Il presidente dell’Authority: “La protezione dei dati personali è condizione indispensabile per lo sviluppo della società digitale. Anche i grandi Over the top se ne stanno accorgendo”
(di Alessandro Longo, “Corriere delle Comunicazioni”, 19 giugno 2015)
«Nella fretta di correre avanti sull’Agenda digitale e recuperare i ritardi, rischiamo di perdere di vista la protezione dei dati personali. Ma noi siamo su tutti i dossier dell’Agenda, con indicazioni che finora sono sempre state recepite da Governo e Agid». Antonello Soro, presidente dell’Autorità garante della privacy, guarda a mesi che saranno carichi di trasformazioni e sfide. Ma anche di possibili traguardi, per esempio nei confronti dei big del web: “A gennaio prossimo sarà completo il percorso che abbiamo intrapreso con Google. Per la prima volta, il gigante rispetterà tutte le norme privacy europee. E ora stiamo valutando su Facebook”.
Presidente, all’orizzonte qual è il vostro dossier più caldo, per la tutela della privacy nelle grandi trasformazioni della società digitale?
L’obiettivo più importante a cui tutti dobbiamo lavorare è la costruzione dell’Agenda digitale. Finora si è lavorato principalmente sulla funzionalità dell’Agenda e sull’impatto sul business. Dobbiamo però guardare la questione anche dal punto di vista della protezione dei dati. Sul digitale arriviamo in ritardo. Per colpe non solo italiane ma anche dell’Europa, che ha tardato nella costruzione di un ecosistema digitale maturo. In questo quadro c’è una grande asimmetria del potere tra coloro che nel mondo hanno saputo cogliere i vantaggi dell’economia digitale e le aziende europee, che si sono trovate a subire un confronto perdente. Così tutto questo ha portato l’Europa a essere più un mercato di consumo che di libera concorrenza. Si può essere tentati quindi di fare di corsa, ma la trasformazione digitale delle aziende e delle amministrazioni pubbliche – ossia l’Agenda – non può ignorare la protezione dei dati. Man mano che crescono, le banche dati diventano bersaglio principale della criminalità informatica.
Nel dettaglio, voi state lavorando su temi cardine come lo Spid, il Sistema pubblico dell’identità digitale.
Su Spid abbiamo lavorato per mesi. Nei giorni scorsi abbiamo consegnato un parere dopo un confronto collaborativo con Agid. Abbiamo suggerito 21 modifiche per le misure di sicurezza del sistema e con il richiamo dei principi privacy di finalità e di proporzionalità. In passato abbiamo dato pareri sul Fascicolo sanitario elettronico. Nei giorni scorsi abbiamo dato un parere sul dossier sanitario. Obiettivo è avere un sistema unico, dialogante, tra le varie aziende sanitarie e anche rispettoso dei principi di protezione dati. Con questo spirito siamo intervenuti anche sul tema del 730 precompilato. Per quanto riguarda l’Anagrafe Unica, la nostra consultazione procede di pari passo con il lavoro di Agid. È un processo che richiede diversi interventi. Su Spid avevamo dato un primo parere e ora abbiamo valutato le regole tecniche.
In generale come state intervenendo su questi temi?
Interveniamo sui sistemi di archiviazione, flussi di dati, interoperabilità delle diverse banche dati. Per esempio, quando abbiamo reso il parere per il 730 precompilato, all’inizio si pensava di consentire l’accesso con il codice fiscale. Ma il livello di sicurezza sarebbe stato bassissimo. Invece adesso, dopo il nostro intervento, ci sono misure di crittografia e tracciamento degli accessi.
Le regole di partenza sono importanti, ma spesso i sistemi restano bucabili lo stesso: si pensi alla Sanità digitale.
È questo il tema: più scendiamo a livello di piccole dimensioni, come le Asl, più il livello di sicurezza è basso. Noi suggeriamo il percorso da seguire: indichiamo le procedure che seguano i protocolli più rigidi ed efficienti. C’è poi il compito di chi deve garantire che questi pareri siano recepiti. Tutti i nostri finora lo sono stati. A questo seguirà una fase di verifica sullo stato di attuazione.
E non c’è il rischio che questi passaggi possano ulteriormente rallentare la nostra Agenda digitale?
Preferisco un percorso più lento a uno privo di tutele. Costruire frettolosamente una macchina piena di falle è molto più grave che farne una sicura un mese dopo. Il principio della “privacy by design”, deve governare l’Agenda digitale.
Che cosa ci aspetta, invece, dal fronte delle grandi piattaforme web?
Un anno fa abbiamo avviato una procedura su Google: un percorso per mettere quest’azienda sullo stesso piano di tutela di quelle europee. Google ha accettato le nostre istanze e anche un protocollo di verifica, in base al quale qualche giorno fa una nostra squadra è andata in California per accertare le sue politiche di protezione dati. Il percorso finisce a gennaio e per allora Google rispetterà tutte le nostre regole. In passato invece ci diceva di non esservi obbligata.
Perché ha accettato?
Per una convergenza di due elementi. Da una parte la giurisprudenza Ue ha confermato la competenza delle autorità europee su chi fa business qui pur avendo sede altrove. Non credo però che questa sia la principale ragione per cui Google ha accettato. L’ha fatto soprattutto perché l’abbiamo convinto di quanto fosse importante il rispetto delle regole privacy per conservare la fiducia dei consumatori. Per presentarsi come soggetto affidabile, Google non può ignorare le norme europee. Ci rendiamo conto che l’attrezzatura giuridica che abbiamo insegue con fatica lo sviluppo della società digitale. Ma questo è la sfida che dobbiamo affrontare.
E dopo Google, Facebook?
Le Authority Privacy di Belgio, Olanda e Germania hanno aperto un procedimento su Facebook. Noi e la Spagna stiamo valutando un percorso analogo.
Guardiamo all’anno passato. Quali sono i traguardi più importanti segnati dall’autorità?
Potrei risponderle che Google ha segnato in modo importante il nostro bilancio 2014. Ma anche i tantissimi interventi minori sulla protezione dati possono dare il senso della nostra istituzione. Posso citare anche il nostro intervento di semplificazione sui cookie. C’è un punto che può essere sfuggito in questi giorni: la nostra missione è proteggere i dati di cittadini e renderli più consapevoli di ciò che accade nella società digitale. Il tema è evitare che i cittadini vengano profilati a loro insaputa. Già nel 2012 abbiamo aperto una consultazione affinché una norma così rilevante non restasse sulla carta. È sorprendente che un certo numero di gestori di siti abbiano scoperto il problema dieci giorni fa. Ma anche a loro abbiamo fornito chiarimenti. Non vogliamo dare un onere gratuito a chi gestisce i siti, ma la legge chiede una tutela più forte sui cookie. Chi, gestendo un sito web, decide di avere un ruolo attivo nel rapporto con i cittadini non può prescindere dal rispetto delle leggi. E chi vuole svolgere con competenza questo ruolo deve sapere se usa o no cookie di profilazione. Sorprende anche che questa polemica scoppi proprio nella fase di massima attenzione per il grande problema della sorveglianza globale. La legge sui cookie è un piccolo passo per affrontare il tema, ma è uno dei primi che fa l’Europa.