Privacy e DL Capienze: come “svuotare” le garanzie e i poteri del Garante. Era davvero una priorità?

Una mini-riforma del Codice della Privacy è stata introdotta nell'articolo 9 del DL Capienze, che modifica la base legale per il trattamento di dati comuni da parte delle amministrazioni pubbliche e riduce di molto i poteri del Garante. Quali sono le principali criticità?

Immagine di Marco Verch (https://foto.wuestenigel.com/open-padlock-on-computer-parts/)

In un decreto omnibus, seminascosto nella torrenziale produzione normativa di quest’ultimo periodo, una mini-riforma del Codice della Privacy è stata infilata (la consueta “manina” apparsa in altre occasioni?) nell’articolo 9 del Decreto Legge 8 ottobre 2021, n. 139, denominato DL Capienze (perché la prima parte del testo riguarda la capienza di luoghi pubblici). E che fa? Modifica in maniera sostanziale diversi articoli ed è caratterizzata da un intento chiarissimo: ridurre i poteri del Garante e ampliare la discrezionalità delle Pubbliche amministrazioni (e non solo). Infatti, tra l’altro, il decreto dispone che in tema di riforme, misure e progetti legati al PNRR (Piano nazionale di ripresa e resilienza), al Piano nazionale per gli investimenti complementari e al Piano nazionale integrato per l’energia e il clima 2030, il Garante debba pronunciarsi entro il termine improrogabile di 30 giorni, decorsi il quale si può comunque procedere.

In sostanza è stata introdotta una riforma di cui non si sentiva l’impellente bisogno e, meno che mai, la “straordinaria necessità e urgenza” (tanto da essere inserita in un decreto-legge). Per di più, contrariamente a quanto indicato nel succinto comunicato stampa del Governo, non sembra del tutto “in coerenza con il quadro europeo”.

Vediamo quali sono i punti essenziali.

La “liberalizzazione” del trattamento di dati comuni da parte degli enti pubblici

L’articolo 9 del DL Capienze modifica in primo luogo la base legale per il trattamento di dati comuni – e quindi non dei dati particolari e di quelli riguardanti condanne penali e reati – da parte delle amministrazioni pubbliche (individuate con il consueto richiamo all’articolo 1 comma 2 del D.lgs 165/2001, e a quelle inserite nel conto economico consolidato, sulla base dell’elenco formato dall’Istat) e delle società a controllo pubblico statale, eccettuati in quest’ultimo caso i trattamenti correlati ad attività svolte in regime di libero mercato.

Cerchiamo di inquadrare la modifica, anche alla luce delle norme europee, contenute nel Regolamento generale sulla protezione dei dati personali 2016/679 (GDPR). L’articolo 6 del GDPR prevede che sia lecito trattare dati personali soltanto in presenza di una specifica base legale, tra cui ritroviamo (art. 6, par. 1, lett. e) il trattamento “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”. La stessa norma dà la facoltà, ai legislatori nazionali, di introdurre disposizioni più specifiche, “determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto”.

Il legislatore italiano ha quindi introdotto l’articolo 2-ter (oggetto della fresca modifica), precisando che il trattamento per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri sia lecito solo ove previsto “esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento”.

Complicanze in arrivo per utenti e cittadini

Il DL Capienze forse semplifica, da un lato. E dall’altro però rischia di creare una disciplina che da uniforme diventa improvvisamente variegata e diversa per ogni ente pubblico, con evidenti rischi per gli utenti e per i cittadini. In primo luogo, si reintroduce (con il comma 1-bis) una differenziazione tra gli enti pubblici e gli altri soggetti che esercitano compiti di interesse pubblico, differenziazione che era presente nel vecchio Codice della Privacy, e che era stata rimossa.

La norma stabilisce che il trattamento a prescindere dall’esistenza di una norma, sia lecito per enti pubblici e società a controllo pubblico statale in quanto “necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri”. In pratica ciascun ente potrà specificare in autonomia finalità del trattamento, anche non “coperto” dalla legge

Ma la norma fa un ulteriore passo e stabilisce che il trattamento a prescindere dall’esistenza di una norma, sia lecito per enti pubblici e società a controllo pubblico statale in quanto “necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri”. Cosa che non è certo una modifica sconvolgente, essendo in pratica corrispondente a quanto stabilito dal GDPR. Però in pratica ciascun ente potrà specificare in autonomia finalità del trattamento, anche non “coperto” dalla legge. Infatti la norma precisa che se le finalità del trattamento non sono espressamente previste da una norma di legge o, nei casi previsti dalla legge, di regolamento, esse sono indicate dall’ente, “in coerenza al compito svolto o al potere esercitato, assicurando adeguata pubblicità all’identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano”.

Anche qui, al di là del fatto che le informazioni sul trattamento dei dati personali e i diritti degli interessati non sono una benevola concessione ma sono un obbligo, estensivamente disciplinato dagli articoli 12 e seguenti del GDPR, non si intravedono grossi problemi: basta ricordare che la precedente base legale, legittimante il trattamento di dati comuni da parte dei soggetti pubblici, prevedeva che il trattamento fosse “consentito soltanto per lo svolgimento delle funzioni istituzionali” (articolo 18 del Codice della Privacy, norma abrogata dal D.lgs. 101/2018). La modifica normativa ha invece un impatto notevolissimo e potenzialmente pericoloso nelle ipotesi di comunicazione e soprattutto di diffusione di dati personali.

Comunicazione e diffusione di dati personali in assenza di una specifica norma

L’articolo 2-ter del Codice della Privacy prevedeva che le comunicazioni di dati personali potessero essere effettuate solo in presenza di una norma di legge (o nei casi previsti dalla legge, di regolamento) e in assenza di essa era necessario effettuare una comunicazione al Garante, dopo di che maturava un silenzio-assenso, decorsi 45 giorni.

La diffusione di dati personali, come la pubblicazione di un atto sul sito istituzionale, era possibile solo in presenza di una norma di legge oppure di un regolamento nei casi previsti dalla legge.

Scorrendo l’elenco dei provvedimenti sanzionatori del Garante, troviamo un numero rilevantissimo di pubbliche amministrazioni colte in fallo per aver diffuso dati al di fuori dei casi espressamente previsti, o per aver mantenuto gli stesso più a lungo di quanto stabilito, o di quanto necessario.

L’articolo 2-ter del Codice della Privacy prevedeva che le comunicazioni di dati personali potessero essere effettuate solo in presenza di una norma di legge, e in assenza di essa era necessario effettuare una comunicazione al Garante. Adesso, invece, gli enti pubblici potranno effettuare comunicazioni di dati personali anche in assenza di qualsiasi norma specifica, individuando in autonomia le finalità

Adesso cambia tutto: grazie a una sapiente opera chirurgica di taglia e incolla delle norme, gli enti pubblici potranno effettuare comunicazioni di dati personali (sempre se necessari per compiti di interesse pubblico, s’intende) anche in assenza di qualsiasi norma specifica, individuando in autonomia le finalità.

Ma, questo preoccupa molto, vale anche per la diffusione di dati personali. Un ente decide di pubblicare sull’albo l’elenco dei soggetti morosi per le sanzioni amministrative pecuniarie? Individua la finalità, ne dà adeguata pubblicità, e pubblica. Un’amministrazione decide di far sapere all’universo mondo i redditi di tutti i propri dipendenti, depurati dei dati particolari? Un provvedimento ad hoc, e tutto finisce in rete. Stiamo estremizzando perché simili eccessi –  non ipotetici in quanto casi realmente accaduti, e sanzionati dal Garante – sarebbero comunque illeciti, sia in quanto non necessari, sia in quanto non rispondenti ai principi generali del GDPR. Ma il punto rimane: è concepibile che ciascun ente pubblico (e le società a controllo statale) possa autonomamente regolarsi nel comunicare, e soprattutto nel diffondere dati personali?

È concepibile questa sorta di espansione incontrollata nella diffusione di dati personali per compiti di interesse pubblico? Speriamo che, in sede di conversione, si elimini quantomeno il riferimento alla diffusione di dati personali, che deve essere imprescindibilmente collegata a una norma di legge, come peraltro continua a prevedere l’articolo 7-bis del D.lgs 33/2013, il cosiddetto Decreto trasparenza, di cui il legislatore si è dimenticato, evidentemente nella foga della straordinaria necessità e urgenza.

La riduzione drastica dei poteri del Garante

Abbiamo già visto che il Garante viene “tagliato fuori” per le comunicazioni di dati personali da parte degli enti pubblici, anche se a dire il vero non si trattava certo di una norma che veniva applicata in maniera rigorosa. Eppure il DL non si limita a quanto detto. Viene infatti abrogato l’articolo 2-quinquiesdecies (e le corrispondenti norme transitorie del D.lgs 101/2018), che prevedeva come il Garante potesse prescrivere misure e accorgimenti, obbligatori per il titolare, a garanzia dell’interessato, con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati ai sensi dell’articolo 35 del GPDR, sulla base di quanto disposto dall’articolo 36, paragrafo 5, del GDPR e con provvedimenti di carattere generale adottati d’ufficio.

Il Garante aveva emesso svariati provvedimenti ai sensi appunto dell’articolo 2-quinquiesdecies, ad esempio in ordine alla fatturazione elettronica, alla app Immuni e alla app IO, individuando tutte le volte delle prescrizioni specifiche, che dovevano essere tassativamente rispettate.

Con l’abrogazione rimane ovviamente la necessità di effettuare la consultazione preventiva nei casi previsti dall’articolo 36 del GDPR (e i correlati poteri del Garante), ma si perdono le facoltà che il Garante aveva in base alla normativa nazionale, e, ovviamente, vengono eliminate le corrispondenti sanzioni amministrative pecuniarie e penali.

Le misure di sicurezza per la conservazione dei dati di traffico telefonico e telematico

Inoltre viene eliminata la norma che prevedeva come il trattamento dei dati di traffico telefonico e telematico ai sensi dell’art. 132 Codice privacy venisse effettuato nel rispetto delle misure e degli accorgimenti a garanzia dell’interessato prescritti dal Garante, volti ad assicurare la qualità, sicurezza e protezione dei dati in rete, e a indicare le modalità tecniche per la periodica distruzione dei dati, decorso il periodo di conservazione.

La Corte europea di Giustizia ha chiarito sin dalla sentenza Digital Rights Ireland, che la conservazione dei dati di traffico è un trattamento particolarmente rischioso e costituisce un’ingerenza particolarmente grave nei diritti garantiti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea. La materia della conservazione del traffico è stata appunto oggetto di plurime pronunce della Corte europea, da ultimo la sentenza HK del 2 marzo 2021.

L’eliminazione del potere prescrittivo del Garante avrà come conseguenza il fatto che saranno i prestatori di servizi a decidere, in autonomia, quali misure di sicurezza adottare? E questo apre un altro scenario problematico, anche perché la Corte europea di Giustizia, tra i requisiti indispensabili in tema di data retention, ha da tempo indicato come la normativa nazionale debba fissare “un minimo di requisiti, di modo che le persone i cui dati sono stati conservati dispongano di garanzie sufficienti tali da permettere di proteggere efficacemente i loro dati personali contro i rischi di abuso” (Corte di Giustizia UE, Grande Sezione, sentenza 21 dicembre 2016, cause riunite C 203/15 e C 698/15).

Con l’abrogazione delle misure a garanzia, in che modo la legislazione nazionale garantisce quanto indicato dalla Corte?

Il legislatore italiano ha peraltro appena modificato un’altra parte dell’articolo 132, per renderlo (comunque non del tutto) conforme a quanto stabilito dalla Corte europea, con il DL 132/2021, del 30 settembre, individuando specificamente i reati presupposti e attribuendo la competenza al giudice per le indagini preliminari. È peculiare che, a pochi giorni di distanza, torni sulla stessa norma per eliminare le misure a garanzia prima previste, aprendo una nuova potenziale “falla” nella conformità a quanto prescritto dalla Corte.

I nuovi compiti del Garante in tema di revenge porn

Il DL disciplina infine un nuovo istituto, questa volta ampliativo dei compiti del Garante.

Viene infatti introdotto l’articolo 144-bis del Codice della Privacy che dispone – sulla falsariga di quanto già previsto per il cyberbullismo, dalla Legge 71/2017- la possibilità per chiunque (compresi i minori ultraquattordicenni o i soggetti esercenti la potestà genitoriale) di richiedere l’intervento del Garante, mediante segnalazione o reclamo, quando si abbia fondato motivo di ritenere che vengano poste in essere condotte di revenge porn. Il Garante deve provvedere entro quarantotto ore.

Conclusioni: scenari di rischio

Questo decreto legge ha degli aspetti particolarmente discutibili, soprattutto in tema di diffusione di dati da parte delle pubbliche amministrazioni, di riduzione dei poteri del Garante e di eliminazione di specifiche garanzie con riguardo alla conservazione dei dati di traffico.

Davanti a norme che apparentemente semplificano ma che aprono scenari potenzialmente molto rischiosi, è forte la sensazione che siano in buona parte una risposta (conscia o inconscia) ai plurimi interventi del Garante. In più occasioni l’Autorità ha infatti richiamato il Governo, soprattutto durante la pandemia e con provvedimenti anche molto incisivi, al rispetto dei principi in tema di protezione dei dati personali. Principi che non sono un mero orpello, o un appesantimento burocratico, ma che sono una forma avanzata di tutela dei diritti e delle libertà fondamentali di tutti noi. Speriamo che, in sede di conversione, ci si ricordi di questo e si provveda a correggere le principali criticità.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here