Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

Diritto amministrativo
Amministrazione pubblica

Le recenti modifiche agli articoli 2-ter e 2-sexies del d.lgs. 196/2003

Dott. Franco Scaramella 27/01/22
Scarica PDF Stampa

Indice:

Premessa

Lo scorso 8 ottobre 2021 è stato pubblicato in Gazzetta Ufficiale (Serie Generale n. 241) il decreto legge n. 139, recante Disposizioni urgenti per l’accesso alle attività culturali, sportive e ricreative, nonché per l’organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali. Il relativo processo di conversione, che ha visto impegnato dapprima il Senato (AS 2409) e successivamente la Camera (AC 3374), si è concluso con l’adozione della legge 3 dicembre 2021, n. 205, pubblicata in Gazzetta Ufficiale (Serie Generale n. 291) il 7 dicembre 2021.

Scopo del presente contributo è focalizzare l’attenzione su alcune importanti novità introdotte da tale decreto legge all’interno del decreto legislativo 30 giugno 2003, n. 196, recante Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (appresso per brevità “Codice”). Più in dettaglio, l’attenzione verrà posta sulle novelle apportate ad alcuni fondamentali articoli del Codice che disciplinano il trattamento dei dati personali da parte delle pubbliche amministrazioni.

Vista la specificità dell’oggetto appare opportuno ricordare, sia pur brevemente, i pilastri sui quali poggia il trattamento dei dati personali da parte delle pubbliche amministrazioni.

Il trattamento dei dati personali da parte delle pubbliche amministrazioni

Esiste una tensione di fondo quasi assiologica, prima ancora che giuridica, tra perseguimento di interessi pubblici e tutela dei dati personali. I primi rappresentano la mission delle pubbliche amministrazioni e, per definizione, afferiscono all’intera collettività; i secondi riguardano invece il cittadino come singolo e attengono, quindi, all’individuo. Entrambi trovano riconoscimento, tutela e pari dignità, all’interno della nostra Carta fondamentale.

Negli ordinamenti liberali fondati sul moderno stato di diritto e, dunque, sul principio di legalità, tale tensione trova soluzione in uno rapporto di equilibrio che risponde sostanzialmente ad una logica di tipo “win-win” perché fondato sul bilanciamento tra la necessità, per le pubbliche amministrazioni, di trattare i dati personali dei cittadini nell’esecuzione dei propri compiti istituzionali e l’interesse (o per meglio dire il diritto), dei singoli cittadini, ad essere tutelati da un sistema di garanzie previste dall’ordinamento al quale devono attenersi (anche) le pubbliche amministrazioni.

Nell’ordinamento giuridico italiano tale sistema di garanzie si compone di un complesso articolato di norme e principi contenuti per lo più (ma non solo) all’interno del Codice che detta plurime discipline ognuna dotata di una forza diversificata in funzione, sia della natura (pubblica o privata) del soggetto che effettua il trattamento dei dati personali altrui, sia della tipologia (o per meglio dire della natura) del dato personale trattato.

Con riferimento proprio a quest’ultimo aspetto, a seguito dell’entrata in vigore del Regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (appresso per brevità “Regolamento”), tre sono le macrocategorie di dati personali che assumono rilevanza ai fini che qui interessano:

a) dati personali afferenti “categorie particolari (ex articolo 9 del Regolamento): tali sono i dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché i dati genetici, i dati biometrici, i dati relativi alla salute, alla vita sessuale e all’orientamento sessuale delle persone fisiche;

b) dati personali relativi a condanne penali e reati (ex articolo 10 del Regolamento): sono tali i dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza;

c) dati personali c.d. “comuni”: sono tali tutti quei dati personali che non appartengono alle precedenti categorie e che, secondo la definizione generale contenuta all’articolo 4, comma 1, numero 1), del Regolamento, si sostanziano in <<qualsiasi informazione riguardante una persona fisica identificata o identificabile…..si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale>>.

Presupposto imprescindibile per il legittimo trattamento dei dati personali, a prescindere dalla relativa natura e dal soggetto che effettua il trattamento, è la sussistenza di una delle c.d. condizioni di liceità individuate all’articolo 6 del Regolamento. Il comma primo di tale norma dispone che <<Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni>>, ne segue un’elencazione di fattispecie eterogenee. L’attenzione deve qui concentrarsi sull’ipotesi descritta sub lettera e) in base alla quale il trattamento è lecito quando <<è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento>>. Quella appena indicata è pacificamente considerata la condizione di liceità che riguarda l’attività delle pubbliche amministrazioni o, più in generale, dei soggetti che esercitano pubblici poteri1. Alla stessa deve essere riconosciuto valore assorbente rispetto alle altre condizioni di liceità previste dalla norma, ancorché astrattamente riferibili anche all’attività di una pubblica amministrazione. È questo, ad esempio, il caso della condizione di liceità descritta sub lettera b) che riguarda il trattamento <<necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso>>. Nessun dubbio che il contratto rappresenti una modalità “tipica” di estrinsecazione dell’attività amministrativa2, a ben vedere però, quella che prima facie parrebbe una condizione di liceità ulteriore rispetto all’esecuzione di un compito di interesse pubblico/esercizio di un pubblico potere, in realtà rappresenta solo la declinazione (in chiave negoziale) di una condizione di liceità che, laddove parte di un contratto sia per l’appunto una pubblica amministrazione, rimane sempre e comunque quella del perseguimento di un interesse pubblico e/o l’esercizio di un pubblico potere. Ciò per l’evidente ragione che, diversamente dall’attività dei cittadini, e più in generale dei soggetti giuridici di diritto privato, che sappiamo essere libera nel fine e circoscritta solo dai c.d. limiti “negativi”3, quella delle pubbliche amministrazioni, oltre che agli stessi limiti negativi, è soggetta anche ai c.d. limiti “positivi” rappresentati dal perseguimento degli interessi pubblici ai quali le stesse sono preposte. Detto altrimenti, una pubblica amministrazione che stipula un contratto, pur adottando un istituto evidentemente iure privatorum, agisce (deve agire) sempre e comunque per il perseguimento degli interessi pubblici che le sono stati affidati dall’ordinamento. In questi termini quindi, l’esecuzione di un compito di interesse pubblico o l’esercizio di pubblici poteri, ha valore assorbente rispetto all’esecuzione di un contratto di cui è parte, oltre all’interessato, anche la pubblica amministrazione4. Chiarito il significato della specifica condizione di liceità riferibile all’attività della pubblica amministrazione, è interessante notare come in essa siano ravvisabili tutti gli elementi di quella soluzione win-win cui sopra si faceva riferimento: se da un lato l’esistenza di un’attività di pubblico interesse è condizione di liceità del trattamento dei dati personali, dall’altro, tale condizione non può per ciò solo legittimare un uso ad libitum dei medesimi dati. Lo si desume dall’esplicito riferimento al concetto di “necessità” utilizzato nella costruzione della fattispecie5. Quello che qui preme osservare è che, anche il trattamento dei dati personali effettuato da un soggetto pubblico nell’esercizio di pubblici poteri, incontra una serie di limiti derivanti da un sistema di regole, alcune, comuni anche ai trattamenti effettuati da soggetti privati, altre, più specifiche. Appartengono alla prima categoria i precetti contenuti, ad esempio, agli articoli 5 (Principi applicabili al trattamento di dati personali), 13 (Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato) e 14 (Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato) del Regolamento, rientrano invece nella seconda categoria, le specifiche disposizioni dettate dal legislatore italiano in alcuni fondamentali articoli del Codice, quali: l’articolo 2-ter, l’articolo 2-sexies, l’articolo 2-septies, l’articolo 2-octies e l’articolo 2-quinquiesdecies.

Proprio su taluni di tali articoli è recentemente intervenuto l’articolo 9 del d.l. 139/2021. Nei successivi paragrafi si evidenzieranno in special modo le novità che hanno interessato gli articoli 2-ter e 2-sexies.

Le modifiche all’articolo 2-ter del Codice introdotte dall’articolo 9 del d.l. 139/2021 (ante conversione in legge)

L’articolo 2-ter del Codice disciplina la c.d. “base giuridica” per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.

Avvalendosi della facoltà prevista dal combinato disposto dei commi 2 e 3, lettera b), dell’articolo 6, del Regolamento n. 679/2016, il legislatore italiano aveva declinato tale concetto ancorandolo alla norma di legge o di regolamento. Più in dettaglio, il comma 1 dell’articolo 2-ter del Codice, prima dell’adozione delle legge n. 205/2021, prevedeva che <<La base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento>>. Tale previsione poteva (rectius doveva) riferirsi a qualsiasi tipologia di dati trattati dalla pubblica amministrazione fatta salva, evidentemente, l’applicazione delle disposizioni rafforzate che l’ordinamento – es. artt. 2-sexies, 2-septies e 2-octies del Codice – prevedeva (e prevede) in funzione della diversa natura dei dati personali trattati6.

Prima della sua conversione in legge il d.l. 139/2021 non aveva previsto alcun intervento sul concetto di “base giuridica”. È vero piuttosto che, il contenuto precettivo del comma 1 dell’articolo 2-ter del Codice, rappresentava una vera e propria premessa logica, prima ancora che giuridica, in relazione alla quale o, per meglio dire, in deroga alla quale, era stata concepita la novella recata dal decreto in parola all’articolo qui in esame. Infatti, l’articolo 9, comma 1, lettera a), del d.l. 139/2021, si era limitato ad introdurre un nuovo comma (il comma 1-bis) all’interno dell’articolo 2-ter del Codice e ad apportare alcune modificazioni ai successivi commi 2 e 3. La forza novellatrice dell’articolo 9, come vedremo meglio nel successivo paragrafo, muterà radicalmente con il processo di conversione non solo perché verrà modificato il contenuto del comma 1-bis dell’articolo 2-ter, ma anche e, per certi versi, soprattutto, perché ciò che prima risultava essere un presupposto logico della novella risulterà, a seguito della conversione, parte della stessa.

Per comprendere appieno i contenuti delle modifiche recate all’articolo 2-ter del Codice è opportuno procedere per gradi.

Si accennava poc’anzi al fatto che inizialmente il legislatore nazionale si era limitato ad introdurre il nuovo comma 1-bis all’interno di detto articolo lasciando immutato il comma primo. Nella sua formulazione originaria la nuova norma prevedeva che, per determinate categorie di soggetti pubblici, il trattamento dei dati personali era <<sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti. La finalità del trattamento, se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall’amministrazione, dalla società a controllo pubblico in coerenza al compito svolto o al potere esercitato, assicurando adeguata pubblicità all’identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano>>. Al netto di alcune previsioni quasi tautologiche7, gli elementi di novità introdotti erano sostanzialmente due: la previsione di un ambito soggettivo di applicazione “delimitato” (perché riferito a determinati soggetti pubblici); l’introduzione di una deroga al sistema delle fonti costituenti la “base giuridica” codificato al comma 1 dell’articolo 2-ter del Codice.

I soggetti pubblici ai quali il comma 1-bis si riferiva erano <<… amministrazione pubblica di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, ivi comprese le Autorità indipendenti e le amministrazioni inserite nell’elenco di cui all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, nonché …..società a controllo pubblico statale di cui all’articolo 16 del decreto legislativo 19 agosto 2016, n. 175, con esclusione per le società pubbliche dei trattamenti correlati ad attività svolte in regime di libero mercato…>>. Per avere una percezione di tale platea può essere utile ricordare che:

a) il comma 2 dell’articolo 1, del d.lgs. 165/2001, stabilisce: <<Per amministrazioni pubbliche si intendono tutte le amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunità montane, e loro consorzi e associazioni, le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli enti del Servizio sanitario nazionale l’Agenzia per la rappresentanza negoziale delle pubbliche amministrazioni (ARAN) e le Agenzie di cui al decreto legislativo 30 luglio 1999, n. 300. Fino alla revisione organica della disciplina di settore, le disposizioni di cui al presente decreto continuano ad applicarsi anche al CONI>>;

b) <<Autorità indipendenti>> sono le Autorità amministrative indipendenti, tra le quali, va annoverato anche il Garante per la protezione dei dati personali;

c) <<le amministrazioni inserite nell’elenco di cui all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196>> sono le pubbliche amministrazioni inserite nel Conto economico consolidato redatto annualmente dall’Istituto nazionale di statistica (ISTAT), secondo le regole contabili definite a livello europeo dal Regolamento CE n. 2223/96 del 25 maggio 1996 (Sistema europeo dei conti nazionali e regionali nella Comunità) (c.d. SEC 95), successivamente sostituito dal vigente Regolamento (UE) n. 549/2013 del Parlamento europeo e del Consiglio del 21 maggio 2013 (Sistema europeo dei conti nazionali e regionali nell’Unione europea) (c.d. SEC 2010);

d) <<società a controllo pubblico statale di cui all’articolo 16 del decreto legislativo 19 agosto 2016, n. 175, con esclusione per le società pubbliche dei trattamenti correlati ad attività svolte in regime di libero mercato>> sono le società in house soggette al controllo analogo8.

L’altra fondamentale novità – lo si è in parte anticipato all’inizio di questo paragrafo – era rappresentata dall’introduzione di una deroga alla regola generale fissata dal comma 1 dell’articolo 2-ter del Codice. I termini di tale deroga erano chiari: grazie al comma 1-bis, oltre che nei casi previsti da una norma di legge o di regolamento, il trattamento dei dati personali da parte dei predetti soggetti pubblici doveva considerarsi consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri. Lo stato di necessità9 del trattamento veniva quindi considerato un fattore legittimante il trattamento stesso. Per evitare abusi e distorsioni nell’applicazione di tale previsione, molto opportunamente la norma aveva introdotto la previsione per la quale la finalità del trattamento, se non espressamente prevista da una norma di legge o, nei casi previsti dalla stessa, di regolamento, doveva essere indicata dal soggetto pubblico in coerenza con il compito svolto o con il potere esercitato, assicurando adeguata pubblicità all’identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardavano. In buona sostanza, ciò che eventualmente la norma (legge o regolamento) non prevedeva in termini di identità del titolare, finalità del trattamento e, più in generale, di correttezza e trasparenza del trattamento, doveva essere esplicitato dalla stessa amministrazione con un proprio atto10. Prima facie tale novità poteva essere interpretata come una contrazione del principio di legalità o, per meglio dire, di quella sua particolare declinazione in materia di privacy codificata al primo comma dell’articolo 2-ter del Codice. Se contrazione c’è stata questa doveva però considerarsi solo formale. Infatti, il comma 1-bis, dell’articolo 2-ter del Codice, fungeva esso stesso da base giuridicagenerale11 per tutti i trattamenti (eventualmente) non coperti da una base giuridica “puntuale” adotta in base al comma 1 del medesimo articolo. La logica sulla quale si fondava tale previsione era chiaramente quella dell’accountability che informa e qualifica tutto l’impianto normativo recato dalla normativa europea in materia di privacy. Un merito importante di tale novella, ripreso e rafforzato in sede di conversione, è stato sicuramente quello di aver esplicitato in modo chiaro un aspetto centrale nel trattamento dei dati personali da parte della pubblica amministrazione o, per meglio dire, di aver aperto una finestra direttamente sul nucleo di quella tensione di fondo che anima e qualifica tale rapporto. Ci si riferisce al fatto che il trattamento dei dati personali dei cittadini da parte di un soggetto pubblico non è mai fine a se stesso ma è sempre strumentale alla cura degli interessi pubblici che l’ordinamento gli ha assegnato: un soggetto pubblico, intanto tratta i dati personali di un cittadino, in quanto, quest’ultimo è destinatario degli atti, dei servizi, dei provvedimenti o, più in generale, dell’attività che l’ordinamento giuridico ha assegnato al primo.

Come già anticipato, l’articolo 9, comma 1, lettera a), del d.l. 139/2021, era intervenuto anche sui commi 2 e 3 dell’articolo 2-ter del Codice. Lo ha fatto in primo luogo per ragioni di raccordo con le novità contenute al comma 1-bis. In entrambi tali commi provvedeva ad inserire l’incidentale <<o se necessaria ai sensi del comma 1-bis>> consentendo, quindi, l’estensione delle specifiche disposizioni contenute negli stessi (comunicazioni tra titolari e di diffusione dei dati comuni) anche all’ipotesi di dati personali trattati in forza della base giuridica positivizzata al comma 1-bis di cui si è detto. Accanto a queste novità di mero raccordo, il d.l. 139/2021 aveva apportato anche modifiche sostanziali all’interno del comma 2 dell’articolo 2-ter. Ci si riferisce all’abrogazione del secondo e (allora) ultimo periodo di tale comma che disciplinava, come noto, la comunicazione dei dati personali comuni stabilendo che, in assenza di una norma di legge o di regolamento, la comunicazione fra titolari che effettuavano trattamenti di tali dati era ammessa quando comunque necessaria per lo svolgimento di compiti di interesse pubblico e per il perseguimento di funzioni istituzionali, previo decorso del termine di quarantacinque giorni dalla relativa comunicazione al Garante, senza che quest’ultimo avesse adottato una diversa determinazione delle misure da adottarsi a garanzia degli interessati. Anche questa abrogazione si collocava evidentemente nel solco dell’accountability sopra richiamata.

Su questo quadro normativo, già di per sé denso di novità, è intervenuto il legislatore italiano in sede di conversione del d.l. 139/2021, riscrivendo integralmente l’articolo 9 di tale decreto.

Le modifiche all’articolo 2-ter del Codice introdotte dall’articolo 9 del d.l. 139/2021 (post conversione in legge)

Diverse sono state le novità introdotte all’articolo 2-ter del Codice dal legislatore nazionale in sede di conversione del d.l. 139/2021.

La prima – non certo l’unica – a destare attenzione è quella che ha interessato il comma primo di tale norma, inizialmente risparmiato dalla novella. Il legislatore ha rivisto il sistema delle fonti costituenti la base giuridica del trattamento dei dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, determinando il passaggio da un sistema bipolare ad un sistema tripolare. La nuova release della norma prevede infatti che <<La base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del regolamento e’ costituita da una norma di legge o di regolamento o da atti amministrativi generali>>12 Se da un lato è ovviamente ancora troppo presto per capire gli effetti pratici di questa riformulazione, già in questa fase iniziale è possibile compiere delle considerazioni generali.

È indubbio che, al netto della riformulazione – più formale che sostanziale – del rapporto tra la fonte legislativa e quella regolamentare13, l’elemento di novità che spicca è il riferimento all’atto amministrativo generale.

Ricostruire in questa sede le varie teorie che dottrina14 e giurisprudenza hanno formulato allo scopo di inquadrare, trattare e definire, i contenuti di tale atto, condurrebbe senza dubbio fuori tema. Ci si limiterà a richiamare l’attenzione sugli ultimi approdi ermeneutici ad esso relativi e, per quanto qui interessa, ad evidenziarne la relativa natura giuridica e le relative differenze rispetto ai regolamenti. Gli atti amministrativi generali – così definiti per la loro prerogativa di essere rivolti non ad un soggetto determinato ma ad una pluralità di soggetti – condividono con i regolamenti la medesima matrice genetica, nel senso che sono atti che promanano dalla pubblica amministrazione e rappresentano, quindi, entrambi atti “formalmente” amministrativi. Non è sul piano formale che possono cogliersi e apprezzare le differenze che qui interessano, bensì su quello sostanziale. Secondo la ricostruzione condivisa da dottrina e giurisprudenza maggioritaria, gli atti amministrativi generali sono atti non solo formalmente ma anche sostanzialmente amministrativi in quanto espressione di una <<potestà amministrativa funzionale alla cura degli interessi pubblici, i cui destinatari, pur non essendo determinati necessariamente nel provvedimento, di certo sono determinabili successivamente>>15 mentre i regolamenti <<rappresentano l’estrinsecazione della potestà normativa dell’amministrazione, secondaria rispetto a quella legislativa innovativa dell’ordinamento, recando precetti connotati da generalità e astrattezza>>16. Pur promanando dallo stesso soggetto giuridico pubblico, atti amministrativi generali e regolamenti sono quindi espressione di due distinti poteri.

Posta in questi termini (evidentemente sintetici per ragioni di economia) la distinzione tra regolamenti e atti amministrativi generali, rimane da interrogarsi sulla portata innovatrice della (ri)formulazione del comma primo dell’articolo 2-ter del Codice. Indubbiamente la novella fa registrare un ampliamento delle fonti costituenti la base giuridica dei trattamenti dei dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri perché, accanto alle precedenti fonti normative (legge o regolamento) se ne aggiunge ora anche una di natura amministrativa (atto amministrativo generale). A ben vedere però, tenuto conto delle considerazioni e dei ragionamenti svolti nel precedente paragrafo, il legislatore nazionale in sede di conversione si è limitato, più di quanto potrebbe sembrare ad una prima lettura, a proseguire l’opera di revisione del concetto di “base giuridica” iniziata con il d.l. 139/2021. Già con il d.l. 139/2021, ancorché limitatamente ai soli soggetti pubblici individuati nella fattispecie derogatoria descritta al comma 1-bis dell’articolo 2-ter del Codice, era stato previsto un esplicito rinvio ad un non meglio precisato (quanto a natura giuridica) atto dell’amministrazione con il quale indicare, qualora non avesse già provveduto la norma di legge o di regolamento, le <<finalità del trattamento …assicurando adeguata pubblicità all’identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano>>. Ciò che ante conversione era consentito solo ad alcuni soggetti pubblici, a seguito della conversione in legge, viene non solo generalizzato a tutti i soggetti che effettuano il trattamento di dati personali per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di un pubblico potere ma, cosa più interessante, qualificato nella sua natura giuridica (atto amministrativo generale).

Il quadro delle novità introdotte dalla legge di conversione n. 205/2021 all’articolo 2-ter del Codice non si esaurisce qui. Il legislatore è intervenuto anche sul comma 1-bis, sostituendolo completamente, e sul successivo comma 3, integrandone il contenuto.

Il nuovo comma 1-bis prevede ora che <<Fermo restando ogni altro obbligo previsto dal Regolamento e dal presente codice, il trattamento dei dati personali da parte di un’amministrazione pubblica di cui all’ articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, ivi comprese le autorità indipendenti e le amministrazioni inserite nell’elenco di cui all’ articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, nonché da parte di una società a controllo pubblico statale o, limitatamente ai gestori di servizi pubblici, locale, di cui all’articolo 16 del testo unico in materia di società a partecipazione pubblica, di cui al decreto legislativo 19 agosto 2016, n. 175, con esclusione, per le società a controllo pubblico, dei trattamenti correlati ad attività svolte in regime di libero mercato, è anche consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad esse attribuiti. In modo da assicurare che tale esercizio non possa arrecare un pregiudizio effettivo e concreto alla tutela dei diritti e delle libertà degli interessati, le disposizioni di cui al presente comma sono esercitate nel rispetto dell’articolo 6 del Regolamento.>> Rispetto alla formulazione originaria quella post conversione presenta significative novità sul piano “soggettivo” e “sostanziale”.

Dal punto di vista soggettivo degno sicuramente di nota è il fatto che viene ampliato l’ambito di applicazione della norma. Accanto alle precedenti tipologie di “soggetti pubblici”, si fa ora riferimento anche a società a controllo pubblico locale (ex articolo 16 del d.lgs. 175/2016) che siano gestori di servizi pubblici. L’inserimento di questa nuova categoria presenta un doppio valore. Anzitutto testimonia quanto sopra evidenziato17 e cioè che le società in house degli enti locali erano state inizialmente lasciate fuori dal perimetro di applicazione del comma 1-bis, dell’articolo 2-ter del Codice. Un’esclusione questa altamente discriminatoria all’interno di un ordinamento fondato sul policentrismo istituzionale (articoli 5 e 114 della Costituzione) perché, e qui risiede l’altro valore giuridico della norma in esame, a seguito della riforma del titolo V della Costituzione, gli enti locali sono diventati il principale punto di riferimento nell’erogazione di gran parte dei servizi pubblici che, è bene sempre ricordarlo, unitamente all’attività autoritativa, rappresentano l’altra fondamentale manifestazione dell’attività della pubblica amministrazione. Letta da questa particolare prospettiva risulta ancora più chiaro l’effetto discriminatorio indicato sopra perché, se è sicuramente vero che il principio di sussidiarietà impone di guardare agli enti locali nelle allocazione delle competenze amministrative e nell’erogazione di gran parte dei servizi pubblici, è altrettanto vero che, all’interno dell’attuale contesto ordinamentale, uno dei principali modelli organizzativi che gli enti locali adottano nell’erogazione di detti servizi è proprio quello della società in house.

Ancora più consistenti sono le novità introdotte sul piano sostanziale. Innanzitutto l’introduzione, tanto nell’incipit quanto nella chiusa di questo nuovo comma, di rinvii al sistema delle fonti normative (nazionali ed europee) in materia di privacy. Come spesso accade rispetto a previsioni del genere, anche in questo caso il loro valore si apprezza più sul piano sistemico che su quello della vera e propria innovazione dell’ordinamento giuridico. Detto altrimenti, il richiamo al rispetto di obblighi o, più in generale, di disposizioni previste dal Codice e dal Regolamento, se un lato (innovazione dell’ordinamento) è del tutto neutro perché non vi è alcuna nuova norma sul piano sostanziale, dall’altro lato (a livello di sistema) presenta l’indubbia utilità di conferire il giusto contesto ordinamentale a quella particolare ipotesi di trattamento dei dati personali qual è, per l’appunto, la fattispecie descritta al comma 1-bis dell’articolo 2-ter del Codice. Una fattispecie che, nonostante l’equiparazione funzionale dell’atto amministrativo generale di cui si è detto, viene quindi confermata18. L’introduzione di tali rinvii va saluta con favore perché, pur essendo evidente che ogni amministrazione deve sempre agire nel rispetto delle regole fissate dall’ordinamento (legittimità dell’azione amministrativa), previsioni del tipo qui in esame hanno il pregio di fissare i parametri di legittimità che è necessario prendere a riferimento nell’interpretazione e nell’applicazione della norma. Altra interessante novità deve essere colta nell’uso della congiunzione <<anche>> in luogo dell’avverbio <<sempre>>. Con questo mutamento lessicale il legislatore nazionale ha modificato il rapporto esistente tra il comma 1-bis e il comma primo dell’articolo 2-ter del Codice: non più un rapporto derogatorio (si veda precedente paragrafo) ma un rapporto di alternatività a tal punto che, de iure condito, per i soggetti pubblici indicati al comma 1-bis, la base giuridica al trattamento dei dati personali è quadruplice.

Non rimane che verificare se la legge n. 205/2021 ha apportato modificazioni anche agli altri commi dell’articolo 2-ter del Codice.

Un intervento in tale senso c’è stato solo sul comma 3, non anche sul comma 2 che ha quindi mantenuto i contenuti introdotti dalla novella ante conversione, già evidenziati nel precedente paragrafo al quale pertanto si rinvia. Le modifiche al comma 3 hanno assunto la forma di un’integrazione e non di una sostituzione. Dopo il riferimento al comma 1-bis, introdotto dall’articolo 9 del d.l. 139/2021, la legge 205/2021 ha ivi inserito il seguente periodo <<In tale ultimo caso, ne viene data notizia al Garante almeno dieci giorni prima dell’inizio della comunicazione o diffusione>>. Ciò significa che, a regime, la diffusione o la comunicazione di dati personali comuni, trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalità, sono ammesse unicamente se previste ai sensi del comma 1 dell’articolo 2-ter, e cioè se previste o da una norma di legge o di regolamento o da atti amministrativi generali con l’obbligo, qualora la base giuridica risieda in atto amministrativo generale, di darne notizia al Garante almeno dieci giorni prima dell’inizio della comunicazione19.

Le modifiche all’articolo 2-sexies del Codice introdotte dall’articolo 9 del d.l. 139/2021

L’articolo 9 del d.l. 139/2021 non aveva inizialmente previsto interventi sull’articolo 2-sexies del Codice che, come a tutti noto, reca la disciplina relativa al trattamento delle c.d. categorie particolari di dati personali (articolo 9 del Regolamento), sostanzialmente coincidenti con le preesistenti categorie dei dati personali c.d. sensibili utilizzate dal Codice prima della sua armonizzazione al Regolamento.

Anche in questo caso si ritiene utile muovere dal contenuto e dal significato originario della norma per meglio mettere a fuoco e valutare l’impatto della novella.

Nel suo testo originario il comma 1, dell’articolo 2-sexies del Codice, prevedeva che <<I trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato>>.

Non ci si dilungherà sulla perimetrazione delle categorie particolari di dati personali ex articolo 9, paragrafo 1, del Regolamento20, né sul contenuto precettivo del paragrafo 2, lettera g), del medesimo articolo 9, essendo lo stesso particolarmente chiaro e immediatamente percepibile21. Interessa invece concentrare l’attenzione sugli altri contenuti del dettato normativo appena richiamato e segnatamente sulle parti concernenti l’individuazione delle fonti costituenti la base giuridica del trattamento dei dati ex sensibili (“…diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento…”) e sui contenuti puntuali che tali fonti dovevano esplicitare (“…i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.”).

Rispetto al tema delle fonti l’originario comma 1 si limitava, in buona sostanza, ad effettuare una vera e propria sintesi tra il sistema delle fonti previsto, a livello europeo, dall’articolo 9, comma 1, lettera g), del Regolamento e, a livello nazionale, dall’articolo 2-ter del Codice. Il richiamo esplicito al <<…diritto dell’Unione europea…>> era infatti una previsione specchiata rispetto a quella contenuta all’articolo 9 del Regolamento così come il richiamo a <<….disposizioni di legge o, nei casi previsti dalla legge, di regolamento…>> replicava fedelmente l’analoga previsione dell’allora articolo 2-ter, comma 1, del Codice. Che tra le fonti normative legittimanti il trattamento dei dati personali particolari, o ex sensibili che dir si voglia, fossero previste (anche) le fonti legittimanti il trattamento dei dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio dei pubblici poteri, non stupiva minimamente perché, come si è in parte accennato trattando dell’articolo 2-ter del Codice ante conversione, la fattispecie normativa presa in considerazione all’articolo 9, comma 1, lettera g) del Regolamento, è sussumibile in quella più generale del trattamento dati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio dei pubblici poteri, ovviamente, con i necessari adattamenti connessi alla natura dei dati trattati che però non riguardano le fonti stesse ma i contenuti che dette fonti devono esplicitare. L’elemento di specialità, e dunque di differenziazione, dell’articolo 2-sexies rispetto all’articolo 2-ter, risiedeva (e risiede) nei contenuti, per così dire “obbligatori”, che le fonti normative in esso richiamate dovevano esplicitare piuttosto che nelle fonti stesse. In particolare, in base alla predetta normativa, dovevano essere indicati i <<tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato>>. Se sul piano assiologico tale previsione si giustificava (e si giustifica) con il maggior grado di sensibilità dei dati personali presi in considerazione, sul piano tecnico-giuridico essa non faceva altro che dare attuazione alle statuizioni del Regolamento europeo n. 679/2016.

Su questo assetto normativo è intervenuta la legge 205/2021 apportando modificazioni al comma 1 dell’articolo 2-sexies e introducendo in esso il nuovo comma 1-bis.

Quanto alle modifiche apportate al comma primo, si può parlare per esse di vere e proprie modifiche di “aggiornamento”. Alla luce della riferita relazione esistente tra l’articolo 2-ter e l’articolo 2-sexies del Codice, il contenuto di detto comma è stato aggiornato alle novità apportate all’articolo 2-ter. La norma, infatti, prevede ora che <<I trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato>>. Dunque, anche il trattamento dei dati ex sensibili può essere fondato sulla base di un atto amministrativo generale purché venga rispettato il contenuto precettivo “obbligatorio” richiesto per la particolare natura dei dati personali considerati.

Decisamente interessante risulta il contenuto del nuovo comma 1-bis in base al quale <<I dati personali relativi alla salute, privi di elementi identificativi diretti, sono trattati, nel rispetto delle finalità istituzionali di ciascuno, dal Ministero della salute, dall’Istituto superiore di sanità, dall’Agenzia nazionale per i servizi sanitari regionali, dall’Agenzia italiana del farmaco, dall’Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della povertà e, relativamente ai propri assistiti, dalle regioni anche mediante l’interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, ivi incluso il Fascicolo sanitario elettronico (FSE), aventi  finalità compatibili con quelle sottese al trattamento, con le modalità e per le finalità fissate con decreto del Ministro della salute, ai sensi del comma 1, previo parere del Garante, nel rispetto di  quanto previsto dal Regolamento, dal presente codice, dal codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e dalle linee guida dell’Agenzia per l’Italia  digitale in materia di interoperabilità>>. Si tratta di una norma evidentemente speciale frutto della necessità di disporre (in tempi di pandemia) di un regime giuridico differenziato in ordine al trattamento dei dati relativi allo stato di salute delle persone. La norma prende in considerazione una particolare modalità di trattamento di dati personali: l’interconnessione. Si tratta di un tipo di trattamento per il quale, tanto il Regolamento quanto il Codice, non forniscono una puntuale e specifica definizione limitandosi, nel primo caso, ad annoverarlo all’interno del concetto di trattamento e, nel secondo, a riferirlo ad una modalità di attuazione della comunicazione tra titolari. Quest’ultimo riferimento sembra quello più attinente al dato normativo qui in esame e anche più interessante. Scopo di tale norma è infatti quello di permettere la circolazione – in forma anonima – di dati relativi alla salute tra diversi soggetti istituzionali coinvolti a vario titolo nella gestione della pandemia in atto e, per l’effetto, a trattare inevitabilmente dati sanitari. La norma opera come fondamentale deroga all’ordinario divieto, codificato all’articolo 2-ter, comma 2, del Codice, di comunicazione dei dati personali riconducibili alle particolari categorie di cui all’articolo 9 del Regolamento.

Conclusioni

Gli articoli 2-ter e 2-sexies del Codice rappresentano due norme cardine in materia di trattamento dati personali, comuni ed ex sensibili, nell’esecuzione di un compito di interesse pubblico o connesso all’esecuzione di pubblici poteri.

Il fatto che il legislatore nazionale abbia avvertito l’esigenza di intervenire sugli stessi (e non solo22) trova giustificazione in diversi fattori, solo in parte collegati allo stato pandemico in atto.

Essendo trascorsi solo pochi mesi dall’entrata in vigore delle novelle non è possibile stilare bilanci, quello che già ora è invece possibile rilevare è una maggiore elasticità del sistema delle fonti per il legittimo trattamento di dati personali per motivi di interesse pubblico. Un’elasticità che, è bene sottolinearlo, attiene solo alle tipologie di fonti non al contenuto precettivo che dalle stesse promana perché immutata è la tensione di fondo che sempre caratterizza, anche dopo le novelle qui analizzate, il rapporto tra il perseguimento di interessi pubblici e tutela dei dati personali. Ciò significa che non deve considerarsi compresso o compromesso il sistema di garanzie che il nostro ordinamento ha previsto, e continua a prevedere, in materia di trattamento dei dati delle persone fisiche, piuttosto, devono considerarsi introdotti nuovi spazi di manifestazioni dell’accountability in materia di privacy rispetto alla quale tutti i titolari del trattamento dei dati personali (in particolare le pubbliche amministrazioni) sono chiamati a dare prova di consapevole attuazione e declinazione, oggi più di ieri.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

Scopri di più

Note

[i] In ossequio alla tradizione eurounitaria di non considerare rilevanti, nella ricostruzione del concetto di “soggetto pubblico”, aspetti meramente formali preferendo agli stessi quelli sostanziali, nella fattispecie de qua decisamente predominante è la colorazione “funzionale” della definizione (si parla infatti di “esecuzione di compito di interesse pubblico” e di “esercizio di pubblici poteri” e mai di “soggetto”)

[i] Infatti, in base alle disposizioni contenute all’articolo 1, comma 1-bis, della legge 2 settembre 1990, n. 241, laddove non sia richiesto alla pubblica amministrazione di agire con atti di natura autoritativa, la relativa attività deve estrinsecarsi nelle forme e con gli istituti del diritto comune, salvo che la legge non disponga diversamente.

[i] Il neminem laedere codificato all’articolo 2043 del codice civile.

[i] Analogo discorso può farsi per altre condizioni di liceità descritte all’articolo 6, comma 1, del Regolamento a conferma della centralità della fattispecie di cui alla lettera e) del medesimo articolo.

[i] A dire il vero l’elemento della “necessità” è comune (esclusa l’ipotesi del consenso espresso da parte dell’interessato, da intendersi come vero e proprio atto dispositivo) a tutte le condizioni di liceità del trattamento dei dati personali elencate all’articolo 6, comma 1, del Regolamento. Si tratta di un minimo comune denominatore la cui primaria funzione è di rimarcare che alla base di ogni trattamento (lecito) devono esserci esigenze ritenute meritevoli di interesse e tutelate da parte dell’ordinamento giuridico. Nonostante il concetto di “necessità” permei l’intero Regolamento europeo in materia di privacy, non è rinvenibile in esso una puntuale definizione dello stesso.

Ciò non si deve ad una mera dimenticanza, piuttosto, ad una scelta di campo legata al fatto che il concetto di “necessità” ha una valenza non solo, e non tanto, giuridica ma anche e soprattutto valoriale, si potrebbe dire quasi assiologica. Il legislatore europeo, anziché fornirne una (sia consentito) “fredda” definizione giuridica ha preferito esploderne il contenuto. Lo ha fatto, ad esempio, all’articolo 5, comma 1, lettera c), del Regolamento stabilendo che i dati personali devono sempre essere <<adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati>>. Quello appena riportato è il c.d. principio di minimizzazione che a tutti gli effetti può (anzi deve) essere inteso coma una declinazione del concetto di “necessità” analogamente a quanto, nel nostro ordinamento, i principi di efficacia, efficienza ed economicità, rappresentano una declinazione del principio di “buona amministrazione” ex articolo 97 della Costituzione.

[i] La scelta del nostro legislatore di ancorare ad una previsione normativa (di livello primario o, nei casi previsti, secondario) il trattamento dei dati personali connesso all’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri rappresentava, evidentemente, la declinazione in materia termini di privacy del principio di legalità.

[i] Tanto il concetto di “necessità”, utilizzato nel primo periodo del comma 1-bis qui in esame, quanto i singoli aspetti che richiedono l’adeguata pubblicità, indicati nel secondo ed ultimo periodo dello stesso comma, altro non sono che la riproduzione dei principi generali alla base di ogni trattamento (articolo 5 del Regolamento) e degli obblighi a carico di ogni titolare di trattamento (articoli 12, 13, 14 e 15 del Regolamento), previsti dalla disciplina eurounitaria in materia di privacy.

[i] Da notare come la norma qui in commento, con riguardo a quest’ultima categoria di soggetti giuridici, considerava rilevanti solo le società soggette al controllo analogo da parte dello Stato (erano quindi escluse le società in house di Regioni, Province e Comuni) limitatamente allo svolgimento delle c.d. “attività prevalenti” ex articolo 16, comma 3, del d.lgs. 175/2016.

[i] Sul concetto di necessità in materia di trattamento dei dati personali quale elemento ricorrente nelle condizioni di liceità dello stesso, si rinvia alla precedente nota 5.

[i] La novella non forniva alcuna qualificazione di tale atto. Sul piano ermeneutico si poteva solo osservare che doveva trattarsi di un atto amministrativo a contenuto non regolamentare perché altrimenti sarebbe coinciso con il regolamento già annoverato tra le fonti costituenti base giuridica.

[i] A livello europeo la previsione di una “base giuridica generale” del tipo prospettato, risulta ammissibile alla luce dei contenuti del considerando n. 45 del Regolamento n. 679/2016 che espressamente prevede <<È opportuno che il trattamento effettuato in conformità a un obbligo legale al quale il titolare del trattamento è soggetto o necessario per l’esecuzione di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri sia basato sul diritto dell’Unione o di uno Stato membro. Il presente regolamento non impone che vi sia un atto legislativo specifico per ogni singolo trattamento. Un atto legislativo può essere sufficiente come base per più trattamenti effettuati conformemente a un obbligo giuridico cui è soggetto il titolare del trattamento o se il trattamento è necessario per l’esecuzione di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri….>>

[i] L’uso della congiunzione disgiuntiva “o” non lascia dubbio alcuno in ordine al fatto che le tre fattispecie considerate (legge, regolamento, atto amministrativo generale) siano tra loro collegate da un rapporto di equipollenza funzionale.

[i] Precedentemente il richiamo alla norma di fonte regolamentare era preceduto dall’incidentale “, nei casi ammessi dalla legge,” riferimento questo oggi eliminato in favore di una formulazione lessicale più fluida.

[i] Per un quadro generale si rinvia a “Manuale di Diritto Amministrativo – Parte Generale e Parte Speciale” di FRANCESCO SCARINGELLA, XIII EDIZIONE, DIKE EDITORE, 2020, pag 403 e ss.

[i] “Manuale di Diritto Amministrativo – Parte Generale e Parte Speciale” di FRANCESCO SCARINGELLA, XIII EDIZIONE, DIKE EDITORE, 2020, pag 409.

[i] Si veda precedente nota n. 15.

[i] Si veda precedente nota n. 8.

[i] Ne deriva che, per i soggetti pubblici individuati dal comma 1-bis, dell’articolo 2-ter del Codice, le opzioni sulla cui base effettuare un legittimo trattamento dei dati personali non sono solo le tre previste dal comma primo del medesimo articolo ma, in realtà, quattro sommandosi alle tre, per così dire, generali (legge, regolamento e atto amministrativo generale) anche la quarta opzione rappresentata dal necessità di assolvere un compito di interesse pubblico ovvero per l’esercizio di un pubblico potere.

[i] Diverse sono le disposizioni contenute nel d.l. 139/2021 che riguardano direttamente poteri e funzioni del Garante. Per ragioni di economia non è possibile passarle in rassegna in questa sede e trattarle nel modo che esse meritano. Sul punto quindi non rimane che rinviare a futuri e specifici contributi.

[i] Per un semplice elenco delle stesse si rinvia al paragrafo “Il trattamento dei dati personali da parte delle pubbliche amministrazioni” del presente articolo.

[i] La lettera g), del paragrafo 2, dell’articolo 9 del Regolamento, contiene la previsione di una delle fattispecie legittimanti il trattamento dei dati ex sensibili. Dispone in particolare che <<Il paragrafo 1 non si applica se si verifica uno dei seguenti casi ….g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato>>.

[i] Oltre che sugli articoli 2-ter e 2-sexies, il legislatore è intervenuto anche su altri articoli del Codice quali: l’articolo 2-quinquiesdecies (abrogato), l’articolo 58, l’articolo 132, l’articolo 137, l’articolo 144, l’articolo 153, l’articolo 154, l’articolo 156, l’articolo 166, l’articolo 167 e l’articolo 170. Per un’analisi di tali ulteriori modifiche al Codice si rinvia a successivi contributi.

Dott. Franco Scaramella

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche

Privacy e Cybersecurity
Accesso civico a documenti di dati sanitari: P.A. deve sempre rifiutarlo
Pier Paolo Muià 23/04/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
diritto europeo e internazionale
Cookie paywall: dal Garante UE no al modello “paga o acconsenti”
Luisa Di Giacomo 22/04/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Privacy nelle palestre: un vademecum pratico
Giuseppe Alverone 19/04/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
AI&amp;Legaltech
Privacy e Cybersecurity
Garante Privacy: no al riconoscimento facciale dei lavoratori
Luisa Di Giacomo 18/04/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;