitale. Ma il dovere che abbiamo come Autorità, e che hanno specularmente gli operatori, è agire seguendo una strategia, quella della riduzione del rischio. Come? Con l’adozione di standard di sicurezza elevati, controlli costanti e valutazione periodica del rischio.
Le risulta che sul piano dei controlli il governo si stia muovendo nel modo più auspicabile, dal suo punto di osservazione di Garante?
La privacy è tendenzialmente percepita dai decisori politici e in parte dall’opinione pubblica non come una garanzia a tutela dei cittadini e dei loro dati spesso più preziosi, come quelli sanitari, di immagine, di reputazione, ma come una fisima, un ostacolo alla digitalizzazione, un impedimento da rimuovere. Ma il tema oggi è serio e forse lo stiamo capendo proprio grazie a questa vicenda dei dossieraggi. Se non si comprende questo, ci si ferma ai moduli, e non si comincia a dare la giusta importanza alla protezione dati. Cioè se non si fa un salto anche culturale, non si riuscirà ad affrontare efficacemente il tema in vicende come quelle che stiamo vivendo.
Ci sta dicendo che la privacy può marciare insieme alla digitalizzazione?
Devono marciare insieme. E quando si marcia insieme, cioè quando il Garante viene coinvolto a monte e valorizzato nelle sue competenze, le cose funzionano. Abbiamo lavorato bene con tanti tavoli, dalla giustizia ai trasporti, dalla sanità alla scuola, dal MEF alla disabilità.
A chi tocca prevenire il dossieraggio?
L’attività di prevenzione del dossieraggio è rimessa alla responsabilità condivisa di diversi organi dello Stato, tra cui il Garante Privacy. Come accennavo, la nostra azione preventiva si esplica nell’attività provvedimentale, in cui indichiamo le misure da adottare, oltre che nel ruolo consultivo quando veniamo interpellati prima dell’emanazione di norme che toccano il tema del trattamento dei dati personali.
Questo sul piano preventivo. E per quanto riguarda l’intervento?
Tendenzialmente, il nostro intervento arriva poi a valle con complesse istruttorie, ispezioni e, successivamente, con provvedimenti sanzionatori e/o correttivi. Ciò è dovuto anche al fatto che quando si aprono le indagini giudiziarie, fino all’avviso di conclusione delle indagini preliminari è difficile per noi svolgere attività istruttoria, perché non abbiamo la disponibilità di atti e documenti oggetto di sequestri o segretazione. Non a caso, i protocolli stipulati con due Procure della Repubblica, tra cui quella di Roma, individuano nell’avviso di conclusione delle indagini preliminari il momento per la trasmissione degli atti a noi.
Abbiamo parlato di dati personali e potere. Le democrazie neoliberali sono caratterizzate da un’espansione continua della sorveglianza, e questo processo ha fatto un salto qualitativo imprevisto grazie a strumenti inediti come l’AI. È un fenomeno scontato, cui adeguarsi?
Considerarlo un fenomeno scontato significherebbe ammettere che tutto ciò che è tecnicamente possibile è al contempo giuridicamente lecito, eticamente ammissibile, nelle parole di Stefano Rodotà. Progresso tecnologico e tutela dei dati personali, come dicevo, sono valori che non devono escludersi mutualmente, ma progredire insieme. Soltanto integrando i principi della protezione dati nello sviluppo tecnologico si può realizzare un diverso modello di innovazione capace di accrescere il benessere collettivo e amplificare, non ridurre la portata di diritti e libertà fondamentali dell’individuo.
Come si può evitare che i dossieraggi si ripetano?
È necessario che il decisore politico agisca con interventi e investimenti mirati per rafforzare la consapevolezza sul tema e innalzare la sicurezza delle infrastrutture e dei sistemi dove sono trattati e conservati i dati personali di ciascuno di noi. Sarà anche necessario supportare le pubbliche amministrazioni in questo complesso processo, consentendo loro di fare propri, soprattutto a livello operativo, i principi e le regole di protezione dati e sicurezza informatica.
Quale sarebbe il compito del Parlamento?
Al legislatore spetta, dove ne venisse colta l’opportunità, introdurre norme ad hoc per contenere le fattispecie del dossieraggio. Infine, anche questo è importante, occorre un cambiamento culturale verso una consapevolezza più profonda della centralità della protezione dei dati nel costituzionalismo odierno.
Cosa significa?
La protezione dei dati è un diritto fondamentale sancito dagli articoli 16 del Trattato sul funzionamento dell’Unione Europea e 8 della Carta dei diritti fondamentali dell’UE, la cui tutela richiede un rafforzamento delle autorità di vigilanza.
Il GPDP è in condizione di esercitarla?
Rispetto agli omologhi in altri Stati membri dell’UE, come Autorità siamo assolutamente sottodimensionati rispetto ai fenomeni che ci troviamo a fronteggiare. La nostra attività è aumentata in modo a dir poco esponenziale. Al di là di una media di oltre 500 provvedimenti all’anno, svolgiamo un’attività di pareristica molto importante nei confronti di atti legislativi che, in questi anni di attuazione del PNRR, è stata davvero ingente. Ma il dato che più di ogni altro mi interessa evidenziare è quello dei reclami e segnalazioni che abbiamo ricevuto.
Cosa dicono i numeri?
È presto detto: dai 12.921 del 2021, ai 30.880 del 2022 – è un incremento di oltre il 100% –, fino ai 120.311 del 2023, con un incremento di quasi il 400% rispetto all’anno prima. Stiamo parlando di circa 330 reclami e segnalazioni al giorno, considerando anche i sabati e le domeniche. Si tratta di numeri ingestibili per un’Autorità che attualmente consta di circa 160 persone, compresi operativi ed esecutivi, e che svolge numerose attività. Sono necessari investimenti in risorse umane, finanziarie e tecnologiche, se vogliamo che la protezione dei dati personali sia effettiva.
(Federico Ferraù)
— — — —
Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.
