Tra le conseguenze della pandemia anche l’affievolimento del diritto alla riservatezza. La privacy nel DL 139/2021

19 NOVEMBRE 2021 | Riservatezza

Il c.d. decreto capienze è stato adottato dal Governo per dare attuazione al PNRR- Piano nazionale di ripresa e resilienza – c.d. Recovery Plan – e molte sono le modifiche apportate al vecchio Codice Privacy (DLgs 196/2003), con l’intento di “semplificare l’assetto burocratico” delle P.a. e di accelerare la ripresa del Paese.

Anteriormente alla novella, il trattamento di dati da parte della P.a. richiedeva necessariamente quale base giuridica (e condizione legale) la previsione normativa in una legge o regolamento, ex art. 2 ter, comma 1 Codice Privacy (che richiama espressamente l’art. 6, par. 3, lett.b, del Regolamento Europeo)

L’art. 9, comma 1, lett. a), n.1 del D.L. in esame introduce il comma 1 bis all’art . 2 ter (Codice Privacy) e attribuisce alla P.a. un’ampia discrezionalità nel trattare i dati personali degli interessati: il trattamento dei dati personali è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad essa attribuiti.

La finalità del trattamento, se non già prevista da legge o regolamento, viene indicata dallo stesso titolare del trattamento (quindi dalla pubblica amministrazione agente) con un proprio atto.

Unico limite a questa ampia discrezionalità è il rispetto del principio di correttezza e trasparenza: la P.a. è tenuta ad assicurare adeguata pubblicità all’identità del titolare nonché alla finalità di trattamento.

Tale norma parrebbe porsi in contrasto con la disciplina europea (Regolamento Europeo Privacy- GDPR) che all’art. 6, comma 3 GDPR, dispone che la base (giuridica) su cui si fonda il trattamento necessario all’esecuzione di un compito di interesse pubblico (o connesso all’esercizio di pubblici poteri) debba sempre essere stabilita dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento.

Nel nostro ordinamento interno questa base giuridica, per effetto del richiamo espresso dell’art. 2 ter comma 1 del Codice Privacy, è costituita da una norma di legge, o nei casi previsti dalla legge, di regolamento.

La ratio della disposizione europea è intuitiva: solo con la norma che prevede il trattamento è possibile delineare in maniera puntuale (ex art. 6, comma 3, GDPR) le condizioni generali di liceità del trattamento, le tipologie dei dati oggetto dello stesso, i soggetti a cui possono comunicati i dati, le limitazioni delle finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto.

Il decreto capienze attribuisce, inoltre, alla P.a. discrezionalità non solo nell’an e quomodo del trattamento dei dati personali, ma anche nella fase di loro comunicazione e diffusione.

L’art. 9, comma 1, lett. a), nn. 2 e 3 modifica i commi 2 e 3 dell’art. 2 ter del Codice Privacy.

Il secondo comma prevedeva che “la comunicazione fra titolari che effettuano i trattamenti di dati personali, diversi da quelli ricompresi nelle particolari categorie di cui all’art. 9 del Regolamento e di quelli relativi a condanne penali e reati di cui all’art. 10 del Regolamento, per l’esecuzione di un compito interesse pubblico o connesso all’esercizio di pubblici poteri è ammessa se prevista ai sensi del comma 1. In mancanza di tale norma la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di compiti di interesse pubblico e lo svolgimento di funzioni istituzionali e può essere iniziata se è decorso il termine di 45 gg dalla relativa comunicazione al Garante, senza che lo stesso abbia adottato una diversa determinazione delle misure da adottarsi a garanzia degli interessati.


 

Il comma terzo prevedeva che: “La diffusione e la comunicazione di dati personali, trattati per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalità sono ammesse unicamente se previste ai sensi del comma 1.

La novella introduce, invece, la possibilità per i titolari del trattamento di scambiare tra loro i dati trattati, qualora necessario ai sensi del comma 1 bis, e quindi per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri, e anche per una finalità individuata in modo autocratico dalla stessa amministrazione.

È, altresì, consentita la possibilità di diffondere e comunicare i dati personali a soggetti che intendono trattarli per altre finalità, laddove l’amministrazione lo reputi necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri.

Quest’ultima disposizione è stata interpretata come norma “anti evasione e antiabusivismo”: il direttore dell'Agenzia delle Entrate aveva, infatti, negli scorsi mesi evidenziato che la normativa sulla privacy ostacola la lotta all’evasione e sollecitato l’adozione di provvedimenti modificativi. Le nuove norme consentiranno alle pubbliche amministrazioni di porre in essere nuovi trattamenti di dati, senza bisogno di una norma che li autorizzi e di incrociare questi dati con quelli presenti in qualsiasi banca dati gestita da enti pubblici.

Ora, se nessuno può ragionevolmente discutere la finalità della lotta all’evasione e all’abusivismo, è anche vero che in uno stato di diritto questo non può avvenire a detrimento di libertà e principi fondamentali, e soprattutto con l’introduzione di norme di portata assolutamente generale. Non a caso questa discrezionalità di trattamento, comunicazione, scambio e diffusione dei dati trattati ha suscitato molte perplessità. E molte autorevoli voci hanno già invocato una riforma del testo in sede di conversione, soprattutto alla luce del ruolo sempre più marginale che viene riconosciuto al Garante della privacy dalla stessa riforma.

Il Decreto Capienze, all’art. 9, comma 1, lett. b) abroga l’art. 2 quinquiesdecies del Codice Privacy, per il quale: “Con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati ai sensi dell’articolo 35 del Regolamento, il Garante può, sulla base di quanto disposto dall’articolo 36, paragrafo 5, del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio, prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento e’ tenuto ad adottare”.

La novella elimina, quindi, il potere del Garante di intervenire tempestivamente e d’ufficio ogniqualvolta il trattamento dei dati svolto per l’esecuzione di un compito di interesse pubblico presenti un rischio elevato per i diritti e le libertà delle persone fisiche, ex art. 35 del Regolamento Europeo. Oggi la P.a. potrà utilizzare i dati personali per l’esecuzione di un compito di interesse pubblico, anche qualora esponga ad un rischio elevato l’interessato, senza possibilità per il Garante di indicare misure o accorgimenti di cautela.

Infine, il decreto in esame abroga il comma 5 dell’art. 132 del Codice Privacy, rendendo sempre ammissibile la conservazione di dati relativi al traffico telefonico (inclusi quelli concernenti le chiamate senza risposta), ogniqualvolta ciò sia necessario per l’accertamento e la repressione dei reati, eliminando anche in questo caso la possibilità di intervento del Garante.

Il titolare del trattamento potrà, quindi, procedere alla conservazione senza alcun limite, non essendovi alcuna misura e/o accorgimento prescrivibile dal Garante.

La marginalizzazione del ruolo Garante (dettata dalla dichiarata volontà di accelerare la ripresa del Paese) è ribadita anche dall’ulteriore previsione normativa dell’art. 9, comma 3 del Codice Privacy: il Garante dovrà rendere i pareri richiesti in merito alla protezione dei dati personali (in occasione di riforme, misure e progetti del Piano Nazionale di ripresa e resilienza) entro 30 giorni dalla richiesta. Decorso tale termine (molto ridotto) il Governo potrà procedere indipendentemente dall’acquisizione del parere.

Nel nostro ordinamento (e in quello europeo) il Garante Privacy rappresenta l’organo deputato a proteggere gli interessati a fronte del trattamento dei loro dati da parte di soggetti pubblici e privati. La riduzione del suo ruolo, con norma di portata generale e strutturale, non pare trovare idonea giustificazione nelle mere esigenze organizzative di accelerazione e semplificazione, essendo all’evidenza una scelta normativa del tutto priva di proporzione rispetto agli interessi e diritti sacrificati.

Né sembrano sufficientemente convincenti le motivazioni di “soluzionismo tecnologico”, che sottolineano la necessità (soprattutto futura) da parte delle P.a. di gestire dei dati “interoperabili”, accessibili e consultabili senza troppi limiti.

Le nuove norme, che modificano in via permanente e senza limitazione di oggetto la normativa sulla Privacy, paiono invece destinate a creare una inaccettabile “trasparenza asimmetrica tra P.a. e cittadini”, e scaturire da una scelta operativa che percepisce il GDPR e il TU Privacy come un limite alle necessità di modernizzazione e sviluppo. Si invoca la semplificazione dei processi e la sburocratizzazione quando il Paese si sta preparando ad affrontare un piano di massicci interventi sul piano tecnologico grazie al PNRR.

Ma il punto è questo: attuare il Piano Nazionale di Ripresa e Resilienza in assenza di doverose garanzie per i cittadini rischia di creare un’infrastruttura fragile foriera di ricorsi giurisdizionali, banche dati non accurate e protette, e altre violazioni di diritti fondamentali.

La privacy non è un orpello burocratico ma un diritto fondamentale, tutelato a livello costituzionale (anche europeo) come più volte ribadito a tutti i livelli giurisprudenziali. Per questo il Garante godeva di un potere di intervento, anche d’ufficio, sulle norme di legge o di regolamento in presenza di gravi rischi per i diritti dei cittadini correlati al trattamento di dati personali per fini di interesse pubblico. Oggi il governo e le P.a. potranno sviluppare nuovi servizi, app, ad esempio per prestazioni sanitarie o innovative, senza dover temere che il Garante possa fermare il tutto laddove ravvisi un rischio per gli interessati.

Resta ovviamente il potere sanzionatorio: il Garante potrà intervenire in caso di violazioni delle norme se la P.a. non rispetti le regole già stabilite. Ma è un potere diverso: se una norma viene adottata senza che il Garante possa più opporsi (prima o dopo), poi i relativi trattamenti di dati personali dei cittadini saranno comunque leciti. E il Garante, anche se in disaccordo con la norma, non potrà sanzionare le amministrazioni che se ne avvalgono.

Nota apprezzabile sono invece le nuove regole sul revenge porn, a tutela delle vittime – spesso minori – di diffusione impropria di contenuti espliciti. Prima della modifica ai minori era consentito richiamare solo l’attenzione dell’Autorità garante per l’infanzia e l’adolescenza per situazioni ad alto rischio di violazione dei loro diritti: ora potranno adire direttamente il Garante privacy tramite reclamo a mezzo raccomandata A/R o PEC, oppure tramite una segnalazione che può essere inviata anche con mail ordinaria.

In conclusione rimangono motivate perplessità complessive.

Alcune posizioni più critiche paventano che in assenza di una regolamentazione rigorosa dell’accesso e trattamento da parte delle pubbliche autorità e delle pubbliche amministrazioni ai dati personali dei cittadini, l’esercizio dei pubblici poteri per finalità di pubblico interesse potrà assumere forme pervasive di intrusione nella vita privata e anche di sorveglianza.

È stato poi sottolineato il contrasto con l’art. 5.1 del GDPR (per il quale le finalità devono essere determinate, esplicite e legittime): una norma di legge o di regolamento può fondare la legittimità di uno o più trattamenti specifici basati sul pubblico interesse, ma non introdurre la possibilità generalizzata di trattamenti del tutto indefiniti. La novella introduce, invece, una sorta di clausola “aperta” (il trattamento è sempre consentito”) per il perseguimento di un generico “pubblico interesse”, variamente e diversamente interpretabile a seconda della PA che lo applica.

Questo vale anche e soprattutto per la comunicazione dei dati tra P.a. : una volta conferiti i dati ad una P.a. per uno specifico trattamento, questi potrebbero sfuggire al controllo dell’interessato. I cittadini potrebbero vedersi coinvolti in violazioni di dati personali riguardanti Pubbliche Amministrazioni, senza essere a conoscenza che queste siano in possesso dei loro dati. Oltre a ciò la presenza dei dati in diversi database potrebbe anche condurre all’aumento dei “dati breach”.

La mancanza di potere di intervento del Garante potrebbe, inoltre, indurre le PA ad una valutazione poco attenta circa la correttezza dei trattamenti di dati personali dei cittadini: anche a causa dello scarso grado di competenze e risorse, la maggior parte della Pubblica Amministrazione non è in grado di applicare e rispettare la normativa per la protezione dei dati. In altri termini si rischia una generale deresponsabilizzazione delle PA: sinora se il titolare del trattamento disattendeva le prescrizioni del Garante rispondeva penalmente di trattamento illecito di dati (art. 167 Cod. Privacy). Ma oggi è stato abrogato il potere del Garante di prescrivere misure e accorgimenti. Questa modifica non potrà che peggiorare la situazione, in un contesto in cui le misure proposte dal Garante erano spesso l’unico modo di garantire la liceità del trattamento di dati.

Dati di assoluta rilevanza come quelli relativi alla propria situazione economica potrebbero essere utilizzati da ogni pubblica amministrazione senza che gli interessati abbiano alcuna possibilità di controllo concreto e con il rischio di circolazione di dati non accurati o errati (in violazione del principio di esattezza del dato, di cui all’art. 5, 1, d. GDPR). Queste informazioni potrebbero essere utilizzate per alimentare algoritmi o fondare decisioni automatizzate (pensiamo alla diffusione sempre maggiore di tecnologie di IA – Intelligenza Artificiale), che potrebbero risultare inique, se non del tutto errate.

Va detto che l’art. 2-quinquiesdecies (oggi abrogato dall’art. 9 comma 1 lett. b) si ricollegava all’art. 36.5 GDPR che riconosceva agli Stati membri la facoltà di conferire alle proprie Autorità poteri autorizzativi maggiormente incisivi: costituiva, quindi, una tutela ulteriore rispetto alla consultazione preventiva, di cui all’art. 36.1.

La disposizione abrogata (“Con riguardo ai trattamenti svolti per l’esecuzione di un interesse pubblico che possono presentare rischi elevati ai sensi dell’art. 35 del Regolamento, il Garante può, sulla base di quanto disposto dall’art. 36, paragrafo 5, del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio, prescrivere misure ed accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare”) estendeva i poteri di controllo del Garante anche ai trattamenti non sottoposti a D.P.I.A. (Data Protection Impact Assessment : valutazione di impatto del trattamento - onere posto direttamente a carico del titolare del trattamento dall’art. 35 GDPR) o che, se sottoposti, presentavano un rischio elevato.  Questa facoltà era stata data al Garante dal legislatore nel 2018, in occasione del coordinamento del Codice Privacy al GDPR. Dopo soli due anni il governo ci ha ripensato. 


 

Allegati

Ok
Questo website usa solamente cookies tecnici per il suo funzionamento. Maggiori dettagli