Lotta al Coronavirus, smart working, e-governement e intercettazioni: la posizione del Garante della privacy

La consueta relazione annuale sulle attività intraprese per la protezione dei dati personali ha assunto per il 2020 un significato ancora più profondo ed importante, fornendo al Garante della Privacy, Antonello Soro, l’occasione per illustrare, durante la tradizionale audizione presso la Camera dei Deputati, la propria posizione su alcune tematiche di fondamentale importanza, quali il contrasto al Coronavirus, il processo di digitalizzazione dell’apparato statale, lo “smart-working” e l’utilizzo delle intercettazioni.
In particolare, il Presidente dell’Autorità (il cui discorso è consultabile al seguente indirizzo: https://www.garanteprivacy.it/documents/10160/0/Relazione+annuale+2019+-+Discorso+del+Presidente.pdf/439214a5-e869-f7fc-68b7-e2d4c18334d7?version=1.0), prima di soffermarsi sulla descrizione di quanto realizzato nell’ultimo anno, ha sottolineato con forza il ruolo catalizzatore assunto dall’epidemia che, di fatto, «ha profondamente mutato l’allocazione dei poteri e le loro reciproche relazioni, non solo riarticolando l’equilibrio tra centro e periferia, politica e tecnocrazia, normazione e amministrazione, ma anche tracciando nuove coordinate del rapporto della nostra vita con il digitale e rendendone più urgente l’esigenza regolatoria, anche sotto il profilo della sostenibilità di sempre più incisivi poteri privati».

Ripensare lo smart working
In tale contesto un primo, fondamentale tema di attenzione è rappresentato dallo smart-working che, secondo il Garante, si è rivelato un valido strumento per gestire l’emergenza ma deve necessariamente essere rivisto, rimodulato ed opportunamente normato per divenire una forma diffusa, effettivamente alternativa, di organizzazione del lavoro.
Secondo quanto si legge nel discorso ufficiale, in estrema sintesi, dovranno essere seriamente affrontati e risolti tutti i problemi emersi in questi mesi che possono, a titolo esemplificativo, essere ricondotti alle dotazioni strumentali, alla garanzia di connettività, alla sicurezza delle piattaforme, all’effettività del ‘diritto alla disconnessione’, la cui assenza rischia di vanificare la necessaria distinzione tra spazi di vita privata e attività lavorativa, annullando, in tal modo, alcune tra le più antiche conquiste raggiunte per il lavoro tradizionale.
Particolarmente degno di attenzione è, invero, il passaggio connesso alla necessità di tutelare alcuni diritti imprescindibili, già in passato oggetto di diversi richiami da parte dell’Autorità: «Il ricorso intensivo alle nuove tecnologie – si legge nella trascrizione del discorso - per rendere la prestazione lavorativa non deve rappresentare l’occasione per il monitoraggio sistematico e ubiquitario del lavoratore, ma deve avvenire nel pieno rispetto delle garanzie sancite dallo Statuto a tutela dell’autodeterminazione, che presuppone anzitutto un’adeguata formazione e informazione del lavoratore».

Il contact tracing ed i test sierologici
Il Garante ha voluto, inoltre, ribadire la propria posizione sul cosiddetto Contact Tracing, che si trova, tra l’altro, alla base dell’applicazione “Immuni”, sottolineando ancora una volta l’importanza ed il valore dei principi di proporzionalità, necessità ed adeguatezza, cui devono necessariamente conformarsi le ‘scelte limitative dei diritti fondamentali’ e ricordando l’imprescindibile necessità di minimizzare l’impatto sulla persona e la sua vita privata, pur garantendo l’attendibilità e l’efficacia dei risultati.
Analogo bilanciamento tra esigenze di sanità pubblica e tutela individuale deve essere perseguito, a parere dell’Autorità, in relazione ai test sierologici ed, in linea generale, a tutte quelle misure di lotta al Covid-19 che devono essere implementate in maniera pianificata, organica, consapevole e strutturata, senza cedere al rischio di affidarsi completamente e senza alcun filtro alle tecnologie ed alle soluzioni digitali.

La necessità di un Cloud pubblico efficiente e sicuro
Il discorso del Garante, inoltre, affronta con estrema incisività un ulteriore tema di grande attualità come quello connesso alla graduale delocalizzazione, fortemente ‘sponsorizzata’ dal Piano Triennale per l’Informatica nella Pubblica amministrazione 2019 - 2021, verso il cloud di attività e servizi pubblici estremamente importanti ma anche potenzialmente critici sotto il profilo della privacy e della protezione dei dati personali.  
In tale contesto, Soro rimarca la necessità di investire in un’infrastruttura pubblica che sia dotata di stringenti requisiti di protezione e possa, pertanto, divenire il collettore ideale nel quale riversare con adeguata sicurezza dati di estrema importanza per i cittadini e per l’organizzazione dello Stato.
Considerando che le tecnologie digitali sono ormai divenute, anche per l’effetto dirompente della pandemia, la principale infrastruttura di ciascun Paese, assicurarne una regolazione sostenibile e adeguata, tale da garantire sicurezza, indipendenza dai poteri privati, soggezione alla giurisdizione interna, deve diventare, secondo il Garante, un obiettivo strategico non più eludibile né rimandabile.

L’uso dei ‘trojan’ nelle intercettazioni
Il Garante, inoltre, ha voluto chiarire, con estrema decisione, la propria posizione in merito all’utilizzo delle intercettazioni, anche in riferimento alle recenti vicende che hanno coinvolto una parte di Magistratura: secondo l’Autorità, in particolare, le straordinarie potenzialità intrusive derivanti da tecniche investigative basate sui ‘trojan’ (ossia su software ‘spia’ installati nei dispositivi dei soggetti sotto indagine) non sono compatibili con un utilizzo generalizzato ed incontrollato che, tra l’altro, è stato recentemente oggetto di censura da parte della Corte costituzionale tedesca.
Secondo il Garante il «generale diritto alla libertà del cittadino nei confronti dello Stato» deve essere considerato come il parametro essenziale da osservare nella disciplina di strumenti investigativi chiamati a garantire tutti i diritti dei soggetti interessati, secondo quanto richiesto dalla normativa costituzionale e comunitaria.
In questo senso, Soro ritiene indifferibile una revisione organica della disciplina della conservazione dei dati di traffico, i cui termini, oggi fissati a sei anni, appaiono difficilmente compatibili con la necessaria proporzionalità delle limitazioni della privacy rispetto alle esigenze investigative, come recentemente confermato dalla Corte di giustizia nella declaratoria di illegittimità della direttiva 2006/24/CE riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione.