Intervento di Claudio MANGANELLI
Autorità Garante per la Protezione dei dati personali

L'ing. Giovanni Ferrero ha definito un quadro molto lucido della situazione in cui quotidianamente ci si trova a muovere.

Nell'entrare nell'Autorità per la protezione dei dati personali, avevo una qualche preoccupazione, perché, provenendo dal mondo delle imprese, avevo l'abitudine di trattare i dati personali senza regole del gioco e quindi mi chiedevo fino a che punto la legge 675 sarebbe stata una via facilitativa o piuttosto vincolante nei confronti del trattamento delle informazioni.

Adesso siamo sul fronte della Pubblica Amministrazione, cioè sul fronte dei dati pubblici; c'è un approccio - recentissimo - che da due o tre anni la Pubblica Amministrazione ha intrapreso, dove, come anticipava Ferrero, uno dei problemi è la velocità di adeguamento dei processi di riorganizzazione, che si pone come uno dei termini fondamentali e va di pari passo con l'altro rovescio della medaglia: la velocità di evoluzione delle tecnologie.

C'è una fioritura di iniziative, su specifici argomenti, che vanno non solo dalla connessione delle banche dati, per meglio governare o per meglio essere informati, per dare il valore aggiunto al bacino in cui la singola amministrazione, (centrale, regionale, locale) esercita il suo potere, ma anche altri temi, la carta d'identità intelligente e la carta sanitaria, che troviamo affrontati con metodologie diverse.

Il tema recentissimo, sul quale l'Autorità (nella persona del Presidente) ha richiamato l'attenzione dell'opinione pubblica, è il tema della disuguaglianza delle soluzioni, che può essere un rischio: certe regole del gioco naturalmente ci vogliono; molto spesso ci sono iniziative che non vengono da proposte dei fornitori di beni e servizi, ma dagli utenti stessi, che incarnano i bisogni organizzativi, o da iniziative che nascono anche per spirito imitativo.

Partecipando a convegni di lavoro, ad esempio, si vede ben chiaro che la PA si sta riorganizzando, e allora lo spirito imitativo porta a fare la stessa cosa, magari migliorandola o diversificandola sotto certi aspetti.

L'impegno dell'attività del garante è sempre stato la ricerca di equilibrio tra la trasparenza e la legge 675, fondamentalmente con le norme ma proponendo anche suggerimenti, che non si basino solo sulla tecnologia ma concentrino l'attenzione anche sul modello organizzativo, che deve essere di supporto allo sviluppo tecnologico. Vale a dire definire il più possibile le regole del gioco e le norme; perché i capisaldi della legge 675 si accentrano fondamentalmente su tre punti di forza: la notifica al garante (che si può sempre fare in qualsiasi momento prima di instaurare un nuovo progetto di trattamento), l'informativa agli interessati e il consenso.

Quando parliamo di Pubblica Amministrazione parliamo di esercizio di potere e il consenso viene diminuito, perché è un'esigenza della PA, a meno che non si tratti di dati sensibili, sui quali nascono problemi di autorizzazione.

Quando si da un'informativa è già un primo passo, sulla base del quale si può sviluppare il disegno normativo. Se parliamo di telesorveglianza, - per esempio- quante persone e quante organizzazioni della PA sanno quali siano i sistemi di telesorveglianza pubblici (non privati) quanti comuni, prefetti, sindaci, sanno veramente qual è la finalità e quanti cittadini sanno dove sono installate queste telecamere e che cosa rilevano?

In Francia, nei luoghi pubblici, ad esempio, c'è una legge del '95 che prevede che l'installazione di sistemi di sorveglianza debba essere sottoposto alle prefetture e ad una verifica di rispondenza alle esigenze e all'accertamento della non violazione dei diritti del singolo in tema di riservatezza. Quindi la possibilità di fare queste cose c'è tutta.

Quando si parla di carte a microcircuito ci sono dei problemi: già nell'85 mi occupavo per un associazione bancaria delle possibilità delle carte a microcircuito che avrebbero liberato l'utilizzatore di un pezzo di plastica della necessità di essere costantemente connessi con un centro di autorizzazione e di monitoraggio.

La Pubblica Amministrazione si orienta verso le carte a microcircuito, che sono nel frattempo evolute con nuove soluzioni di sicurezza e di controllo. Per questo bisogna trovare al più presto qual è lo standard comune. La Pubblica Amministrazione difficilmente si orienterà verso soluzioni di tipo bancario, più arretrate, dove ciascuno ha più carte diverse per i vari usi e andrà a immaginare una carta che sia polivalente, polifunzionale; ma qui nasce il problema della riservatezza, del rispetto della legge 675.

Se uso la carta sanitaria anche per funzioni di riconoscimento o per pagamenti di servizi forniti dalla Pubblica Amministrazione è lecito che qualcuno acceda alla parte di dati che sono sensibili, cioè che si riferiscono proprio alla parte di dati sanitari? Definire le regole del gioco significa definire le normative di disegno, di progetto delle carte a microcircuito e di utilizzo di ciò che è contenuto nelle diverse sezioni logiche in cui è divisa una carta a microcircuito.

La stessa cosa vale quando si parla dell'interconnessione delle banche dati. C'è un progetto per la rete della Pubblica Amministrazione, un progetto evoluto e sofisticato che prevede anche di sviluppare un'omogeneizzazione degli standard delle applicazioni a seconda delle necessità, ma sappiamo anche che le pubbliche amministrazioni spesso delegano alcune funzioni a soggetti esterni, cioè in appalto: pensiamo alla gestione delle imposte locali. Per quale motivo queste realtà, magari private, possono accedere ad una banca dati pubblica?

Una normativa pubblica si può fare e non si possono accettare come sufficienti i regolamenti interni di ogni singola realtà perché sono regolamenti di natura privata, non autorizzati, avallati da chi governa.

Si può certamente procedere attraverso le fonti normative primarie (le leggi) e le secondarie (i decreti) e oltretutto esiste una legge delega (la 676) che prevede, tra l'altro, la definizione di "dato pubblico": infatti, sul concetto di dato pubblico vi sono troppe e diverse interpretazioni, che non devono sussistere.

(Pagina aggiornata al 23.06.2000)