wwwstreetQuello dell’Agenda Digitale è, ormai, un argomento ben noto che ultimamente richiama sempre più attenzione da parte dell’opinione pubblica. Non solo per l’importanza che l’Agenda riveste all’interno della Programmazione Europea per il 2020, ma anche per le dinamiche (per dirla alla “Boris”) un po’ troppo italiane, con le quali tale “iniziativa faro” viene portata avanti nel nostro Paese. Come recita un vecchio adagio: “tra dire e il fare c’è di mezzo il mare”. E per quanto sotto l’aspetto comunicativo il recente decreto legge n. 69 del 21 giugno 2013, abbia voluto sorvolare su questo scarto differenziale, la riprova che la saggezza popolare ha sempre un fondo di verità non ha tardato a manifestarsi.

A ricordarci che non bastano i buoni propositi (come ognuno di noi dovrebbe aver imparato di capodanno in capodanno) è stavolta il Garante per la Protezione dei Dati Personali, che in una serie di documenti (lettere e comunicati stampa) ha ribadito all’attuale governo forti perplessità che si sente in dovere di rendere note. Ma quali sono queste perplessità e quali disposizioni impattano nello specifico? Stando al testo integrale del decreto legge pubblicato in Gazzetta Ufficiale, le norme che riguardano l’implementazione di innovazioni e semplificazioni inerenti lo sviluppo degli strumenti digitali in Italia sono contenute all’interno del Titolo I: Misure per la crescita economica. In questo titolo vengono trattate numerose tematiche di interesse nazionale, dall’ambiente ai beni culturali (sebbene sulla validità di questi interventi ci sia ancora da riflettere) fino ai temi dell’Expo.

Le norme che interessano l’ammodernamento del sistema digitale sono contenute nel Capo II: Misure per il potenziamento dell’agenda digitale italiana, fatta eccezione di una disposizione inserita nell’art. 10 del Capo I: Misure per il sostegno alle imprese.
Per quanto questa possa sembrare un’inezia da filo-giuristi, la differenza di collocazione è di fondamentale importanza: essa va a confermare che le disposizioni contenute nell’articolo 10 hanno lo specifico obiettivo di agevolare il mondo imprenditoriale. Fa dunque sorridere (ma neanche troppo) che proprio tali prescrizioni siano state indicate dal Garante come troppo onerose, ma il sorriso (se mai c’è stato) diventa un riso amaro quando si apprende dalle stesse parole del Garante che tali predisposizioni erano già state inserite e depennate in passato; come recita il testo della lettera al Presidente della Commissione Bilancio: “E’ appena il caso di ricordare, poi, che taluni obblighi di monitoraggio e registrazione di dati, erano stati stabiliti dal decreto-legge n. 144 del 2005 (c.d. decreto Pisanu) per categorie di “gestori” diversi da coloro che offrono accesso a Internet con tecnologia wi-fi, e sono stati successivamente soppressi anche in ragione delle difficoltà e degli oneri legati alla loro applicazione (decreto-legge n. 225 del 2010).”

Per gettare un po’ di luce sulla questione, è forse utile ricordare cosa prescrive il decreto legge all’art. 10 che disciplina, come indica il titolo, la “Liberalizzazione dell’allacciamento dei terminali di comunicazione alle interfacce della rete pubblica”. Al punto primo dell’articolo si legge: “L’offerta di accesso ad internet al pubblico è libera e non richiede la identificazione personale degli utilizzatori. Resta fermo l’obbligo del gestore di garantire la tracciabilità del collegamento (MAC address).” Il che vuol dire che chi offre un servizio wi-fi ai propri clienti, non è più tenuto alla registrazione dell’identità di coloro che usufruiscono del servizio. In realtà se da un lato viene liberato da quest’onere viene poi gravato di ulteriori responsabilità: il gestore, stando a quanto prescritto dal decreto legge non solo deve “registrare un indirizzo MAC” (indirizzo tra l’altro agevolmente modificabile) ma deve anche garantire la tracciabilità di tutti i collegamenti ad esso correlati.
Ma c’è di più: il punto secondo del medesimo articolo recita: “La registrazione della traccia delle sessioni, ove non associata all’identità dell’utilizzatore, non costituisce trattamento di dati personali e non richiede adempimenti giuridici.” E anche su questo punto il Garante ha qualcosa da ridire, affermando che: “ciò che più preme a questa Autorità è sottolineare come le disposizioni in commento, nell’escludere che un trattamento di dati costituisca un trattamento di dati personali, rischiano di impattare sulla tutela dei diritti fondamentali e di confliggere con la definizione stessa di dato personale contenuta, oltre che nel Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), nella stessa direttiva europea sulla tutela della vita privata.
E con questo la questione appare risolta: le predisposizioni che avevano lo scopo di rendere più facile la vita di coloro che offrono, dietro una sempre più forte richiesta da parte degli utenti, un servizio di wi-fi, non solo non la rendono affatto più semplice, ma rischiano di eludere i diritti fondamentali della vita privata.

La stessa obiezione emerge in merito ad un’altra disposizione del decreto, e nello specifico, quella relativa all’articolo 17: Misure per favorire la realizzazione del Fascicolo Sanitario Elettronico. Quest’articolo si occupa di apportare delle modifiche ad un precedente articolo inserito nel decreto-legge n. 179 del 18 Ottobre 2012, vale a dire il cosiddetto Decreto Sviluppo. La questione diventa quindi un po’ più complicata, dovendo giocare di rimando tra un decreto e l’altro. Per capire appieno cosa sia stato modificato, e cosa abbia preoccupato, ancora una volta, il Garante, è forse utile inserire qualche riferimento del decreto originario. L’art. 12 del decreto legge 179, che porta il titolo Fascicolo Sanitario Elettronico e sistemi di sorveglianza nel settore Sanitario, specifica al punto primo la natura di tale fascicolo, e vale a dire: l’insieme di dati e documenti sanitari di tipo sanitario e sociosanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito.
La registrazione e la catalogazione di tali dati hanno specifici obiettivi che sono invece enucleati al punto secondo del medesimo articolo: “Il FSE è istituito dalle regioni e province autonome nel rispetto della normativa vigente in materia di protezione dei dati personali, a fini di:

a) Prevenzione, diagnosi, cura e riabilitazione;
b) Studio e ricerca scientifica in campo medico, biomedico ed epidemiologico;
c) Programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria.”

Questo dunque è l’articolo che istituisce il Fascicolo Sanitario e che ne determina le finalità e gli obiettivi.

L’attuale decreto fare, apporta alcune modifiche a tale riferimento legislativo, e nella fattispecie sono due gli interventi più interessanti: da un lato l’apposizione di una precisa scadenza per l’istituzione del fascicolo, e vale a dire “Entro il 31 Dicembre 2014”, dall’altra una modifica che ha invece come focus precipuo la natura dei dati che possono essere registrati e catalogati. Nell’articolo originale si leggeva che in base a quanto stabilito in ordine alle finalità del FSE previste ai punti b) e c) (qui, interamente riportati), tali fini venivano perseguiti dagli organi competenti “nei limiti delle rispettive competenze attribuite dalla legge, senza l’utilizzo dei dati identificativi degli assistiti e dei documenti clinici presenti nel FSE (corsivo nostro). L’attuale decreto-fare invece riduce le limitazioni previste ai soli dati identificativi, lasciando invece libero l’utilizzo dei documenti clinici presenti nel Fascicolo. È a questo titolo che si esprime dunque il Garante, sollevando la questione di una potenziale incompatibilità tra le finalità del fascicolo e la qualità dei dati raccolti.

Ciò che si è venuto a creare a seguito della pubblicazione in gazzetta ufficiale del decreto legge, sembra essere una dinamica piuttosto frequente quando si parla di progresso digitale: da un lato una spinta verso l’utilizzo sempre più intensivo di dati, al fine di migliorare i servizi, anche a fronte di ciò che viene richiesto in ambito comunitario; dall’altro il diritto degli individui ad una vita privata, con la certezza che i propri dati sensibili vengano utilizzati solo ed esclusivamente nei limiti imposti dai principi imposti in sede di tutela. Trovare un equilibrio tra queste forze non è mai stato semplice, e la traiettoria che segue la realizzazione dell’Agenda Digitale Europea (prima ancora che Italiana) è forse quella caratterizzata dalla balistica più complessa, oscillante com’è tra utopie di democrazia diretta (vedi Parlamento Elettronico) e distopie orwelliane sempre più riconoscibili (si pensi allo scandalo datagate relativo al progetto della NSA statunitense). Non è facile decidere in quale corrente di pensiero posizionarsi, e soprattutto, l’argomento non ammette una posizione univoca, propendendo in alcuni casi verso un maggior controllo, in altri verso una maggiore libertà d’azione. Quel che è sicuro, tuttavia, è che nonostante il decreto legge trovasse la propria ragion d’essere proprio in virtù dell’urgenza delle disposizioni in esso contenute, era possibile evitare sprechi di tempo, costi ed energia, interpellando in precedenza il garante della privacy su questioni che certamente avrebbero interessato l’area di competenza. E forse, evitare grotteschi remake di errori già commessi in passato.

Nel frattempo il Governo ha modificato “parzialmente” il decreto accogliendo alcune delle obiezioni mosse.
La modifica apportata al decreto-legge riguarda nello specifico l’articolo 10 che viene ad essere così modificato: “L’offerta di accesso alla rete internet al pubblico tramite rete WIFI non richiede l’identificazione personale degli utilizzatori. Quando l’offerta di accesso non costituisce l’attività commerciale prevalente del gestore del servizio, non trovano applicazione l’articolo 25 del codice delle comunicazioni elettroniche di cui al decreto legislativo 1° gennaio 2003, n.259 e successive modificazioni, e l’articolo 7 del decreto-legge 27 luglio2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, e successive modificazioni”.
Rimangono tuttavia ancora molti dubbi.