Imprese sotto i raggi X delle pubbliche amministrazioni
Imprese al setaccio elettronico delle pubbliche amministrazioni. I controlli sulle attività economiche saranno svolti raccogliendo tutte le informazioni archiviate nei data base degli enti pubblici, che dovranno parlarsi tra loro (in gergo, dovranno essere interoperabili) nel tempo di un click. Lo prevede la lettera g) del primo comma dell'articolo 27 della legge annuale per il mercato e la concorrenza 2021, approvato definitivamente dal senato il 2 agosto scorso. Il tema affrontato è quello delle ispezioni amministrative, che avranno sempre un peso maggiore nel lavoro degli enti pubblici.
La quantità dei compiti di controllo, infatti, cresce con il numero dei procedimenti in cui si applicano silenzio-assenso, comunicazioni e segnalazioni di inizio attività e quelli lasciati alla libera iniziativa dei privati. La p.a. farà sempre meno autorizzazioni e sempre più ispezioni. “Più semplificazioni” è una formula che va a braccetto con “più vigilanza” a posteriori rispetto all'avvio della attività economica. Segue esattamente questi binari anche la legge sulla concorrenza 2021, la quale, non a caso, fornisce la base d'appoggio per la stesura di norme sulla circolarità delle informazioni funzionali al controllo sui soggetti economici.
E la privacy? Per il momento è oggetto di un rituale richiamo, che porterà a una serie di conseguenze, che è opportuno analizzare con il dovuto anticipo.
Innanzi tutto, la norma: per ora è una delega al governo, incaricato di scrivere decreti legislativi sui controlli sulle imprese, nei quali disciplinare il potere di accedere ai dati e di scambiarsi le in formazioni da parte dei soggetti che svolgono funzioni di controllo ai fini del coordinamento e della programmazione dei controlli anche attraverso l'interoperabilità delle banche dati.
Le imprese, conferma la lettera g) in commento sono soggette a regole delimitanti la possibilità e/o la modalità di svolgimento delle loro attività e gli enti deputati alle verifiche possono essere più di uno e ciascuno di essi potrebbe sfornare atti di controllo, con i quali lo svolgimento dell'attività economica sia confermato, limitato o inibito.
Tutte questa mole di compiti e atti ispettivi svolti, e lo stesso altri dati rilevanti per la pianificazione ed esecuzione dei controlli da fare, così come, infine, una fonte particolare, esplicitamente citata dalla lettera g) in esame, ovvero il fascicolo di impresa (articolo 43-bis del Dpr 445/2000), compongono una base informativa di tale importanza, qualitativa e quantitativa, da determinare il cambio di passo nella vigilanza amministrativa.
Tale base informativa, al contempo, rappresenta l'oggetto di attenzioni, precauzioni e cautele imposte dalla normativa sulla privacy e sulla protezione dei dati.
Dove c'è un forziere pieno di ricchezza informativa, là si concentreranno sicuramente anche le mire di malintenzionati e malfattori.
Il legislatore delegato si trova, quindi, nella posizione di spiegare in dettaglio cosa possa significare per le pubbliche amministrazioni rispettare in quest'ambito il regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr) e il codice della privacy (dlgs 196/6003).
La norma in commento ha l'effetto di collegare in rete, ai fini del controllo sulle imprese, tutte le banche dati pubbliche e fornisce uno strumento di controllo potenzialmente illimitato, soprattutto se usato con algoritmi e sistemi di cosiddetta intelligenza artificiale.
L'incrocio di dati diventa sostanzialmente illimitato e a disposizione di qualunque ente. Una volta, infatti, che si mettono insieme dati, atti e documenti è breve il passo dall'avvalersi per consultare, incrociare ed elaborare tutto quanto con l'intelligenza dei robot e delle macchine calcolatrici.
Certo, di stretto diritto, il richiamo delle principali fonti sulla privacy è del tutto ridondante ed eccessivo: va da sé, infatti, che il legislatore è vincolato al rispetto dei regolamenti europei, che prevalgono sull'ordinamento del singolo stato membro. Ma, sul punto, bisogna sottolineare che la norma ha un valore simbolico, per prevenire eventuali future smemoratezze o sbadataggine legislative o amministrative.
Il richiamo del Gdpr, infatti, si trascina dietro, da un lato, un bagaglio di adempimenti per gli enti incaricati dei controlli e, dall'altro lato, un portafoglio dei diritti che gli interessati (persone fisiche) possono vantare nei confronti degli ispettori.
I trattamenti di dati personali, anche e soprattutto quelli svolti nel pubblico interesse, non devono né possono permettersi di essere un far west.
La norma in questione, anzi, rafforza la base giuridica dei trattamenti di dati nel corso di controlli amministrativi: sia l'articolo 27 della legge sulla concorrenza 2021 sia i decreti delegati attuativi costituiranno essi stessi la base giuridica richiesta dagli articoli 6 e 9 del Gdpr e dagli articoli 2-ter e 2-sexies del Codice della privacy. Ma questo non basta. Ci vuole una disciplina delle misure a garanzia degli interessati.
La costruzione di collegamenti del genere pianificato dalla disposizione in commento, in effetti, aumenta a dismisura il perimetro di attacco di possibili hacker e delinquenti cibernetici.
Sarà bene che il legislatore delegato ricordi alle pubbliche amministrazioni, impegnate nei controlli, di scrivere sempre preventivamente apposite scrivere valutazioni di impatto privacy, soprattutto quando fanno uso di tecniche parzialmente o totalmente automatizzate.
Sempre gli enti controllori devono verificare la tenuta della sicurezza informatica e fisica degli strumenti utilizzati.
Le pubbliche amministrazioni dovranno valutare le condizioni di sicurezza e arginare il più possibile l'eventualità di accessi indebiti, di sospensioni deleterie della disponibilità dei dati e di esfiltrazioni con o senza ricatto telematici.
E se si appaltano all'esterno fasi dei controlli, uguale rigore deve essere preteso dai fornitori esterni (di piattaforme, di applicativi, di software, di dispositivi, ecc.).
Le p.a. devono fare in modo di non accedere a tappeto a tutto quanto possibile, ma devono selezionare, anche con gli strumenti elettronici, ciò che è congruo, rispetto alla finalità di controllo, raccogliere e conservare e ciò che, invece, è eccessivo.
Una parte centrale degli adempimenti sarà da dedicare alla formazione del personale, concretamente addetto ai controlli, affinché non commettano errori nel trattamento dei dati, rischiando di aprire le porta a cyber-criminali.
Rispetto al rapporto con i cittadini, le norme sulla trasparenza “privacy” imporrano alla p.a. di illustrare, prima del controllo, le modalità del trattamento e come i cittadini potranno esercitare il diritto di accesso alle informazioni usate ed elaborate. Se le p.a. useranno profilazioni e sistemi automatizzati, la logica di questi strumenti dovrà essere resa nota anche in virtù dell'articolo 15 del Gdpr.
Si tratta di obblighi, quelli sopra descritti, sia quelli sulla sicurezza, sia quelli sulla trasparenza, sia quelli di portata organizzativa, che sono previsti a pena di sanzioni amministrative molto salate, che comunque graverebbero sulle spalle dei cittadini.
di Antonio Ciccia Messina (Fonte: Italia Oggi dell'8 agosto 2022)
