Protezione dati e bisogno di riuso: il capitale umano al centro della strategia europea per i dati

Alla luce della pubblicazione della Comunicazione sulla strategia europea in materia di dati, riproponiamo le nostre osservazioni, pubblicate nell’Annual Report presentato a gennaio, in merito al bilanciamento di interessi tra protezione dati e bisogno di riuso.

Come noto, il modello dell’Open Government è fondato su una gestione trasparente dei dati di cui la PA è in possesso, mettendoli a disposizione di ogni cittadino. Ma come viene bilanciato il diritto alla trasparenza con il diritto alla privacy, e come guidare le amministrazioni in questo processo?

La direttiva Europea n. 98 del 2003

L’intuizione dell’importanza, anche economica, di aprire il più possibile al riutilizzo dell’informazione della PA, nasce con la direttiva europea n. 98 del 2003, recepita in Italia per mezzo del decreto legislativo numero 36/2006 (Attuazione della dir. 2003/98/CE relativa al riutilizzo di documenti nel settore pubblico), revisionata in prima battuta nel 2013, e più recentemente dalla direttiva 1024/2019. Il diritto alla trasparenza, che nasce come strumento di tutela del cittadino nei confronti delle amministrazioni, diventa vero e proprio strumento di partecipazione attiva dei cittadini alla res publica, mediante conoscenza e opportunità di riuso del dato.

È lo stesso parametro normativo a dare un’esaustiva definizione di riutilizzo, definendolo come «l’uso del dato di cui è titolare una pubblica amministrazione o un organismo di diritto pubblico, da parte di persone fisiche o giuridiche, a fini commerciali o non commerciali diversi dallo scopo iniziale per il quale il documento che lo rappresenta è stato prodotto nell’ambito dei fini istituzionali».

Recentemente, alla normativa di riferimento per il riuso dei dati, si affianca il Regolamento Europeo 679/2016 (GDPR), che nasce con l’obiettivo di rafforzare la protezione dei dati e garantire la privacy delle persone fisiche, soprattutto alla luce delle potenzialità delle nuove tecnologie (si pensi all’IoT o alla gestione dei data center). A prima vista sembrerebbe che le due normative camminino parallelamente, tutelando due diritti all’apparenza contrapposti: da un lato la totale apertura, dall’altro la riservatezza del dato. Ma è davvero così?

Mitigazione del rischio

Nell’ambito dei dati personali di interesse pubblico, il GDPR, agli articoli 24 e 25, prevede che il titolare, ossia il soggetto che definisce mezzi e finalità del trattamento, metta in atto misure tecniche e organizzative adeguate, come la pseudonimizzazione o la minimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR stesso e tutelare i diritti degli interessati.

Sembra quindi che il titolare, chiamato ad adottare tali misure fin dalla fase di progettazione (cosiddetta privacy by design), sia in o grado di offrire protezione all’interessato e allo stesso tempo garantire mediante la pubblicazione del dato residuo l’interesse collettivo al riutilizzo dell’informazione, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Eppure, ci sono delle considerazioni da fare in merito alle tecniche di mitigazione del rischio.

Prima di tutto tali strumenti non escludono totalmente dal pericolo di risalire al dato originario; diversi infatti sono gli studi in corso in merito al rischio di reidentificazione del dato anonimizzato. In secondo luogo, è necessario tenere presente, proprio a fronte dell’ampia normativa sulla tutela della privacy che, anche se i dati vengono anonimizzati per un interesse collettivo, è diritto dell’interessato non solo essere informato sulle finalità del trattamento, ma anche scegliere se aderire o meno all’anonimizzazione stessa.

L’ordinanza n. 9828/2017 del Tar Lazio: il principio di proporzionalità

Nel 2017 fece notizia un’ordinanza cautelare del Tar Lazio che, in merito alla legittimità della pubblicazione dei redditi dei dirigenti sul sito web di un’amministrazione, ha riportato alla luce il tema del bilanciamento degli interessi, ossia tra diritto alla riservatezza e diritto di trasparenza amministrativa.

In particolare, il TAR sospese l’obbligo di provvedere alla pubblicazione dei dati patrimoniali dei dirigenti, per contrasto dei dettami legislativi con gli articoli 2, 3, 11, 13 e 17, comma 1 della Costituzione, valutando come «consistenti» le «questioni di costituzionalità e di compatibilità con le norme di diritto comunitario sollevate in ricorso» e «irreparabile» il «danno paventato dai ricorrenti, discendente dalla pubblicazione online, anche temporanea, dei dati per cui è causa».

Al contrario, la Corte di Giustizia UE, nel 2010 ha osservato che la divulgazione di dati personali ai fini della buona gestione delle informazioni pubbliche, tra cui indubbiamente rientra l’obbligo alla trasparenza amministrativa, non è incompatibile con la Direttiva 46/95/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, purché il trattamento dei dati avvenga «nel rispetto del principio di proporzionalità, sia necessario e risponda effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui».

Linee Guida Nazionali per la Valorizzazione del Patrimonio Informativo Pubblico

Le Linee Guida Nazionali per la Valorizzazione del Patrimonio Informativo Pubblico dell’Agenzia per l’Italia Digitale sono il riferimento di soft law che è riuscito a dare indicazioni in merito ai dati personali e ai documenti da cui fosse possibile risalire ai dati di un interessato. Il documento, nella sua versione aggiornata del 2017, riporta una breve check list, «utile per verificare se tutti gli aspetti giuridici sono stati valutati dal responsabile della banca dati in collaborazione con il responsabile Open Data». In particolare, vengono poste all’amministrazione le seguenti domande:

• i dati sono liberi da ogni informazione personale che possa identificare in modo diretto l’individuo (nome, cognome, indirizzo, codice fiscale, patente, telefono, e-mail, foto, descrizione fisica, ecc.)? In caso negativo queste informazioni sono autorizzate per legge?
• I dati sono liberi da ogni informazione indiretta che possa identificare l’individuo (caratteristiche personali che possono identificare facilmente il soggetto)? In caso negativo queste informazioni sono autorizzate per legge?
• I dati sono liberi da ogni informazione sensibile riconducibile all’individuo? In caso negativo queste informazioni sono autorizzate per legge?
• I dati sono liberi da ogni informazione relativa al soggetto che incrociata con dati comunemente reperibili nel web (e.g. Google Maps, linked data, ecc.) possa identificare l’individuo? In caso negativo queste informazioni sono autorizzate per legge?
• I dati sono liberi da ogni riferimento a profughi, protetti di giustizia, vittime di violenze o in ogni caso categorie protette? Hai considerato il rischio di deanonimizzazione del tuo dataset prima di pubblicarlo? Esponi dei servizi di ricerca tali da poter filtrare i dati in modo da ottenere un solo record geolocalizzato, che sia facilmente riconducibile ad una persona fisica?

La visione della Commissione Europea

Le domande poste dall’AgID nelle sue linee guida alle amministrazioni sono indubbiamente utili per verificare che siano stati valutati, appunto, tutti gli aspetti giuridici gravanti sulla gestione dei dati. Ma guidare e incentivare la PA ad effettuare una valutazione sui rischi privacy, può essere considerato vero e proprio supporto?

Una PA con risorse in continua ottimizzazione necessita di un supporto pragmatico al censimento, alla gestione, pulizia e pubblicazione dei propri dataset, per garantire il successo del bilanciamento tra condivisione dei dati e privacy, attraverso azioni di enforcement e linee guida di salvaguardia degli interessi che devono coesistere, se vogliamo continuare a favorire percorsi di innovazione e competenza nelle amministrazioni.

A European strategy for data

Un recente passo avanti è stato fatto dalla Commissione europea, con la pubblicazione il 19 febbraio 2020 del documento “A European strategy for data” che, nel confermare il valore del dato nel suo uso e riuso, delinea una strategia di misure politiche e investimenti che hanno l’obiettivo di elevare l’UE a leader nella gestione di un’economia dei dati per i prossimi cinque anni, attraverso la creazione di un mercato unico europeo dei dati. Come già osservato in questo articolo di Sergio Fumagalli, la strategia si fonda su quattro pilastri, tra i quali quello più rilevante ai fini delle nostre osservazioni sembra essere l’investimento sulla competenza.

Obiettivo dell’UE è infatti mettere a disposizione finanziamenti per ampliare il bacino di talenti digitali nell’ordine di 250.000 persone che saranno in grado di implementare le ultime tecnologie nelle imprese di tutta l’Unione europea. Tale alfabetizzazione, secondo le aspettative della Commissione, aumenterà la percentuale di popolazione con competenze digitali di base dall’attuale 57% al 65% entro il 2025.

La centralità data alla persona nell’intero documento si estende però anche al cittadino, che secondo la Commissione gioca appunto un ruolo fondamentale: i dati sono creati dalla società e dovrebbero poter essere messi a disposizione di istituzioni pubbliche per il bene comune. Per questo una delle azioni chiave riportate dalla Commissione europea è la semplificazione e il miglioramento del diritto alla portabilità dei dati (Art. 20 GDPR).

Lo scopo sarebbe infatti dare alle persone il supporto necessario non solo a far valere i propri diritti fornendo loro gli strumenti necessari a comprendere come vengono utilizzati i loro dati, «giving users rights, tools and skills to stay in full control of their data» (come riportato del documento “Factsheet: the European data strategy”), ma soprattutto sensibilizzandoli all’importanza del dato come bene pubblico.