Audizione del professor Pasquale Stanzione, Presidente del Garante per…

Audizione del professor Pasquale Stanzione, Presidente del Garante per la protezione dei dati personali – Indagine conoscitiva in materia di semplificazione e digitalizzazione delle procedure amministrative nei rapporti tra cittadino e pubblica amministrazione

Commissione Parlamentare per la Semplificazione
(16 gennaio 2025)

GUARDA IL VIDEO

Ringrazio, anzitutto, la Commissione, per aver inteso acquisire anche il punto di vista del Garante rispetto a un tema di così notevole rilevanza come, appunto, la digitalizzazione dell’attività amministrativa, quale forma principale della sua semplificazione. La protezione dei dati personali è annoverata, infatti, tra i principi essenziali della Strategia europea del decennio digitale, quale garanzia di sicurezza e, al contempo, strumento di partecipazione pro-attiva dei cittadini allo spazio pubblico digitale. 

La complementarietà tra protezione dei dati, cittadinanza e sicurezza cibernetica non è, del resto, casuale, se si pensa alla funzione originaria della prima nell’ordinamento europeo. La protezione dei dati è stata, infatti, considerata un bene giuridico che ciascuno Stato membro avrebbe dovuto tutelare adeguatamente per poter entrare nell’area Schengen, in quanto presupposto di sicurezza dell’area stessa e, quindi, complementare alle quattro libertà costitutive della cittadinanza europea.

Gli sviluppi più recenti dimostrano quanto tale concezione del rapporto tra protezione dei dati, libertà e sicurezza – come sinergico, non un gioco a somma zero – fosse lungimirante: in una società fondata sui dati, proteggere questi significa proteggere ad un tempo i singoli e la collettività. E questo vale naturalmente, ancor più oggi, con la diffusione dell’i.a. e ancor più nel nostro Paese, il cui processo di digitalizzazione ha scontato forti disomogeneità e la carenza di un progetto organico e trasversale replicando, se non addirittura accentuando, la difformità, su base territoriale, nel livello di prestazioni erogate.

Lo sviluppo maggiore della digitalizzazione si è riscontrato, in particolare, durante la pandemia e, quindi, con il PNRR, che lo ha incluso tra i suoi obiettivi principali. Tuttavia, non sempre la spinta all’innovazione è stata sostenuta da una consapevolezza adeguata dei rischi che essa, se non ben governata, comporta. Di qui, anche, le vulnerabilità dei sistemi informativi, che sono tanto di natura tecnologica (la tecnica evolve sempre più velocemente delle procedure amministrative in cui è inscritta) quanto imputabili al “fattore umano”. Non si tratta soltanto di comportamenti illeciti (che, pure, si possono riscontrare come suggerisce la cronaca, anche recente) quanto di una più frequente sottovalutazione dell’importanza del ruolo di ciascuno nella complessiva gestione dei flussi informativi.

E questo, tanto più in ragione del ricorso, frequente e non sempre inevitabile, all’esternalizzazione, da parte delle pp.aa. (e persino degli organi inquirenti) di molte attività, che rende assai più permeabile, complessa e vulnerabile la filiera su cui si snoda l’attività amministrativa, con i rischi inevitabilmente connessi alla frammentazione e parcellizzazione dei centri di responsabilità, derivanti dal coinvolgimento di soggetti diversi nella “catena” procedimentale.

La protezione dei dati ha rappresentato sinora un fattore unificante (perché impone uniformità di garanzie), a fronte della disomogeneità che, spesso, ha caratterizzato il processo di digitalizzazione nel nostro Paese. Nell’esercizio della funzione consultiva tanto su atti normativi quanto sui provvedimenti attuativi che hanno introdotto misure di digitalizzazione, il Garante ha infatti potuto promuovere un’azione importante di prevenzione delle vulnerabilità informatiche, contribuendo alla messa in sicurezza di molte banche dati anche strategiche (si pensi soltanto a quelle fiscali) e alla corretta impostazione dei flussi informativi.

Particolarmente significativi, in questo senso, sono i contributi forniti, in sede consultiva, rispetto alla normazione primaria (e ai relativi regolamenti attuativi), come per il decreto legislativo recante semplificazione dei controlli sulle attività economiche (n. 103 del 2024), per la riforma fiscale, persino per la telematizzazione del processo (civile e penale in particolare). Pronunciandosi sull’architettura dei trattamenti sin dalla loro definizione legislativa, il Garante ha infatti potuto indicare le garanzie necessarie per la sicurezza dei flussi informativi, la corretta definizione delle linee di responsabilità, i sistemi di controllo utili a prevenire illeciti e rilevare tempestivamente anomalie potenzialmente rischiose o possibili distorsioni della decisione algoritmica nel caso del ricorso all’i.a., le misure di aggiornamento periodico per evitare disallineamenti informativi, le forme di tutela ed esercizio dei propri diritti da parte degli interessati.

Analogamente rilevante è stato il contributo fornito in sede consultiva rispetto a provvedimenti attuativi, come nel caso delle linee guida AgID sull’infrastruttura tecnologica della Piattaforma digitale nazionale dati, sull’interoperabilità tecnica delle pp.aa. e sulla fruizione dei servizi SPID da parte dei minori, del decreto ministeriale sulla Piattaforma dei benefici economici erogati da soggetti pubblici o sulla creazione, l’impiego e la gestione delle credenziali dell’identità digitale CIE. Si è così avuto modo di suggerire misure volte a prevenire il rischio di uso illecito di tali credenziali e furti d’identità, non di rado funzionali alla percezione fraudolenta di benefici pubblici.

E’, peraltro, in corso un confronto sul quadro regolatorio complementare del sistema IT Wallet, introdotto dall’art. 64-quater del CAD, al fine di assicurarne la massima conformità con il Portafoglio europeo d’identità digitale (EuDI Wallet).

La disciplina di protezione dei dati – permeata dal principio di responsabilizzazione, che onera i titolari di un ruolo anche pro-attivo di tutela – ha così rappresentato, in questo senso, uno stimolo importante al rafforzamento delle garanzie, non solo tecniche, nella gestione dei dati e nel rischio “sociale” ad essa connesso. Tuttavia la diffusione, progressivamente più estesa dell’i.a. accrescerà tanto l’esigenza delle misure di prevenzione e controllo- che dovranno essere più capillari –  quanto la loro complessità. Per questa ragione, anche, avevamo suggerito al legislatore di individuare l’Autorità di supervisione per l’i.a nel Garante, cui l’Ai Act già riserva specifiche competenze rispetto all’uso dell’i.a. in alcuni settori pubblici particolarmente delicati.. L’unificazione delle competenze su protezione dei dati e i.a., così strettamente interrelate e soggette a controlli vicendevolmente integrati potrebbe, infatti, notevolmente ridurre gli oneri amministrativi per cittadini e imprese e semplificando le relative procedure.

Il Garante, in ogni caso, supporterà le amministrazioni in questo passaggio così determinante, nella consapevolezza di come una reale semplificazione dell’attività amministrativa necessiti di un piano organico di sviluppo che si articoli su garanzie di sicurezza adeguate e previsioni normative puntuali per circoscrivere con certezza l’ambito di circolazione legittima dei dati, razionalizzandone l’acquisizione, che deve riguardare solo informazioni rilevanti.

Per questo la digitalizzazione va declinata in termini più complessi della mera delega alla tecnica di più o meno significative funzioni pubbliche. Essa va intesa come un progetto di sviluppo organico e lungimirante, in cui la tecnica sia posta al servizio dell’uomo e non viceversa, come indicato anche nella strategia europea del decennio digitale. Il richiamo alla “resilienza” all’interno dell’acronimo PNRR è, in questo senso, molto più che uno slogan. Indica, infatti, la capacità dell’Europa prima (e, per essa, dei singoli Stati) di adattamento a congiunture avverse, senza tuttavia mai indebolire la garanzia dei diritti. E’ quanto, del resto, traiamo dall’esperienza della pandemia, che l’Italia e l’Europa tutta hanno affrontato senza mai porre un aut aut tra efficienza e diritti, ma coniugando queste istanze in modo da realizzarne il miglior equilibrio.

Questa consapevolezza è il presupposto ineludibile per riforme che siano non soltanto e mera innovazione tecnica, ma che sanciscano invece un reale progresso in termini di libertà e di garanzie democratiche. E per far questo è indispensabile che la digitalizzazione proceda parallelamente alle garanzie di protezione dei dati, tra le quali soprattutto i principi di minimizzazione, di sicurezza, di trasparenza del trattamento, come abbiamo avuto modo di sottolineare rispetto ad alcuni provvedimenti espressivi di politiche, anche sociali, innovative. Va, infatti, assicurato che il percorso di transizione digitale dell’azione amministrativa, in ogni campo, non avvenga rivelando dati, in particolare se soggetti a tutela rafforzata come quelli “sensibili”, giudiziari o sui minori non strettamente indispensabili, non li esponga a pericolo d’esfiltrazione e corrisponda sempre a quanto normativamente previsto e reso noto al cittadino. Il rischio, altrimenti, è quello di replicare, se non addirittura approfondire, le diseguaglianze esistenti, con un effetto paradossalmente regressivo in termini sociali.

Anche le notevoli potenzialità in termini di efficienza ed efficacia delle politiche sociali, offerte dagli algoritmi devono essere valorizzate minimizzando i rischi connessi a un uso poco attento delle neotecnologie, assicurandone un controllo costante sui possibili effetti distorsivi, non certo rinunciando ai benefici suscettibili di derivarne. Va, inoltre, promossa, soprattutto nel settore pubblico, una complessiva cultura della protezione dei dati, sensibilizzando (i cittadini ma, soprattutto, i funzionari pubblici) rispetto alla rilevanza della propria azione per la sicurezza della “frontiera digitale” del Paese.

Ogni misura di semplificazione mediante digitalizzazione non può mai essere disgiunta, in altri termini, da una visione di lungo periodo più complessiva, che coniughi sviluppo, efficienza e diritti. La protezione dei dati assume dunque un ruolo baricentrico nel comporre queste istanze, per garantire un’innovazione sostenibile anche in termini di diritti e libertà. Il Garante è pronto a questa sfida, auspicando di poter continuare a fornire un contributo utile in questa direzione.

Vi ringrazio.