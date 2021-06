Il bilanciamento dei diritti non sarà una cosa semplice, ma assolutamente fondamentale in una democrazia: “Il Garante della Privacy è diventato un altro assurdo intoppo burocratico di questo Paese”, ha scritto l’europarlamentare Carlo Calenda su Twitter. Una sequenza di parole, quelle rivolte dall’europarlamentare all’Autorità Garante per la protezione dei dati personali, che ha attirato particolarmente l’attenzione.

Nello specifico, nel tweet si fa riferimento a una notizia in cui viene ripreso un intervento da parte del Garante Privacy, che ricorda e chiarisce come per il datore di lavoro non sia possibile chiedere informazioni ai dipendenti circa il loro stato vaccinale. Già a febbraio, l’Autorità aveva pubblicato alcune Faq sul tema della condivisione di dati sanitari tra datori e dipendenti, specificando come l’accesso a tali informazioni o addirittura ai documenti che dimostrino l’avvenuta vaccinazione contro il coronavirus non possa essere richiesto.

A queste posizioni sono state rivolte numerose critiche negli ultimi mesi, che si sono aggiunte a quelle più consistenti emerse nel dibattito sul contact tracing digitale e sull’app Immuni, sulla quale il Garante si è espresso a più riprese prima di autorizzarla definitivamente. Essenzialmente, l’accusa è quella di privilegiare un diritto che riguarda i singoli, la privacy, rispetto a un diritto collettivo più importante come la salute, sostenendo come sarebbe stato necessario rinunciare al primo per poter beneficiare completamente del secondo. In realtà, è stato proprio il presidente dell’Autorità, Pasquale Stanzione, a esprimersi nel merito e ricordare che la protezione dei dati – soprattutto sanitari – costituisce un diritto fondamentale cui non è possibile rinunciare e che, in quanto tale, è soggetto a bilanciamento e a modulazione in base al contesto in cui va esercitato e al rapporto con altri beni giuridici.

Senza entrare nel merito del dibattito su Immuni e sul bilanciamento tra salute e dati personali, una questione delicata di cui si è discusso molto e che non merita le polarizzazioni cui è stata ridotta, vale la pena elaborare alcuni punti in risposta alle parole usate su Twitter – e lo facciamo come Privacy Network – che rischiano solamente di alimentare la totale mancanza di cultura della privacy in Italia e non beneficiano i cittadini. Innanzitutto, va precisato che ancora prima di costituire una tutela per la riservatezza e i propri dati, l’intervento del Garante applica l’articolo 5 dello Statuto dei Lavoratori, che vieta gli accertamenti da parte del datore di lavoro sulla idoneità e sulla infermità del lavoratore dipendente. Spetta esclusivamente al medico del lavoro competente trattare i dati sanitari dei lavoratori e verificarne l’idoneità alla mansione predisposta.

Oltre a supportare le tutele previste per i lavoratori, la decisione del Garante si limita ad applicare il Regolamento Ue 2016/679, noto come Gdpr, e il Codice in materia di Protezione dei dati personali italiano del 2004. Come mi fa notare Matteo Navacci, consulente in data protection, privacy-by-design e co-fondatore di Privacy Network, “trattare dati relativi alla salute (lo stato di vaccinazione) senza un’idonea base giuridica in questo caso sarebbe quindi una doppia violazione di legge: da una parte dell’articolo 5 dello Statuto e dall’altra dell’articolo 9 del Gdpr”. Il Garante Privacy, continua Navacci, “non si inventa nulla, ma si limita ad applicare la legge nazionale ed europea. A chi auspica un’abolizione o una riforma della privacy, bisogna ricordare che insieme alla protezione dei dati personali costituisce un diritto fondamentale dell’Unione europea, previsto dalla Carta dei Diritti fondamentali dell’Ue”.

La descrizione scelta da Calenda per parlare del lavoro dell’Autorità nazionale non stupisce. Come ho già detto, si tratta di un trend già visto nel nostro Paese e che mette d’accordo molte persone. Anche fuori dai confini nazionali, non è mai facile sensibilizzare alla tutela dei diritti digitali e a quanto sia importante – nel periodo di massimo sfruttamento delle nostre informazioni online – difendere i nostri dati, che altro non sono se non l’espressione digitale delle nostre soggettività. In questo contesto, la privacy funge da base per moltissimi altri diritti, come la non discriminazione, la libertà d’espressione, di pensiero e di manifestazione. A questo proposito, ho chiesto un commento a Guido Scorza, componente del collegio del Garante: “Spiace che proprio un ex ministro dello Sviluppo economico definisca intoppo burocratico la tutela di un diritto fondamentale e le sue importanti implicazioni in vari contesti economici, giuridici e sociali. Il tweet di Calenda è indicativo di quanto debba essere ancora fatto da un punto di vista culturale in fatto di privacy. Il diritto alla protezione dei dati è un acceleratore e amplificatore di altri diritti, non il loro avversario”.

Dall’inizio del 2021, il Garante Privacy ha già dimostrato più volte come la protezione dei dati abbia ormai acquisito una rilevanza nuova ed estremamente connessa alle tecnologie, e che serva casomai ampliarla invece di limitarla: a marzo, a seguito di una segnalazione di Privacy Network, l’Autorità ha avviato un’istruttoria su ClearviewAI, una controversa azienda statunitense che allena i software di riconoscimento facciale con fotografie prese dal Web senza consenso, anche appartenenti a persone italiane. Un mese dopo, ha espresso parere negativo sulla funzione real time del Sari, un sistema già utilizzato dalle forze dell’ordine italiane per il riconoscimento automatico dei volti, trovando correlazioni tra alcune immagini e un database già in loro possesso. Dopo una segnalazione dell’Hermes Center, sta lavorando anche a un procedimento nei confronti di Argo, il sistema di sorveglianza intelligente voluto dal Comune di Torino. Alla luce di tutto questo, sarebbe interessante un chiarimento da parte di Calenda, anche per spiegare cosa intende quando scrive che “ogni procedimento pubblico” viene ostacolato da chi protegge i diritti fondamentali.

Questi esempi dimostrano quanto sia necessario il lavoro di un’Autorità competente che si occupi esclusivamente di proteggere i nostri dati in modo trasversale, ma dovrebbero anche farci capire che ciò non può assolutamente bastare. Un solo gruppo di persone non può essere sufficiente per cogliere tutti i rischi introdotti dall’utilizzo delle nuove tecnologie e dal raggruppamento massiccio dei nostri dati. Il lavoro delle istituzioni, del Parlamento e dei singoli rappresentanti politici dovrebbe amplificare il ruolo del Garante, che spesso ha bisogno della società civile e delle associazioni italiane che si occupano di diritti digitali per arrivare dappertutto. Le parole dell’europarlamentare, quindi, vanno interpretate in questo senso: contribuiscono a rafforzare la mancanza di una cultura della privacy in Italia e la narrazione che la vede non come un diritto fondamentale ma come un intralcio.

Ripeto: il fatto di definirla come un “intoppo burocratico” senza riconoscere che si tratti di un equilibrio tra diritti non mi sorprende affatto. Da studiosa di filosofia politica, però, c’è una cosa che trovo particolarmente interessante: il fatto che un diritto individuale (riconosciuto tale dall’Unione europea) venga ridicolizzato proprio dalla classe politica liberale, che dovrebbe avere le libertà dei singoli come priorità. E’ accettabile mettere i diritti fondamentali in una scala di importanza, invece di bilanciarli? Oltretutto, aggiunge Navacci, “se il governo mettesse in pratica il principio di privacy by design previsto dal Gdpr (articolo 25), non ci sarebbe alcun intoppo. Se il Garante è costretto a intervenire è perché le istituzioni e i processi legislativi non sono in grado di rispettare all’origine la normativa europea”.

Questo episodio, in realtà, dovrebbero farci riflettere sul significato che diamo alla protezione dei dati, e su come non dovremmo intenderlo esclusivamente come un diritto individuale, ma collettivo. Il caso ripreso nel tweet mostra perfettamente come la protezione individuale non sia sufficiente quando i pericoli riguardano gruppi di persone. La riservatezza dei dati sanitari è una tutela resa necessaria dal rapporto di potere che intercorre tra datore e lavoratore dipendente: non si possono non cogliere i rischi che subentrerebbero se solo fosse concesso un simile trattamento. L’European Data Protection Board (Edpb) ha ricordato più volte nel corso della pandemia come non sia assolutamente necessario rinunciare alla privacy per tutelare la salute collettiva. I nostri dati vanno difesi anche come comunità, a maggior ragione se in situazioni di squilibrio contrattuale e in luoghi di lavoro sempre più sorvegliati perché, come scrive Martin Tisne, se il danno a qualsiasi individuo in un gruppo che risulta da una violazione della privacy può essere relativamente neutro o difficile da individuare, il danno al gruppo nel suo insieme può essere notevole. Questo è particolarmente vero se si pensa all’amplificazione delle discriminazioni sociali resa ulteriormente possibile da alcuni strumenti tecnologici, come i software impiegati per automatizzare i servizi pubblici (anche la sanità). La stessa Autorità incaricata di proteggere i nostri dati avrà un ruolo sempre maggiore nel vigilare sulle applicazioni di intelligenza artificiale, come disposto dalla proposta europea dell’AI Act, e non possiamo continuare a considerarli degli ambiti separati.

Come ha già riassunto efficacemente Pasquale Stanzione mesi fa, “confondere le garanzie con la burocrazia rischia di farci dimenticare che lo Stato di diritto è quello del governo sub lege e non sub homine: una distinzione che, invece, è centrale per una democrazia“.