Green pass, ecco il decreto che cancella un bel po’ di privacy

Questo post ti è piaciuto? Condividilo:

Cosa prevede l’articolo «2 quinquiesdecies» del Codice della Privacy, che Mario Draghi e il suo governo hanno appena abrogato? Malgrado il nome in «latinorum», è il caso di chiederselo, perché riguarda tutti da vicino. Ed è pure il caso di leggere con attenzione l’intero “decreto Capienze” approvato giovedì sera, all’unanimità, dal consiglio dei ministri, che grazie al Green pass aumenta le presenze nei cinema, negli stadi e altrove, ma non solo. Apre infatti le porte al rischio di una schedatura di massa da parte dei pubblici uffici: sanitaria, giudiziaria, fiscale e biometrica.

Il comunicato uscito da palazzo Chigi dà una versione minimalista: «Sono state introdotte, in coerenza con il quadro europeo, alcune semplificazioni alla disciplina prevista dal decreto legislativo 196/2003 del trattamento dei dati con finalità di interesse pubblico». «Semplificazioni», le chiamano quindi gli uffici di Draghi. Però da una lettura attenta del testo, assieme a chi conosce la materia, esce una storia diversa, meno rassicurante. Il decreto rimuove infatti i vincoli alla raccolta e ai trattamenti dei dati, inclusi quelli più rischiosi per la riservatezza degli italiani, che oggi le amministrazioni dello Stato sono tenute a rispettare.

Da adesso, in nome del «pubblico interesse», esse potranno fare teoricamente di tutto. Incluso il riconoscimento facciale a tappeto, almeno per il momento ancora sotto tutela di legge, qualora lo ritenessero necessario. In ogni caso, oggi la portata è più ampia se si pensa anche solo ai progetti sul cloud nella Pa, catastrofica se in futuro ci fosse mano libera su videocamere e dati biometrici.

Le novità sono racchiuse in poche righe, comprensibili a chi mastica la materia (non ai parlamentari, quindi, essendo la gran massa di loro abituata a votare schiacciando bottoni secondo le indicazioni del capogruppo, senza farsi domande). Il decreto 196 del 2003, ovvero il Codice della Privacy, ne esce stravolto. Per cominciare, il decreto vi inserisce una nuova norma, secondo la quale «il trattamento dei dati personali da parte di un’amministrazione pubblica (per esempio un Comune) nonché da parte di una società a controllo pubblico (es. Poste Italiane) o di un organismo di diritto pubblico (es. Autostrade per l’Italia), è sempre consentito, se necessario per l’adempimento di un compito svolto nel pubblico interesse».

Giusta causa

Tutto diventa lecito, dunque, se fatto in nome della giusta causa. E chi decide se l’operazione è funzionale al «pubblico interesse»? Lo stesso ufficio, ovviamente. Sempre quel decreto, dispone che «la finalità del trattamento, se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall’amministrazione, dalla società a controllo pubblico o dall’organismo di diritto pubblico in coerenza al compito svolto o al potere esercitato». Mani libere, in parole povere. L’unico “contropotere” esistente, quello dell’autorità per la protezione dei dati personali, oggi guidata dal giurista Pasquale Stanzione, è ridotto ai minimi termini. Intanto viene abrogato «l’articolo 2 quinquesdecies» dello stesso codice della Privacy. È quello che sinora ha consentito al garante di imporre «misure e accorgimenti a garanzia dell’interessato» qualora il trattamento dei dati presenti «rischi elevati», anche se svolto «per l’esecuzione di un compito di interesse pubblico».

Garante fuorigioco

Misure che consistono, ad esempio, nell’obbligo di consultare il garante stesso prima di fare qualcosa che potrebbe essere pericoloso per la riservatezza dei cittadini. Una tutela che adesso salta, e assieme ad essa sono quindi cancellati le sanzioni amministrative e gli illeciti penali a carico dei dirigenti pubblici che non chiedono il permesso preventivo dell’authority. Sanzioni e illeciti potranno scattare solo dopo, a violazione commessa e accertata, sempre che qualcuno se ne accorga. Agli uffici dello Stato e ai loro dirigenti, inoltre, basterà sostenere che la raccolta e l’uso dei dati sono fatti per adempiere a «riforme, misure e progetti del Piano nazionale di ripresa e resilienza», e il garante avrà appena trenta giorni di tempo (anziché i quarantacinque attuali, comunque pochi) per comunicare se lì si violano le leggi sulla privacy oppure no; trascorso questo periodo, potrà «procedersi indipendentemente dall’acquisizione del parere». E siccome l’authority ha una cronica carenza di personale, e gli obiettivi del Pnrr coprono ogni aspetto della nostra esistenza, dalla riduzione dell’evasione fiscale all’incremento della fecondità, l’uso della scorciatoia si avvia a diventare la regola.

Più controlli fiscali

Il Decreto Capienze accenna agli strumenti che il Fisco utilizzerà per effettuare le dovute verifiche nella lotta all’evasione fiscale, al riciclaggio e al finanziamento di atti terroristici. I dettagli non sono ancora resi noti, ciò che è certo è che sono stati abbassati i limiti di superamento della privacy. Questa nuova disposizione permetterà all’Agenzia delle Entrate di sfruttare l’anonimometro per muoversi liberamente evitando di essere interrotta dal Garante della Privacy. Al contribuente sarà garantita la privacy diventando un numero che circolerà tra le varie banche dati. Nello specifico, l’anonimometro è un algoritmo capace di incrociare due dati, i conti bancari e i redditi dichiarati. In questo modo potranno essere identificate eventuali discrepanze tra le spese effettuate e il guadagno dichiarato ed ipotizzare possibili evasioni.

Super anagrafe

Un altro strumento di controllo è il Super Anagrafe, un database che nasce dalla collaborazione del Fisco con la Guardia di Finanza. L’enorme quantità di dati a disposizione degli enti consente di effettuare controlli fiscali continui e specifici in relazione alle entrate e le uscite sul conto corrente. Le informazioni riguardano la giacenza media, i movimenti di entrata e uscita e il saldo ad inizio e fine anno. Incrociando questi dati con i parametri di riferimento per identificare l’evasione fiscale, si otterrà una lista dei possibili evasori in modo tale da partire con gli accertamenti.

Tutte le operazioni potranno essere effettuate dal Fisco senza dover interpellare prima il Garante della Privacy, secondo quanto stabilito dal Decreto Capienze.

Il redditometro

L’abbassamento dei livelli della privacy permette al Fisco di utilizzare con maggiore praticità il redditometro, altro strumento volto a combattere l’evasione fiscale. Sotto la lente di ingrandimento troviamo la capacità contributiva dei cittadini. Nel caso in cui dovesse essere rilevato uno scarto del 20% o superiore a tale percentuale tra i redditi dichiarati e quelli ricostruiti scatterebbero le verifiche e il contribuente sarà chiamato a giustificare le operazioni effettuate. Il Fisco potrà controllare qualsiasi spesa, dai combustibili alla sanità, dall’abbigliamento all’istruzione, dai generi alimentari alle spese per trasferimenti.

In conclusione

“Il rischio, decisamente concreto, è che molte amministrazioni e società partecipate possano prendere queste modifiche come un vero e proprio “via libera” per fare ciò che vogliono, ben più di quanto già facciano ora. Sembra un decreto preparato ad hoc per evitare “ostacoli” durante il processo di sviluppo dei progetti previsti con il PNRR, molti dei quali però prevedono trattamenti di dati molto rischiosi per i diritti dei cittadini” sostiene Matteo Navacci, consulente per la protezione dei dati personali e cofondatore di Privacy Network, organizzazione italiana che affronta le sfide dell’innovazione tecnologica per la tutela di privacy e diritti fondamentali.

“La valutazione dei rischi e la limitazione (ex lege) delle finalità del trattamento sono il cuore del Regolamento europeo applicato alla pubblica amministrazione. Senza questi paletti il risultato è di svuotare completamente di ogni valore il Regolamento europeo e di diradare le tutele per i cittadini – aggiunge l’esperto in materia di privacy – E se la “semplificazione” a discapito dei diritti dei cittadini ha una sua perversa e grottesca logica, non si capisce proprio il motivo dell’abrogazione del comma 5 dell’art. 132 del Codice Privacy, in merito alla conservazione dei tabulati telefonici”.

“Questo Decreto sembra il triste epilogo di una campagna costruita ad hoc per mortificare e sottomettere un’Autorità indipendente che dall’inizio della pandemia ha usato tutti i suoi poteri per dirigere un’attività normativa e amministrativa spesso in palese violazione della legge europea per la protezione dei dati e dei diritti delle persone” conclude Navacci.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *