Non solo disposizioni per un ulteriore passo verso il ritorno alla “normalità”, ma anche una rivoluzione nella gestione di alcuni aspetti di data protection, in particolare legati alla PA e ai poteri del Garante Privacy: per questi contenuti, il Decreto Capienze è al centro di un acceso dibattito tra gli esperti di protezione dei dati.
Molti sono già stati i commenti a caldo. Alcuni ritengono stravolgimenti significativi dell’intero impianto privacy, altri più a freddo, moderano la posizione osservando che, a ben guardare, le garanzie per i diritti e le libertà dei cittadini/interessati non verrebbero affatto stravolte. Anzi, ricalcano il solco del GDPR. Se una prima lettura un po’ frettolos, porterebbe quasi alla conclusione di una piena “carta bianca” alla PA in ordine al trattamento dei dati personali, con evidenti pericoli, in realtà non è così.
Cosa dice il Decreto Capienze
Il DL Capienze quindi non si limita a stabilire quanti e quindi in che misura percentuale possono stare nello stesso luogo, specie al chiuso. Va oltre, come spesso accade, pensando di disciplinare:
- Riorganizzazione del Ministero della Salute
- Disposizioni per il referendum
- Esame di Stato avvocato
- Accoglimento profughi afghani
Come cambiano i poteri del Garante privacy con il Decreto Capienze
Con riferimento a quest’ultimo punto comunica che “Sono state introdotte, in coerenza con il quadro europeo, alcune semplificazioni alla disciplina prevista dal decreto legislativo 196/2003 del trattamento dei dati con finalità di interesse pubblico. Sono stati ridotti a 30 giorni i termini per l’espressione dei pareri del Garante in merito al PNRR.È stata inoltre potenziata la competenza del Garante al fine di prevenire la diffusione di materiale foto o video sessualmente espliciti”.
Decreto Capienze, la privacy sottomessa al pubblico interesse: cosa cambia e cosa si rischia
Il focus sull’art. 9
Al capo IV, “(Disposizioni urgenti in materia di protezione dei dati personali)” parrebbe essere disciplinato l’art. 9 del seguente tenore.
1. Al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
- All’articolo 2-ter:
- dopo il comma 1 è aggiunto il seguente:
«1-bis. Il trattamento dei dati personali da parte di un’amministrazione pubblica di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, ivi comprese le Autorità indipendenti e le amministrazioni inserite nell’elenco di cui all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, nonchè da parte di una società a controllo pubblico statale di cui all’articolo 16 del decreto legislativo 19 agosto 2016, n. 175, con esclusione per le società pubbliche dei trattamenti correlati ad attività svolte in regime di libero mercato, è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti. La finalità del trattamento, se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall’amministrazione, dalla società a controllo pubblico in coerenza al compito svolto o al potere esercitato, assicurando adeguata pubblicità all’identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano“.
Ulteriori novità concernano l’abrogazione/soppressione:
- dell’articolo 2-quinquesdecies;
- dell’articolo 132, il comma 5;
- all’articolo 137, al comma 2, lett. a), le parole «e ai provvedimenti generali di cui all’articolo 2-quinquiesdecies» sono soppresse;
- all’articolo 166 comma 1, primo periodo, le parole «2-quinquiesdecies» sono soppresse;
- all’articolo 167, al comma 2 le parole «ovvero operando in violazione delle misure adottate ai sensi dell’articolo 2-quinquiesdecies» sono soppresse.
All’articolo 22 del decreto legislativo 10 agosto 2018, n. 101, il comma III è abrogato.
Con richiesta di parere da parte del Garante Privacy nel termine indifferibile di trenta giorni (30) dalla richiesta, oltre il quale è possibile procedere a prescindere dei medesimi.
Gli impatti
Nel ripercorrere l’art. 9 non si liberalizzano affatto le attività di trattamento in capo alle PA tout court se non in chiave “anti-evasione”, e poco altro. Ma andiamo per gradi. L’art. 2 ter al neo introdotto I co bis individua “esclusivamente nella legge o – nei casi previsti dalla legge, di regolamento” la base giuridica che legittima quindi i trattamenti effettuati in ordine all’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.
Orbene, il trattamento viene “sempre consentito se necessario per l’adempimento di un compito svolto nell’interesse pubblico o per l’esercizio di pubblici poteri a essa attribuiti”; mentre per quanto attiene alla finalità del trattamento, questa occorre che sia indicata direttamente dalla PA o ente pubblico “in coerenza al compito svolto o al potere esercitato”.
Il margine di azione delle PA
La novità del I co. bis è semplice: sostanzialmente offre un ulteriore margine di azione alle PA ed enti pubblici nel procedere al trattamento de plano, anche in assenza di norma di legge o regolamento ad hoc, tale da legittimare l’azione amministrativa e l’annesso trattamento.
Le vecchie reminiscenze privacy
Nulla di nuovo se, a ben vedere, leggiamo le presunte novità correttamente, osservando che, in sinossi, non sono stati altro che ripristinati i “vecchi” principi ex artt. 18 e 19 del vecchio Codice Privacy (ora abrogato per effetto del noto D.lgs. 101/2018). Entrambi, se ricordiamo, consentivano “il trattamento da parte di un soggetto pubblico riguardante dati diversi da quelli sensibili e giudiziari anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente” prevedevano che “qualunque trattamento di dati personali da parte di soggetti pubblici fosse consentito soltanto per lo svolgimento delle funzioni istituzionali”.
Le abrogazioni e soppressioni
Soffermandoci in particolare sull’abrogazione dell’art. 2-quinquiesdecies si rammenta che tale disposizione prescriveva che «con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati per i diritti e le libertà degli interessati il Garante avrebbe potuto indicare ai soggetti pubblici “provvedimenti di carattere generale adottati d’ufficio, prescrittivi di misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare».
Anzitutto, vi è da chiedersi se l’art. 9, con lo stabilire che la PA possa crearsi una base giuridica praticamente “fai da te”, e comunicare pressoché liberamente dati personali (non particolari). Non dimentichiamoci che l’art.6, par. 3 GDPR nel perseguire un obiettivo di interesse pubblico, proporzionato all’obiettivo legittimo perseguito, significa che venga effettuato preventivamente un bilanciamento di interessi dal quale evincere la proporzionalità al fine cui si concorre. Con questo impianto se ne dubita fortemente. Basti pensare infatti alla rilevante quantità di dati di cittadini italiani che così verranno comunicati alle numerose Aziende (private) aventi rapporti (giuridico-economici) con le PA, sfuggendo ad ogni possibilità di controllo, letteralmente.
La lotta all’evasione fiscale e la sorveglianza ai Comuni
L’obiettivo è quello, sempre più convinto, di combattere l’evasione fiscale. Ma le problematiche non solo legate al fisco. Entra in gioco anche una sorveglianza dei Comuni. Argini che si rompono nella misura in cui il trattamento dei dati personali viene consentito alle PA e autorità indipendenti, di trattare i dati quasi senza limiti, qualora la finalità sia quella di perseguire interessi pubblici.
Il pubblico interesse viene messo dinanzi alla tutela dei dati personali. In sostanza, le nuove norme ridurranno di molto il potere/prestigio/autorevolezza dell’Autorità a discapito non di meno di quell’accountability, cuore pulsante del GDPR che avrebbe dovuto segnare una nuova era della Privacy rectius Data Protection.
Decreto Capienze, Greenpass e lavoro
Con il decreto “Capienze” è stato aggiunto al famoso “Riaperture” (D.L. 52/2021) il nuovo art. il 9-octies destinato tanto al settore pubblico quanto a quello privato, che prevede che “in caso di richiesta da parte del datore di lavoro, derivante da specifiche richieste organizzative, volte a garantire l’efficace programmazione del lavoro”, i lavoratori sono tenuti a comunicare preventivamente al datore di lavoro se sono in possesso del green pass (materia tanto recente quanto ampia, e già discussa ) con un preavviso che consenta di soddisfare tale esigenze.
I punti nevralgici
In pratica, tale disposizione consente di richiedere preventivamente a dipendenti, collaboratori una preventiva indicazione sul possesso del Green pass allorché la richiesta sia giustificata da una specifica ragione organizzativa, che il datore di lavoro deve indicare nella richiesta. In definitiva, la maggior parte delle Organizzazioni lamenta vincoli della privacy impedienti di sapere in anticipo chi ha il Pass e chi no (go o no go)
“Come si fa a organizzare i turni?”. Il problema sembra superato dall’articolo 3 del nuovo “decreto capienze” dell’8 ottobre: per “specifiche esigenze organizzative” il datore può chiedere ai dipendenti chi ha il permesso “con un preavviso necessario” e i lavoratori sono “tenuti” a rispondere.