Decreto capienze e privacy: i nuovi scenari

di Luisa Di Giacomo, Avv.

Che cosa c’entrano i cinema con la privacy? Apparentemente nulla, o comunque non quello che si potrebbe pensare.

Eppure succede che nel cosiddetto decreto capienze, approvato dal Consiglio dei ministri giovedì 7 ottobre scorso, e pubblicato in Gazzetta Ufficiale il giorno successivo, che prevede un allentamento delle restrizioni per la frequentazione di cinema, teatri e discoteche, venga inserito, un po’ come i classici cavoli a merenda, un articolo che c’entra poco con le capienze e invece potrebbe avere impatti tutt’altro che trascurabili in tema protezione dei dati e privacy.

Si tratta dell’articolo 9 del decreto legge 8 ottobre 2021 n. 139, che, se confermato in sede di conversione, implicherebbe una significativa riduzione dei poteri del Garante privacy nei confronti dello Stato e della PA, con conseguenti minori garanzie per i cittadini.

Vediamo perché.

Indice:

  1. Art.9: il trattamento da parte della PA dei dati comuni a fine di pubblico interesse
  2. Le finalità dei trattamenti stabilite dalla PA
  3. L’intervento preventivo del Garante
  4. Che succede alla privacy ora?

1.Art.9: il trattamento da parte della PA dei dati comuni a fine di pubblico interesse

Il decreto, approvato all’unanimità dal Consiglio dei Ministri, prevede all’articolo 9 tre novità dirompenti:

  1. La prima stabilisce che la Pubblica Amministrazione avrà sempre la possibilità di trattare i dati degli interessati (persone fisiche) per fini di interesse pubblico senza bisogno di una norma primaria che lo conceda.
  2. La seconda nuova disposizione consiste nella possibilità per la Pubblica Amministrazione di   indicare essa stessa le finalità per cui esegue il trattamento.
  3. Infine, il Garante non potrà più intervenire in via preventiva su trattamenti a rischio effettuati dalla Pubblica Amministrazione.

Ovvero, per dirla in altre parole, la Pubblica Amministrazione potrà sempre trattare i dati comuni dei cittadini (ad esempio quelli anagrafici, ma non solo, anche quelli fiscali ad esempio) per finalità pubbliche o di pubblico interesse, e per l’esercizio di pubblici poteri attribuiti da autorità indipendenti, amministrazioni inserite nell’elenco di cui all’articolo 1, comma 3 della legge 31 dicembre 2009 numero 196, società a controllo pubblico, organismi di diritto pubblico.

2.Le finalità dei trattamenti stabilite dalla PA

Fino all’approvazione del decreto capienze, ogni volta che veniva previsto un nuovo trattamento di dati, una norma apposita doveva stabilirne le finalità.

Ad esempio, per restare nei casi di più stretta attualità, il trattamento dei dati per il green pass è stato stabilito dal decreto legge n. 127 del 21 settembre 2021 che ne ha statuito le finalità (prevenire e limitare il contagio, dunque finalità di protezione della sanità pubblica). Lo stesso è successo con le app Immuni e IO, peraltro con tutte le polemiche che ne sono conseguite in tema di privacy.

D’ora in avanti non sarà più così. L’art. 9 del decreto capienze, infatti, prevede che la finalità del trattamento, “se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall’amministrazione, dalla società a controllo pubblico o dall’organismo di diritto pubblico in coerenza al compito svolto o al potere esercitato”.

Dunque, se la Pubblica Amministrazione riterrà necessario svolgere un nuovo trattamento, ad esempio di controllo ed incrocio dei dati reddituali dei cittadini, e non c’è una legge che preveda quel trattamento e quelle finalità, la PA stessa, con un semplice atto amministrativo, potrà indicare per quale motivo ritiene necessario effettuare quel trattamento (lotta all’evasione fiscale, nell’esempio appena fatto).

Leggi anche l’articolo “Green pass e rientro in presenza nella PA: ecco le nuove regole”

3.L’intervento preventivo del Garante

Il decreto capienze abroga l’articolo 2 quinquiesdecies del Codice Privacy (d. lgs. 196/03), il quale prevedeva che in caso di trattamenti ad alto rischio fosse obbligatorio consultare in via preventiva il Garante.

Ricorderemo tutti il caso dell’app IO, momentaneamente bloccata dal Garante per le opportune verifiche in materia di protezione dei dati e tutela della privacy, e dell’ammonimento ufficiale che il Garante stesso rivolse al Governo per aver imbastito la prima versione del pass vaccinale senza effettuare la consultazione preventiva e obbligatoria. Oggi tutto questo non sarà più possibile.

Va detto che questo potere di ispezione preventiva del Garante non è previsto dal Regolamento Europeo 679/2016 sulla Protezione dei Dati Personali (GDPR), il quale invece concede agli Stati membri un certo margine di flessibilità per quanto riguarda l’adozione di regole specifiche in punto basi giuridiche del trattamento e condizioni di liceità per trattamenti necessari all’adempimento di compiti di interesse pubblico o per l’esercizio di pubblici poteri.

La ratio da applicare, nell’ambito della discrezionalità dei singoli Stati, era ed è sempre stata la proporzionalità: quando il diritto interno degli Stati membri persegue un obiettivo di interesse pubblico, il trattamento deve essere proporzionato all’obiettivo legittimo perseguito. Diversamente, la norma nazionale deve considerarsi incompatibile con quella Europea, di rango superiore, e pertanto deve essere disapplicata.

4.Che succede alla privacy ora?

Alcuni illustri esperti nel settore privacy hanno bocciato senza messi termini il decreto, ritenendolo gravemente lesivo dei diritti e delle libertà fondamentali degli interessati. Tra questi, il prof. Franco Pizzetti, ex Garante Privacy, professore emerito di diritto costituzionale all’Università di Torino, che sostiene che il potere di ispezione preventiva del Garante sia utile, ancorché da dosare con cautela, ma che l’averlo abolito sia la novità più grave del decreto (fonte: cybersecurity360.it).

Più possibilista l’avv. Luca Bolognini, Presidente dell’Istituto Italiano Privacy, che ricerca una posizione di mediazione, affermando che “la modifica di adeguamento del Codice Privacy al GDPR, operata mediante diversi interventi impropri e affrettati nel 2018, con il D. Lgs. 101, limitò eccessivamente le possibilità di trattamento dei dati personali comuni da parte dei soggetti pubblici e di quelli, anche di natura privata, incaricati di svolgere compiti di interesse pubblico” (fonte: agendadigitale.eu), non bocciando dunque in toto l’intervento del Governo, ma auspicando una posizione correttiva in sede di conversione.

Dal canto loro, l’Agenzia delle Entrate e il ministro Colao si sono lamentati più volte del potere eccessivo del Garante, considerandolo un ostacolo al corretto funzionamento della PA, anche in temi delicatissimi quali, per dire il più cruciale, la lotta all’evasione fiscale, mentre il Garante stesso si è difeso argomentando di aver esercitato il suo “potere di veto” perché non consultato preventivamente prima della pubblicazione della norma.

Altre disposizioni previste dall’art. 9 sono le minori garanzie sui tabulati telefonici, derivanti dall’abrogazione del comma 5 art. 132 Codice Privacy (che prevedeva che il trattamento e la conservazione dei tabulati telefonici per le finalità di accertamento e repressione dei reati venisse effettuato nel rispetto delle misure e degli accorgimenti a garanzia delle persone prescritti dal Garante Privacy), ed un tempo ridotto a soli trenta giorni al Garante per fornire un parere preventivo, che però non risulterebbe più ostativo all’adozione della norma.

Insomma, come spesso abbiamo visto in questi ultimi mesi, il braccio di ferro tra Governo e Garante, che, non dimentichiamolo, ha avuto in tempi recenti il poco lusinghiero e francamente ingiusto appellativo di Signore dei Cavilli, parrebbe continuare ed essere arrivato ad un punto di svolta.

Resta da vedere che cosa succederà in sede di conversione del decreto, se saranno applicati i correttivi di buon senso auspicati dall’avv. Bolognini, o se la vanificazione dell’impianto privacy pensato a tutela di diritti e libertà di cittadini proseguirà il suo corso, come preconizzato dal prof. Pizzetti.

In un caso o nell’altro, ci auguriamo che la indispensabile opera di digitalizzazione del Paese e della Pubblica Amministrazione prosegua la sua avanzata senza però travolgere sul suo cammino quel residuo di riservatezza personale che ognuno di noi farebbe bene a difendere con le unghie e con i denti.

Consigliamo l’Ebook:

I rischi nel trattamento dei dati - e-Book in pdf

I rischi nel trattamento dei dati - e-Book in pdf

Michele Iaselli, 2021, Maggioli Editore

L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA. Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

luisa-di-giacomo

Luisa Di Giacomo

Si è laureata a pieni voti all’Università di Torino, ha studiato in Francia e negli Stati Uniti e da quindici anni svolge la professione di avvocato. Mediatore professionista e docente presso Master e corsi specialistici in materia di mediazione, dal 2012 si occupa esclusivamente di privacy e protezione di dati personali. Ha conseguito il Master Federprivacy nel 2016, è DPO in una ventina di Comuni ed Enti Pubblici in Piemonte e consulente privacy per aziende in ambito sanitario e tecnologico.


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it