Il Decreto Capienze approvato lo scorso 7 ottobre contiene all’articolo 9 alcune modifiche alla normativa in materia di protezione dei dati personali che vengono presentate come semplificazioni. Ma dentro c’è un ampliamento dei poteri di intervento della PA che può essere in contrasto con il GDPR.
Più libertà di trattamento alle PA
La norma infatti introduce un ampliamento delle condizioni che legittimano il trattamento dei dati necessario all’esercizio di poteri pubblici o nell’interesse pubblico. Infatti, viene previsto che le pubbliche amministrazioni possano definire autonomamente le basi giuridiche e le finalità del trattamento dei dati personali se sono connesse all’esercizio dei pubblici poteri di cui sono investite.
Fino all’entrata in vigore del Decreto Capienze, invece, il trattamento di dati personali da parte delle pubbliche amministrazioni (nella loro più ampia accezione comprensiva delle società partecipate) era consentito solo se vi era un’espressa norma di legge che lo autorizzava.
Decreto Capienze, la privacy sottomessa al pubblico interesse: cosa cambia e cosa si rischia
Tale previsione aveva portato, a un confronto costante tra il Governo e il Garante per la protezione dei dati personali, in relazione a diversi trattamenti legati alla digitalizzazione dei servizi pubblici (si pensi ai provvedimenti sull’app IO).
L’impatto privacy
Il Garante nei suoi interventi ribadiva la necessità di una norma di rango primario che autorizzasse il trattamento dei dati personali dei cittadini da parte delle pubbliche amministrazioni, proprio invocando le previsioni dell’art. 2-ter del codice privacy e per i trattamenti che presentano rischi elevati per l’esecuzione di un compito di interesse pubblico, quelle previste dall’art. 2-quinquiedecies che conferivano al Garante un potere di intervento preventivo al fine di garantire il rispetto dei diritti e delle libertà dei cittadini.
L’abrogazione del potere di intervento preventivo del Garante previsto dall’art. 2-quinquiesdecies accompagnato all’ampliamento dei poteri della Pubblica Amministrazione, secondo le prime letture della norma, potrebbe creare delle aree di rischio per i diritti e le libertà dei cittadini, ove le valutazioni effettuate dal Garante negli interventi preventivi non venissero svolte internamente dalle pubbliche amministrazioni.
Non solo, l’ampliamento dei poteri di intervento potrebbe porsi in contrasto con le previsioni del Regolamento Europeo che ha una forza gerarchicamente superiore alla legge in ragione del vincolo costituzionale al rispetto dei trattati e del diritto dell’Unione.
Infatti, il Considerando 45 del GDPR rinvia al diritto interno la definizione della base giuridica e delle finalità del trattamento necessario per l’esecuzione di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri. La stessa disposizione, inoltre, individua anche il contenuto dell’atto legislativo che deve precisare i confini della liceità del trattamento, l’individuazione degli attori coinvolti come il titolare, gli interessati e i soggetti a cui possono essere comunicati i dati personali, nonché le limitazioni della finalità, il periodo di conservazione e altre misure per garantire un trattamento lecito e corretto.
L’ampliamento dei poteri in capo alle Pubbliche Amministrazioni, pertanto, sembrerebbe imporre, quantomeno, un’interpretazione costituzionalmente orientata e coerente con le previsioni del Regolamento demandando alle stesse l’individuazione dei contenuti previsti dal Regolamento negli atti amministrativi che autorizzeranno di volta in volta il trattamento e individueranno le basi giuridiche e le finalità in forza della nuova disposizione. Sembrerebbe porsi un’esigenza per le Pubbliche Amministrazioni di maturare competenze e conoscenze approfondite della normativa sul trattamento dei dati personali ulteriori rispetto a quelle previste fino ad ora e una più profonda responsabilizzazione delle stesse.
Occorre ricordare, da ultimo, che i trattamenti relativi alle particolari categorie di dati personali, come i dati delle vaccinazioni e quelli contenuti nel Green pass, oltre che al trattamento dei dati biometrici, anch’essi nel perimetro dei confronti costanti tra Governo e Garante privacy non sono stati toccate dall’intervento normativo che riguarda, al momento, solo i trattamenti di dati comuni ai sensi dell’art. 6 par. 1 lett. c) e d) del Regolamento, proprio in virtù del richiamo all’art. 2-ter.
Per quanto concerne, invece, i dati sanitari e i dati biometrici, la riserva di legge rimane l’unica condizione di liceità del trattamento, anche se l’abrogazione del potere di intervento preventivo del Garante di cui all’articolo 2 quinquiesdecies sembrerebbe legittimare qualche preoccupazione sulle possibili evoluzioni alla luce di un’attività di normazione che è sempre emergenziale e rischia di non considerare debitamente i rischi per i diritti e le libertà dei cittadini.