Emergenza epidemiologica da Covid-19: è la locuzione che, variamente declinata, con insistenza fa capolino nella Relazione di attività riferita al 2020. Anno che rimarrà (contras)-segnato dalla pandemia, i cui effetti si sono prodotti − e non poteva essere diversamente − anche sui temi portati all’attenzione dell’Autorità e sulla sua stessa operatività che, pur nella modalità di “lavoro agile” (parr. 25.3 e 25.5) e ad eccezione dell’inevitabile flessione delle attività ispettive in loco (cap. 18), non ha tuttavia subito battute d’arresto. Ed anzi, specie nei settori variamente connessi all’emergenza sanitaria, essa ha registrato − anche in seno al Comitato europeo per la protezione dei dati (cfr. par. 21.1) come pure in tutti i gruppi di lavoro sovranazionali (cfr. par. 21.3) − una severa impennata. Il Garante, infatti, sin dal primo manifestarsi della pandemia, è stato immediatamente “catturato” (con una pressione che tuttora non si allenta) dai riflessi dell’articolata risposta istituzionale approntata per fronteggiare, sul piano sanitario (cap. 5) e su quello economico-sociale (parr. 4.1 e 4.2), gli effetti della pandemia; risposta largamente incentrata sul trattamento, anche massivo, di informazioni personali (non di rado di particolare delicatezza). Se, in questa prospettiva, la punta dell’iceberg è stata rappresentata dal processo di “costruzione” (e co-produzione con le autorità sanitarie) del sistema di allerta Covid-19 (cd. app Immuni) (par. 5.1) − che nella volontarietà dell’adesione individuale ha avuto uno dei suoi tratti caratterizzanti, comune agli ordinamenti europei (e, in generale, alle democrazie occidentali) (cfr. par. 21.1) −, invero ogni istante della vita della nostra comunità, nella sua quotidianità vieppiù “dislocata” (e poi forzatamente rinserrata) su piattaforme digitali, ha sollevato questioni (di libertà) rispetto alle quali il Garante è stato chiamato a pronunciarsi. La migrazione forzata di larga parte delle nostre vite dalla dimensione materiale allo spazio virtuale (non meno reale), fenomeno già marcato nell’era pre-Covid, ha segnato un (forse irreversibile) punto di svolta: la virtualizzazione delle vite dei nostri giovani − riversate sui social network e scandite dalla didattica a distanza in scuole, di ogni ordine e grado, ed università (par. 4.3) − e di parte significativa del mondo del lavoro, con la generalizzazione, ovunque possibile, del cd. lavoro agile (par. 13.2), l’alimentazione dei (sempre più) numerosi e interconnessi database gestiti dal Sistema sanitario nazionale, come pure di quelli che raccolgono i destinatari delle più varie provvidenze economiche (cfr. par. 4.2) e dei benefici fiscali (par. 4.1) − nonché sovente dei rispettivi nuclei familiari −, hanno imposto una risposta pronta e scandita dal trattamento elettronico dei dati. Informazioni, spesso confluite in archivi fattisi massivi e soggetti a sempre più insidiosi data breach (cfr. cap. 16), che richiedono da parte di tutti gli attori una vigilanza attenta rispetto alle implicazioni sui diritti individuali. Entro questa cornice, la corretta configurazione dei sistemi informativi approntati (o potenziati) per far fronte agli interventi (di varia natura) posti in essere per contrastare la pandemia o attenuarne gli effetti (anche economici) è stata la chiave di volta dell’intervento del Garante. Principi di minimizzazione e finalità, principi della privacy by design e della privacy by default, valutazione di impatto e misure di sicurezza − parole chiave introdotte, ma più spesso solo rinverdite, dal RGPD −, lungi dall’essere riducibili ad una sorta di litania di adempimenti percepiti o “contrabbandati” come puramente burocratici, si sono confermati quali architravi per la corretta edificazione, rimessa anzitutto ai titolari del trattamento (sotto le insegne del principio di responsabilizzazione), di qualunque infrastruttura informativa, e certo di quelle messe in campo dal legislatore per accompagnare la risposta istituzionale agli effetti della pandemia. Nella convinta consapevolezza che il “diritto alla protezione dei dati personali non appare […] come una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale” (cfr. Corte di giustizia, 9 novembre 2010, cause riunite C-92/09 e C-93/09, Volker und Markus Schecke e Eifert, punto 48; Corte di giustizia, 5 maggio 2011, C-543/09, Deutsche Telekom, punto 51), non devono allora essere buttate alle ortiche le ragioni fondative della protezione dei dati personali rievocate, nella loro semplicità, nel monito di Giovanni Buttarelli: “Dati uguale potere. […] È un potere nelle mani di una cerchia relativamente ristretta. La protezione dei dati serve a imbrigliare questo potere così da metterlo al servizio del diritto di ciascuno al libero sviluppo della personalità: il diritto di pensare liberamente, di avere segreti, di dire quello che si vuole, di stringere e mantenere rapporti” (Privacy 2030. Una nuova visione per l’Europa, 2020, p. 12, doc. web n. 9457003). Pur nel farsi di un nuovo capitolo del diritto dell’emergenza, oggi quella sanitaria, a tali principi ha fatto costantemente riferimento il Garante, rinnovatosi nella sua composizione con l’insediamento del Collegio eletto dal Parlamento il 14 luglio 2020. La stella polare che ha guidato le scelte dell’Autorità (e le indicazioni dalla stessa fornite) è rimasta quella della (faticosa) ricerca della salvaguardia dei diritti fondamentali delle persone, in particolare della dignità, della riservatezza e del diritto alla protezione dei dati personali, rifiutando (come già in passato rispetto ad altre “emergenze”) di cadere nella trappola di sbrigativi aut-aut. Nel seguire (doverosamente) questa traiettoria, l’atteggiamento tenuto dall’Autorità è stato improntato ad una costante, leale e sollecita cooperazione istituzionale: lo attesta, se mai fosse necessario comprovarlo, l’intensa interlocuzione informale nei tavoli di lavoro (pur virtuali) e la serrata attività consultiva (con un elevato numero di pareri richiesti e non di rado ottenuti in tempi strettissimi, se non ad horas) rispetto ai più svariati interventi, in larga misura funzionali al contrasto degli effetti della pandemia (cfr. par. 3.1 e parte IV, tab. 2 e 3). Con soddisfazione, in relazione alla funzione “consulenziale” propria dell’Autorità nelle materie che incidono sulla protezione dei dati personali, si è registrata una più intesa interlocuzione nella fase di adozione di disposizioni rilevanti, anche di rango primario − in linea con la disciplina, sul punto innovativa, contenuta nel Regolamento generale in materia di protezione dei dati (cfr. artt. 36, par. 4, 57, par. 1, lett. c) e 58, par. 3, lett. b), del RGPD) −, ancorché non siano mancati casi nei quali l’interlocuzione con l’Autorità non è stata invece ricercata (profilo già evidenziato nella Relazione 2019, p. 6 e che torna quest’anno: cfr. par. 4.2.2, in relazione al tema dei bonus sociali, e par. 4.8, in materia di digitalizzazione della p.a.), taluni dei quali particolarmente significativi: si pensi, da ultimo, alla disciplina della certificazione verde per Covid-19 (cd. green pass) delineata dal decreto-legge del 22 aprile 2021, n. 52, che, in assenza di interventi correttivi, può determinare la violazione di rilevanti disposizioni del Regolamento (agli artt. 5, 6, par. 3, lett. b), 9, 13, 14, 25 e 32), come evidenziato dal Garante nel provvedimento di avvertimento del 3 maggio 2021, n. 104 (doc. web n. 9578184). Criticità, quelle evidenziate in questo caso, che oltre a risultare in violazione della legge, da un punto di vista formale, producono altresì l’effetto, sostanziale, di esporre a pregiudizio i diritti dei singoli, incardinando su basi normative malferme (sovente oggetto di successivi, dispendiosi, interventi correttivi) la conseguente azione amministrativa o lo sviluppo dell’iniziativa economica. A questo riguardo è allora necessario individuare (ma in molti casi semplicemente affinare), dal punto di vista procedimentale, strumenti e modalità efficaci (con tempistiche appropriate) che consentano a Parlamento e Governo, ogni qual volta chiamati ad intervenire in ambiti che possano toccare (specie se su larga scala o con effetti significativi sulle libertà individuali) il diritto alla protezione dei dati personali, di trarre pieno vantaggio dalla cooperazione istituzionale con l’Autorità. La dimensione globale (quantomeno delle questioni legate al trattamento delle informazioni personali) è, da tempo ormai, l’habitat naturale delle autorità di protezione dei dati. Se il “confinamento” imposto dalla pandemia ha portato all’azzeramento delle missioni internazionali, l’attività del Garante non è però rimasta neanche per un istante confinata all’ambito nazionale. Le restrizioni per contenere la diffusione della pandemia hanno portato infatti ad una sorta di “normalizzazione” dell’uso massivo delle piattaforme di comunicazione da remoto con un’attività di cooperazione che, specie con riferimento ai lavori svolti nell’ambito del Comitato, da puntiforme si è trasformata in confronto costante, con una moltiplicazione (senza precedenti) delle occasioni di scambio (e di crescita) tra rappresentanti delle autorità di protezione dei dati (cfr. parte IV, tab. 19). Tale intensa attività trova riscontro nella copiosa documentazione attraverso la quale il Comitato ha continuato a fornire indicazioni per un’attuazione coerente del RGPD, sia con riguardo ai suoi più ‘tradizionali’ ambiti di intervento (cfr. par. 21.1), sia con riferimento alle eccezionali misure prese, a livello nazionale ed europeo, per la lotta alla pandemia, sottolineando più volte che qualunque misura anche restrittiva delle libertà adottata in un contesto eccezionale come quello in corso, debba essere proporzionata e limitata al periodo dell’emergenza. In questo novero vanno inserite le linee guida in materia di titolare e responsabile del trattamento e sulla nozione di consenso, i numerosi pareri resi sui requisiti di accreditamento degli organismi di monitoraggio dei codici di condotta e degli organismi di certificazione predisposti da diverse autorità di controllo (tra cui la nostra) e quelli necessari per l’approvazione, da parte delle medesime, delle regole vincolanti di impresa (Bcr). E proprio in tema di trasferimenti di dati all’estero, non può non passare inosservata l’attenzione dedicata dal Comitato agli effetti sulle regole contenute nel Capo V del RGPD prodotti dalla sentenza Schrems II − con cui la Corte di giustizia ha confermato la validità delle clausole contrattuali tipo per il trasferimento di dati personali a responsabili del trattamento stabiliti in Paesi terzi, ma ha invalidato la decisione di adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy − sull’utilizzo degli strumenti ivi previsti e lo sforzo volto a fornire indicazioni chiare in ordine alle misure supplementari da adottare, ove gli ordinamenti dei Paesi terzi destinatari impongano agli importatori restrizioni tali da impedire il rispetto delle garanzie contenute negli strumenti stessi (parr. 17 e 21.1). 1.6. Sarebbe però limitativo (se non fuorviante) ritrarre l’impressione della pandemia (e delle questioni che intorno ad essa hanno ruotato) quale catalizzatore unico dell’attività del Garante e (tragico) “mattatore” nell’annus horribilis che abbiamo alle spalle. Ormai superata la prima fase della sperimentazione dei nuovi istituti introdotti con il RGPD, le risorse dell’Autorità sono assorbite in modo crescente nell’ambito della cooperazione europea, anzitutto attraverso la piattaforma IMI (cfr. parr. 12.9, 14.6 e 21.1 nonché, per indicatori numerici, la parte IV, tab. 10-12) tenuto anche conto del moltiplicarsi dei casi di rilevanza transfrontaliera e dei trattamenti effettuati dalle (poche e gigantesche) piattaforme e reti sociali che dominano la scena, con criticità che vanno via via emergendo: si pensi alla questione dell’accertamento dell’età online, oggetto dell’iniziativa del Garante nei confronti del colosso cinese TikTok (cfr. par. 9.4), alla tematica delle fake news (parr. 3.2 e 12.8) e agli interventi, ancora numerosi, in materia di deindicizzazione (par. 9.5). In ambito economico, come già in passato (cfr. da ultimo Relazione 2019, p. 8), si sono evidenziate le (persistenti) forti criticità rispetto ai trattamenti effettuati per finalità di (tele)marketing − con la correlativa irrogazione di sanzioni amministrative pecuniarie particolarmente severe nel settore telefonico ed energetico (se ne dà conto, rispettivamente, ai parr. 11.1.1 e 11.1.2) − e si segnala, a conforto dell’azione da tempo intrapresa dall’Autorità (per una più ampia panoramica sul contenzioso giurisdizionale si rinvia al cap. 20), la recente autorevole conferma dell’illiceità delle campagne telefoniche di cd. “recupero consenso” da parte della Corte Suprema di cassazione (cfr. Sez. I, ord. 26 aprile 2021, n. 11019, che ha confermato l’impugnata sentenza del Tribunale di Milano del 5 maggio 2017, n. 5022 e il provv. 22 giugno 2016, n. 275, doc. web 5255159), come pure delle conseguenze sanzionatorie derivanti dall’abusiva attivazione di schede telefoniche all’insaputa degli interessati (cfr. Cass. civ., Sez. II, ord. 20 aprile 2021, n. 10368, confermativa dell’ordinanza-ingiunzione 18 aprile 2013, n. 204, doc. web n. 2691090). Con riguardo alla materia, assai rilevante, dei codici di condotta, a compimento di un iter procedimentale articolato (comprensivo del parere favorevole del Comitato) è stato adottato il provvedimento contenente i requisiti per l’accreditamento a livello nazionale degli organismi di monitoraggio (strumento indispensabile per assicurare il corretto funzionamento dei codici di condotta, con procedimento definito nel settore delle informazioni commerciali e in prossimità di arrivo rispetto ai Sic) (par. 14.3). Nella prospettiva della cd. accountability, merita altresì ricordare l’adozione dei requisiti aggiuntivi per l’accreditamento (da parte di Accredia) degli organismi di certificazione, previo parere favorevole del Comitato (par. 14.7). La digitalizzazione crescente della società (cui la pandemia ha impresso un’accelerazione formidabile) e il programma di azione verso la trasformazione digitale − uno dei pilastri dell’azione politica già in essere a livello europeo (v. la Comunicazione della Commissione europea, 2030 Digital Compass: the European way for the Digital Decade, Brussels, 9.3.2021, COM(2021) 118 final) e nazionale (con il Piano nazionale di ripresa e resilienza) − presuppone una solida educazione (al) digitale e, al contempo, una consapevolezza piena e diffusa (a livello individuale e sociale) dei “diritti digitali” della persona: tra questi una posizione centrale spetta al diritto alla protezione dei dati personali (sulla scorta dell’art. 8 della Carta dei diritti fondamentali), oggetto di significativi interventi da parte della Corte di giustizia, da ultimo (nuovamente) con una serie di sentenze (richiamate al cap. 24) in materia di dati di traffico (che tornano ad interrogare anche la tenuta del quadro ordinamentale nazionale), oltre alla più volte ricordata pronuncia che ha invalidato il Privacy Shield (cd. Schrems II). E proprio per favorire un’accresciuta consapevolezza della dimensione dei diritti nella società tecnologica, l’Autorità, in varie forme, ha dato nuovo impulso alla propria comunicazione istituzionale (cfr. cap. 23) e continua ad investire (nei limiti delle risorse disponibili) su divulgazione e formazione (cfr. parr. 23.4 e 21.5). Ma il Garante pure richiede uno sforzo (responsabile) in capo ai titolari del trattamento, ribadendo l’importanza della figura del responsabile per la protezione dei dati (cfr. par. 4.6) e spingendosi a sollecitare con i propri provvedimenti, ove se ne siano ravvisati gli estremi, la promozione di adeguate iniziative formative da parte degli stessi titolari del trattamento: ciò è accaduto, ad esempio, nei confronti del Ministero dell’interno in relazione al personale, anche periferico, della Polizia di Stato, per assicurare, in un settore tanto delicato per la dinamica democratica (e oggetto della recente disciplina nazionale di recepimento della direttiva 680/2016), il puntuale rispetto dei diritti delle persone (cfr. par. 8.2). Nelle forme più opportune, un ampio coinvolgimento di scuole ed università (in relazione a queste ultime anche con riguardo alle facoltà tecnico-scientifiche) si fa sempre più urgente. Il processo in atto − che si è provato a tratteggiare e che, quanto alle attività realizzate, trova una dettagliata descrizione nella Relazione − richiede, sia consentito sottolinearlo, una cornice istituzionale solida e dotata di risorse strumentali e personali all’altezza della sfida: solo a queste condizioni il Garante (e, più in generale, le autorità di protezione dei dati) possono recare un contributo nell’interesse generale. Lo ribadisce, da ultimo, la Risoluzione del Parlamento europeo del 25 marzo 2021 sulla relazione di valutazione della Commissione concernente l’attuazione del regolamento generale sulla protezione dei dati due anni dopo la sua applicazione (2020/2717(RSP)), nella quale si invitano espressamente “gli Stati membri a rispettare il loro obbligo giuridico a norma dell’articolo 52, paragrafo 4, di dotare le loro autorità di protezione dei dati di risorse sufficienti per consentire loro di svolgere il proprio lavoro nel miglior modo possibile e assicurare parità di condizioni a livello europeo nell’attuazione del GDPR” (punto 17). Illusorio (se non pericoloso per una convivenza sociale democraticamente ordinata, prima ancora che per i diritti dei singoli) pensare alle sfide della cd. società dei dati − dei big data, oggetto di una (originale) prima indagine conoscitiva portata a termine nel 2020 dal Garante unitamente ad Agcm e Agcom (doc. web n. 9264297), e dell’intelligenza artificiale − prescindendo dal sistema valoriale sul quale, tra molte difficoltà e resistenze, l’Unione europea (e le Istituzioni nazionali con essa operanti) ha cercato di coniugare progresso tecno-scientifico e sociale e sviluppo integrale della persona.