g-docweb-display Portlet

"Il ruolo della privacy per una PA più semplice". Intervista a Ginevra Cerrina Feroni, Vice Presidente del Garante per la protezione dei dati personali

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

"Il ruolo della privacy per una PA più semplice". Intervista a Ginevra Cerrina Feroni
Intervista a Ginevra Cerrina Feroni, Vice Presidente dell’Autorità Garante per la protezione dei dati personali
(Di Paolo Anastasio, Key4Biz, 13 ottobre 2020)

 

La privacy è un valore, non un ostacolo alla semplificazione della PA e allo sviluppo della competitività. Ne è convinta Ginevra Cerrina Feroni, Vice Presidente dell’Autorità Garante per la protezione dei dati personali, che di questi temi ha discusso in un video talk il 16 settembre con il ministro per la Pubblica amministrazione Fabiana Dadone. Nel corso del dibattito, sono stati toccati inoltre diversi altri argomenti: dall’emergenza socio-economica alla semplificazione della PA. Il “Decreto Semplificazione” e i profili privacy. La protezione dei dati personali e l’adeguamento al GDPR. Infine, la collaborazione interistituzionale, chiave di volta del sistema.

In che modo la privacy può contribuire e non ostacolare alla semplificazione della PA?

In primo luogo, una doverosa premessa è che privacy, semplificazione, sviluppo e competitività non sono affatto concetti fra loro antitetici, bensì complementari. La privacy e la protezione dei dati personali non sono e non devono diventare ostacoli allo sviluppo, ma devono essere – ed essere anche percepiti – come un valore, poiché la competizione non potrà che basarsi sempre più anche sulle migliori tecniche di protezione dei valori costituzionali.

In che modo l’emergenza socio-economica legata alla pandemia ha impattato sul processo di semplificazione della PA?

L’emergenza Covid-19 ha determinato un fortissimo impatto sul tessuto socio economico del nostro Paese. Sfide delicatissime attendono il Governo e le pubbliche amministrazioni che si trovano, da un lato, a gestire le criticità nel breve periodo e la tenuta complessiva del Paese e, dall’altro, a dovere contestualmente elaborare prospettive di sviluppo futuro.

Quali sono le priorità?

È evidente che in un contesto di emergenza socio-economica di tale gravità come quella che stiamo vivendo, la semplificazione normativa e burocratica non è un obiettivo da perseguire nel futuro, ma una necessità urgentissima non più eludibile, da realizzare ora e adesso, oltreché strumento imprescindibile per creare competitività. Sotto tale profilo, il decreto-legge 76/2020, c.d. “Decreto Semplificazione”, è indubbiamente un intervento importante che merita apprezzamento, perché rafforza la digitalizzazione della pubblica amministrazione con l’obiettivo di semplificare le procedure e ridurre gli oneri burocratici a favore della ripresa dell’attività economica dipendente dalla domanda pubblica.

Quali sono i profili privacy del “Decreto Semplificazione”?

Tra i profili specificamente di interesse per l’attività del Garante, merita segnalare soprattutto il Titolo III recante “Misure di semplificazione per il sostegno e la diffusione dell’amministrazione digitale” (artt. 24-37). In questo ambito, si rinvengono diverse disposizioni, molte delle quali modificano e integrano il Codice dell’amministrazione digitale-CAD (d.lgs 82/2005), e che dovranno trovare una loro coerente interpretazione e applicazione al fine di evitare che possano interferire con l’assetto delle garanzie e dei principi in materia di protezione dei dati personali.

Cosa significa?

Si rende necessario che le più condivisibili logiche di semplificazione e modernizzazione digitale del Paese si accompagnino all’effettivo rispetto dei limiti previsti dal regolatore nazionale ed europeo in materia di diritti fondamentali dell’individuo. Mi riferisco, in particolare, alle disposizioni del Decreto che implicano importanti trattamenti di dati personali.

In particolare a cosa si riferisce?

In particolare mi riferisco ai seguenti aspetti:

a) il punto unico di accesso telematico per tutti i servizi erogati in rete da tutte le pubbliche amministrazioni tramite l’APP IO (art. 64-bis del CAD);

b) la piattaforma digitale nazionale dati che si configura quale punto di accesso a tutte le banche dati della pubblica amministrazione, di interesse nazionale (nuovo comma 2-bis all’art. 60 del CAD) e centro di raccolta (ma anche di duplicazione) di tutti i dati “aggregati e anonimizzati” contenuti nelle banche dati pubbliche per una nuova “strategia nazionale dati”.

Altre disposizioni di interesse riguardano:

c) l’identità digitale, il domicilio digitale, l’accesso ai servizi digitali e PEC;

d) i sistemi informativi delle pubbliche amministrazioni e il lavoro agile;

e) la piattaforma unica nazionale informatica di targhe associate a permessi di circolazione dei titolari di contrassegni;

f) le misure di semplificazione in materia anagrafica;

g) la piattaforma per la notificazione digitale degli atti della pubblica amministrazione;

h) il sistema di pagamento elettronico nel settore pubblico;

i) la fatturazione elettronica automatica che dovrà facilitare e automatizzare i processi di certificazione fiscale dei pagamenti elettronici ed altro ancora.

Sarà necessario adeguarsi al Regolamento europeo per garantire la protezione dei dati personali. 

Le soluzioni, anche tecnologiche, individuate nel Decreto comportano importanti interventi che implicano il trattamento di dati personali e l’utilizzo del patrimonio informativo contenuto nelle banche dati delle pubbliche amministrazioni di interesse nazionale. Per tale motivo, si dovrà sempre tener conto delle conseguenze concrete che i trattamenti dei dati personali previsti possono determinare sui diritti e sulle libertà dei cittadini, nel rispetto dei principi codificati nell’art. 5 e 6 del Regolamento europeo 2016/679.

Quali sono questi principi?

Principi che, a mero titolo riepilogativo, sono declinati nei seguenti: liceità del trattamento, intesa come corretta individuazione della base giuridica nell’ambito dell’esecuzione di compiti di interesse pubblico di cui è investito il titolare, nel rispetto di tutte le garanzie previste dall’art. 6 par. 3 lett. b) del Regolamento; finalità, con specifico riguardo al concetto di “determinatezza”, ai sensi del quale le predette finalità devono essere predeterminate, e di “compatibilità” nel caso in cui i dati siano trattati per una finalità diversa da quella per la quale sono stati originariamente raccolti (artt. 5, par.1, lett. b) e 6, par. 4).

E ancora?

Esattezza e minimizzazione in base ai quali il trattamento dei dati deve essere limitato a quanto necessario rispetto alle finalità per le quali sono trattati, evitando la duplicazione di archivi pubblici che può comportare rilevanti rischi in termini di disallineamenti e di sovrapposizioni; integrità e sicurezza del trattamento attraverso la previsione di adeguate misure di sicurezza e la prevenzione di possibili usi fraudolenti (art. 5, par. 1 lett. d e f).

Come si vede, l’impianto regolatorio, con le sue vincolanti prescrizioni, è ampio e articolato e necessita di una forte consapevolezza da parte dei decisori politici nazionali su tutti i nuovi profili della protezione dei dati.

La collaborazione interistituzionale appare come la chiave di volta ineludibile del sistema.

Conciliare in modo coerente semplificazione e protezione dati non è, di certo, operazione semplice o banale. Appare necessaria una collaborazione interistituzionale, concreta e costruttiva, chiave di volta di ogni efficiente sistema di governo, e oggi non più un optional ma condicio sine qua non per la ripartenza del Paese. Ma tale collaborazione per essere efficace deve avvenire a monte, nella c.d. fase “ascendente” di costruzione dei provvedimenti normativi. Il coinvolgimento del Garante nella elaborazione di atti normativi di rango primario e secondario, laddove siano toccati profili di protezione dei dati personali, è del resto espressione di un vero e proprio obbligo normativo espressamente contemplato dal Regolamento europeo in materia di protezione dei dati (art. 36, co. 4, art. 57, co. 1, lett. c) di cui occorre prendere conoscenza.

Che significa concretamente?

Aldilà delle prescrizioni regolamentari, vi sono soprattutto ragioni di opportunità di natura pratica, che consigliano di sciogliere ab origine, cioè fin dalla fase di elaborazione delle norme, eventuali dubbi ed incertezze su nuovi assetti ordinamentali, eliminando in tal modo rischi di incongruenze che potrebbero sorgere in sede applicativa, con tutto il loro nefasto seguito.

Qual è l’auspicio?

L’auspicio è dunque che, diversamente da quanto avvenuto per il Decreto Semplificazione, si possa fin da subito aprire una stagione di dialogo fecondo e costruttivo con il Ministero della Pubblica amministrazione, attraverso, ad esempio, la costituzione di tavoli operativi, in merito alle tante sfide che, sotto il profilo della tutela dei dati personali, riguarderanno le politiche di semplificazione, sviluppo e competitività per il nostro Paese.

Su questa prospettiva, pur nell’ovvio rispetto della distinzione di ruoli, competenze e responsabilità, non mancherà nel settennato che adesso ha inizio, l’impegno e la disponibilità dell’Autorità Garante ad una piena e leale collaborazione col Governo.