Privacy Pubblica Amministrazione: il Decreto Capienze
L’atteso Decreto Capienze, D.L. 8 ottobre 2021, n. 139, ha risvegliato gli animi di molti studiosi e professionisti della materia Privacy.
È necessario premettere che stiamo discutendo di un decreto legge e, come tale, è necessario che venga convertito in legge entro sessanta giorni da parte del Parlamento. Questa fase potrebbe prevedere delle modifiche alle disposizioni contenute nel decreto e variare in maniera significativa le novità apportate sulla privacy.
Ma già questo è un punto che ha suscitato alcune perplessità, per due ragioni in particolare:
- inserire importanti modifiche in un decreto che doveva regolare la materia delle “capienze” (definizione di per sé pittoresca);
- utilizzare le ragioni di necessità e urgenza (nel caso in questione la pandemia da COVID-19), che stanno alla base del decreto legge per modificare in maniera permanente e incisiva la privacy nella pubblica amministrazione.
La seconda ragione, in particolare, non sembra trovare un’effettiva corrispondenza nella realtà dei fatti.
Privacy ed emergenza sanitaria: che cosa è successo
La privacy, in questo stato di emergenza, ha necessariamente visto una compressione a favore di altri diritti. Questa operazione è statacontrollata dall’Autorità Garante con particolare cura, sia nel garantire che le attività di controllo fossero svolte in tempi brevi, sia nel farsi efficacemente “garante” dei diritti e delle libertà dei cittadini.
Vedere la Privacy e l’Autorità Garante come ostacolo all’adozione di misure incisive e rapide risulta sproporzionato e non ancorato alla realtà. Ciò non solo per via dell’attuale situazione pandemica, ma anche nel quotidiano della Pubblica Amministrazione.
Ma quali sono le modifiche apportate dal decreto definito “un intervento pesante” dal costituzionalista ed ex Presidente dell’Autorità Garante per la protezione dei dati personali Francesco Pizzetti?
Decreto Capienze: le modifiche previste
Art. 2-ter: Trattamento dei dati personali sempre consentito, ma in che termini?
In primo luogo si aggiunge all’art. 2-ter del Codice della Privacy un nuovo comma 1-bis. Si stabilisce che per la Pubblica Amministrazione “è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti” il trattamento di dati personali. Con Oltre alla Pubblica Amministrazione, nella modifica vengono comprese anche Autorità indipendenti e Società a controllo pubblico statale.
Inoltre, se la finalità del trattamento non è espressamente prevista da una norma di legge o di regolamento, questa verrà decisa e indicata dall’amministrazione “in coerenza al compito svolto o al potere esercitato”. Questa previsione è sicuramente volta a rinforzare una Pubblica Amministrazione Digitale che necessità di un dato interoperabile e condiviso tra le diverse amministrazioni, ma che pare estenderne in maniera indeterminata i trattamenti attuabili.
Art. 9: cambiano le relazioni tra Garante e Pubblica Amministrazione?
A suscitare maggior stupore è stato l’art. 9, comma 1, lettera b) del Decreto Capienze con l’abrogazione dell’articolo 2-quinquesdecies del Codice della Privacy. Quest’ultimo attribuiva un potere di controllo preventivo ex officio all’Autorità Garante per la Privacy nel caso di trattamenti “svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati”: il Garante, fino a quel momento, poteva “prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare”.
Come è comprensibile, non è sottratto all’Autorità Garante il potere di controllo successivo all’attività di trattamento, ma si libera la Pubblica Amministrazione dall’obbligo di consultare il Garante prima di attuare trattamenti ad alto rischio. All’atto pratico, tutti trattamenti adottati su dati relativi allo stato di salute messi in atto durante la pandemia verrebbero oggi avviati senza alcuna verifica da parte del Garante, così come trattamenti non connessi al Covid-19.
Altre disposizioni del Decreto Capienze per privacy Pubblica Amministrazione
Infine si stabilisce un termine di soli trenta giorni perché l’Autorità Garante possa pronunciarsi su riforme, misure e progetti del Piano nazionale di ripresa e resilienza (PNRR), Piano nazionale per gli investimenti complementari e Piano nazionale integrato per l’energia e il clima 2030. Dopo il termine, il Governo potrà proseguire senza il suo parere. Nonostante appaia chiara la volontà di velocizzare le tempistiche, il termine individuato appare decisamente breve.
Il decreto investe anche altre tematiche inerenti la privacy ma non legate alla Pubblica Amministrazione o ai poteri dell’Autorità Garante. Pur non essendo oggetto dell’articolo in questione, bisogna accogliere positivamente le novità introdotte riguardo il Revenge Porn che coinvolga soggetti minori di 14 anni.
Decreto capienze: alcune considerazioni
Date le modifiche esposte, possiamo considerare comprensibili le perplessità sollevate da più parti. Il provvedimento estende potenzialmente il potere di trattamento di dati personali della Pubblica Amministrazione e limita nello stesso tempo il potere di controllo dell’Autorità Garante. In assenza di ulteriori precisazioni, alcuni tecnici del diritto hanno anche ipotizzato che la scelta di modifiche così incisive sia stata dettata da una strategia meramente politica: puntare molto in alto per ottenere, successivamente alla discussione parlamentare, il risultato sperato.