Pubblica amministrazione e privacy: non si può più temporeggiare, serve una task force

Si riporta di seguito l’intervento dell’Avv. Antonio Ciccia Messina all’8° Privacy Day Forum.

“Il governo, elettronico e analogico, delle pubbliche amministrazioni deve fare i conti con il Gdpr (regolamento Ue 2016/679) e le regole tutte sulla protezione dei dati. La posta in gioco è la libertà del cittadino, che merita l’applicazione effettiva di regole a tutela della incolumità dei suoi dati. 

Non è, infatti, più tempo di rinvii e siamo, già arrivati al momento in cui bisogna rispondere, e con urgenza, a domande come queste: un’intelligenza artificiale, da sola e senza l’intervento umano, può prendere una decisione amministrativa? Può irrogare una multa, negare un permesso di costruire, inviare un accertamento tributario, decretare il vincitore di un concorso pubblico, escludere dalla partecipazione ad un appalto, e così via?

Sono quesiti, questi, che vanno al cuore del problema e cioè come e fino a che punto una P.A. può trattare dati personali; sono quesiti che, dunque, mettono davanti agli occhi, e senza possibilità di distogliere lo sguardo, una constatazione tanto banale e tanto colpevolmente accantonata: la “protezione dei dati” e la “privacy” nella pubblica amministrazione sono importanti come la “trasparenza” e la “P.A. casa di vetro”; si tratta, a voler ben vedere, di concetti complementari che si definiscono reciprocamente, in base ai rispettivi limiti. Ed anzi la “protezione dei dati” e la “privacy” nella pubblica amministrazione hanno un valore che va al di là del settore pubblico.

Dalla conformità della P.A. agli standard della privacy e della protezione dei dati derivano immanenti conseguenze per tutto il “sistema Italia”.

È un fatto: il successo del Gdpr, dell’intero Gdpr, considerato nel suo complesso, dipenderà da quanto e come la pubblica amministrazione sarà in grado di applicarlo e di portare a sintesi le opposte esigenze di trasparenza (nel pubblico interesse) e di tutela dei diritti individuali (nel privato interesse).

Così stando le cose, allora, non ci si può permettere di attendere. L’effetto novità del Rgpd sta passando la mano alla assuefazione, indebitamente auto-assolutoria, a un livello di adeguamento basso: che sia proprio così ce lo dicono le indizianti analisi statistiche ed anche le opinioni autorevoli di esponenti delle autorità di controllo.

Ma se è così, allora non si può più temporeggiare. Ci vuole una task force che piloti e guidi e individui best practises, concrete e specifiche, su materie cruciali come l’organizzazione degli enti (ad esempio individuazione di designati, autorizzati), l’outsourcing dei servizi (ad esempio nomine di responsabili esterni), ma soprattutto il governo dell’e-government.

Quest’ultimo tema apre la porta sul tema, ad oggi nemmeno conosciuto nelle sue esatte connotazioni, ma già scoppiato prepotentemente in alcune sentenze dei giudici amministrativi, della compatibilità con le regole del procedimento amministrativo delle decisioni interamente automatizzate adottate dalle pubbliche amministrazioni. Il nodo da sciogliere è se e come e fino a che punto un algoritmo possa assumere la decisione finale di un procedimento amministrativo (si vedano i quesiti sopra riportati).

La legge n.241 dal lontano 1990 proietta ancora un fascio di luce in grado di illuminare la strada per dare oggi una risposta ragionevole a queste domande? La legge del 1990, certo, è stata ed è ancora un faro, ma bisogna aiutarla e integrarla e aggiornarla, perché riprenda vigore, energia, capacità di reazione a un mondo, umano e artificiale, che cambia. Perché c’è il rischio che a rimetterci sia il fattore umano della convivenza sociale. Per questo realizzare la privacy nella P.A. è così importante.

Peraltro le realtà pubbliche sono frammentate ed eterogenee: vanno dal comune con qualche decina di abitanti all’elefantiaco ministero con sedi centrali e periferiche, ramificate su tutto il territorio e, magari, in stabile collegamento funzionale con omologhe autorità estere ed internazionali.

La formula preannunciata della differenziazione delle regole della protezione dei dati in base al dato dimensionale (ad esempio per le piccole e medie imprese) è una delle tecniche da seguire anche per il settore pubblico. L’obiettivo è adeguare il modo di applicare le regole dell’accountability, che deve rimanere altissima, con la multiforme sfaccettature delle realtà pubbliche, agendo con strumenti, come provvedimenti generali (legislativi e amministrativi), che scrivano regole omogenee, in grado di fermare la spirale viziosa del confuso e sviato fai-da-te.”

Fonte: www.federprivacy.org