Politiche pubbliche data driven: GDPR e sfide privacy nella PA

Dati personali e non personali nelle politiche pubbliche data driven

Non è detto che una Pubblica Amministrazione debba usare queste soluzioni tecnologiche per analizzare e consultare dati personali. Ottime politiche pubbliche data driven possono essere ottenute utilizzando dati non personali (es. dati geologici, dati metereologici, dati sull’agricoltura). Tuttavia, in alcuni casi, occorre attingere a insiemi di dati misti composti sia da dati non personali che da dati personali. In altri, per orientare in modo più moderno e incisivo l’azione pubblica, occorre attingere solo a dati personali.

Ad esempio, l’intelligenza artificiale può aiutare le Pubbliche Amministrazioni:

• a personalizzare i programmi di sostegno a cui possono avere diritto le persone in cerca di lavoro,
• a fare analisi predittive dell’evoluzione del tasso di disoccupazione, basata sull’analisi di variabili socioeconomiche,
• a identificare le esigenze future in termini di formazione e competenze, in base ai probabili sviluppi nel mercato del lavoro.

La strategia nazionale e le sfide dell’innovazione

Nel Piano Triennale per l’informatica nella Pubblica Amministrazione (edizione 2024 – 2026), AgID afferma che «la valorizzazione del patrimonio informativo pubblico è un obiettivo strategico per la Pubblica Amministrazione per affrontare efficacemente le nuove sfide dell’economia basata sui dati […] e fornire ai vertici decisionali strumenti data-driven da utilizzare nei processi organizzativi e/o produttivi». Tuttavia, «ancora limitati sono gli investimenti verso l’introduzione di soluzioni digitali che puntino su tecnologie innovative data-driven o verso le nuove frontiere definite dall’adozione di sistemi di intelligenza artificiale».

La prospettiva internazionale e gli ostacoli normativi

L’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) reputa il governo digitale essenziale per trasformare i processi e i servizi delle amministrazioni e per migliorare il grado di reattività e affidabilità del settore pubblico, e aggiorna periodicamente un Indice del governo digitale. Secondo l’OCSE, «nonostante alcuni progressi, trasformare la promessa dei dati in risultati tangibili, misurabili e coerenti rimane in gran parte un obiettivo difficile da raggiungere. Nel settore pubblico, il ruolo dei dati nella trasformazione digitale in corso si è scontrato con tecnologie obsolete, carenze di competenze e ostacoli legali».

Col tempo, l’obsolescenza delle tecnologie e la carenza di competenze si riducono. Invece, gli ostacoli legali – soprattutto quelli “percepiti” – rimangono importanti, e sono in buona misura legati all’onerosità delle norme a protezione dei dati personali, e al timore delle Pubbliche Amministrazioni di sbagliare.

Il framework normativo per le politiche pubbliche data driven

Infatti, quando una Pubblica Amministrazione vuole trattare dati personali per meglio gestire le sue politiche, deve rispettare il GDPR e la legislazione nazionale (in Italia, il codice privacy). Spesso, le Pubbliche Amministrazioni tergiversano nell’adozione di politiche pubbliche data-driven perché fanno fatica a predisporre la base giuridica necessaria per il trattamento di dati personali ad esse correlato. Soprattutto se per le politiche in questione ci sono in gioco dati sensibili (cosa che può accadere, ad esempio, se queste politiche riguardano il lavoro), le Pubbliche Amministrazioni sembrano intimidite dalla messa a punto del complesso framework normativo multilivello previsto dal codice privacy.

Differenze tra ricerca statistica e finalità di governo

Prima di vedere com’è costruita la normativa italiana, è bene chiarire che i trattamenti di dati funzionali a politiche pubbliche data driven non possono avere come finalità la ricerca statistica in ambito pubblico. Quest’ultima è svolta dal Sistema statistico nazionale (SISTAN) e da enti regionali preposti. Certo, la ricerca statistica fornisce elementi utili alle Pubbliche Amministrazioni. Tuttavia, i metodi e i tempi della ricerca statistica non sono sempre compatibili con la necessità di politiche pubbliche data-driven. La ricerca statistica è articolata su tempi lunghi ed ha un forte grado di continuità: alcuni fattori vengono riconsiderati su base periodica, fornendo aggiornamenti. Per le politiche pubbliche data-driven, i soggetti pubblici devono usare uno stile di interrogazione e di analisi diverso da quello della ricerca statistica, più flessibile e smart.

La disciplina normativa per la statistica pubblica

I trattamenti di dati personali a fini di ricerca statistica sono disciplinati dalla legge e da fonti secondarie in modo esaustivo. Sulla scia della precedente legislazione a protezione dei dati personali, formatasi alla fine degli anni ’90 sotto l’ombrello della Direttiva 95/46/CE, il Titolo VII di Parte II del codice privacy dedica spazio alla statistica pubblica, con norme dedicate e con un supplemento di apposite regole deontologiche.

La definizione della finalità di governo

I trattamenti di cui parliamo non sono qualificabili come trattamenti a fini di ricerca statistica, bensì come trattamenti a fini di governo. La finalità di governo non è definita in modo omogeneo nel nostro ordinamento. Per l’ambito sanitario, la materia della «programmazione, gestione, controllo e valutazione dell’assistenza sanitaria» viene indicata fra le materie per le quali i trattamenti di dati sensibili soddisfano un rilevante interesse pubblico (art. 2-sexies codice privacy). Inoltre, la «programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria» viene espressamente citata dall’art. 12 legge 221/2012 ed enunciata fra le finalità del trattamento connesso al FSE 2.0 nel D.M. 7/8/2023. Per altri ambiti, non c’è una definizione normativa generale; dunque, è bene che il preciso contenuto della finalità di governo perseguita venga definito in leggi, in atti normativi secondari (regolamenti), in leggi regionali, ecc.

I riferimenti normativi del GDPR

Giacché la finalità di governo non è sovrapponibile a quella di ricerca statistica, le Pubbliche Amministrazioni che vogliano impostare politiche pubbliche data-driven trovano nelle norme a protezione dei dati personali per i trattamenti a fini statistici indicazioni utili, ma non tutto ciò che occorre per operare. Devono fare qualcosa di più e di diverso, che è definito anzitutto dal GDPR, poi da due norme del codice privacy.

L’art. 6. 1, lettera e) del GDPR afferma la liceità del trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Sempre l’art. 6, al par. 3, chiarisce che la base su cui si fonda il trattamento dei dati necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri deve essere stabilita dal diritto dell’Unione Europea o dal diritto dello Stato membro cui è soggetto il titolare del trattamento.

La normativa nazionale può contenere disposizioni specifiche per adeguare l’applicazione delle norme del GDPR, tra cui: «le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto».

Il trattamento dei dati sensibili

All’art. 9.1. lettera g), il GDPR ammette il trattamento di dati sensibili «per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato».

Il doppio binario del codice privacy italiano

Nel codice privacy – specialmente dopo l’emendamento introdotto con il Decreto Capienze (D.L. 139/2021) – abbiamo un doppio binario: per i dati personali “comuni”, la maggiore semplificazione permessa dal GDPR; per i dati sensibili, un’integrazione del “minimo necessario” previsto dall’art. 9.1. lettera g) citato con l’obbligo per i soggetti pubblici di dare corpo ad alcune voci suggerite (ma non imposte) dal GDPR all’art. 6.3.

Trattamento dei dati comuni secondo l’art. 2-ter

Secondo l’art. 2-ter del codice privacy, soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri possono trattare dati personali “comuni” (cioè non sensibili):

a) se c’è una norma di legge o di regolamento o un atto amministrativo generale che lo prevede;

b) se è necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad esse attribuiti.

Dovendosi escludere, allo stato, che l’uso di soluzioni tecnologiche di data analytics, data mining e data visualization sia qualificabile come necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad esse attribuiti, alle Pubbliche Amministrazioni resta la via sub a): la messa a punto (anche mediante mero atto amministrativo generale) di una norma che preveda tale trattamento.

Trattamento dei dati sensibili secondo l’art. 2-sexies

Secondo l’art. 2-sexies del codice privacy, soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri possono trattare dati sensibili solo se c’è una norma di legge o di regolamento o un atto amministrativo generale che specifica:

i) il motivo di interesse pubblico rilevante;

ii) i tipi di dati che possono essere trattati;

iii) le operazioni eseguibili;

iv) le misure appropriate e specifiche.

Le complessità attuative per le pubbliche amministrazioni

Pochissime Pubbliche Amministrazione hanno dato corpo all’art. 2-sexies del codice privacy, dotandosi delle norme indicate. Ciò dipende dalla complessità di attuazione della norma.

Essa implica una mappatura dei dati personali che si intende trattare (possibile solo grazie a un paziente lavoro collegiale), una descrizione delle operazioni che si intende effettuare sui dati personali avvalendosi delle strumentazioni a disposizione (tra cui incrocio o meno tra dati di estrazione diversa), e una descrizione delle misure tecniche ed organizzative che si intende attuare (fra cui la pseudonimizzazione dei dati, tutte le volte in cui non è possibile anonimizzare tout court i dati con un mix di metodologie tali da non consentire più di identificare gli interessati).

Analisi dei rischi e valutazione d’impatto

Le misure possono essere individuate solo a valle di una complessa analisi dei possibili rischi a carico degli interessati (cittadini): rischi di re-identificazione, di mancato rispetto dell’auto-determinazione informativa dei singoli, di discriminazione fra cittadini, che l’algoritmo riproduca pregiudizi (tenendo presente che l’utilizzo di algoritmi complessi nel processo di data analytics può comportare risultati inattesi, che potrebbero essere lesivi di interessi individuali e porsi in violazione del principio di correttezza del GDPR). L’analisi dei rischi e la messa a punto delle misure devono avvenire nel contesto dello svolgimento – da parte della Pubblica Amministrazione – di una Valutazione d’impatto (DPIA) ai sensi dell’art. 35 del GDPR. Inoltre, quando soggetti del settore pubblico introducono nuovi trattamenti di dati sensibili devono consultare il Garante.

Le difficoltà implementative dopo sette anni di GDPR

Nonostante siano trascorsi sette anni dall’operatività del GDPR e dalla riforma del codice privacy, si coglie una oggettiva difficoltà per molte Pubbliche Amministrazioni di mettere a punto, per i trattamenti a fini di governo, discipline capaci di descrivere in modo compiuto i singoli scopi d’interesse pubblico che intendono perseguire, gli usi che intendono fare dei dati personali e le soluzioni tecnologiche (mezzi del trattamento) che pensano di usare. Ciò rallenta molto l’uso dei Big Data per il management delle politiche pubbliche.