Ora che siamo agli sgoccioli di questa lunga proroga (otto mesi) per il collegio del Garante Privacy è utile fare un bilancio di questo periodo. Anche pro futuro, in vista di possibili analoghe situazioni che potrebbero ricorrere ancora. Quanto ha inciso la prorogatio sui poteri del Garante e sulla sua efficacia nella tutela dei diritti?
Il bilancio è positivo. E credo che la Relazione di quest’anno sarà persino più ricca di quella dello scorso.
Questo perché, di fondo, il diritto alla protezione dei dati personali è un diritto fondamentale della persona la cui tutela non può essere ridotta da situazioni contingenti, come appunto è stata la proroga.
Di proroga in proroga
Analizziamo perché si può giungere a questa conclusione. Com’è noto, il settennato canonico del Collegio del Garante per la protezione dei dati personali è scaduto ufficialmente il 19 giugno 2019. A partire da tale data, l’organo avrebbe operato naturalmente in regime di prorogatio, ma non sine die, in quanto un parere del Consiglio di Stato, reso nel 2012 al precedente Garante, ha fissato in 60 giorni la legittima durata dell’estensione dell’esercizio delle funzioni del Collegio, ma senza specificare gli eventuali effetti del superamento anche di tale termine (nel caso di specie il 18 agosto: peraltro in pieno periodo feriale di sospensione dei lavori parlamentari) senza che fosse intervenuta la nomina dei successori da parte delle Camere.
Evenienza schivata per l’intervento del Governo che, col d.L. 7 agosto 2019, n. 75, prorogava l’esercizio delle funzioni del Collegio in carica «limitatamente agli atti di ordinaria amministrazione e a quelli indifferibili e urgenti», fino all’insediamento del nuovo Collegio e, comunque, per non oltre ulteriori 60 giorni dalla data di entrata in vigore del decreto (il successivo 8 agosto), laddove le Camere non fossero riuscite ad eleggere prima i nuovi componenti. Con l’approssimarsi del termine dei 60 giorni (il 7 ottobre: termine tanto della disposizione quanto della vigenza stessa del decreto se non convertito), senza che il Parlamento desse cenno di essere pronto all’elezione, lo stesso ha ritenuto di convertire il d.L. con Legge del 4 ottobre 2019, n. 107, modificando peraltro il termine della proroga dai 60 giorni in procinto di scadere, alla data esatta del 31 dicembre. Con risoluzione dei Presidenti delle Camere, stante il passare del tempo, furono inoltre riaperti anche i termini per la presentazione delle candidature a componente.
Il giorno stesso in cui terminava la seconda proroga (se non si conta la prorogatio iniziale, in quanto soggiacente ad un istituto diverso), è entrato in vigore l’annuale decreto “Milleproroghe” (d.L. 30 dicembre 2019, n. 162), che, all’articolo 2, comma 2, ha ulteriormente posticipato la fine del mandato al 31 marzo 2020, modificando a sua volta la disposizione della Legge 107/2019: terza (estensione della) proroga.
Tutte le norme succedutesi sono intervenute a modificare il termine della continuazione dell’esercizio delle funzioni del Collegio, facendo salvo e quindi ribadendo il limite entro cui esso avrebbe dovuto svolgersi, chiarito ab origine dal d.L. 75/2019, che faceva suo il dettato del citato parere del Consiglio di Stato del 2012: atti di ordinaria amministrazione, nonché indifferibili o urgenti. Ora, le questioni che si pongono sono in merito alla legittimità dell’azione di un’Autorità indipendente il cui vertice è stato ripetutamente prorogato (sino ad estenderne il mandato di nove mesi) ed a cosa debba intendersi per ordinaria amministrazione, con riferimento all’attività propria del Garante per la protezione dei dati personali.
Legittimità di azione e ordinaria amministrazione
In primo luogo, sia ribadito il principio aureo di continuità dell’azione amministrativa e dei pubblici servizi che discende direttamente dall’articolo 97, comma secondo, della Costituzione. In presenza di un termine certo per la scadenza dell’organo (nel nostro caso: sette anni dall’insediamento), ma in assenza di un termine predeterminato di decadenza dello stesso (per ciò intendendosi il momento in cui l’organo cessa definitivamente, i suoi componenti non ne fanno più parte e non possono adottare validamente alcun atto), era chiaro che il Garante avrebbe potuto continuare ad operare legittimamente fino all’insediamento dei suoi nuovi componenti, in ragione dell’insostituibilità ed improcrastinabilità delle sue funzioni, al servizio di un diritto fondamentale.
Avrebbe potuto ed anzi dovuto operare, quindi, uno di quei casi di prorogatio di fatto sine die, che, sebbene la Corte costituzionale abbia ritenuto non costituire un principio generale laddove la legge non preveda un termine perentorio di decadenza di un organo, la stessa ha ammesso in determinate situazioni, per certi organi, in ragione delle loro natura e specificità. Nella sentenza n. 208/1992 il Giudice delle Leggi evidenziò come «dal complesso normativo vigente non [fosse] possibile desumere che quella della c.d. prorogatio di fatto, incerta nella sua durata, costituis[se] regola valevole in generale per gli organi amministrativi», di talché «coloro che sono nominati a tempo a coprire uffici rimangono in carica, ancorché scaduti, fino all’insediamento dei successori», in assenza di caratteristiche peculiari dell’organo che compongono. Tuttavia, l’argomento da cui la Corte partiva per escludere l’applicabilità generalizzata di detto istituto era la sua non estensibilità a qualsivoglia organo amministrativo a partire dalle norme che lo prevedono in materia di rinnovo degli organi elettivi degli enti locali territoriali, delle quali la Corte stessa confermò peraltro la legittimità costituzionale in quella medesima sentenza. Infatti, il giudice costituzionale fondò la giustificazione della prorogatio a tempo indeterminato, onde assicurare la continuità funzionale degli organi degli enti locali, sul peculiare carattere di quegli enti in quanto «enti politici esponenziali di comunità e quindi necessari, proprio a causa della peculiare rilevanza della territorialità, che qualifica la struttura stessa dello Stato».
Le peculiarità dell’azione del Garante privacy
Allo stesso modo, guardando alla posizione dell’organo, al suo ruolo complessivo nell’organizzazione costituzionale dello Stato, potrebbe senz’altro riconoscersi al Garante una peculiarità data dall’infungibilità della sua azione, dalla legittimazione sovranazionale del diritto fondamentale che salvaguarda, dalle guarentigie e prerogative poste a preservarne l’indipendenza dagl’interessi di parte nonché dagli altri poteri dello Stato. Vieppiù che il Garante può dirsi un organo a funzionamento continuo e non convocato di volta in volta, proprio perché l’ordine del giorno delle Adunanze dipende dalla gestione dell’attualità, così come delle urgenze che via via si manifestano attraverso istanze e segnalazioni (tanto che la programmazione, se non per sommi capi, è pressoché impraticabile).
Come per gli organi degli enti locali territoriali il rinnovo del Collegio del Garante è legato a precise scansioni temporali, previste dalle norme che ne disciplinano l’ordinamento e la procedura di elezione, la cui osservanza è assicurata sia dal controllo politico della comunità che da quello dell’ordinamento europeo, che ne impediscono l’elusione, mentre in relazione alle ipotesi di un anomalo protrarsi, per qualsivoglia ragione, della vacanza di quell’organo, non è prevista la supplenza da parte di organi straordinari[1]. Pertanto, la confusione creata dal menzionato parere del Consiglio di Stato sta nell’aver imposto un termine di 60 giorni che non può che essere interpretato come meramente ordinatorio e non perentorio, benché Governo e Parlamento si siano prodigati a protrarlo a colpi di normazione primaria trasformando la prorogatio de facto in proroga ex lege.
In Assemblea Costituente, Egidio Tosato (poi richiamato da Leopoldo Elia[2]) ebbe ad esporre come la prorogatio «serve ad assicurare, in qualche modo, la continuità dell’esercizio delle pubbliche funzioni […] in forza del quale un organo, anche scaduto, ha la possibilità di continuare ad esercitare, sia pure limitatamente, i suoi poteri», donde la sua automatica applicabilità allorché non incontri deroghe testuali in specifiche disposizioni di legge[3], vieppiù in presenza di caratteristiche peculiari dell’organo cui si riferisce. Come nota Michele Ainis in un parere pro veritate reso alla Regione Calabria sulla legittimità della nomina dei vertici delle Aziende del Servizio sanitario da parte della Giunta regionale in regime di prorogatio[4], per stabilire l’effettiva ampiezza della legittima azione di un organo prorogato, occorre operare un bilanciamento (Abwägung o balancing test a seconda della tradizione pubblicistica che si preferisce).
Nel nostro caso, tuttavia, il principio di continuità funzionale non deve addivenire ad un compromesso con il principio di rappresentatività politica (i.e. il vincolo democratico fra eletti ed elettori, che va affievolendosi dal giorno successivo all’elezione), da cui discende l’auctoritas stessa degli organi di governo, in quanto il Garante, quale Autorità indipendente, è sciolto da qualsiasi collegamento con gli elettori dei suoi membri e libero da qualunque circuito di rappresentatività. Anzi, potrebbe ben dirsi che, al contrario di un organo elettivo politico scaduto, che può rimanere in carica per scongiurare l’horror vacui, subendo però una fisiologica riduzione delle proprie prerogative, un’Autorità amministrativa indipendente incrementa la propria legittimazione, che dipende dalla sua indipendenza e giammai dalla sua rappresentatività, quanto più si allontana nel tempo dalla Legislatura che ne ha espresso i componenti.
La sentenza costituzionale n. 68/2010 ha adoperato il concetto metafisico dell’«immanenza», per giustificare i limiti fisiologici che incontra ogni potere esercitato in regime di prorogatio, ma cosa c’è di più trascendente, nell’ingegneria istituzionale dello Stato democratico contemporaneo, della posizione delle Autorità indipendenti, la cui auctoritas dovrebbe essere proprio espressione del loro ostinato distacco dalle contingenze politiche?
Secondo Ainis, dal bilanciamento dunque (che pure nel nostro caso abbiamo detto non necessario), dalla necessità di contemperare continuità, «esclude[ndo] che il depotenziamento possa spingersi ragionevolmente fino a comportare una indiscriminata e totale paralisi dell’organo stesso[5]», e naturale affievolimento dei pieni poteri, si riuscirebbe a tracciare il perimetro entro cui rinvenire in concreto l’attività di ordinaria amministrazione. Un concetto che in passato la dottrina giuspubblicistica non ha avuto timore di considerare una scatola vuota, attribuendo talvolta agli organi amministrativi in regime di prorogatio una plenitudo potestatis pari a quella degli organi non ancora scaduti.
La già menzionata sentenza della Corte costituzionale n. 68/2010, così perentoria nell’accertare la limitazione dei poteri di un organo elettivo in regime di prorogatio, indicava però dei criteri giustificativi e perfino legittimanti l’intervento di tale organo «nella ragionevolezza e proporzionalità tra provvedimento da assumere e obbligo di non vincolare gli organi successivi alle decisioni adottate in regime di prorogatio», nonché «nell’obbligatorietà dell’atto riferita alla necessità di assicurare il buon andamento dell’attività amministrativa». Come ebbe a pronunciarsi il Consiglio di Stato: la categoria dell’ordinaria amministrazione è per sua natura elastica[6], la sua ampiezza dipende dalle circostanze – di fatto e di diritto – in cui viene esercitata. Dipende, è vero dal contesto normativo e dai valori costituzionali in gioco, ma anche dalla posizione dell’organo e dal tipo d’attività che chiama in causa.
L’azione amministrativa del Garante in regime di prorogatio
Il Garante per la protezione dei dati personali è un organo della Repubblica (senza riaprire in questa sede il dibattito circa la natura di organi di rilievo costituzionale impliciti o meno delle Autorità indipendenti), ma la sua istituzione è prevista da una norma europea di diretta applicazione, che ne stabilisce anche i compiti ed i poteri non condizionandoli in alcun modo. La legge nazionale era chiamata a darvi attuazione stabilendone la durata dell’organo di vertice e la procedura di elezione, ha specificato compiti e poteri e ne ha previsti di ulteriori che continuassero quelli del precedente regime normativo, ma non si è espressa in merito a contrazioni di questi in caso di prorogatio o proroga. Lo Stato lo ha fatto solo al momento dell’approvazione della proroga stessa, riferendosi agli atti di ordinaria amministrazione e a quelli indifferibili e urgenti, ma senza specificare in cosa questi consistessero per un’Autorità presso la quale praticamente ogni provvedimento rientra nel perimetro del disbrigo degli affari correnti e molti di essi, anzi, stanti i ridotti termini procedurali per la loro adozione, potrebbero essere anche considerati urgenti.
Forse possono ritenersi esclusi ampliamenti smisurati della pianta organica, ma forse non assunzioni che si rendano necessarie per rimpiazzare competenze specifiche in un’amministrazione tanto esigua. Forse non sono da considerarsi afferenti all’ordinaria amministrazione atti di disposizione del patrimonio che comportino ingenti variazioni del bilancio, ma forse variazioni di bilancio possono essere approvate anche in regime di prorogatio allorché si rendano necessari per far fronte ad estemporanee esigenze imposte da cause di forza maggiore o caso fortuito, purché, chiaramente non impegnino eccessivamente pro futuro le finanze dell’Autorità.
Ma quanto al merito dell’azione amministrativa del Garante? Tutti i compiti elencati dal paragrafo 1 dell’articolo 57 del GDPR descrivono l’azione quotidiana del Garante che si estrinseca nei conseguenti poteri di cui al successivo articolo 58. E se appare evidente come giammai i poteri d’indagine e quelli correttivi potrebbero essere limitati temporalmente o quanto all’ampiezza del loro spettro, salvo il buon andamento dell’Autorità, allo stesso modo non si vede perché in regime di prorogatio si dovrebbe assistere ad una contrazione dei poteri autorizzativi e consultivi.
Di certo questo non sarebbe possibile dinanzi alle istanze, spesso pressanti, degli altri organi dello Stato, ma limitare l’adozione di autorizzazioni e pareri solo nei confronti dei privati comporterebbe una discriminazione inaccettabile. Di talché, utilizzando il lessico della sentenza n. 68/2010, potremmo definire tutti gli atti assunti nell’esercizio di tali poteri come obbligatori.
Quanto ai compiti e poteri stabiliti dal Legislatore nazionale agli articoli 154 e 154-bis del Codice in materia di protezione dei dati personali, come modificato a seguito dell’entrata in vigore del GDPR, anch’essi fanno riferimento all’ordinaria amministrazione del Garante. Forse, sempre facendo riferimento al discrimine individuato dalla sentenza costituzionale n. 68/2010, potremmo interrogarci circa la proporzionalità fra la necessità ed urgenza dell’assolvimento in regime di prorogatio di alcuni di tali compiti e l’esercizio di alcuni di tali poteri, da un lato, e l’obbligo di non impegnare il Collegio successivo, dall’altro.
L’azione di indirizzo del Collegio
Qui si entra nell’azione più squisitamente politica del Collegio, quella d’indirizzo. All’articolo 154-bis, comma 1, lettera a), si fa riferimento al potere attribuito al Garante di adottare, anche per singoli settori, linee guida di indirizzo riguardanti misure organizzative e tecniche di attuazione dei principi del Regolamento; prendere posizione, attraverso lo strumento interpretativo (ma definibile comunque di soft law: la cui forza di moral suasion si traduce in una prescrittività di fatto) delle linee guida, in merito alla definizione di alcune norme ed agli accorgimenti da adottare per dare ad esse efficace attuazione, rischia di vedere un Garante oltre la fine del proprio mandato incidere anche significativamente sulle condotte che saranno assunte entro i termini del successivo, senza che quest’ultimo possa prendere le distanze da un precedente così prossimo, quantomeno nell’immediato.
La difficoltà di perimetrare l’area dell’ordinaria amministrazione è accresciuta dalla coincidenza fra la fine del settennato del Collegio uscente e la transizione dal precedente regime normativo in materia di protezione dei dati personali a quello attuale, dacché per molti provvedimenti a contenuto prettamente d’indirizzo era stato lo stesso decreto delegato d’adeguamento (d.l.vo 10 agosto 2018, n. 101) a prevedere un termine entro cui fossero adottati: si pensi alle Regole deontologiche ed ai codici di buona condotta (articolo 20), nonché alle Autorizzazioni generali (articolo 21). Il Garante stesso, inoltre, ancor prima dell’avvio della prorogatio, ossequente alla convenzione del semestre bianco, ha evitato di adottare le misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute ai sensi dell’articolo 2-septies del Codice, che profondamente incideranno sui trattamenti di categorie particolari di dati all’interno del territorio nazionale.
Ben si comprende da quest’ultimo caso come, comunque, la reiterazione delle proroghe infici l’ampiezza dell’azione complessiva dell’Autorità, specie in un momento in cui occorrerebbe proprio quell’orientamento interpretativo in merito all’applicazione delle nuove norme che si esprime proprio attraverso atti d’indirizzo. Questo non vale, di certo, quanto al potere di applicare sanzioni in ragione della violazione di norme del nuovo dettato normativo: ben può, anzi, deve il Garante intervenire correggendo e sanzionando indipendentemente dalla prorogatio o dalla proroga. L’atto, come si è detto, può considerarsi obbligatorio e la legittimità dell’organo adottante è indiscutibile poiché anzi protetta, a questo punto, da atti aventi forza di legge e chi volesse sollevare una questione di tal genere dovrebbe prioritariamente contestare, semmai, proprio la legittimità costituzionale dei decreti di proroga eccependone fantasiosamente la carenza dei requisiti di necessità ed urgenza in ragione della loro reiterazione, che però è stata confermata dalla conversione in Legge.
Il diritto fondamentale alla protezione dei dati personali
In definitiva, il valore giuridico coinvolto dall’intervento amministrativo del Garante in regime di prorogatio, o adesso proroga, è il diritto alla protezione dei dati personali, riconosciuto dalla Carta di Nizza (ai sensi dell’articolo 8), dalla Convenzione europea dei diritti dell’uomo (ai sensi dell’articolo 8) e dalla normativa specifica europea che ha anch’essa valore di norma interposta, è un diritto fondamentale della persona la cui tutela è attuata esattamente dai provvedimenti settimanali del Garante, nell’esercizio di poteri quasi tutti indifferibili a scanso di rendere vana l’effettività stessa di tale diritto. Quello del Garante si configura come un potere-dovere d’intervento quantunque ne ricorra o ne avverta la necessità anche minima, senza limitazioni temporali o condizionamenti dovuti a flessioni di rappresentatività, affinché sia efficacemente espletata la missione affidatagli dall’ordinamento europeo e da quello nazionale.
Infine, il tema si riduce piuttosto alle cause della proroga, tanto prosaiche da non meritare neppure un accenno in tale sede, ma che vanno ricercate nell’inerzia di quello stesso Parlamento che procrastina per non decidere, con ciò imbalsamando un organo che in tale fase più che mai necessiterebbe di attivismo ancor prima che di attività.
- Cfr. C. Cost. sent. 208/1992. ↑
- v. L. ELIA, Amministrazione ordinaria degli organi costituzionali, in Enciclopedia del Diritto, II, Giuffrè, Milano 1958, pp. 228 ss. ↑
- Cfr. V. CRISAFULLI, La continuità della Corte costituzionale, in AA.VV., I controlli sul potere, Vallecchi, Firenze 1967, pp. 27 ss. ↑
- Rinvenibile al link http://www.regioni.it/dalleregioni/2014/09/18/calabria-parere-prof-ainis-sulla-nomina-dei-vertici-delle-aziende-del-servizio-sanitario-della-calabria-da-parte-della-giunta-regionale-in-regime-di-prorogatio-365342/ ↑
- V. sent. C. Cost. 515/1995. ↑
- V. sent. C.d.S. 5757/2002. ↑