“Qualche volta il senso comune cozza con la ragione giuridica. In questo caso il senso comune sembra aver dalla sua buoni argomenti. La filosofia di fondo di questo provvedimento non mi convince appieno: mi pare che si insista in maniera troppo unilaterale sui doveri di rispetto delle regole nel trattamento dei dati con l’effetto di impedire a un ente pubblico di svolgere la sua azione di controllo antifrode“. Giorgio Resta, ordinario di Diritto privato comparato all’Università di Roma3, è un esperto in materia di leggi sulla privacy. E ha molte perplessità sulla decisione del Garante per la protezione dei dati personali, che ha multato l’Inps per l’incrocio dei dati grazie al quale sono stati individuati i politici beneficiari del bonus 600 euro pensato per le partite Iva in difficoltà a causa del Covid.
Professore, l’authority afferma che l’istituto ha violato il Regolamento Ue sulla privacy.
Il professor Rodotà fin dagli anni Settanta ci ha insegnato che la privacy deve contrarsi quando in discussione ci sono dati reddituali che sono strumento di controllo sociale sull’uso delle risorse pubbliche e sull’attività politica. E che spesso dietro la privacy si nascondono i privilegi di classi sociali o di singoli soggetti. È una questione di bilanciamento. Qui si è usata la mano pesante su un’azione che non era finalizzata a diffondere dati al pubblico, ma a usare dati degli archivi pubblici imposti dalla legge (come quelli relativi alla situazione reddituale degli amministratori pubblici) per fare attività ispettiva.
Nel merito, come valuta le contestazioni sulle presunte falle nella protezione dei dati personali dei 5 deputati e 2mila amministratori locali coinvolti?
Non ho visto l’istruttoria e gli atti, ma credo che al di là delle tecnicalità quello che conta in questo caso sia la logica sottesa alla decisione. E la logica cozza con la filosofia di fondo a cui facevo riferimento prima. Si sono utilizzati principi aperti e ad ampia discrezionalità interpretativa – come quello della “privacy by design” e “by default”, della correttezza e della minimizzazione dei dati trattati – per sindacare l’assenza di misure tecnico-organizzative atte a circoscrivere la portata dei controlli e renderli più mirati, ma così facendo si complica la possibilità di incrociare i dati in possesso dell’ente con quelli pubblici e liberamente accessibili. Il rischio è che, in ragione del rispetto della privacy, si finisca per precludere all’amministrazione la possibilità di utilizzare i dati, in particolare, quelli reddituali, per esercitare i compiti di interesse pubblico a cui è chiamata e che le tecnologie digitali possono effettivamente agevolare.
Il rischio è di bloccare i controlli antifrode?
Sì, anche se parliamo di controlli con strumenti che non paiono qui particolarmente invasivi: l’Inps ha utilizzato dati presenti in formato aperto sul web e rispetto ai quali peraltro l’aspettativa di privacy è ridotta essendo relativi a soggetti che hanno una funzione pubblica. Ho dei dubbi anche sull’obiezione che le ricerche sono state fatte prima che fosse chiaro se politici e amministratori locali avessero diritto, in base alla legge, a prendere il bonus. La questione era giuridicamente molto complessa: il legislatore in emergenza ha scritto male la norma che non permetteva di differenziare le categorie di percettori. Il ministero del Lavoro ha poi chiarito che gli emolumenti sono parificati a reddito da lavoro dipendente, per cui deputati e titolari di cariche in amministrazioni locali non potevano chiedere l’indennità. Su questo si può discutere. Ma in ogni caso da parte dell’Inps è corretto fare i controlli anti frode dopo l’erogazione.
Un’altra contestazione riguarda il trattamento anche dei dati dei politici che avevano chiesto l’indennità ma la cui domanda era stata rigettata.
Questa la condivido, in questo caso è stato oltrepassato il principio di minimizzazione dei dati.
Che effetto ha la decisione sulle richieste di accesso agli atti, come quella presentata dal fattoquotidiano.it per conoscere i nomi dei titolari di incarichi pubblici che hanno ottenuto l’indennità?
Il provvedimento distingue tra chi l’ha chiesta ma non l’ha ottenuta e coloro che invece l’hanno ricevuta. Nel primo caso il garante impone di cancellare i dati, che non possono essere utilizzati né diffusi. Ma, seguendo la linea iniziale del mio ragionamento, si può nutrire qualche dubbio: c’è un interesse pubblico a conoscere e divulgare quei nomi e l’illiceità sopravvenuta non dovrebbe avere effetti sulla possibilità di ottenerli con un accesso civico. Nel secondo caso ora è l’Inps a dover effettuare, in sede di accesso civico generalizzato, il bilanciamento tra diritto alla privacy e trasparenza. Tenendo conto del fatto che la funzione pubblica esercitata da queste persone richiede una trasparenza maggiore e legittima un controllo politico: tanto più che, se parliamo dei deputati, con il loro voto potrebbero aver contribuito all’approvazione della norma.
