INTERVISTA ESCLUSIVA A FRANCESCO PIZZETTI, Presidente dell’Autorità Garante per la protezione dei dati personali

(Foto dal sito www.quirinale.it della Presidenza della Repubblica)

La proposta di nuovo Regolamento presentata dalla Commissione europea nel gennaio di quest’anno, che andrà a sostituire la Direttiva europea in materia di privacy, introdurrà significative novità nella protezione dei dati, proprio soprattutto rispetto al mondo on line e delle nuove tecnologie di comunicazione elettronica. Essendo un Regolamento, una volta approvato, sarà immediatamente esecutivo e darà uniformità alla legislazione dei Paesi membri dell’Ue. Certo, poi è importante che la nuova fase della protezione dei dati della Unione europea si inserisca in un contesto globale più ampio e si trovi un accordo anche con gli Stati Uniti.

Quanto è importante la protezione dei dati sulla Rete?

La questione della protezione dei dati on line e sui cellulari di nuova generazione, i cosiddetti smartphone, è particolarmente importante, direi cruciale. In generale, quando si parla di dati da proteggere sulla rete si pensa subito alla conoscenza e all’uso dei dati di tipo finanziario e bancario. Ma è bene ricordare che qualunque informazione è di per sé un bene, che ha un valore, tanto che la stragrande maggioranza delle attività che le multinazionali svolgono in rete ha il suo riscontro economico nell’acquisizione di informazioni e poi nel loro trattamento e nel loro uso. Nella sostanza, ad di là del ritorno economico che deriva dalla vendita di sistemi operativi, piattaforme o apparati, una parte significativa del ritorno economico deriva dall’uso delle informazioni personali e nel trattamento che di queste informazioni si fa. Tutte le informazioni hanno un valore, non solo quelle bancarie. Non è il valore del singolo dato, ma il valore che deriva dal trattamento massiccio di queste informazioni. L’uso dei dati personali consente una conoscenza più profonda della società, dei comportamenti, dei gusti, delle scelte di vita, che può portare, e in molti casi anche automaticamente, a costruire profili mirati e minuziosi del singolo cittadino che usa la Rete. C’è un valore strategico, un valore commerciale, un valore imprenditoriale dei dati.

Quali sono i vincoli di segretezza relativi alle notizie fornite dal cittadino alle banche, alle società telefoniche, alle società dei servizi, alle strutture della grande distribuzione sia direttamente che indirettamente attraverso la rilevazione dei consumi e la loro fidelizzazione?

I vincoli sono quelli imposti dalla normativa. Le società private devono innanzitutto informare dettagliatamente i clienti dell’uso che verrà fatto dei loro dati personali e ottenere un consenso preventivo. Le imprese in qualunque settore operino devono utilizzare i dati che raccolgono esclusivamente per gli scopi che perseguono, devono proteggere questi dati con misure di sicurezza adeguate per evitare perdite, distruzioni, accessi abusivi, e non devono cederli a terzi senza il consenso degli interessati. Per il settore bancario, in particolare, il Garante ha fissato regole rigorose con un provvedimento dello scorso anno in cui stabilisce che tutte le operazioni effettuate sui dati dei clienti da parte del personale degli istituti bancari deve essere tracciata. Per i gestori telefonici e le società che offrono servizi di comunicazione elettronica abbiamo dettato regole riguardanti le misure di sicurezza da adottare e i tempi di conservazione dei dati, anche quelli di navigazione su Internet. Nel caso delle carte di fidelizzazione, offerte dalla grande distribuzione, il Garante ha fissato le regole fin dal 2005 spiegando che ai clienti va richiesto uno specifico consenso se i dati vengono utilizzati anche per scopi di profilazione dei loro gusti e delle loro scelte di consumo.

Come si realizza l’attività di ispezione e controllo da parte del Garante ed il suo potere di intervento sanzionatorio?

Il Garante ha un suo Dipartimento ispettivo che si avvale anche della collaborazione su tutto il territorio nazionale delle Unità Speciali della Guardia di Finanza – Nucleo Privacy. Ogni semestre il Dipartimento predispone un piano di accertamenti che riguarda sia il settore pubblico che il settore privato. L’Autorità ha un suo potere sanzionatorio che esercita con grande decisione: nel 2011 le somme riscosse a fronte dei procedimenti sanzionatori avviati sono state di oltre 3 milioni di euro, in gran parte relative a violazioni nel settore del telemarketing.

Come tutelate l’uso scorretto dei dati dei cittadini?

L’Autorità interviene su ricorso, su reclamo e su segnalazione dei cittadini, ma anche d’ufficio. I risultati sulla sua attività sono presentati e documentati annualmente al Parlamento nella Relazione annuale. Nella Relazione sono riportati dati statistici molto significativi che rendono chiaro il vasto ambito di intervento dell’Autorità e il lavoro svolto a tutela dei dati personali in tutti i settori, dalla sanità al lavoro, dalla giustizia al marketing, da Internet, al credito al consumo, dalle tlc alla Pa. Pur avendo un organico composto da poco più di 100 persone e risorse economiche non adeguate posso dire sinceramente che l’Autorità sta assolvendo con grande impegno al suo compito. Quello che tengo, in modo particolare, a sottolineare è che l’Autorità svolge un ruolo importante nella tutela dei diritti di privacy non solo del singolo cittadino, ma dell’intera collettività, essendo ormai divenuto chiaro a tutti che la protezione dei dati personali, la difesa dall’uso illecito dei dati sia nel mondo fisico che nel mondo di Internet, è un elemento fondamentale per la stessa vita democratica di un Paese: noi siamo “esperti di dati”, come uso ripetere, e come tali è nostro compito aiutare con le nostre competenze la società a affrontare i cambiamenti, anche tecnologici, nel rispetto delle libertà dei cittadini. Il nostro ruolo sta diventando sempre più un ruolo di regolazione, per prevenire possibili violazioni, e di formazione ed informazione dei cittadini sui loro diritti e su come esercitarli.

Quali sono i limiti cui è tenuta la Agenzia delle Entrate nell’accesso e nell’utilizzo dei dati rilevati dai conti correnti, depositi e operazioni bancarie effettuate dal cittadino, e quali garanzie di segretezza l’Agenzia deve rispettare?

Ci tengo innanzitutto a dire che il Garante non mette in discussione l’esigenza dell’Agenzia delle entrate di disporre delle informazioni necessarie per il contrasto all’evasione fiscale, ma considerati l’ingente flusso di dati che le banche dovranno comunicare e la loro concentrazione presso un unico soggetto l’Autorità ha ritenuto indispensabile chiedere all’Agenzia misure di sicurezza tecniche e organizzative particolarmente rigorose, sia per la trasmissione dei dati che per la conservazione. L’Agenzia dovrà adottare meccanismi di cifratura durante tutti i passaggi interni, dovrà limitare l’accesso ai file ad un numero ristretto di incaricati e aggiornare costantemente i sistemi operativi e i software antivirus e antintrusione. All’Agenzia è stato chiesto inoltre di predisporre dei canali tematici adeguati alla comunicazione di una mole così elevata di dati, cercando di privilegiare l’interconnessione diretta con i sistemi informatici delle banche e degli istituti finanziari. I dati potranno essere conservati solo per tempi stabiliti, e una volta scaduti, dovranno essere cancellati automaticamente.

Quali sono i limiti dell’accesso dei Comuni alla informazioni assunte dalla Agenzia delle Entrate presso le istituzioni bancarie con riguardo alla lotta alla evasione fiscale?

I Comuni non possono accedere alle informazioni sui conti correnti bancari dei cittadini presenti nelle banche dati dell’Agenzia. Per legge, già dalla fine degli anni 70, possono consultare alcuni dati, come quelli delle dichiarazioni dei redditi, del catasto, delle utenze idriche, elettriche e del gas. Per quanto riguarda invece la partecipazione diretta dei Comuni all’accertamento fiscale e contributivo, il Garante ha richiesto l’adozione di severe misure tecniche e organizzative a protezione dei dati e l’integrazione dello schema di provvedimento, che ci è stato recentemente sottoposto, con la definizione delle modalità di accesso alle banche dati dell’Agenzia del territorio e dell’Inps.

Quali sono le modalità di segretezza cui sono tenute le istituzioni e strutture sanitarie ospedali, cliniche, medici sugli elementi relativi alla salute del cittadino e la loro utilizzazione nell’interesse nazionale? L’accesso ai dati sanitari è consentito senza limitazioni alle strutture industriali e commerciali del settore?

I dati sulla salute sono informazioni particolarmente delicate, che la normativa definisce appunto “sensibili” e ai quali garantisce una tutela rafforzata. In particolare i dati sulla salute non possono essere mai diffusi e possono essere trattati a fini di cura solo con il consenso informato e specifico del paziente. Le attività di ricerca scientifica possono essere effettuate o in forma anonima o con il consenso dell’interessato. Le strutture sanitarie devono inoltre adottare specifiche misure a garanzia della riservatezza e della dignità dei pazienti durante tutto il percorso di cura. I trattamenti effettuati dalle strutture sanitarie per finalità amministrative devono invece rispettare le specifiche garanzie individuate con l’accordo dell’Autorità. Le strutture sanitarie private e le imprese che operano in campo sanitario possono trattare i dati sulla salute dei cittadini solo con il loro consenso nel rispetto dell’autorizzazione generale rilasciata dal Garante. Il trattamento dei dati sulla salute impone sempre il rispetto di rigide misure di sicurezza.

Quali sono i limiti per la ricerca del dna da parte del cittadino nei riguardi dei consanguinei e di terzi?

Il principio guida è la raccolta del consenso. Per i trattamenti di dati effettuati mediante test genetici deve essere acquisito il consenso informato di coloro a cui viene prelevato il materiale biologico da analizzare. Per le informazioni relative ai nascituri il consenso valido è prestato dalla gestante. Nel caso in cui il trattamento effettuato mediante test prenatale possa rivelare anche dati genetici relativi alla futura insorgenza di una patologia del padre, si acquisisce previamente anche il suo consenso. Gli esiti dei test genetici, possono essere comunicati anche ai consanguinei, qualora comportino anche per loro un beneficio concreto e diretto in termini di terapia, prevenzione o consapevolezza delle scelte riproduttive. E’ bene ricordare in generale i dati genetici non possono essere comunicati e i campioni biologici non possono essere messi a disposizione di terzi salvo che sia indispensabile per il perseguimento delle finalità indicate dalla autorizzazione rilasciata dal Garante nel 2011: tutela della salute dell’interessato, ricerca scientifica e statistica, per lo svolgimento delle investigazioni difensive o per difendere o far valere un diritto in sede giudiziaria.

Agenda digitale, sanità elettronica e altro: verso dove andremo?

Più che “dove andremo”, dove siamo. E cioè, già immersi in una società che si sviluppa, comunica, cresce su flussi di dati, non solo personali. Dove la realtà fisica e la realtà virtuale sono ormai interscambiabili. Ormai la Rete è il sistema nervoso del pianeta ed è importante che il nostro Paese si doti in fretta di infrastrutture adeguate. L’agenda digitale, in particolare, è una priorità per la quale stiamo tuttavia accumulando gravi ritardi. Ritardo che tocca anche, purtroppo, la sanità elettronica. Ma sottolineo che tanto più il nostro Paese si digitalizzerà, tanto più sarà indispensabile che si adottino forti misure di sicurezza a protezione dei dati e che la tutela della privacy venga considerata come un elemento fondamentale per governare in maniera corretta i cambiamenti tecnologici.

Traduzione a cura di Massimo Micheli

BIOGRAFIA
   Francesco Pizzetti è nato ad Alessandria il 21 novembre 1946.

Presidente dell’Autorità Garante dal 18 aprile 2005.
É ordinario di diritto costituzionale all’Università di Torino dal 1980. Ha insegnato per 8 anni all’Università di Urbino. Pro Rettore dell’Università di Torino dal 1984 al 1987. Vice sindaco di Torino dal 1990 al 1993 nella giunta Zanone.
É stato consigliere costituzionale del Presidente del Consiglio Giovanni Goria nel 1987 e del Presidente del Consiglio Romano Prodi dal 1996 al 1998. Contemporaneamente ha ricoperto il ruolo di segretario della Conferenza Stato-Città Autonomie locali, istituita presso la Presidenza del Consiglio dei ministri.
É stato consigliere giuridico del Ministro della Funzione Pubblica Franco Bassanini.
Direttore della Scuola Superiore della Pubblica amministrazione dal 1998 al 2001.
Membro del Consiglio di Presidenza della Giustizia Amministrativa dal 2000 al 2004.
Dal 1998 è presidente della Commissione consultiva per le intese con le confessioni religiose, istituita presso la Presidenza del Consiglio dei Ministri.
Si è occupato di riforme istituzionali, diritto regionale e ordinamenti federativi.
Ha scritto più di un centinaio tra saggi e articoli scientifici in materia di diritto costituzionale, italiano e comparato, diritto regionale e diritto pubblico.
Tra le sue opere si segnalano, in particolare, i volumi "Rilevanza e non manifesta infondatezza nel giudizio in via incidentale", in collaborazione con G. Zagrebelski (Milano, 1972), "Rigidità e garantismo nella costituzione spagnola" (Casale 1979) e, tra i lavori più recenti, "Federalismo, regionalismo e riforma dello Stato" (1° ediz. Torino, 1996 e 2° ediz. Torino 1998), "Il nuovo ordinamento italiano tra riforme amministrative e riforme costituzionali" (Torino, 2001), "L’ordinamento costituzionale italiano tra riforme da attuare e riforme da completare" (Torino 2003).