CONOSCERE LA CAMERA
DEPUTATI e ORGANI PARLAMENTARI
EUROPA e ESTERO
Cerca nel sito
MENU DI NAVIGAZIONE PRINCIPALE
Vai al contenuto
Strumento di esplorazione della sezione Lavori Digitando almeno un carattere nel campo si ottengono uno o più risultati con relativo collegamento, il tempo di risposta dipende dal numero dei risultati trovati e dal processore e navigatore in uso.
salta l'esploraResoconti stenografici delle indagini conoscitive
Torna all'elenco delle indagini
Torna all'elenco delle sedute
Commissione I
3.
Mercoledì 17 marzo 2010
INDICE
COMMISSIONE I
AFFARI COSTITUZIONALI, DELLA PRESIDENZA DEL CONSIGLIO E INTERNI
Pag. 3
PRESIDENZA DEL PRESIDENTE DONATO BRUNO
Sulla pubblicità dei lavori.
Audizione del presidente dell'Autorità garante per la protezione dei dati personali, Francesco Pizzetti.
Pag. 4
Pag. 5
Pag. 6
Pag. 7
Pag. 8
Pag. 9
Pag. 10
Pag. 11
Pag. 12
Pag. 13
Pag. 14
Pag. 15
Pag. 16
Pag. 17
Pag. 18
Pag. 19
Pag. 20
Mercoledì 17 marzo 2010
Sulla pubblicità dei lavori:
Bruno Donato, Presidente ... 3
INDAGINE CONOSCITIVA SULLE AUTORITÀ AMMINISTRATIVE INDIPENDENTI
Audizione del presidente dell'Autorità garante per la protezione dei dati personali, Francesco Pizzetti:
Bruno Donato, Presidente ... 3 14 15 20
Calderisi Giuseppe (PdL) ... 14
Mantini Pierluigi (UdC) ... 14
Pizzetti Francesco, Presidente dell'Autorità garante per la protezione dei dati personali ... 3 14 15 17 18
Zaccaria Roberto (PD) ... 15 17 18
Sigle dei gruppi parlamentari: Popolo della Libertà: PdL; Partito Democratico: PD; Lega Nord Padania: LNP; Unione di Centro: UdC; Italia dei Valori: IdV; Misto: Misto; Misto-Movimento per le Autonomie-Alleati per il Sud: Misto-MpA-Sud; Misto-Minoranze linguistiche: Misto-Min.ling.; Misto-Liberal Democratici-MAIE: Misto-LD-MAIE; Misto-Repubblicani; Regionalisti, Popolari: Misto-RRP; Misto-Alleanza per l'Italia: Misto-ApI; Misto-Noi Sud/Lega Sud Ausonia: Misto-NS/LS Ausonia.
AFFARI COSTITUZIONALI, DELLA PRESIDENZA DEL CONSIGLIO E INTERNI
Resoconto stenografico
INDAGINE CONOSCITIVA
Seduta di mercoledì 17 marzo 2010
La seduta comincia alle 15,10.
(La Commissione approva il processo verbale della seduta precedente).
PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche attraverso l'attivazione di impianti audiovisivi a circuito chiuso, la trasmissione televisiva sul canale satellitare della Camera dei deputati e la trasmissione diretta sulla web-tv della Camera dei deputati.
PRESIDENTE. L'ordine del giorno reca, nell'ambito dell'indagine conoscitiva sulle autorità amministrative indipendenti, l'audizione del presidente dell'Autorità garante per la protezione dei dati personali, Francesco Pizzetti.
Ringrazio il professor Pizzetti per la sua presenza e gli do la parola per la relazione introduttiva.
FRANCESCO PIZZETTI, Presidente dell'Autorità garante per la protezione dei dati personali. Ringrazio, il presidente e la Commissione per aver invitato l'Autorità garante a quest'audizione, della quale non ci sfuggono né l'importanza né la rilevanza come tema, anche sotto il profilo costituzionale delle eventuali decisioni che il Parlamento vorrà adottare.
Ovviamente, non ci sottrarremo dal fornire un'opinione sui temi essenziali di un'indagine che ha come obiettivo l'analisi del ruolo e della posizione delle autorità indipendenti nell'ambito dell'ordinamento italiano in senso generale.
Ci consentirete però - penso che sia utile anche per la Commissione - di richiamare inizialmente gli aspetti essenziali e le peculiarità che caratterizzano l'Autorità garante per la protezione dei dati personali. Ci sembra opportuno da un punto di vista generale; proprio la specifica congiuntura nella quale quest'audizione si svolge e che vede indiscutibilmente e particolarmente attenta l'opinione pubblica sulle tematiche delle autorità indipendenti, sembra richiedere, a nostro avviso, una specifica esposizione delle caratteristiche principali della nostra autorità.
Come certamente sapete, l'Autorità garante per la protezione dei dati personali è stata istituita con la legge 31 dicembre 1996, n. 675. Si tratta, quindi, di un'autorità relativamente giovane, ma con un'esperienza ormai significativa alle spalle. Istituita da una legge del 1996, come ho ricordato, e, a seguito di interventi legislativi successivi, ha oggi il suo quadro di riferimento normativo nel cosiddetto Codice in materia di protezione dei dati personali, il decreto legislativo n. 196 del 2003, entrato in vigore il 1o gennaio 2004.
La nostra origine è legata all'attuazione della direttiva 95/46/CE, una direttiva di cosiddetto primo pilastro dedicata proprio
alla protezione dei dati che si inserisce nel quadro della piena realizzazione del mercato unico e delle quattro libertà fondamentali come previsto dal Trattato di Maastricht.
Voglio anticipare fin d'ora che è utile sottolineare che la nostra, in realtà, è un'autorità «plurima». Abbiamo, infatti, anche la competenza di partecipare all'autorità comune di controllo dell'Unione europea nell'ambito Schengen, il cui Trattato è ormai largamente comunitarizzato, nell'ambito del sistema Europol e del sistema Eurodac. Da questo punto di vista, dunque, con riferimento all'Unione europea, siamo quattro autorità in una, se così si può dire, nel senso che lo Stato italiano, così come gli altri Stati europei, ha deciso di assegnare a un'unica autorità compiti di controllo del trattamento dei dati che a livello europeo fanno riferimento a quattro diversi sistemi normativi, anche se sicuramente quello principale e predominante è la direttiva 95/46/CE nell'ambito del cosiddetto primo pilastro.
Tale direttiva ha avuto poi ulteriori integrazioni con direttive specifiche in materia di telecomunicazioni, così come la normativa di protezione dati nell'ambito delle attività di polizia e giustizia ha trovato nel 2008 un punto di riferimento generale nella decisione in materia di protezione dati in questo contesto.
Ciò spiega subito il nostro radicamento nell'ambito dell'Unione europea, il fondamento europeo proprio della nostra autorità, così come di tutte le altre autorità indipendenti che sono tali in senso proprio e non solo perché nell'ambito del sistema italiano si è ritenuto di assegnare anche ad altre istituzioni il nome di autorità.
Le autorità indipendenti in senso proprio sono dunque tutte quelle che hanno un radicamento in normative dell'Unione europea, prevalentemente collegate a direttive di primo pilastro, e che hanno in comune la specificità di rappresentare un raccordo fra i sistemi nazionali e quello europeo, il che rende ragione della loro caratteristica di essere autorità indipendenti. L'indipendenza è, infatti, un elemento essenziale per consentire all'Unione europea di contare su tali autorità per esercitare un'attività di stimolo, promozione e vigilanza in ordine all'attività statuale di attuazione delle direttive comunitarie di armonizzazione.
L'indipendenza di tali autorità non ha soltanto un fondamento di ordinamento interno, né è una scelta dello Stato italiano, ma rappresenta un fondamento di tipo europeo ed è un vincolo dello Stato italiano. Per questa ragione, ricordiamo sempre che l'indipendenza di tutte queste autorità - ripeto, di quelle che hanno un raccordo con direttive europee - è un vincolo.
Anche la tematica, sulla quale ritornerò, che ha molto interessato i miei colleghi delle discipline costituzionalistiche italiane, volta sempre alla ricerca di quale sia il fondamento costituzionale dell'indipendenza delle autorità, è fuorviante, perché tale fondamento non si trova in primo luogo né nel quadro interno, né nel quadro costituzionale, ma in quello europeo.
Devo sottolineare, perché reputo sia importante, che l'Autorità garante per la protezione dei dati personali, con l'entrata in vigore del Trattato di Lisbona, ha trovato legittimazione. È l'unica autorità indipendente, infatti, basata oggi su ben tre disposizioni del Trattato dell'Unione.
La prima è l'articolo 8 della Carta dei diritti fondamentali dell'Unione europea approvata a Nizza che oggi, in virtù dell'articolo 6 del Trattato dell'Unione europea, è entrata a far parte a tutto titolo, con piena efficacia vincolante, del nuovo Trattato europeo. Tale norma prevede specificamente, ai commi 1 e 2, quanto segue: «Ogni individuo ha il diritto alla protezione dei dati di carattere personale che lo riguardano. Tali dati devono essere trattati, secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica». Il comma 3 dell'articolo 8 recita: «Il rispetto di tali regole è soggetto al controllo di un'autorità indipendente».
Questa norma, di cui l'Unione europea ha preso atto fin dal 2000, ma che oggi, lo ribadisco, in virtù dell'articolo 6 del Trattato dell'Unione, è equiparata ai trattati, si accompagna a un altro articolo particolarmente importante e nuovo contenuto nel trattato medesimo, l'articolo 39, che estende alle attività di secondo pilastro, cioè di politica estera e sicurezza esterna, quello che noi siamo abituati a chiamare PESC, la protezione dei dati.
Anche questa norma, in un settore così nuovo e diverso, prevede che il rispetto di tali disposizioni sia soggetto al controllo di autorità indipendenti. Vincola, quindi, l'Unione europea. È un fatto di grandissima rilevanza, che vorrei fosse pienamente sottolineato, perché l'Unione europea ha compiuto una scelta importante con la volontà di assicurare la sicurezza esterna, come è proprio di un ordinamento democratico, che riconosce la protezione dati sia ai militari impegnati nelle attività di sicurezza esterna, sia ai soggetti, anche di altri Paesi, che si possono trovare a essere coinvolti nell'attività di enforcement tipica di questo settore. Sarà una regolazione difficile da mettere in atto, alla quale bisognerà dedicare molte attività operando con senso di responsabilità. Per intenderci, significa riconoscere alcuni diritti minimi in materia di protezione dati anche a un
checkpoint allestito per verificare e scongiurare che qualche sospettato cerchi di superare un punto di controllo militare posto nel quadro di un'attività di sicurezza esterna dell'Unione.
Come vedete, è una tematica di estremo interesse, che però mostra quanto la protezione dati e la presenza di autorità indipendenti siano entrate appieno a far parte del modo di essere e di rappresentarsi dell'Unione europea. È ovvio che occorreranno molta attenzione e senso di responsabilità, perché non sarà la stessa cosa disciplinare attività così delicate e pericolose per chi le pone in essere e la protezione dati nell'ambito tradizionale del primo pilastro.
Infine, nel Trattato sul funzionamento dell'Unione europea, che copre tutte le diverse attività dell'Unione, l'articolo 16, ai commi 1 e 2, ribadisce: «Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. Il Parlamento europeo e il Consiglio, deliberando secondo la procedura legislativa ordinaria, stabiliscono le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni, degli organi e degli organismi dell'Unione, nonché da parte degli Stati membri nell'esercizio di attività che rientrano nel campo di applicazione del diritto dell'Unione, e le norme relative alla libera circolazione di tali dati. Il rispetto di tali norme è soggetto al controllo di autorità indipendenti».
Da questo punto di vista, oggi l'Autorità garante per la protezione dei dati personali italiana, come quella di tutti gli altri 26 Paesi dell'Unione, rappresenta il modo di dare attuazione a un obbligo stabilito dal trattato da noi sottoscritto a Lisbona ed entrato in vigore il 1o dicembre 2009. Non possiamo, dunque, non sottolineare che la nostra attività e i compiti che ci spettano si collocano oggi a un livello ancora più elevato di responsabilità, che noi abbiamo sempre avvertito in questi anni e che certamente i nostri successori sentiranno non meno di noi.
Sempre per rendere conto di chi siamo al Parlamento - naturalmente, ne è perfettamente consapevole, ma è utile richiamarlo - l'autorità è guidata da un collegio composto di quattro membri, che nomina al suo interno il presidente. I quattro membri sono eletti due dalla Camera e due dal Senato con voto limitato. Si tratta, quindi, di un'autorità di totale e integrale designazione parlamentare. Il Governo non interviene nel procedimento di scelta dei membri di questo collegio.
L'autorità è, dunque, caratterizzata dall'avere un collegio piccolo, di soli quattro membri, paritario, nel quale il presidente gode di un doppio voto solo nel caso in cui ci sia una parità di voto in ordine a una deliberazione. Sottolineo con piacere, perché è un elemento che sarà richiamato da me anche quando vi
presenterò alcune proposte in ordine a ipotesi di uniformizzazione delle diverse autorità, che il nostro collegio, in più di dodici anni di vita, non ha mai deliberato se non all'unanimità. Non è mai stato necessario fare ricorso al voto del presidente e non si ricordano decisioni prese a maggioranza.
È un fatto importante da rilevare, perché evidenzia che, se un'autorità è guidata da un collegio ristretto, non solo si evitano rischi di eccessiva parcellizzazione nella rappresentanza, il che può anche determinare fenomeni che si usano richiamare con termini meno garbati, ma soprattutto si raggiunge più facilmente l'unanimità di vedute, perché sussiste una minore tendenza a rimanere prigionieri di giochi di ruolo ed è più facile sentire il senso collegiale della responsabilità.
Sia il mio predecessore, certamente in modo più autorevole di me, sia chi vi parla abbiamo sempre operato come presidenti, ma siamo sempre stati assolutamente sostenuti dalla solidarietà dei colleghi a ricercare il consenso generale, a volte anche rinviando, se necessario, e approfondendo le discussioni. Credo che sia molto importante sottolineare questo elemento.
A suo tempo, la legge aveva previsto la durata in carica di quattro anni, rinnovabili per un altro quadriennio. Oggi, con l'articolo 47-quater del decreto-legge 31 dicembre 2007, n. 248, convertito, con modificazioni, dalla legge 28 febbraio 2008, n. 31, l'autorità è stata uniformata alle altre: duriamo in carica sette anni, ma non siamo più rieleggibili. L'attuale collegio scadrà, quindi, all'inizio del 2012. Non essendo più rieleggibili, aspetto che io considero positivamente, ma che è opinabile - ci possono essere diverse opinioni in ordine all'opportunità di stabilire la non rieleggibilità o, al contrario, la rinnovabilità per un mandato - in sostanza quanto vi dirò, anche a nome dei miei colleghi, non ci riguarda, perché siamo ormai vicini allo scadere del nostro mandato. In questo senso, le nostre considerazioni rappresentano più un contributo offerto in uno spirito di
assoluto servizio, utilizzando l'esperienza che abbiamo maturato.
Ci avvaliamo di un ufficio di supporto totalmente dedicato all'autorità garante, ma che svolge una grandissima mole di lavoro, di cui vi darò anche alcuni riferimenti. Devo dire con sincerità che tale ufficio è composto quasi per la totalità di personale di altissimo livello e di grandissima professionalità, di età molto giovane. Esso è stato costituito grazie a una selezione sempre e realmente orientata a utilizzare il metodo meritocratico nella selezione di personale giovane molto preparato, mediamente in possesso non solo della laurea, ma anche di dottorati specifici o di un'esperienza professionale maturata precedentemente in settori specifici.
Si tratta di un ufficio molto snello: abbiamo un segretario generale, abbiamo la possibilità di nominare - ma non l'abbiamo mai fatto - due vicesegretari, abbiamo 199 dipendenti, di cui 98 di ruolo, 12 fuori ruolo e 14 a contratto. Di questi in servizio, oltre al Segretario generale, 15 sono dirigenti, 61 funzionari, 28 operativi e 14 a contratto.
Siamo anche un'autorità - mi permetto di affermarlo con la consapevolezza di dire la verità - che costa molto poco. A fronte della mole di attività che svolgiamo, abbiamo un bilancio che ha pareggiato nel 2009 24 milioni 890 mila euro, cifra relativamente modesta se dobbiamo far fronte ad altri tipi di realtà, tenendo conto del personale che abbiamo e che ci occupiamo di un campo sterminato di attività. In merito vi fornirò poi anche alcuni riferimenti rispetto ai dati quantitativi.
Sottolineo - è un elemento non privo di significato nell'ordinamento italiano - che sul nostro bilancio annuale il personale incide per poco più del 50 per cento. L'uso delle risorse è, dunque, ampiamente dedicato all'attività dell'Autorità e non solo al pagamento delle spese del personale.
Vi anticipo fin d'ora, ma tornerò su questo tema, che il nostro bilancio 2009 - la situazione del bilancio 2010 è ancora peggiore - ha avuto dallo Stato, come
entrata ordinaria, solo 13 milioni di euro, a fronte di un fabbisogno di 24 milioni. Vale la pena sottolineare che le entrate assicurate dallo Stato sono state di poco superiori alle spese minime necessarie per la retribuzione del personale. Al restante fabbisogno abbiamo fatto fronte grazie a un avanzo di amministrazione che una gestione molto oculata dei nostri predecessori e dell'attuale collegio aveva consentito.
Lo stesso avviene per il 2010, per cui il contributo annuale dello Stato è ancora inferiore e ancora più inadeguato, dal momento che siamo nettamente sotto il costo del personale. Sempre per il 2010 siamo stati in grado di far fronte alla situazione con l'utilizzo del nostro avanzo. Con questo ulteriore sforzo, tale avanzo è diventato per il futuro assolutamente inadeguato al funzionamento dell'autorità. È molto importante che il Parlamento lo sappia, perché non è un problema dell'autorità, ma del sistema Paese prendere in considerazione il fatto che un'istituzione così strategica rispetto al Trattato di Lisbona non può che richiedere una specifica attenzione. Certamente non è una nostra peculiarità, tutto il Paese è in sofferenza, però è mio dovere sottolinearlo.
Per quanto riguarda l'attività svolta, fornisco solo alcune cifre, che valgono quello che valgono; vi assicuro, però, che, se entrassimo negli aspetti sostanziali, sarebbero ancora più significative. Abbiamo emanato nell'arco di un anno 524 provvedimenti collegiali, ai quali si aggiunge poi tutta l'attività di ufficio, con le centinaia di migliaia di fascicoli risolti dai dirigenti nell'ambito delle loro competenze dirigenziali. Di questi, 321 sono stati i ricorsi, 32 i pareri dati al Governo, 14 i pareri dati ad altre autorità diverse da quelle governative in materia del trattamento dei dati sensibili e giudiziari, 171 i provvedimenti collegiali ulteriori rispetto ai ricorsi. Inoltre, abbiamo emanato 26 specifici provvedimenti relativi a misure di sicurezza da adottare in ordine a trattamenti particolari di dati personali; abbiamo svolto 2 verifiche preliminari; abbiamo effettuato più di 500 attività di ispezione e
controllo; abbiamo risposto a 1.058 quesiti e sono più di 6 mila i riscontri alle segnalazioni e ai ricorsi. A nome dell'autorità, ho partecipato, quest'anno, a tre audizioni parlamentari.
Sono dati grezzi, che naturalmente, se potessimo entrare nel merito, potrebbero diventare più interessanti. Mi basti ricordare che abbiamo dettato linee guida sul Fascicolo sanitario elettronico, che hanno anticipato persino le decisioni che toccherà poi al Ministero della salute formalizzare, cercando di omogeneizzare quest'innovazione nella sanità, che a oggi si sta sviluppando a macchia di leopardo, con sistemi diversi da regione a regione; abbiamo dettato linee guida particolarmente rilevanti sugli amministratori di sistema per la protezione delle reti telematiche; abbiamo concorso a dettare le linee guida per il trattamento dei dati del lavoro pubblico e di quelli trattati nello stesso ambito in via telematica; siamo impegnati nella rielaborazione delle linee guida sulla videosorveglianza; abbiamo svolto un'attività ispettiva impressionante per quantità rispetto alle banche dati dell'anagrafe tributaria e a tutti i raccordi fra il
sistema dell'anagrafe tributaria e quello degli enti territoriali, delle regioni, delle autorità nazionali e dei ministeri.
Siamo, inoltre, impegnati con un orizzonte amplissimo in materia di federalismo fiscale, perché l'attuazione della legge delega relativa comporta una quantità impressionante di flussi di dati fra i diversi soggetti del sistema, di creazione di banche dati, di omogeneizzazione dei sistemi di contabilità e via enumerando.
Siamo impegnati in molteplici attività che richiedono uno sforzo notevole; sarebbe utile una volta svolgere un approfondimento in una sede parlamentare su come dare attuazione alla cosiddetta trasparenza e alla conoscibilità, specialmente a quella che si avvale dei sistemi internet e dei siti delle amministrazioni, rispetto alle quali un conto è affermare che è bene che tutto sia noto, un altro cominciare a entrare nello specifico di che cosa è giusto che sia noto, a seconda dei tipi di attività.
Per esempio, se solo tenete conto che ci siamo trovati a doverci misurare con siti regionali nei quali erano stati inseriti nome, cognome, indirizzo e persino codice fiscale di chi godeva di contributi per malattie gravi o gravissime e per stati disabilitanti, credo che concorderemo tutti che forse questo è un eccesso di pubblicità, che può ledere gravemente la dignità delle persone destinatarie del contributo.
Siamo impegnati, in sostanza, su un grande spazio di attività. Stiamo anche cercando in tutti i modi di affiancare il processo della sicurezza urbana e la partecipazione dei sindaci e degli enti territoriali a questo sforzo importante, che richiede ovviamente di adottare misure adeguate al fine di evitare la sindrome del «Grande fratello» e, nello stesso tempo, assicurare efficacia alle misure che si prendono per integrare in modo utile per i cittadini il sistema delle polizie locali con le grandi banche dati di polizia nazionale.
Si tratta di un'attività della quale si parla meno, ma che è assolutamente rilevante e che ci colloca sempre più al centro di una rete di rapporti fra Stato, regioni ed enti territoriali, che, a mio avviso, è una delle altre facce della costruzione di un sistema federale ben funzionante. Peraltro, dovremo anche noi stessi cercare nuove forme di interazione con le regioni e gli enti locali.
Voglio poi ricordare, a conclusione di questa prima parte della mia relazione, che, proprio perché siamo un'autorità chiamata a tutelare un diritto fondamentale, quello alla protezione dei dati - l'abbiamo sentito con le norme specifiche che ho citato del Trattato di Lisbona, ma è ovviamente un diritto fondamentale riconosciuto fin dalla direttiva 95/46/CE - i nostri provvedimenti non sono ricorribili al giudice amministrativo, come avviene per le autorità regolatrici del mercato, ma al giudice civile.
Posso comunicarvi con una discreta soddisfazione che nel 2009, a fronte di centinaia di provvedimenti da noi adottati, sono state impugnate solo 36 decisioni dell'autorità. Di queste, 27 sono state confermate dai giudici ordinari; in un caso c'è stata cessazione della materia del contendere; abbiamo avuto otto annullamenti dei nostri provvedimenti, ben sei dei quali sono semplicemente annullamenti seriali, in quanto, annullato un provvedimento relativo a un determinato e specifico trattamento dati, sono stati altresì annullati tutti i provvedimenti successivi e a esso conseguenti.
Non solo, quindi, registriamo un indice di ricorso davanti al giudice modestissimo, pari a meno del 10 per cento, ma abbiamo, a sua volta, un indice di accoglimento del ricorso, se teniamo conto che i seriali possono essere unificati, inferiore al 10 per cento dei provvedimenti ricorsi.
Nella nostra attività abbiamo bisogno, necessità e obbligo istituzionale di una grande rete di rapporti istituzionali. Il nostro primo riferimento è, ovviamente, il Parlamento, con il quale operiamo effettuando segnalazioni, che a volte sono prese in considerazione e a volte devono essere reiterate da parte nostra; tuttavia, il rapporto è sempre di enorme rispetto nostro verso il Parlamento e di grande attenzione del Parlamento verso l'autorità.
Abbiamo svolto un'attività di audizione e di collaborazione; quella più significativa, tra il 2008 e il 2009, è stata con la Commissione bicamerale di vigilanza sull'anagrafe tributaria per i motivi che ho già esposto.
Anche un rapporto istituzionale con il Governo già si è intensificato. I regolamenti governativi che trattano la materia di protezione dati devono essere sottoposti per legge al nostro parere, anche se non è sempre facile ottenere il rispetto puntuale di tale norma. L'attività di attenzione del Governo è, comunque, in crescendo e registriamo con grande piacere l'aumento della richiesta di un nostro parere anche su disegni di legge, il che non è né previsto né obbligatorio, ma certamente utilissimo. Collaboriamo sempre con grande impegno e serietà. Mi riferisco, per esempio, al disegno di legge in materia di protesi mammarie, particolarmente utile e delicato, data la materia, ma ce ne sono anche altri in corso.
Stiamo collaborando attivamente alla stesura del regolamento per l'istituzione della banca dati del DNA ai fini di polizia, che il Trattato di Prüm rende obbligatorio istituire. Abbiamo avviato oggi un altro tavolo di lavoro per un regolamento da emanare in materia di opt-out rispetto alle chiamate telefoniche indesiderate. C'è una costante attività di collaborazione con i giudici e con la polizia; laddove essa non dà buoni risultati, la causa è la scarsezza delle risorse a disposizione, in particolare degli uffici giudiziari.
Coloro di voi che mi conoscono sanno che non sono abituato a svolgere considerazioni solo per forma, quindi penso di poter affermare che quest'autorità, con tutti i limiti propri di qualunque organizzazione umana, sta operando al massimo del proprio impegno e ha anche un riconoscimento e un rapporto sempre massimamente corretto con tutte le istituzioni. Per il futuro dovremo sicuramente implementare moltissimo, come ho già detto, il rapporto con le regioni e gli enti locali, oltre a rendere sempre più efficace e funzionale quello con il Parlamento.
Penso che siano quasi maturi i tempi perché con le regioni e gli enti territoriali possiamo avere anche un rapporto istituzionale o di prassi, all'inizio, tramite la Conferenza unificata. Ci saranno sempre più temi che riguardano non un comune o l'altro, una regione o l'altra, ma l'universo dei comuni e delle regioni. Non è immaginabile che possiamo avere un rapporto istituzionale solo con il Governo centrale e con il Parlamento nazionale, mentre invece con la galassia di altri soggetti che sempre di più svolgono competenze penetranti e che, soprattutto grazie alla telematica, operano trattando i dati dei cittadini dobbiamo avere un rapporto necessariamente spot ed episodico, anche se sempre produttivo. In particolare, nel settore della sanità, con le regioni abbiamo un rapporto istituzionale estremamente positivo ormai da anni. Sarebbe certamente opportuno se riuscissimo a conferirgli una struttura più stabile.
Per quanto riguarda le prospettive dell'autorità, come penso sia chiaro da quanto ho riferito, abbiamo davanti panorami immensi di attività. Avremo un enorme lavoro da compiere per l'attuazione del Trattato di Lisbona, che coinvolgerà tutte le autorità europee, il Parlamento europeo, il Consiglio europeo, e sarà assolutamente fondamentale.
Dopodiché, dobbiamo dare attuazione all'idea, ormai evidente nell'Unione europea, che la protezione dati non è solo un diritto fondamentale dei cittadini, ma un modo di essere di una società democratica. Questo è il significato del Trattato di Lisbona, come dell'estensione alla PESC di questa normativa. È un modo di essere di una società democratica, che va declinato, perché non possiamo rinunciare alla sicurezza né interna, né esterna, ma non possiamo non trovare, con la pazienza e l'impegno necessari, il modo di rendere la nostra una sicurezza sicura e democratica, che operi tenendo conto dei princìpi che ci caratterizzano.
Devo anche aggiungere che, nel settore della sicurezza e della giustizia, la nostra attività serve a proteggere non solo i cittadini, ma anche gli stessi operatori della giustizia e della sicurezza. Del resto, è chiaro che una notizia che fuoriesce nell'ambito di un'indagine in modo illecito, incontrollato, anticipato e prematuro non solo può vanificare un'indagine, ma anche mettere a grave rischio la vita stessa degli operatori. Operare per rendere sicuro il trattamento dei dati in questi settori ha, dunque, una doppia valenza, per i cittadini e per gli operatori del settore. È anche per questo motivo che la nostra attività di collaborazione è estremamente forte.
Voglio affermare con chiarezza - sarebbe bello avere il tempo per affrontare anche questo argomento - che applicarci alle telecomunicazioni implica necessariamente capire che siamo entrati in un'altra realtà e che la protezione dati ormai è una condizione di essere uomini nella realtà virtuale. Come la condizione di essere vivi è una condizione per poter godere della realtà materiale, la protezione dei dati, in un mondo che vive di soli dati, diventa la condizione essenziale per poter essere uomini
e donne sulla rete. Ci applicheremo, quindi, come autorità, sempre di più a questi temi.
Naturalmente, è necessario operare anche a livello internazionale, perché è chiaro che, specialmente nel mondo delle telecomunicazioni, la dimensione è globale. Stiamo lavorando indefessamente insieme ai nostri colleghi europei. La conferenza di Madrid di quest'anno è stata dedicata all'individuazione di standard internazionalmente riconosciuti di protezione dati e quella di Israele del prossimo autunno sarà dedicata alle regole di protezione dati sui trattamenti finanziari ed economici in rete.
Se l'autorità italiana avrà l'onore di poter organizzare la conferenza internazionale del 2011, il che per noi sarebbe il coronamento di quest'attività, ci dedicheremo alla libertà di opinione, di stampa e culturale in rete, un altro tema di crescente rilevanza. Pensate al diritto d'autore, alla protezione del diritto all'oblio, alla libertà e alla protezione della comunicazione interpersonale sui social network in rete.
Questo è il quadro. Vengo adesso al tema che, come avevo anticipato, non ci sfuggiva. È possibile, è utile immaginare regolazioni uniformi delle autorità indipendenti? È chiaro che, dal punto di vista dell'autorità garante, il tema è affascinante, anche se ho affermato che le altre autorità sono molto diverse da noi, in quanto sono regolatrici del mercato, sottoposte al giudice amministrativo e dotate di competenze settoriali specifiche. Noi siamo un'autorità di garanzia, a difesa di un diritto fondamentale, di un modo di essere di una società. Operiamo a tutto tondo nell'ambito della società nel suo complesso. Non a caso, proprio perché siamo un'autorità di garanzia a tutela di un diritto fondamentale, siamo soggetti all'impugnazione davanti al giudice ordinario.
Esistono, dunque, differenze estremamente significative, ma è ovvio che voi ci chiedete anche un'opinione sul tema al centro di quest'indagine conoscitiva. Un po' parlando come presidente di quest'autorità, un po', se mi è consentito, anche in virtù dell'esperienza che ho maturato nell'arco della mia vita, posso affermare che abbiamo, accanto a tante differenze rispetto alle altre autorità, sicuramente un punto in comune, ossia quello di rappresentare un raccordo fra Unione europea e Stati nazionali. Un altro punto comune, che non è se non l'altra faccia della stessa medaglia, è quello di dover essere tutelati nella nostra posizione di indipendenza.
Penso che non abbia ragion d'essere immaginare una legislazione uniforme che pretenda di trattare nello stesso modo settori tanto diversi e autorità che si occupano di tali settori e aggiungo che una legislazione uniforme che avesse questa pretesa sarebbe in contrasto con l'Unione europea, perché ogni autorità deve garantire l'attuazione di direttive diverse, con regole diverse, in settori diversi. Sarebbe una violazione in sé immaginare l'impresa impossibile di dettare regole uniformi sull'esercizio della loro attività funzionale ad autorità che hanno scopi, obiettivi e settori tanto differenti. Invece, avendo chiaro che esiste un requisito principale in comune che ho citato, sull'indipendenza delle autorità, è certamente ragionevole chiedersi se non sia il caso di avere elementi comuni che la rafforzino.
Da questo punto di vista, credo che dobbiamo ragionare su che cosa vuol dire «autorità indipendente». Secondo una visione formale e sostanziale, ma formalistica, «indipendente» vuol dire che devo poter vigilare sul Governo e sul Parlamento del mio Paese senza esserne condizionato. Se il mio ruolo è quello di stimolare, a nome dell'Unione europea, il mio Governo e il mio Paese ad armonizzarsi, devo poter operare senza il condizionamento costante di queste istituzioni.
Questa è un'indipendenza che va mantenuta e garantita e consiste nella durata in carica, nel non poter essere sciolti con delibera unilaterale del Governo o del Parlamento, e nella previsione che Governo e Parlamento debbano consultare le autorità su determinate decisioni di settore che devono assumere.
Esiste, però, anche un'altra indipendenza, quella verso la società nella quale si opera; inoltre, esiste l'indipendenza come autorevolezza. Viene da sé che, se un'autorità non è autorevole, potrà anche essere formalmente indipendente, ma non lo è nei fatti, perché è comunque condizionabile.
Se abbiamo in mente questo, dobbiamo chiederci come ottenere un risultato formale e sostanziale, come garantirci che l'autorità indipendente sia anche autorevole e come garantire che tale autorevolezza sia sostanziale e riconosciuta come tale.
Infine, è evidente che l'indipendenza richiede autonomia finanziaria, perché, se un'autorità è costretta ogni anno a elemosinare le risorse di funzionamento per l'anno successivo, è in sé condizionabile. Per la verità, a me non risulta che ci sia stato in questi anni, da parte dei Governi dell'uno o dell'altro schieramento, un condizionamento per mezzo di uno strumento così poco dignitoso. Mi risulta che certamente le difficoltà finanziarie del Paese hanno costantemente chiesto alle autorità uno sforzo e un impegno per poter disporre delle risorse necessarie al funzionamento minimo.
Le autorità devono, dunque, godere di indipendenza e autorevolezza, ma rispetto a che cosa? Innanzitutto rispetto ai collegi. Da questo punto di vista, per operare in modo che i collegi siano indipendenti e autorevoli, su che cosa dobbiamo ragionare? Certo non sui requisiti, perché essi devono essere valutati con attenzione, sia quando vengono individuati dalla legge o da altre forme di individuazione, sia quando vengono verificati. È evidente che i requisiti saranno diversi da autorità ad autorità: le autorità regolatrici potranno avere bisogno di commissari con esperienze specifiche diverse rispetto a quelle di un'autorità di garanzia come la nostra, nella quale la componente giuridica ha inevitabilmente un rilievo significativo, trattandosi di tutelare un diritto, come mostra la ricorribilità di fronte al giudice ordinario.
È, dunque, ragionevole che i requisiti siano variabili; può, invece, essere utile ragionare su due punti. In primo luogo, sulla composizione del collegio. Forse è ragionevole immaginare che la composizione dei collegi possa essere omogenea. Non posso certamente entrare in suggerimenti, che riguarderebbero specifiche scelte che deve compiere il Parlamento, ma penso risulti chiaro dalla mia relazione che personalmente ritengo preferibili collegi piccoli, che sono un antidoto a priori a un'eccessiva frammentazione e stimolano di più a cercare l'uniformità di giudizio e il consenso, attraverso la discussione.
Personalmente - ma ci sono anche opinioni diverse, persino all'interno della mia autorità - preferisco, non solo per le autorità, ma per qualunque organo di questo genere, fosse anche la Corte costituzionale, la non rieleggibilità piuttosto che il periodo breve di mandato e la rinnovabilità. Ritengo che sia sempre bene che si possa svolgere fino all'ultimo giorno il proprio ruolo senza essere condizionati dall'umana ambizione, che potrebbe esserci, di essere rinnovati. Tuttavia, penso anche che il termine di durata debba essere sapientemente individuato, considerato che si tratta di autorità tecniche, nelle quali nessuno nasce, come si suol dire, «imparato» e, per esperto che sia, anche prima di assumere l'incarico, ha sempre moltissimo da apprendere. Non è utile che il termine sia troppo breve e penso che un periodo fra i cinque e i sette anni sia ragionevole.
Penso che sia importante garantire, se possibile, che le autorità e i collegi non decadano tutti insieme, perché un'interruzione brutale determina una perdita di memoria storica, di esperienza, una necessità di riacquisizione, da parte di tutto il collegio, di una competenza adeguata, caricando troppo sull'ufficio; a quel punto, infatti, l'unico soggetto che ha la memoria storica è l'ufficio stesso. Vi è necessariamente un periodo di tempo in cui l'ufficio si trova a supplire di fatto a una carenza di competenza e di esperienza che il collegio deve maturare. Penso che sarebbe
utile immaginare una durata ragionevole e magari, in sede di prima attuazione, sfalsata. Porto un esempio puramente teorico. Se la durata fosse di sette anni, si potrebbe immaginare che alcuni membri del collegio, in prima attuazione, durino cinque anni e altri sette e poi, nella seconda attuazione, durino tutti sette, con lo sfalsamento di due anni che garantisce una sostituzione non brutale e non totale del collegio. Naturalmente, è un suggerimento.
La procedura può essere immaginata in vari modi. Se ne può immaginare una che abbia meno vincoli possibili. A me personalmente - parlo più come studioso che come carica istituzionale - di tutti i sistemi oggi vigenti appare preferibile quello dell'Autorità garante per la protezione dei dati personali, ossia la nomina parlamentare da parte delle due Camere con voto limitato, soprattutto se un giorno arriveremo ad avere un Senato che rappresenti anche il sistema regionale degli enti territoriali, saldando in questo modo il contesto. Tale soluzione, però, è minimalistica. Se ne possono immaginare altre molto più sofisticate. Si può immaginare, per esempio, una soluzione nella quale ci sia una proposta da parte del Governo con un parere a maggioranza dei due terzi, o di quella che il Parlamento deciderà, delle Commissioni parlamentari e solo successivamente la nomina definitiva del Parlamento, con un
hearing pubblico che garantisca una valutazione anche da parte dell'opinione pubblica. Sarebbe un modello simile a quello adottato con la riforma Brunetta per la Commissione per la valutazione, la trasparenza e l'integrità della amministrazioni pubbliche recentemente istituita, ma che vale anche per altre autorità indipendenti già in funzione.
Si potrebbe immaginare inoltre il modello che vige in Europa in determinati campi, come per il Commissario europeo per la protezione dati, ossia il bando pubblico con requisiti predeterminati, le domande libere e il loro esame in pubblico dibattito davanti alle Commissioni parlamentari, quindi davanti al Consiglio e alla Commissione del Parlamento e, infine, la decisione finale del Governo, avuto anche conto del giudizio che le Commissioni danno con il loro voto, a seguito delle audizioni fatte. Ci sono diversi modi. Certamente, questa discussione è assai utile perché, in ogni caso, può concorrere ad aumentare l'autorevolezza del collegio.
Il secondo punto su cui credo sia importante interrogarsi, anche se non ho una risposta sicura, riguarda l'altro aspetto rilevante di un'autorità, in riferimento alla sua indipendenza e autorevolezza, ossia l'ufficio. Oggi abbiamo uffici molto competenti, composti - l'ho affermato convintamente e non ho dubbi che potrei dimostrarlo in ogni occasione - da personale di altissima specializzazione. Anche i nostri uffici, esattamente come i membri del collegio, godono di retribuzioni significative.
Peraltro, sarebbe opportuno che anche la retribuzione dei membri dei collegi delle autorità fosse avvicinata, omogeneizzata e magari parametrata sulle retribuzioni più alte riconosciute agli altri organi dell'ordinamento che devono garantire analoga indipendenza. Penso, per esempio, alle alte magistrature. Se riteniamo che le alte magistrature, che devono garantire l'indipendenza per definizione, siano equamente retribuite secondo determinati parametri, forse è ragionevole che anche alle autorità indipendenti si applichino parametri analoghi. Per esempio, questo è il caso dell'Autorità garante per la protezione dei dati personali, perché le nostre retribuzioni sono parametrate su quelle del presidente della Cassazione e, infatti, sono significativamente meno ampie di altre.
Al di là dei membri dei collegi, lo stesso discorso vale per gli uffici. Anche rispetto agli uffici, se vogliamo conferire loro autorevolezza, dobbiamo interrogarci non solo sulle retribuzioni che oggi sono corrisposte dalle autorità nell'ambito della loro autonomia di bilancio, con alcuni vincoli curiosi stabiliti dalla legge - per esempio, l'Autorità da me presieduta corrisponde l'80 per cento delle retribuzioni rispetto all'Autorità per le garanzie nelle comunicazioni (AGCOM) - ma anche proprio sullo status del dipendente dell'autorità
indipendente. Dobbiamo chiederci se dobbiamo immaginare che, come oggi avviene, le autorità indipendenti siano a tal punto indipendenti da essere libere di valutare le performance dei loro funzionari, di stabilire le modalità di assunzione, di decidere come riconoscere o non riconoscere le professionalità all'interno come vogliono o se non si possa immaginare uno status un po' più uniforme, ma, nello stesso tempo, certamente differenziato rispetto a quello di altre attività del pubblico impiego. È il tema del «comparto o non comparto», ma, al di là del nome tecnico-giuridico proprio delle trattative sindacali e dell'organizzazione del personale della pubblica amministrazione, può essere ragionevole che il Parlamento si chieda se non sia il caso di normare l'indipendenza, rispettandola e valorizzandola anche dal punto di vista di prevedere specificità nella provvista e nella
valutazione del personale.
Infine, passo ad esporre il sistema di finanziamento, che rappresenta il punto dolente. Oggi abbiamo tre autorità che si autofinanziano grazie ai contributi che esse stesse stabiliscono a carico dei soggetti regolati e due, ossia l'Antitrust e noi, che sono finanziate a carico del bilancio dello Stato. Ovviamente, né l'uno, né l'altro modello, per come sono oggi, sono perfettamente soddisfacenti: quello che si finanzia a carico dei regolatori rischia sempre di mettere le autorità nell'imbarazzante scelta se aumentare i contributi, suscitando comprensibili proteste, o rinunciare a contributi che possono essere anche indispensabili per il buon funzionamento, cedendo alle esigenze dei regolati. Per le autorità come le nostre ciò significa ogni anno dover contare non sulla benevolenza - ci mancherebbe altro - ma sull'attenzione del Governo e del Parlamento per ottenere i mezzi minimi indispensabili.
Personalmente sono favorevole, anche se so che altri colleghi non lo sono, al fondo unico, in quanto ritengo che esso possa rappresentare una buona indicazione per risolvere e superare tali differenze di trattamento. Certamente, però, è più uno slogan che una risposta convincente. Si tratta pur sempre di sapere come è alimentato il fondo unico e come ne è definito l'importo, cercando di superare l'annualità, che è di per sé un condizionamento delle autorità, e stabilendo come, da parte di chi e secondo quali parametri esso debba essere ripartito.
Credo che su questi punti - collegio, procedure, requisiti, modalità di nomina, durata dei mandati, e, anche se non in modo tanto dettagliato, parametrazione degli emolumenti da corrispondere, riflessione sullo status specifico dei dipendenti delle autorità indipendenti, modalità più organizzate, più strutturate e più definite di finanziamento - si possa trovare un terreno utile per una regolazione potenzialmente comune.
Ritengo importante che il Parlamento abbia piena consapevolezza che oggi la nostra indipendenza è totale, cioè che noi siamo al tempo stesso totalmente indipendenti e totalmente dipendenti. Siamo indipendenti totalmente nel funzionamento del nostro personale, nell'uso delle risorse che ci sono messe a disposizione, nella modulazione della carriera dei funzionari interni e nella loro valutazione, ma siamo totalmente dipendenti nel finanziamento, almeno per le due autorità che sono finanziate interamente a carico dell'erario.
Ci troviamo, dunque, a muoverci in una situazione in cui, da un lato, c'è una massima indipendenza sull'organizzazione interna e sulle modalità di raccordo con il personale e, dall'altro, una totale dipendenza o un'indipendenza che, in realtà, deve fare i conti con i regolati da parte dei regolatori in un equilibrio sempre instabile.
L'ultima considerazione riguarda la risposta all'inevitabile domanda: vale la pena di costituzionalizzare le autorità? Credo che, se la domanda è di carattere generale, sia mal posta. Ho già detto che non è il caso e che non sarebbe neanche ragionevole immaginare una totale uniformizzazione. Se si dovesse costituzionalizzare, si dovrebbe costituzionalizzare prima il diritto o il settore regolato e poi l'autorità, che è strumento dell'attuazione di
tale diritto o regolazione, come fa il Trattato di Lisbona, che costituzionalizza prima il diritto e poi l'autorità.
Di contro, se si riuscissero a individuare poche e chiarissime indicazioni sui punti relativi a composizione del collegio, quali procedure, raccordo con i propri dipendenti e modalità di finanziamento, forse si potrebbe immaginare una norma riassuntiva che possa avere anche rango costituzionale.
Chiedo scusa se mi sono eccessivamente dilungato, ma ci tenevo a offrire alla Commissione un panorama completo non solo della nostra esperienza, ma anche delle riflessioni che questi anni ci hanno consentito di svolgere.
PRESIDENTE. Ringrazio il presidente Pizzetti per l'ampia relazione. Le chiederei la cortesia di trasmetterci, se lo ritiene opportuno, una relazione scritta da allegare agli atti dell'indagine conoscitiva.
FRANCESCO PIZZETTI, Presidente dell'Autorità garante per la protezione dei dati personali. Ci riserviamo di trasmettere una relazione scritta come integrazione di quanto comunicato. Consegniamo intanto a lei, presidente, chiedendole di metterle a disposizione della Commissione, le nostre ultime due relazioni annuali, che contengono tutti i dati statistici e, nel discorso che viene tenuto annualmente, anche le linee guida che ho ripetuto in questa sede.
PRESIDENTE. La ringrazio.
Do ora la parola agli onorevoli deputati che intendano intervenire per porre quesiti o formulare osservazioni.
PIERLUIGI MANTINI. La relazione del Presidente Pizzetti è stata amplissima e ricca di risposte e indicazioni. Mi unisco ai ringraziamenti e mi permetto di toccare soltanto due punti.
Il primo è relativo all'autorevolezza e all'onorabilità delle authority in generale, anche accedendo al criterio di differenziazione delle discipline. Chiedo se non sia auspicabile, dal suo punto di vista, una norma che, in termini di indipendenza, agisca sul divieto per politici di carriera di esserne membri, sotto il profilo dei requisiti.
Inoltre, le chiedo se non sia il caso di dare, per quanto io non sia un patito del genere, una dovuta enfasi, una pregnanza ai codici etici comportamentali dei membri delle autorità indipendenti.
Riguardo al secondo punto mi rendo conto che aprirebbe una questione più ampia. Esiste un versante che non abbiamo toccato - ne comprendo anche le ragioni - che attiene ai poteri. Alcune authority, sempre secondo il principio di differenziazione, che trovo quello in assoluto più realistico, hanno poteri del tutto formali e inadeguati. Mi sentirei di affermare che sono quasi grotteschi rispetto alla funzione, all'importanza e al rilievo che rivestono in una società moderna, visto che spesso si limitano a monitoraggi e osservazioni. È persino uno spreco di risorse, ragion per cui mi sono permesso di usare un termine un po' connotativo e forte. Spiace quasi vedere tante energie e funzioni pubbliche che conoscono determinate situazioni, ma non possono agire.
Poiché un'autorità indipendente è, in certa misura, non solo e non necessariamente, ma anche un'autorità di regolazione, sempre secondo campi differenziati e quindi con attenzioni a diverse materie - l'autorità presieduta dal Presidente Pizzetti è una delle più incisive - in generale si pone un problema di adeguamento dei poteri e delle funzioni, sul quale mi permetto di sollecitare una risposta.
GIUSEPPE CALDERISI. Volevo toccare il tema della pubblicazione sui mezzi di informazione delle trascrizioni e sui mezzi radiofonici e televisivi dell'audio delle intercettazioni telefoniche.
L'Autorità garante per la protezione dei dati personali si è occupata più volte di questo tema, in particolare per quanto riguarda i ricorsi che sono stati presentati, a volte accogliendo, a volte respingendo, e ha criticato i limiti dell'attuale normativa in materia processuale rispetto a tutto quello che vediamo ormai sistematicamente, quasi tutti i giorni, sui giornali, con
pubblicazioni in violazione del segreto d'indagine e di elementi che nulla hanno a che vedere con i fatti penali e via elencando.
Poiché credo che sia una situazione rispetto alla quale il Parlamento non può ormai più esimersi dall'intervenire, volevo chiedere se, alla luce dell'esperienza dell'authority, ci siano elementi che possano essere utili per il Parlamento rispetto alle decisioni che dovrà assumere e se esistano studi, approfondimenti, comparazioni sul fenomeno rispetto ad altri Paesi. Mi piacerebbe conoscere tutti gli elementi che possono essere utili e in che misura l'autorità possa rappresentare una garanzia cui ricorrere per evitare abusi in questo senso.
Le chiedo, quindi, se può fornirci gli elementi, anche al di là di questa sede, e inviare al Parlamento tutto ciò che può essere ritenuto utile, anche ai fini delle decisioni che esso dovrà assumere al riguardo.
ROBERTO ZACCARIA. Ci troviamo in queste prime audizioni dell'indagine conoscitiva a insistere su alcune tematiche ricorrenti. Ne abbiamo già affrontata una con il Presidente Calabrò nella scorsa audizione: vorremmo capire se la legge possa consentire di realizzare quell'obiettivo di indipendenza, che, come ci ha riferito anche oggi il professor Pizzetti, l'Europa chiede, ma in maniera apodittica, perché afferma il principio, però poi sono le leggi nazionali a doverlo realizzare.
La legge che riguarda la vostra autorità stabilisce che i membri sono scelti tra persone che assicurino l'indipendenza - non è un requisito, ma, evidentemente, un auspicio - e che siano esperti di riconosciuta competenza nelle materie del diritto e dell'informatica, garantendo la presenza di entrambe le qualificazioni. Anche la riconosciuta competenza è un altro elemento di qualificazione soggettiva, se non fosse per il fatto che poi il soggetto nominato dal Parlamento con voto limitato non è in grado di controllare tale riconosciuta competenza. Sono, quindi, requisiti sostanzialmente inesistenti.
Conosco l'autorità della quale parliamo oggi, come anche altri esempi di altre autorità, e ho ben presente che questo sistema è diverso per l'Autorità garante per la protezione dei dati personali. Dobbiamo, però, svolgere una riflessione, che, in larga parte, appartiene al Parlamento, perché si tratta di un problema piuttosto serio.
L'altra tematica riguarda il fatto che siamo d'accordo che la costituzionalizzazione - in merito le risposte non sono uguali - può non avere un senso particolare, però, a mio avviso tale senso sussiste: è quello di riprendere il discorso dalla legge n. 481 del 1995, una sorta di incompiuta dal punto di vista normativo, perché ha avuto l'obiettivo di dettare norme generali, che poi in realtà non ci sono, mentre intanto le autorità sono proliferate. La questione più interessante da verificare è, secondo me, la possibilità, visto che l'Europa fa per conto suo e che la Costituzione è difficile da modificare, di predisporre una legge generale che prenda veramente gli elementi comuni e che, laddove ponga requisiti di dipendenza, lo faccia sul serio. Dopodiché, se la fortuita circostanza è tale per cui un'autorità si trova a essere più indipendente di un'altra, perché
ha un particolare tipo di attività da svolgere, va bene. Credo, però, che l'esigenza di una legge generale sia assolutamente fondata.
D'altronde - non è una domanda che rivolgo al professor Pizzetti - abbiamo una tipologia di autorità che adesso non hanno più lo stesso nome, ma che sono sostanzialmente vicine alle autorità. La ripresa di questo discorso sulla legge generale è per me fondamentale, se vogliamo dare un senso a quest'indagine conoscitiva.
PRESIDENTE. Do la parola al presidente Pizzetti per la replica.
FRANCESCO PIZZETTI, Presidente dell'Autorità garante per la protezione dei dati personali. Vorrei prima rispondere agli onorevoli Mantini e Zaccaria, dal momento che hanno specificamente parlato dei diversi temi. Risponderò poi, ovviamente, all'onorevole Calderisi.
Con riferimento all'ipotesi di stabilire la regola che non possono far parte del collegio dell'autorità i politici di carriera, come prospettato dall'onorevole Mantini, è difficile per me dare una risposta in questa sede, dato il ruolo istituzionale che ricopro. Trovo un po' complesso individuare che cosa significa «politico di carriera»: si parla di ex deputati, ex senatori, ex consiglieri regionali, ex sindaci? È una questione che naturalmente spetta al Parlamento valutare.
Quanto all'enfasi sui codici etici, mi limito ad osservare che essi esistono. Per esempio, all'interno della nostra autorità vi è l'impegno a comunicarsi in collegio anche il più piccolo convegno al quale si partecipa, i corsi universitari, specificando se sono a titolo libero o meno, proprio per la consapevolezza che la prima garanzia è che i colleghi ne siano a conoscenza. Peraltro, ciò comporta anche la conoscenza da parte del segretario generale e del cosegretario del collegio. Infine, c'è un'attenzione che ognuno cerca di prestare.
Mi si chiede se i poteri che ci sono attribuiti siano adeguati. L'onorevole Mantini ha giustamente rilevato che quelli della privacy sono significativi. Vorrei richiamare ancora una volta, ma la Commissione lo sa benissimo, che io ho poteri devastanti: se usassi fino in fondo i poteri di cui dispongo, potrei determinare conseguenze davvero devastanti. Sicuramente ho il potere per impedire ai giudici di giudicare, perché, nel momento in cui verifico che la protezione dati nelle cancellerie relativamente ai fascicoli in molti tribunali è inadeguata, dovrei interrompere il trattamento dei dati. Oppure, potrei interrompere il trattamento dei dati nelle migliaia di strutture sanitarie nelle quali i dati sanitari non sono adeguatamente protetti. Forse potrei anche impedire il trattamento dei dati in alcune vitali banche dati di polizia, nelle quali le nostre prescrizioni sono accolte con grande entusiasmo e collaborazione. Posso, però, fare tutto
ciò?
Sebbene gli stessi responsabili del trattamento e della conservazione dei dati siano sempre molto attenti, le risorse di questo Paese sono inadeguate, come anche la rapidità nell'impiegarle. Il problema vero, almeno per la mia autorità, prima ancora che dai poteri che ho a disposizione, è rappresentato dal riuscire a svolgere un lavoro persuasivo, incisivo, certosino e cercare di non dare misure eccessive, accontentandosi comunque di step e fasi. È quello che facciamo con grande passione.
Non vi parlo, poi, dell'anagrafe tributaria: nel momento in cui scopro che ci sono 9 mila soggetti, di cui 8 mila comuni, che hanno accesso a parti strategiche dell'anagrafe tributaria, che al loro interno, tutti sommati, sono più di 90 mila i centri che possono accedervi e che loro stessi non sanno, comune per comune, esattamente quanti e quali sono, che cosa devo fare? Posso fare quello che abbiamo fatto, ovvero un anno di lavoro con il dottor Filippi dirigente del dipartimento libertà pubbliche e sanità, in modo paziente, discutendo, ragionando, concedendo proroghe.
Oggi abbiamo messo in sicurezza il sistema e con l'anagrafe tributaria stiamo lavorando benissimo, ma si va avanti di collaborazione in collaborazione. Abbiamo appena iniziato un'attività ispettiva sull'INPS, su richiesta del presidente dell'ente, che ci appare molto peggiore della traversata del deserto, perché la quantità di dati e di banche dati gestito dall'Ente è enorme.
I poteri sono certamente importanti, però lo è di più sapere che sistema Paese si ha di fronte e quale capacità di adeguamento si possiede. Aggiungo che la nostra autorità - la ringrazio, onorevole Mantini, perché è vero - anche a livello europeo è una di quelle che ha più poteri e se n'è conferiti di più. Vorrei che sapeste tutti che abbiamo una convenzione con la Guardia di finanza, che peraltro ha un proprio nucleo per le authority, che presta la sua attività a tutte le autorità, la quale ci consente un livello di enforcement, di controllo, assolutamente inusuale a livello europeo.
Siamo chiamati da tutte le altre autorità a far scuola; tutti ci invidiano enormemente la capacità di controllo dell'autorità italiana. Da questo punto di vista, sarebbe utile che talvolta il nostro Paese fosse consapevole che abbiamo persino noi alcuni punti di eccellenza anche a livello europeo, per esempio questo. Naturalmente quello che cerchiamo di svolgere è un lavoro lungo e complesso.
Sul piano dei poteri, il discorso è articolato. Per esempio, abbiamo avuto un significativo incremento - ringraziamo il Parlamento di avercelo concesso - delle sanzioni pecuniarie che possiamo comminare, eppure se, per un verso, questa è un'enorme risorsa, per un altro è un limite, perché magari al piccolo negozio di parrucchiere, che non ha le misure di sicurezza prescritte con riferimento alle modalità di conservazione dei dati dei clienti, che sono potenzialmente da proteggere come quelli di qualunque altro cittadino, riguardassero anche solo la tintura che viene utilizzata normalmente, corro il rischio di dover comminare multe da decine e decine di migliaia di euro, magari rischiando di stroncare un'attività commerciale. Viceversa, rispetto alla grande multinazionale o anche semplicemente alla grande società, le multe che oggi posso comminare sono il minimo rispetto al rischio e ai valori che si mettono in gioco. Anche i
poteri e le sanzioni, dunque, nella realtà concreta sono molto complessi.
Sempre per dare una risposta sui politici di carriera, che vale forse anche rispetto alle considerazioni dell'onorevole Zaccaria, con cui abbiamo una comune colleganza e che mi consentirà una piccolissima osservazione interna alle nostre materie, mi sono portato, perché forse può esservi utile, lo stato delle altre autorità sulla presenza dei politici. Forse vi interesserà sapere che l'Austria ha una commissione di sei membri, tutti nominati dal Presidente della Repubblica su proposta del Governo; l'attuale presidente è una funzionaria del Ministero degli affari esteri. In Belgio i membri sono otto e sono nominati da Camera e Senato su proposta del Consiglio dei ministri; l'attuale presidente è stato capo di gabinetto del Ministro dell'interno belga. In Bulgaria sono cinque i componenti, nominati dall'Assemblea nazionale, che è l'equivalente del Parlamento, su designazione del Governo; l'attuale presidente è
stato consulente parlamentare per la riforma legislativa. In Danimarca l'attuale presidente è stato dirigente del Ministero della giustizia. In Francia vi è una commissione, la CNIL, Commission nazionale de l'informatique et des libertés, tipicamente francese, unica, composta di diciassette componenti nominati dai grandi corpi francesi, dalla Cassazione al Consiglio di Stato e via elencando; il presidente è un senatore in carica, peraltro anche sindaco di Lille. È un professore di diritto costituzionale, che insegna - loro, al contrario di noi, non hanno la paura del cumulo degli incarichi - contemporaneamente è sindaco di Lille ed è pure senatore in carica della Repubblica francese e presidente della CNIL. In Germania l'incaricato federale è un esperto in materia di protezione dei dati.
ROBERTO ZACCARIA. Le norme europee sull'indipendenza, quindi, sono variamente interpretate.
FRANCESCO PIZZETTI, Presidente dell'Autorità garante per la protezione dei dati personali. Ogni Paese le interpreta a modo proprio. L'autorità francese, però, è molto interessante, perché si compone di diciassette membri, in rappresentanza della Cassazione, del Consiglio di Stato delle università, del Parlamento e via elencando. È la tipica scelta francese unica dei grandi corpi della République messi tutti insieme e il presidente è, in sostanza, un chairman.
Potrei continuare, ma la maggior parte delle autorità sono nominate dal Parlamento o dal Governo o dal Parlamento su proposta del Governo. Non so come la Commissione valuterà quest'elemento, ma di politici ed ex politici nelle autorità ce ne sono più di uno. Anche l'autorità olandese è oggi presieduta da un presidente che è stato senatore dell'Olanda fino al 2006. Nell'esperienza europea - parlo solo delle
autorità garanti per la protezione dei dati personali - abbiamo, quindi, diverse ipotesi e situazioni.
Non tocca a me esprimere un giudizio. Sostanzialmente, non ho un'opinione positiva, per esempio, sulla permanenza in carica in una sola persona fisica, come avviene in Francia, di un soggetto che ricopre quattro cariche diverse, di cui due politiche. Questa è, però, la differenza delle tradizioni da Paese a Paese. Preferisco un modello all'italiana, che comunque forse sarebbe bene rafforzare.
Con riferimento all'indipendenza e alla competenza, come ci prospettava l'onorevole Zaccaria, mi permetto con grande umiltà di suggerire di ragionare bene prima di affermare che il Parlamento non è un organo adeguato a valutarle.
ROBERTO ZACCARIA. Non ho affermato questo, ma che l'asticella deve essere più alta.
FRANCESCO PIZZETTI, Presidente dell'Autorità garante per la protezione dei dati personali. Questo è altro tema, che riguarda la specificità del requisito. Lo dico proprio per un motivo di immediata evidenza, altrimenti dovremmo sostenere che anche i giudici della Corte costituzionale eletti dal Parlamento non sono di accertata indipendenza e professionalità e che persino le istituzioni più alte di garanzia, poiché sono nominate dal Parlamento, non offrono adeguate garanzie. Da questo punto di vista, può essere sicuramente opportuno specificare meglio i requisiti. Voi sapete che per la Corte costituzionale sono specificati in modo più pregnante, anche se non esiste requisito, per quanto specifico sia, che non possa dare luogo a discussioni in ordine alla sua attuazione.
Credo che dobbiamo essere molto problematici prima di arrivare a una soluzione specifica. Ho ripetuto che sarebbe utile l'individuazione dei requisiti più pregnanti. Sono, peraltro, requisiti che possono variare nel tempo, essendo in presenza di settori che cambiano con velocità, a partire dal 1996, quando internet era ai suoi primordi. Si parla, infatti, di esperto di informatica e non di informatizzazione, che è un'altra cosa. Oggi i requisiti possono variare e potrebbe essere il Parlamento a decidere come, in che contesto e da chi, di volta in volta, debbano essere fissati.
L'argomento è comunque interessante e ho voluto offrirvi uno spaccato, molto a flash, sulle altre autorità, per comunicarvi che il problema è variamente risolto. Certamente è un problema grosso. Arrivo a sostenere che sarebbe bene una uniformizzazione europea dei requisiti, perché aiuterebbe enormemente anche noi, che a livello europeo abbiamo difficoltà. Altre autorità europee non hanno i nostri poteri. Anche le azioni comuni di enforcement a volte sono impossibili: per esempio, l'autorità inglese non ha quasi poteri, se non quello di monito, e pochissime autorità hanno la possibilità di avvalersi di corpi specializzati di controllo come quella italiana.
Venendo alle domande dell'onorevole Calderisi, ovviamente l'autorità non si sottrae mai, per principio, a qualunque richiesta il Parlamento voglia avanzare. L'onorevole Calderisi ci ha chiesto un contributo e gli invieremo i testi già forniti ed eventualmente, se sarà necessario, ulteriori approfondimenti.
Abbiamo espresso la nostra opinione diverse volte, sia nelle relazioni annuali, sia nelle audizioni presso le Commissioni giustizia e affari costituzionali della precedente legislatura e di questa. Non ci sottraiamo, dunque.
Il tema è estremamente complesso e l'attività di intercettazione disposta dai giudici implica, ovviamente, l'esercizio del potere inquirente dell'autorità giudiziaria, rispetto alla quale ho sempre sostenuto che l'autorità garante si arresta: noi non possiamo essere in grado di giudicare nel caso concreto se le intercettazioni siano troppe o troppo poche, sia per un corretto rispetto dell'indipendenza del potere giudiziario, che è un valore costituzionale, sia perché dovremmo avere il fascicolo, sia perché dovremmo essere così partecipi dell'indagine da svolgere un compito impossibile.
Allo stesso modo, è difficile per noi esprimere un giudizio non temerario sul fatto se le intercettazioni siano poche o numerose. Anche la comparazione con altri Paesi è sempre difficile: non possiamo né dimenticare, né negare di essere un Paese che ha alcune specificità, perché in una sua quota significativa sono presenti forme di criminalità organizzata particolarmente preoccupanti. Anche la comparazione è, quindi, molto complessa.
Credo che sia corretto - l'autorità l'ha sempre fatto - richiamare, come è logico, i giudici alla massima e attenta prudenza in ordine all'uso di questo strumento investigativo. Lo stesso vale per la stampa. La nostra posizione è delicatissima, perché la Costituzione vieta la censura e la nostra azione, ove è preventiva, è una forma di censura - è difficile trovare il discrimine - e, ove è successiva, spesso diventa un inutile provvedimento rispetto a un danno già provocato.
Aggiungo che, soprattutto dopo un caso che tutti avrete certamente a mente, che si è svolto nella legislatura precedente e ha coinvolto un parlamentare, il quale poi ha giustamente asserito che non aveva nessuna intenzione che noi lo proteggessimo, abbiamo deciso di non intervenire se non su ricorso. Spesso può essere effettivamente giusto che il soggetto interessato debba essere lasciato libero di decidere se vuole o non vuole ricorrere al giudice, querelare, adottare altre forme di tutela, rinunciare a tutele, rimettere il caso al dibattito pubblico.
Laddove siamo potuti intervenire, sempre su ricorso, con grande chiarezza, come nel caso di foto scattate all'interno di domicili privati senza il consenso, l'abbiamo fatto convintamente, anche sulla scorta di decisioni persino della Corte di giustizia delle comunità europee e della Corte europea dei diritti dell'uomo, senza alcuna preoccupazione. In altri casi più borderline, la difficoltà dell'autorità è evidente, perché avvertiamo, da un lato, tutta la responsabilità di rischiare di essere un indebito strumento di limitazione della libertà di stampa e, dall'altro, una non sufficiente tutela del diritto alla protezione del dato del cittadino.
Ciò che posso dire e che continuo a ripetere è che sicuramente l'attuale Codice di procedura penale non dà una disciplina del rapporto fra pubblico ministero, giudice per le indagini preliminari e momento della richiesta di rinvio a giudizio sufficientemente disciplinata e adeguata, che sia un giusto punto di equilibrio fra diritto alla difesa e disvelamento delle prove assunte nel corso dell'indagine limitato essenzialmente a quelle che poi l'accusa o il GIP intendono utilizzare ai fini dell'azione giudiziaria.
Questo è un tema sul quale l'autorità ha più volte richiamato l'attenzione, in numerose relazioni, a cominciare da quella del professor Rodotà, a suo tempo, e non abbiamo alcuna difficoltà a ripetere le nostre considerazioni.
Infine, sicuramente il fenomeno che si sta dipanando nel nostro Paese da questo punto di vista non può che essere oggetto di attenta riflessione. Trovo assolutamente utile che il Parlamento rifletta.
Aggiungo un'ultima postilla, che più volte abbiamo richiamato e che mi sento di richiamare con forza, perché, malgrado tutti i nostri alert, i nostri allarmi, mi pare che non sia ancora stata messa a fuoco fino in fondo. Non dobbiamo focalizzare l'attenzione sempre e unicamente ai giudici. Esiste un problema più complesso, che attiene ai collaboratori o ai periti di cui i giudici si avvalgono nella loro attività di indagine. Abbiamo già avuto modo di segnalare più volte, anche con una documentazione ben nota al Parlamento e ampiamente illustrata anche al Copasir, che è la sede più idonea nel caso di specie, le ragioni per cui abbiamo emanato un importante provvedimento in merito ai periti del giudice. Tutta l'attività inevitabile, indispensabile e preziosissima di raccolta delle prove che viene effettuata su ordine o delega dell'autorità giudiziaria da forze di polizia giudiziaria o da
collaboratori o periti del giudice è una parte
molto importante di questa tematica, che noi abbiamo più volte sottolineato prima di tutto a tutela dei giudici, i quali credo che abbiano tutto l'interesse, oltre che il dovere, a prestare grande attenzione a questo aspetto, e poi, in generale, anche all'attenzione del Parlamento, per tutti i riflessi che ne possono derivare e che oggi, come avviene in molti casi, trovano una regolazione soltanto nel nostro provvedimento, che è un atto con efficacia giuridica vincolante, ma ha una forza, una diffusione e una conoscibilità ben diverse da una normativa specifica.
PRESIDENTE. Nel ringraziare il presidente Pizzetti, dichiaro conclusa l'audizione.
La seduta termina alle 16,30.