Il diritto di accesso ai dati per i cittadini: tutelare la privacy e garantire la trasparenza

Dalla Dichiarazione dei diritti in Internet in consultazione sulla piattaforma della Camera, alle soluzioni adottate dalla città di San Francisco, alle norme del Marco Civil brasiliano, la strada sembra essere quella di “restituire” i dati ai cittadini, garantendo accessibilità, controllo, rettifica e cancellazione. Ma qual è la situazione in pratica? Ne parliamo con Federico Morgando del Centro Nexa for Internet & Society.

Con il crescente boom di Big e Open Data, temi come la tutela della privacy e il diritto di accesso ai dati in possesso della Pubblica Ammenistrazione si fanno sempre più centrali e delicati. Il 2014 ha visto diverse realtà a livello internazionale adottare normative e regolamenti, introdurre documenti programmatici o dichiarazioni che all’argomento dedicano ampia attenzione. Da un lato si vuole garantire ai cittadini la possibilità di accedere ai propri dati in possesso della P.A., per poterne richiedere modifiche o l’eventuale cancellazione; dall’altro, istituti come l’“accesso civico” sono stati introdotti al fine di rafforzare l’obbligo della trasparenza da parte della P.A.

La bozza della Dichiarazione dei diritti in Internet elaborata dalla Commissione di studio istituita presso la Camera dei deputati, dal 27 ottobre in consultazione fino al 31 marzo sulla piattaforma Civici, affronta la questione dati, principalmente in due articoli. Al quarto punto di parla di “Tutela dei dati personali” per garantire il rispetto di dignità, identità e riservatezza; mentre l’articolo 5 evidenzia il “Diritto all’autodeterminazione informativa”, stabilendo che “Ogni persona ha diritto di accedere ai propri dati […] per chiederne l’integrazione, la rettifica, la cancellazione secondo le modalità previste dalla legge”. Il principio veniva sancito già nel rapporto dello Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression Frank La Rue, sottoposto allo Human Rights Council delle Nazioni Unite nel 2011, dove in chiusura del V capitolo si chiede ai singoli Stati di intervenire per regolare l’utilizzo dei “personal data”, stabilendo “diritti di informazione, di correzione e, se necessario, di cancellazione dei dati e fornendo misure di controllo efficaci”.

Tra i primi ad affrontare la questione con un articolato Piano Strategico, il Comune di San Francisco, dotato di uno dei portali Open Data più completi e strutturati a livello internazionale. Tra marzo e aprile 2014, con la nomina di Joy Bonaguro come primo Chief Data Officer della città, San Francisco, in un’ottica di trasparenza e democratizzazione dei dati, ha deciso di restituire i dati ai cittadini offrendo la possibilità di controllare quelli in possesso dell’amministrazione e l’uso che ne viene fatto. Il “Goal 4” del piano prevede la necessità di “Creare un processo per accedere ai propri dati individuali” in possesso della Città. Questo il mandato: considerata la natura distribuita dei dati individuali, si è stimato che il lavoro di ricerca e pianificazione avrebbe richiesto almeno un anno; si attendono i risultati nella primavera 2015. Nello stesso periodo, più precisamente in data 23 aprile 2014, il Brasile si dotava del Marco Civil che nello stabilire i principi, le garanzie, i diritti e gli obblighi per l’impiego di Internet in Brasile, riserva ampio spazio alla protezione dei dati personali (Art. 3 comma III). All’art. 7 introduce inoltre principi di trasparenza circa la raccolta, l’uso, l’archiviazione, l’analisi e la protezione dei dati personali degli utenti e al comma XII sancisce l’accessibilità al dato da parte del consumatore.

Il diritto all’autodeterminazione informativa inserito nella Dichiarazione dei diritti di Internet italiana si inserisce dunque in un filone internazionale consolidato. “Il testo non fa altro che ribadire a livello teorico principi già previsti dalla nostra normativa, prima di tutte quella sui dati personali, ribadendoli anche a beneficio di una platea internazionale – commenta Federico Morando, Director of Research and Policy & Research Fellow Nexa Center for Internet & Society –. Dove siamo più carenti è nella pratica, mancano metodi efficienti per far valere concretamente questo diritto. Nel momento in cui ho un diritto a conoscere le informazioni che un determinato soggetto ha raccolto su di me, per poterle retificare, correggere o se è il caso, chiederne la cancellazione, non è poi chiaro a chi devo rivolgermi concretamente e con che mezzi per poter esercitare effettivamente il mio diritto. Si tratta di un’enunciazione tanto bella e importante, ma purtroppo, ad oggi, inapplicata. È necessario fare uno sforzo ulteriore per specificare le modalità tecniche con cui chi detiene i dati personali deve permettere ai cittadini di saperlo e di intervenire laddove lo ritengano necessario”. Insomma, non basta un principio generale, ma è fondamentale prevedere le modalità per la sua attuazione: “Pur non essendo un tecno-entusiasta completo, credo che un po’ più di tecnologia potrebbe essere implementata – aggiunge Morando –. Si dovrebbero implementare delle API, in modo da poter dare risposte in tempo reale a richieste specifiche da parte del cittadino, che dovrebbe poter accedere a quelle informazioni, vedere i dati correlati e se serve correggerli”.

Non è dissimile la situazione dal punto di vista dell’accesso civico, introdotto dall’art. 5 del D.Lgs. n. 33/2013, che garantisce a chiunque il diritto di chiedere, a titolo gratuito e senza necessità di motivazione, la pubblicazione dei dati soggetti a pubblicazione qualora questa sia stata omessa. Il contesto normativo è favorevole, pur essndo ancora lontani da un FOIA italiano, ma i dati effettivamente messi a disposizione sono ancora carenti. La normativa sul diritto all’accesso riguarda solo quei dati per i quali è previsto l’obbligo di pubblicazione e richiede un interesse qualificato, non è sufficiente che ci sia un pubblico interesse. “Al Centro Nexa abbiamo realizzato un monitoraggio sul rispetto degli obblighi di trasparenza, analizzando 595 dataset, per un totale di 119 comuni: il 25% dei dataset censiti risulta mancante – spiega Morgando –. È vero che il 75% c’è ed è una buona percentuale, ma per quel quarto mancante sono previsti delgi obblighi e delle sanzioni. Senza considerare la questione dei formati: di quelli pubblicati, il 49% è in PDF, difficilmente processabile in modo automatico; alla fine quelli rilasciati in formato veramente aperto, machine readable, sono solo il 25%”. La situazione è in costante miglioramento, l’ANAC è finalmente operativa, ma siamo ancora lontani da uno scenario ottimale. L’obbligo è chiaro, le modalità di realizzazione non altrettanto. “La speranza è che l’AgID fornisca le specifiche tecniche su come pubblicare i dati – aggiunge Morgando –. Bisognerebbe fornire delle linee guida dettagliate, con delle tabelle standard, non sarebbe una forma di ingerenza nella libertà delle amministrazioni locali, ma un aiuto. In questo senso l’Emendamento Quintarelli potrebbe aiutare a migliorare le cose”.

Se adeguatamente utilizzato, l’istituto dell’accesso civico può svolgere un ruolo importante nell’accelerazione del processo e progetti come “Chiedi!” di Diritto di Sapere, che offre assistenza per esercitare il diritto di accesso alle informazioni, sono strumenti molto preziosi. Indipendentemente dalle evoluzioni dell’accesso civico, rimane sempre aperta la qustione dell’adozione di un Freedom of Information Act italiano. “L’accesso civico non è un passaggio verso il FOIA, ma non mi sembre nemmeno una foglia di fico, per rimandarne l’adozione. Mi sembrano complementari – conclude Morgando –. L’accesso civico serve per sanare un bug, ma è necessario avere anche un FOIA forte per poter richiedere anche informazioni non standardizzate, senza dover dimostrare un interesse qualificato del richiedente”.