Tecnologia

Privacy, il regalo di Natale per i big del digitale? I dati sensibili degli italiani

Quest’anno il nostro legislatore ha superato sé stesso per magnanimità. Il regalo di Natale per le multinazionali dell’Information Technology è piuttosto prezioso. Peccato però che a pagare il prezzo di siano i cittadini e il loro diritto alla protezione dei dati personali, addirittura quelli più sensibili, i dati sanitari.

Nella Legge europea 2017 viene infatti introdotto l’art. 110-bis al Codice per la protezione dei dati personali che prevede la possibilità, per scopi statistici e di ricerca scientifica, di riutilizzo dei dati personali, anche sensibili (ad esclusione di quelli genetici), a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati a tutela degli interessati, previa autorizzazione del Garante. 

Questa norma è solo apparentemente dedicata a favorire la ricerca scientifica (perché  vengono paradossalmente esclusi da tale possibilità proprio i dati di  maggiore rilevanza per gli studiosi, ovvero quelli genetici) e a uno sguardo più attento risulta di fatto avallare l’accordo – su cui l’Autorità garante per la privacy ha già aperto un’inchiesta – tra il governo Renzi e Ibm per l’utilizzo dei dati sanitari dei cittadini italiani in cambio dell’apertura a Milano del centro Watson Health.

L’emanazione di questa legge, della cui paternità si è particolarmente curiosi (in quanto si ignorano i suoi zelanti autori) è peraltro inspiegabile con la necessità di adeguamento al nuovo Regolamento UE 679/2016 perché l’armonizzazione delle norme di quest’ultimo con il Codice privacy era prevista da altra legge (la legge delega 163/2017) che assegnava ben 6 mesi di tempo per operare tale adeguamento. Insomma il solito pasticcio all’italiana. E nel merito questa norma – nella sua formulazione oscura e generica tale da determinare un ventaglio interpretativo decisamente ampio per una materia così delicata – dimentica di citare proprio i diritti fondamentali dell’individuo che costituiscono per il Regolamento UE il presupposto di qualsiasi cessione senza consenso di dati sensibili per scopi scientifici.

In effetti, tali disposizioni – scritte in fretta e imprecise – possono generare una pericolosa confusione: che senso ha infatti prevedere l’autorizzazione del Garante se i dati devono essere previamente anonimizzati e quindi non sono più riconducibili ai singoli interessati? E a chi spetta l’anonimizzazione di tali dati sensibili e in che punto del processo di riutilizzo deve essere effettuata? Prima o dopo rispetto all’autorizzazione del Garante? E sotto la responsabilità della struttura cedente (magari un’azienda sanitaria) o della multinazionale IT che li riceve? E perché i dati genetici sono stati esclusi da tale norma se sono altrettanto utili per esigenze scientifiche? Credo che i cittadini meritino un po’ di risposte trasparenti su questioni delicatissime che li riguardano. E non si può non avere la spiacevole sensazione che questa preventiva autorizzazione del Garante sia finalizzata più che altro a deresponsabilizzare i colossi IT da eventuali e successive violazioni ai danni degli interessati.

Ormai siamo tutti diventati “cittadini di vetro” (come sosteneva in passato Stefano Rodotà), sia per i dati che cediamo nell’uso privato della tecnologia, sia per quelli detenuti dai vari apparati dello Stato (dove ormai un unico fornitore pubblico detiene i nostri dati fiscali e sanitari). Ma credo che questa separazione tra profilazione pervasiva (spesso inconsapevole) dei grandi cloud provider nei nostri confronti e la profilazione di Stato gestita (si spera) con adeguate garanzie sia necessaria e da preservare come unico baluardo di difesa del nostro Stato democratico, cercando così di obbligare anche le grandi multinazionali IT a rendere trasparenti le loro politiche di profilazione che sono troppo spesso striscianti e fuori controllo.

Purtroppo, però, leggendo i Piani nazionali di centralizzazione del Commissario Straordinario del digitale, Diego Piacentini, l’ombra del conflitto di interessi diventa sempre più inquietante. L’avergli affidato un ruolo cruciale in Italia (la nomina in effetti è gratuita, ma lo stesso mantiene ben salda la sua posizione, solo sospesa, di Vice Presidente di Amazon) sinceramente non ci tranquillizza. Non a caso, le politiche di digitalizzazione di questo Paese hanno virato decisamente verso l’adozione massiva di soluzioni cloud.

Ma una cosa – lo ripeto – è favorire una “centralizzazione di Stato” delle politiche digitali, altra cosa è avallare l’idea di un “fritto misto” pubblico-privato, con l’alibi che tutto venga sviluppato gratuitamente dai grandi fornitori IT, anche in caso di dati delicatissimi, come i dati sanitari.

Oggi, dunque, è urgente comprendere se ci si sta dirigendo verso una deriva che veda cedere i dati dei cittadini a beneficio delle grandi sorelle del digitale. Con la complicità del nostro (anonimo) legislatore. Non siamo del resto contro il progresso e può anche starci bene che una Google o Amazon qualsiasi ci svegli la mattina e ci proponga il tipo di colazione più appropriata per il nostro stato di salute. Vogliamo però almeno saperlo con chiarezza.