- Il Garante privacy ha espresso un parere negativo sullo schema di dpcm relativo alla raccolta firme online per proposte di legge d’iniziativa popolare e referendum. Le criticità emerse sono tante e tali da rendere il provvedimento inidoneo a regolare tali istituti di democrazia diretta.
- Nella raccolta di firme, il dpcm prevede l’intervento di un soggetto ulteriore rispetto a quelli indicati dalla legge: il gestore della piattaforma, ossia una persona giuridica oggi indeterminata, che andrà individuata dalla presidenza del Consiglio, che pure dovrebbe restare estranea al processo.
- Qualcuno reputa che la privacy, e il Garante, sia un ostacolo all’azione pubblica. Ma l’ostacolo è creato da chi elabora norme prive delle tutele necessarie, complicandone l’approvazione. Una raccolta di firme online senza garanzie idonee non rafforza diritti e libertà, bensì li affievolisce, a causa dei maggiori rischi connessi al loro esercizio.
Con un parere reso pubblico nei giorni scorsi, il Garante per la protezione dei dati personali si è espresso negativamente sullo schema di dpcm relativo alla raccolta firme online per proposte di legge d’iniziativa popolare e referendum. Le criticità emerse sono tante e tali da rendere il provvedimento inidoneo a regolare i citati istituti di democrazia diretta. Criticità che richiedono una «profonda rivisitazione» della bozza di decreto, al fine di scongiurare il rischio che si verifichino trattamenti di dati personali non conformi alla legge.
Il governo e la privacy
Non è la prima volta che l’attuale governo dimostra scarsa attenzione al tema della privacy. Ad esempio, circa un anno fa il garante, con un “avvertimento formale” all’esecutivo, chiese a quest’ultimo «un intervento urgente a tutela dei diritti e delle libertà delle persone», perché la disciplina sul green pass – elaborata, peraltro, senza interpellare il Garante stesso - era in contrasto con quanto previsto dal Regolamento europeo in materia di protezione dei dati personali (Gdpr).
Nel giugno scorso, poi, il Garante condizionò alla soluzione di una serie di criticità il proprio parere favorevole a un dpcm sempre in tema di certificazione verde. Questi e altri interventi hanno portato taluni a reputare che la privacy fosse una “fisima”, e comunque un ostacolo per l’esecutivo pro tempore.
E, forse non a caso, nell’ottobre 2021, con il cosiddetto decreto Capienze, il Governo ha modificato la normativa in tema di trattamento dei dati personali, limitando i poteri del Garante e riducendo le tutele per la privacy.
Anche per l’elaborazione della legge che ha previsto l’istituzione della piattaforma per la raccolta di firme online (n. 178/2020) il governo avrebbe dovuto coinvolgere l’Autorità, ai sensi del Gdpr.
Ciò avrebbe consentito all’Autorità stessa di indicare modalità e garanzie per i diritti degli interessati già dalla progettazione della norma primaria, e si sarebbero così evitate alcune delle attuali criticità. Ma l’esecutivo dell’epoca non chiese il parere del Garante.
L’associazione Luca Coscioni
Il primo passo per la definizione normativa della raccolta di firme online risale al giugno scorso. In un incontro con una delegazione dell’associazione Luca Coscioni, il ministro per l’Innovazione tecnologica e la transizione digitale, Vittorio Colao, si impegnò a far sì che entro il 1° gennaio 2022 fosse «sviluppata, testata e rilasciata una piattaforma» al fine di «sottoscrivere le proposte referendarie, previo accesso remoto sicuro mediante Spid o Cie, con la contestuale validazione temporale delle sottoscrizioni».
La piattaforma per la raccolta delle firme online per referendum e iniziative legislative popolari riveste un’importanza particolare. Essa è stata prevista a beneficio delle persone in condizione di disabilità, allo scopo «di contribuire a rimuovere gli ostacoli che [ne] impediscono la piena inclusione sociale [...] e di garantire loro il diritto alla partecipazione democratica» a istituti di democrazia diretta.
Pertanto, non ci si aspettava che il decreto teso a disciplinarla fosse predisposto in modo così difforme dalla disciplina in materia di protezione dei dati personali da inficiarne le disposizioni. L’associazione ha chiesto che i rilievi mossi dal Garante della privacy relativi alla proposta siano affrontati e risolti quanto prima, «per garantire la riservatezza dei dati personali di chi firma».
Le criticità del dpcm
Secondo il quadro delineato dalla Costituzione e dalla legge «sui referendum previsti dalla Costituzione e sulla iniziativa legislativa del popolo» (legge 352 del 1970), il trattamento dei dati dei sottoscrittori compete a specifici soggetti: tra gli altri, i promotori, quali «titolari di funzioni pubbliche costituzionalmente rilevanti e garantite», e l’ufficio centrale per il referendum presso la Corte di Cassazione, che esercita funzioni giurisdizionali, «espressione massima di terzietà e indipendenza».
Lo schema di decreto, invece, prevede l’intervento di un altro soggetto: il gestore della piattaforma, ossia una persona giuridica, al momento del tutto indeterminata, che andrà individuata dalla presidenza del Consiglio, la quale pure dovrebbe restare estranea al processo. Si pone un problema sul piano costituzionale, prima ancora che su quello dei dati personali.
«La frammentazione e l’alterazione di ruoli e responsabilità risultante dall’introduzione della piattaforma e dalla previsione di ulteriori soggetti legittimati a trattare i dati personali dei sottoscrittori delle proposte» - scrive il Garante - «solleva notevoli perplessità sulla compatibilità rispetto al sistema di garanzie posto a presidio dei diritti di partecipazione alla vita democratica del paese, potendo incidere negativamente sui diritti e sulle libertà costituzionalmente riconosciuti sia ai promotori sia ai sottoscrittori delle proposte di referendum e di legge, ma anche, più in generale, a tutti i cittadini, in relazione al corretto funzionamento di tali istituti».
Peraltro, si andrebbe a incidere su un processo di rilevanza costituzionale per il tramite di un dpcm, atto amministrativo.
La privacy non è un ostacolo
Un ulteriore problema riguarda l’attribuzione al suddetto e non identificato gestore non solo dell’intero sviluppo tecnologico dell’infrastruttura, ma anche della definizione dei relativi aspetti tecnici mediante un manuale operativo, che tuttavia è sottratto all’esame del Garante e del ministero della Giustizia.
Ciò - scrive l’Autorità per la privacy - «non offre adeguate garanzie di protezione dei dati personali riguardo a profili essenziali del funzionamento della piattaforma», ed è tanto più grave in quanto i dati dei sottoscrittori di una proposta di referendum o di progetto di legge sono in grado di rivelarne le opinioni o la posizione politica, quindi rientrano nell’ambito delle particolari categorie di dati per i quali il regolamento europeo prevede rigorose tutele.
I rilievi del Garante allo schema di dpcm sono molti altri, oltre a quelli esposti: dalla durata sproporzionata della conservazione dei dati alla mancanza di una valutazione di impatto, considerati i rischi per i diritti e le libertà degli interessati.
Qualcuno continua a rappresentare la privacy, e il Garante, come un ostacolo all’azione pubblica. Ma consentire la raccolta delle firme da remoto, senza le garanzie idonee a tutelare chi firma, non rafforza i diritti e le libertà delle persone, assicurando loro una maggiore inclusione, bensì li affievolisce, a causa dei maggiori rischi connessi a tale esercizio.
Sarebbe, invece, corretto dire che gli ostacoli li crea chi dovrebbe garantire i diritti fondamentali dell’individuo, tra i quali quello al trattamento dei dati personali in conformità alla relativa disciplina, ma elabora provvedimenti normativi privi delle tutele necessarie, complicandone l’approvazione. Insomma, la privacy sembra ormai un alibi con cui giustificare ritardi o mancanze del legislatore. E a rimetterci sono solo i cittadini.
© Riproduzione riservata