Ginevra Cerrina Feroni: «Vaccini nelle scuole, una Regione non può andare oltre la legge»

Il vicepresidente del Garante per la privacy, che si sta occupando del caso Puglia: «Va protetta la dignità dei singoli, specie i minori».Ginevra Cerrina Feroni, professore ordinario di Diritto costituzionale, è la vicepresidente del Garante per la protezione dei dati personali. Garante che, dopo la denuncia de La Verità, ha inviato una richiesta di informazioni alla Regione Puglia sul progetto di legge che introduce l’obbligo per gli studenti di scuole medie, superiori e università, di presentare una certificazione di avvenuta o mancata vaccinazione al Papilloma virus (Hpv) per potersi iscrivere ai relativi corsi di istruzione. Senza entrare nel dettaglio dell’istruttoria, ancora aperta, può dirci su come il Garante porta avanti la tutela dei minori in casi come questo? Ma soprattutto in base a quale diritto la scuola chiede agli studenti di rivelare dati personali che non sono richiesti ai fini dell’iscrizione (come le vaccinazioni obbligatorie, ad esempio)? Perché si assiste a disinvolte intrusioni di soggetti che rappresentano un’autorità, come l’istituzione scolastica, nella sfera personale di soggetti, gli alunni, che si trovano in una posizione di soggezione?«La domanda è paradigmatica perché centra due questioni dirimenti per il Garante: la tutela dei minori e la libertà delle scelte sanitarie, siano esse terapeutiche in senso stretto o di profilassi come appunto per i vaccini. Come insegna la pandemia, la privacy rappresenta il baricentro del rapporto tra libertà ed esigenze pubbliche, tra le quali appunto quelle sanitarie, considerando che l’art. 32 della Costituzione qualifica la salute come diritto fondamentale ma anche interesse “della collettività”, da tutelare, tuttavia - ed è profilo dirimente - con il vincolo ineludibile dei “limiti imposti dal rispetto della persona umana”. In questa duplice dimensione del diritto alla salute - quale appunto diritto individuale, fondamentale, e quale “bene comune” - la privacy gioca un ruolo arbitrale capace di tracciare il limite oltre il quale le esigenze di sanità pubblica non possono, appunto, spingersi senza violare la dignità personale, tanto più qualora siano coinvolti minori. La questione vaccinale è, in questo senso, determinante, non potendo in alcun modo le Regioni imporre trattamenti di dati “sensibili” quali quelli sanitari o sulle scelte di profilassi, oltre quanto previsto dalla legge statale. Lo ha chiarito la stessa Corte costituzionale con la sentenza 164/22 che, decidendo il conflitto di attribuzioni proposto dalla Provincia autonoma di Bolzano avverso il Garante per il provvedimento di limitazione del trattamento relativo alle certificazioni Covid richieste dalla Provincia per ambiti ulteriori rispetto a quelli previsti dalla legge statale, ha confermato la correttezza del nostro provvedimento».La grande prova digitale è stata la pandemia. È stata superata? All’epoca in tanti chiedevano la compressione di libertà e diritti per contrastare il virus. Il Garante è stato molto attivo nell’attività di bilanciamento fra diritti diversi. Se ci trovassimo domani in una nuova pandemia, pensa che ci sarebbe la stessa richiesta di controllo massivo dei cittadini, con app di ogni tipo, che ci fu nel 2020, o che il problema sarebbe affrontato in maniera più equilibrata?«L’esperienza della pandemia ci ha segnati e ci ha anche insegnato molto. È stata il primo, vero, banco di prova del nuovo quadro giuridico europeo sulla privacy, reso applicabile dal 2018, rispetto a una vera e propria emergenza. E in quell’occasione la privacy ha dimostrato come la sua forza sia paradossalmente proprio nella sua “mitezza”, nel suo essere cioè un diritto mai “tiranno”, ma capace di coniugarsi con i diritti con i quali di volta in volta viene in gioco. In questo consiste la funzione sociale che il Garante espressamente le assegna. Ovvero la capacità di modularsi sulla base del contesto in cui si inserisce, ferma restando la sua essenza insopprimibile: tutelare la persona, la sua dignità, la sua libertà rispetto ai rischi di strumentalizzazione che possano derivarne. Nel corso della pandemia questo ha voluto dire rendere la privacy - con decisioni coraggiose e aggiungerei anche talora scomode - uno dei presidi cruciali capaci di impedire derive da Stato di eccezione che, come noto, non è ammesso nel nostro ordinamento. Quella da Covid-19 è stato il primo grande “stress test” per la complessiva tenuta della disciplina di protezione dati personali. E il bilancio lo giudico positivo. Certo se si allarga, invece, l’orizzonte alla più generale tenuta dei diritti e delle libertà costituzionali, compressi durante la pandemia come mai era successo in oltre 70 anni di storia repubblicana – penso tra tutti all’incisione del diritto al lavoro, asse fondante addirittura della nostra forma di Stato – si tratta di un precedente che costituzionalmente pesa non poco. Quella esperienza ci lascia degli insegnamenti importanti. Tra questi, uno dei principali è probabilmente quello di utilizzare la tecnica come alleata, mai nemica delle libertà, sfruttandone le potenzialità per ampliare, non per restringere i diritti. È la grande sfida che oggi ci pone l’intelligenza artificiale: la tecnica dev’essere al servizio dell’uomo, mai viceversa».Che sfide pone l’Ai Act alle autorità garanti? Fisco, sanità, lavoro, istruzione: tanti settori sono interessati dai trattamenti automatizzati che devono allenare algoritmi con dati esatti e di qualità, bisogna dunque consentire l’accesso ai propri dati ma pure la possibilità di opporsi a trattamenti illeciti. La rete di principi esiste, ma sono applicati?«L’intelligenza artificiale lancia una sfida, che non ha precedenti. Una rivoluzione tecnologica ma anche sociale, economica, antropologica che innesca cambiamenti tali da rappresentare una nuova esperienza della dimensione umana e che tocca il cuore delle democrazie, ovvero il tema del potere, in tutte le sue declinazioni. Compito irrinunciabile del diritto è governare questa innovazione rendendola una chance positiva per tutti e impedendo violazioni dei diritti e delle libertà dei cittadini. Del resto - come osservava già Rodotà molti anni fa - non tutto ciò che è tecnicamente possibile è per ciò solo giuridicamente lecito, nonché socialmente accettabile. Naturalmente il governo dell’innovazione esige un apparato di governance adeguato, che assicuri in primo luogo la corretta applicazione delle garanzie previste. Il Garante vanta, da questo punto di vista, un’esperienza consolidata; le sole norme generali al momento vigenti (e che l’Ai Act salvaguarda) sull’intelligenza artificiale sono del resto quelle sancite dal Garante, su cui si fondano provvedimenti importanti dell’Autorità, come ad esempio quello su Chat Gpt. Merita ricordare che l’Ia esiste nella misura in cui esistono i dati, specie quelli di natura personale. È anche per questo che sarebbe stato opportuno valorizzare l’Autorità di protezione dati personali nella regolazione dell’intelligenza artificiale, come peraltro suggerito anche dal Garante e dal Comitato europeo della privacy. Prendiamo atto che il ddl governativo compia su questo scelte diverse». Una sua opinione sul 5g: combinato con l’Iot (Internet delle cose) e con l’Ia, determinerà un cambiamento epocale perché genererà una massa enorme di dati anche personali, come si potrà definire il confine tra dato e dato personale? Come governare questo motore di sviluppo rendendolo sostenibile dal punto di vista costituzionale? «Di questo, in particolare, si occupa il Data Act da poco approvato. La coerenza complessiva del sistema dipenderà però, molto, dal sistema di governance che sarà delineato a livello interno e che sarebbe coerente incardinare sul Garante, per ridurre gli oneri amministrativi senza tuttavia rinunciare, in alcun modo, alle garanzie per la tutela della persona». Come si conciliano le esigenze di sicurezza nazionale con la protezione della privacy dei cittadini? «La Carta dei diritti fondamentali dell’Ue sancisce, in un articolo unico, il diritto “alla libertà e alla sicurezza”, rendendo l’una complementare all’altra: due aspetti inscindibili e sinergici dello stesso diritto, mai un gioco a somma zero. Il nostro ordinamento ha sancito icasticamente questa sinergia, estendendo (pur con le dovute modulazioni) la disciplina interna di protezione dati al settore della sicurezza nazionale, escluso dall’ambito applicativo del Garante della privacy (come di tutto il diritto europeo). In questo modo, le esigenze di sicurezza nazionale sono perseguite in maniera efficace, ma assicurando comunque ai cittadini le dovute garanzie». Lo sharenting è la condivisione sui social di immagini di bambini e dei propri figli da parte anche di molti influencer. Si parla di educazione digitale nelle scuole, ma il problema a volte sembra essere più rappresentato dagli adulti…«Lo sharenting comporta rischi significativi per l’identità digitale del minore e, quindi, la corretta formazione della sua personalità. Inoltre, ogniqualvolta la diffusione delle immagini non sia da lui condivisa, essa rischia di creare tensioni anche importanti nel rapporto tra genitori e figli. È necessario, dunque, rendere i genitori consapevoli dei pregiudizi cui l’esposizione, in rete e, quindi, tendenzialmente per sempre, delle foto dei figli può esporli, anche in termini di utilizzo delle immagini a fini pedopornografici, ritorsivi o, comunque, impropri da parte di terzi. C’è bisogno di un messaggio culturale forte per la costruzione di modelli educativi che recuperino, a partire dalla funzione genitoriale, il senso del limite, del pudore, della riservatezza». Le nuove normative europee sono davvero in grado di contemperare le esigenze poste dall’innovazione tecnologica e un’adeguata tutela dei dati degli utenti digitali? «La tecnologia deve essere progettata, prima ancora che utilizzata, in modo da essere privacy-friendly: questa è la sfida da affrontare per porre la tecnica al servizio dell’uomo e delle sue libertà. La strategia europea del digitale, composta da un’articolata serie di norme tra le quali anche (ma non solo) il Dsa e il Dga va in questo senso, delineando una regolazione democraticamente sostenibile del capitalismo delle piattaforme, alternativa tanto al liberismo americano quanto al dirigismo cinese, in linea con i valori europei tra i quali, in primo luogo, la tutela delle libertà».