In evidenza
Sezioni
Magazine
Annunci
Quotidiani GNN
Comuni
      1. Aiello del Friuli
      2. Amaro
      3. Ampezzo
      4. Andreis
      5. Aquileia
      6. Arba
      7. Arta Terme
      8. Artegna
      9. Arzene
      10. Attimis
      11. Aviano
      12. Azzano Decimo
      1. Bagnaria d'Arsa
      2. Barcis
      3. Basiliano
      4. Bertiolo
      5. Bicinicco
      6. Bordano
      7. Brugnera
      8. Budoia
      9. Buia
      10. Buttrio
      1. Camino al Tagliamento
      2. Campoformido
      3. Campolongo al Torre
      4. Caneva
      5. Carlino
      6. Casarsa della Delizia
      7. Cassacco
      8. Castelnovo del Friuli
      9. Castions di Strada
      10. Cavasso Nuovo
      11. Cavazzo Carnico
      12. Cercivento
      13. Cervignano del Friuli
      14. Chions
      15. Chiopris-Viscone
      16. Chiusaforte
      17. Cimolais
      18. Cividale del Friuli
      19. Claut
      20. Clauzetto
      21. Codroipo
      22. Colloredo di Monte Albano
      23. Comeglians
      24. Cordenons
      25. Cordovado
      26. Corno di Rosazzo
      27. Coseano
      1. Dignano
      2. Dogna
      3. Drenchia
      4. Enemonzo
      5. Erto e Casso
      1. Faedis
      2. Fagagna
      3. Fanna
      4. Fiume Veneto
      5. Fiumicello
      6. Flaibano
      7. Fontanafredda
      8. Forgaria nel Friuli
      9. Forni Avoltri
      10. Forni di Sopra
      11. Forni di Sotto
      12. Frisanco
      1. Gemona del Friuli
      2. Gonars
      3. Grimacco
      1. Latisana
      2. Lauco
      3. Lestizza
      4. Lignano Sabbiadoro
      5. Ligosullo
      6. Lusevera
      1. Magnano in Riviera
      2. Majano
      3. Malborghetto Valbruna
      4. Maniago
      5. Manzano
      6. Marano Lagunare
      7. Martignacco
      8. Meduno
      9. Mereto di Tomba
      10. Moggio Udinese
      11. Moimacco
      12. Montenars
      13. Montereale Valcellina
      14. Morsano al Tagliamento
      15. Mortegliano
      16. Moruzzo
      17. Muzzana del Turgnano
      1. Nimis
      1. Osoppo
      2. Ovaro
      1. Pagnacco
      2. Palazzolo dello Stella
      3. Palmanova
      4. Paluzza
      5. Pasian di Prato
      6. Pasiano di Pordenone
      7. Paularo
      8. Pavia di Udine
      9. Pinzano al Tagliamento
      10. Pocenia
      11. Polcenigo
      12. Pontebba
      13. Porcia
      14. Pordenone
      15. Porpetto
      16. Povoletto
      17. Pozzuolo del Friuli
      18. Pradamano
      19. Prata di Pordenone
      20. Prato Carnico
      21. Pravisdomini
      22. Precenicco
      23. Premariacco
      24. Preone
      25. Prepotto
      26. Pulfero
      1. Ragogna
      2. Ravascletto
      3. Raveo
      4. Reana del Rojale
      5. Remanzacco
      6. Resia
      7. Resiutta
      8. Rigolato
      9. Rive d'Arcano
      10. Rivignano
      11. Ronchis
      12. Roveredo in Piano
      13. Ruda
      1. Sacile
      2. San Daniele del Friuli
      3. San Giorgio della Richinvelda
      4. San Giorgio di Nogaro
      5. San Giovanni al Natisone
      6. San Leonardo
      7. San Martino al Tagliamento
      8. San Pietro al Natisone
      9. San Quirino
      10. San Vito al Tagliamento
      11. San Vito al Torre
      12. San Vito di Fagagna
      13. Santa Maria La Longa
      14. Sauris
      15. Savogna
      16. Sedegliano
      17. Sequals
      18. Sesto al Reghena
      19. Socchieve
      20. Spilimbergo
      21. Stregna
      22. Sutrio
      1. Taipana
      2. Talmassons
      3. Tapogliano
      4. Tarcento
      5. Tarvisio
      6. Tavagnacco
      7. Teor
      8. Terzo d'Aquileia
      9. Tolmezzo
      10. Torreano
      11. Torviscosa
      12. Tramonti di Sopra
      13. Tramonti di Sotto
      14. Trasaghis
      15. Travesio
      16. Treppo Carnico
      17. Treppo Grande
      18. Tricesimo
      19. Trivignano Udinese
      1. Udine
      1. Vajont
      2. Valvasone
      3. Varmo
      4. Venzone
      5. Verzegnis
      6. Villa Santina
      7. Villa Vicentina
      8. Visco
      9. Vito d'Asio
      10. Vivaro
      1. Zoppola
      2. Zuglio

"Perché la privacy è un problema e non un’opportunità?", la risposta in 6 punti

di Andrea Monti
"Perché la privacy è un problema e non un’opportunità?", la risposta in 6 punti
(ansa)
5 minuti di lettura

Fra le tante polemiche suscitate dal caso Regione Lazio non poteva mancare quella sulla negligente protezione della “privacy” dei cittadini. Questo incidente — si dice — dimostra che hanno torto quelle importanti personalità istituzionali che, di recente, avevano rilevato l’attitudine paralizzante del regolamento sulla protezione dei dati personali rispetto alla necessità di perseguire fini di interesse collettivo come il contrasto all’evasione fiscale, per esempio, o la gestione della pandemia.

Queste critiche avevano già suscitato la reazione indignata (e in diversi casi, interessata) di chi considera la “privacy” una specie di superdiritto di fronte al quale tutti gli altri, compresi quelli della collettività, devono fare un passo indietro. Non è così in termini generali (la Costituzione stabilisce in più articoli la possibilità di comprimere diritti fondamentali) e in modo particolare per la “privacy” che nemmeno esiste come diritto autonomo.

Dovremmo discutere, semmai, di protezione dei dati personali che è un concetto diverso e molto più ampio. E, cosa ancora più importante, ci dovremmo anche domandare se l’interpretazione delle norme che il Garante dei dati personali ha deciso di sostenere, basata sostanzialmente sul principio di precauzione, abbia senso in un’ottica di costi-benefici.

Quella che potrebbe apparire come una questione puramente accademica ha, in realtà, un impatto concreto estremamente rilevante perché - a seconda dell’approccio operativo - si può produrre inerzia senza reale aumento della tutela dei diritti dei cittadini, oppure si può raggiungere un effettivo livello di protezione senza comprimere inutilmente l’attività di istituzioni e imprese.

Per analizzare il primo profilo torniamo, appunto, al caso del ransomware che ha infettato i dati di Regione Lazio.

Per quanto paradossale possa sembrare l’affermazione, se il tema è “proteggere la privacy” (e se è vero che, come pubblicamente dichiarato, i dati non sono stati esfiltrati), allora è chiaro che il ransomware non ha fatto danni. Se invece —come vuole la legge— il tema è garantire la disponibilità e l’integrità dei dati, allora l’attacco crea un problema di mancato rispetto della normativa e, in termini più sostanziali, di danno ai cittadini per negligenze di varia natura che sono intrinsecamente non scusabili. È opportuno ricordare, infatti, che già dai tempi della direttiva comunitaria che ha preceduto il regolamento 679/16 la responsabilità per il trattamento dei dati era sottoposta a un regime analogo a quello della gestione delle centrali nucleari.

Tuttavia, e passiamo al secondo punto, la (giustamente) elevata responsabilità di chi tratta dati personali non giustifica la scelta di applicare un principio di precauzione in nome del quale “bloccare” o “vietare” preventivamente, senza utilizzare delle metriche oggettive per identificare la soglia di rischio accettabile e per verificare, in concreto, quale sia il rapporto costi-benefici del trattamento (tema fondamentale, per esempio, in materia di ricerca medico-scientifica).

In altri termini, la flessibilità applicativa consentita dal regolamento comunitario, che avrebbe appunto garantito un’applicazione differenziata a seconda della natura dei dati, dei trattamenti e dell’interesse pubblico, si è trasformata nell’applicazione unilaterale di una visione ideologica che produce paralisi.

Per quanto complesso, questo ragionamento si può sintetizzare nei sei punti che seguono:

1 – Il GDPR tutela tutti i diritti fondamentali, non solo la “privacy”

Il GDPR (articolo 2 comma I) regola il trattamento dei dati personali in modo che vengano tutelati i diritti e le libertà fondamentali delle persone fisiche e che sia garantita la libera circolazione dei dati personali. Questo significa che la norma si applica a tutti i casi nei quali viene compromesso un diritto dell’individuo tramite il cattivo uso dei suoi dati. Ad esempio, sono “coperti” dal GDPR casi come le “cartelle pazze”, i danni subiti da un paziente per errori di compilazione di cartelle cliniche o l’indisponibilità di un servizio (pubblico) per indisponibilità di informazioni (i vari “blocchi” di siti istituzionali nei click-day o per via di incidenti più o meno prevedibili).

2 – La protezione dei dati personali è diversa dalla “privacy”

Benché la narrativa corrente abbia equiparato la protezione dei dati personali alla privacy questa equivalenza non è corretta.

A parte il fatto che il GDPR non contiene affatto la parola “privacy” o equivalente, i due termini esprimono istituti giuridici diversi e due ambiti di tutela non sovrapponibili.

Senza entrare nel tema complesso del definire la “privacy” (se sia, cioè, un diritto autonomo o un umbrella word che racchiude varie tutele costituzionali), è normativamente stabilito che la “privacy” sia uno dei diritti tutelati dal GDPR e non l’unico.

3 – La protezione dei dati personali è un diritto-mezzo

Il paragrafo precedente consente di concludere che la protezione dei dati personali è un diritto-mezzo rispetto alla tutela di un diritto-fine. In quanto tale, la tutela di questo diritto è soggetta a un giudizio di bilanciamento fra i diritti fondamentali concorrenti ma, soprattutto, in rapporto ai doveri dello Stato di garantirne il libero esercizio. In altri termini, il diritto alla protezione dei dati personali non è un “superdiritto”.

4 – Il GDPR va applicato bilanciando i diritti in gioco e in funzione di pericoli concreti invece di un paralizzante principio di precauzione sganciato da evidenze concrete

L’aspetto cruciale dell’applicazione del GDPR sta in altre due scelte strutturali storicamente adottate dall’Autorità nazionale di protezione dei dati.

La prima è quella di concentrarsi esclusivamente sulla questione “privacy” (e infatti, l’Autorità è raggiungibile online tramite il dominio garanteprivacy.it), adottando quindi una lettura unilaterale della normativa sulla protezione di dati personali.

La seconda è quella di interpretare le norme sulla base di un principio di precauzione che prescinde dal danno provocato alla persona fisica o quantomeno dalla sua esposizione a un pericolo concreto. Viceversa, la Corte di cassazione ha spesso ribadito che anche in materia di trattamento dei dati personali il danno subito dall’interessato deve essere concretamente dimostrato. Ci troviamo, dunque, di fronte a un paradosso: la tutela risarcitoria del diritto alla protezione dei dati personali richiede la prova del danno, ma il mancato rispetto del GDPR viene sanzionato anche se non ci sono conseguenze per l’interessato, analogamente alle violazioni meramente formali del diritto tributario.

Inoltre, il principio di precauzione è applicato senza riferimenti a metriche o dati che possano consentire una effettiva valutazione di bilanciamento fra le necessità di trattare determinati dati in un certo modo e le conseguenze per i diritti dell’interessato.

5 – È possibile applicare il GDPR in modo flessibile, privilegiando controlli ex post rispetto a prescrizioni rigide ex ante

Il GDPR può essere interpretato flessibilmente perché è strutturato in modo da lasciare ai singoli soggetti che trattano dati la facoltà di compiere le scelte in piena autonomia a condizione di documentarne il razionale e consentire all’autorità di valutarlo.

Di conseguenza, nulla vieterebbe un approccio al GDPR basato sul privilegiare la fase dei controlli a posteriori piuttosto che l’imposizione preventiva e trasversale di obblighi a prescindere dalla loro razionalità o ragionevolezza rispetto al caso concreto. Questo è vero, in modo particolare, quando la necessità e urgenza di gestire organizzativamente strumenti di circolazione come il Green Pass richiede necessariamente di privilegiare l’interesse collettivo della tutela della salute pubblica rispetto a un potenziale e non dimostrato pericolo per il singolo individuo.

6 - Il trasferimento di dati (personali) verso gli USA è un elemento costitutivo dei modelli industriali del comparto software e non è accettabile sanzionarlo in modo selettivo

Un altro elemento spesso stigmatizzato dal Garante è l’invio da parte di software per computer e smartphone di una serie di dati a server localizzati in USA o comunque al di fuori della UE.

Questo modo di funzionare dei software è uno standard del mercato IT. I modelli decentralizzati, che impongono al terminale di interagire con un server, hanno diverse funzioni, dall’identificazione dell’utente alla verifica della sussistenza dei diritti di proprietà intellettuale, alla raccolta di dati per analisi di tipo tecnico. Ovviamente, la raccolta dei dati è finalizzata anche ad analisi comportamentali o di profilazione.

Se questo modo di progettare servizi e prodotti in modo che comunichino dati al di fuori della UE viola il GDPR, allora questa violazione deve essere contestata sempre e comunque e non solo in casi specifici.

Concludendo

  • · Il diritto alla protezione dei dati personali è diverso dalla “privacy” (che nemmeno viene nominata nel GDPR).
  • · Il GDPR, che non tutela soltanto la privacy, deve essere interpretato in modo da favorire la circolazione dei dati personali bilanciando fra loro i diritti dell’individuo e questi ultimi con quelli della collettività.
  • · L’applicazione concreta del GDPR è basata su un principio di precauzione privo di riscontri basati su dati che fa prevalere unilateralmente la “privacy” rispetto ad altri diritti individuali e a quelli della collettività.
  • · È possibile un’applicazione più flessibile del GDPR che privilegi i controlli ex post invece dell’imposizione di obblighi preventivi sganciati da necessità specifiche e concrete.
  • · L’applicazione di questa visione formale della norma ha come conseguenza diretta quella di generare inerzia organizzativa, costi non controllabili, minore efficienze e, in sostanza, minore tutela per gli individui e i loro diritti

Leggi anche

© Riproduzione riservata