Le disposizioni in materia di protezione dei dati personali introdotte dal cosiddetto “Decreto capienze” (decreto-legge n. 139/2021), e in particolare dal suo art. 9, sollevano più di un dubbio. Le riserve si appuntano tanto sui profili di metodo, e segnatamente sulla scelta di ricorrere allo strumento del decreto-legge, quanto sugli aspetti di merito della novella.
Cosa prevede il Decreto capienze
Come noto, la disposizione realizza una sostanziale semplificazione delle condizioni di utilizzo della base giuridica costituita dall’adempimento di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, anzitutto affiancando la previsione della necessità di una norma di legge o regolamento con una innovazione che autorizza “sempre” le pubbliche amministrazioni a ricorrervi, anche definendo loro stesse la finalità del trattamento, nei casi in cui quest’ultima non sia indicata da norme di legge o regolamento.
Di riflesso, l’art. 9 elimina anche la possibilità che, in assenza di una norma di legge o regolamento, la comunicazione tra titolari che trattano dati in ragione di questa base giuridica sia comunque autorizzata dal Garante; Garante che precedentemente, ai sensi dell’art. 2-ter del d.lgs. 196/2003, avrebbe potuto esprimere il proprio parere nel termine di quarantacinque giorni, decorso il quale si sarebbe applicato il meccanismo del silenzio-assenso: anche per la comunicazione, basterà che siano le pubbliche amministrazioni a individuare la finalità del trattamento.
Inoltre, abrogando l’art. 2-quinquiesdecies del d.lgs. 196/2003, la norma esclude la consultazione preventiva del Garante in caso di trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati; consultazione cui era correlato il potere del Garante di prescrivere ex ante misure e accorgimenti a garanzia dell’interessato che il titolare è tenuto ad adottare.
Infine, la norma opera una serie di interventi puntiformi, tra cui l’eliminazione del comma 5 dell’art. 132 del d.lgs. 196/2003, norma che consentiva al Garante di prescrivere misure e accorgimenti a garanzia dell’interessato per la conservazione dei dati di traffico per finalità di accertamento e repressione dei reati, indicando i requisiti di qualità, sicurezza e protezione dei dati e le modalità tecniche per la periodica distruzione.
Giova subito sgombrare il terreno da un potenziale equivoco: non pare che, sul piano prettamente contenutistico, le norme di nuova introduzione conducano a un’effrazione rispetto alla fonte sovranazionale competente, ossia il Regolamento generale sulla protezione dei dati personali (“GDPR”). Nondimeno, il nuovo assetto che giunge a configurarsi per effetto di queste chirurgiche modifiche previste dall’art. 9 sembra realizzare un complessivo depotenziamento della posizione di tutela dell’interessato al cospetto di trattamenti di dati personali da parte soprattutto della Pubblica Amministrazione, depotenziamento cui non è estraneo il ridimensionamento dei poteri conferiti all’Autorità garante per la protezione dei dati personali proprio a questo proposito.
I presupposti della decretazione d’urgenza e i dubbi di legittimità sull’art. 9: i profili di forma
Andando per ordine, la critica di metodo occupa una posizione logica giocoforza preliminare rispetto ai profili di merito.
La scelta di un decreto legge per disciplinare la materia delle capienze correlate ad attività economiche, produttive e social in funzione dell’andamento epidemiologico del Covid-19 pare senz’altro condivisibile e opportuna. Essa diventa meno comprensibile, invece, laddove vengano in considerazione le disposizioni di semplificazione in materia di trattamento di dati personali da parte di pubbliche amministrazioni. Beninteso: la ratio della novella è chiara: consentire uno snellimento rispetto alle condizioni che legittimano la Pubblica Amministrazione a effettuare trattamenti di dati personali nell’assolvimento delle proprie finalità istituzionali. Uno snellimento senz’altro auspicabile in ragione dell’importante mole di progetti che inevitabilmente le pubbliche amministrazioni saranno chiamate a gestire nei prossimi mesi; ma che si consuma, al di là della contingenza, come cambiamento di sistema, destinato a incidere permanentemente sulla disciplina vigente. Ed è proprio questo il nodo problematico: l’esecutivo ha “approfittato” delle circostanze particolari entro cui il Decreto capienze si inserisce per apportare una modifica che non è certo dovuta dalla sussistenza di motivi straordinari di necessità e urgenza. Non vi è dubbio che queste siano le ragioni che hanno condotto alle modifiche di cui si discute: si incarica di fugare ogni dubbio, del resto, il comma 3 dell’art. 9, che si riferisce espressamente a riforme, misure e progetti del PNRR, nonché del Piano nazionale per gli investimenti complementari del Piano nazionale integrato per l’energia e il clima 2030, per abbreviare a trenta giorni il termine non prorogabile entro il quale il Garante potrà rendere i suoi pareri (decorso il quale, trova applicazione il meccanismo del silenzio-assenso).
Se l’esigenza di una semplificazione è senz’altro condivisibile, l’emergenza sanitaria non può però travolgere qualsiasi baluardo di forma, che nel campo in questione acquisisce valore di sostanza.
In qualche modo, lo stesso testo del decreto legge confessa l’abuso della decretazione d’urgenza, relegando l’art. 9 alla fine, sotto il capo intitolato, in modo non troppo convincente, “Disposizioni urgenti in materia di protezione dei dati personali”.
Non si può non ricordare come in materia di sindacato sulla decretazione d’urgenza la Corte costituzionale abbia compiuto una celebre svolta con le sentenze n. 171/2007 e 128/2008, le prime a dichiarare l’illegittimità di alcune disposizioni di decreti legge per carenza dei requisiti previsti dall’art. 77 della Costituzione in ragione della loro estraneità alla materia disciplinata dai rispettivi decreti. La Corte ebbe così a concretizzare la sua precedente apertura del 1995 (con la sentenza n. 29), con cui non solo si era riconosciuta la possibilità di uno scrutinio di legittimità costituzionale su un decreto legge ma si era altresì affermato che la mancanza dei presupposti tipici per ricorrere a un decreto legge inficia altresì la legge di conversione, costituendone un vizio procedurale.
Meno chiarezza vi è invece in merito ai criteri cui ancorare questa verifica e quella della omogeneità del contenuto normativo. La giurisprudenza costituzionale ha fatto riferimento a una pluralità variegata di indici intriseci ed estrinseci. La Corte ha richiamato, per esempio, la necessità che vi sia una comunanza di oggetto o di finalità tra le disposizioni, tale da conferire coerenza all’atto normativo, ancorché differenziato e articolato internamente.
Al contrario, l’introduzione di norme eterogenee rispetto alle finalità e all’oggetto dell’atto finisce con il rendere quest’ultimo “una congerie di norme assemblate soltanto da mera causalità temporale” (così la sentenza n. 22/2012).
Sebbene la Corte costituzionale – alla prova dei fatti – abbia esercitato una certa cautela, di cui sono prova anche le sentenze più recenti (si pensi alla n. 149/2020), non si possono celare alcune perplessità; non tanto rispetto alla visibile (ma comprensibile) eterogeneità intrinseca del provvedimento di cui si discute, quanto piuttosto in relazione alla effettiva riconducibilità a una urgente necessità di provvedere.
Davvero l’emergenza Covid-19 e l’attivazione, consequenziale, di una serie di progetti volti a dare nuova linfa all’economia del paese possono giustificare la riforma delle condizioni di utilizzo di una base giuridica e dei poteri del Garante? Nella vicenda di cui la Corte si era occupata, per esempio, nella sentenza n. 149/2020, i requisiti di necessità e di urgenza erano stati ritenuti sussistenti in ragione dell’esigenza di allineare la disciplina interna a quella dell’Unione europea ed evitare così la minaccia concreta di una procedura di infrazione. Ma in un campo come quello di cui si occupa l’art. 9 del Decreto capienze, dove nessuna divergenza -come si dirà- ricorre rispetto al diritto europeo, i presupposti della decretazione d’urgenza non sembrano altrettanto nitidi. Questa valutazione sembra guadagnare maggiore fondatezza tanto più ci si sposta dal nucleo di disposizioni volte a realizzare obiettivi di semplificazione per addentrarsi in norme che con gli importanti progetti di ripresa economica hanno poco (l’abrogazione della consultazione preventiva del Garante in caso di rischi elevati) o nulla (l’abrogazione dei poteri prescrittivi del Garante in materia di data retention) a che vedere.
I profili di sostanza
Se si trascurano i giocoforza preliminari motivi di forma, anche accedendo alla valutazione del merito della novella in realtà residuano alcune perplessità.
Anzitutto, una domanda: vi era davvero bisogno di un intervento di questo tipo? Non si tratta di un ammiccamento, auspicherei involontario, ai diversi commentatori che negli ultimi mesi hanno additato la protezione dei dati personali come un cavillo, un totem intoccabile che avrebbe ostacolato la tutela del diritto alla salute?
Invero, molte delle modifiche contenute dall’art. 9 del Decreto capienze soddisfano un’esigenza di razionalizzazione e snellimento che difficilmente non potrebbe condividersi. Oltretutto, giova ricordare che è lo stesso art. 6 del GDPR a consentire agli Stati membri di disciplinare in maggior dettaglio, e ciò con disposizioni più specifiche, l’utilizzo della base giuridica dell’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. Ciò, per esempio, allo scopo di determinare con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto.
Se l’art. 9 non consuma alcuna rottura con la fonte sovranazionale, è però il percorso di complessiva regressione della posizione dell’interessato a destare alcuni dubbi. Il percorso ricorda, ma soltanto all’apparenza, quanto accaduto per la diversa condizione di liceità rappresentata dal legittimo interesse del titolare del trattamento, che l’ordinamento italiano, nella vigenza della direttiva 95/46/CE, ancorava a condizioni più restrittive, richiedendo un intervento del Garante; previsione, quest’ultima, superata dal sopravvenire di una fonte regolamentare a livello europeo che ha realizzato una armonizzazione più elevata, che non lascia spazio a deroghe nazionali in proposito.
L’allargamento delle condizioni di accesso a questa base giuridica si è però accompagnato all’affermazione del principio di accountability e alla complessiva attuazione di un impianto informato alla responsabilizzazione dei titolari del trattamento. In questa sede, invece, il legislatore italiano ha deciso sin dall’applicazione del GDPR di stabilire condizioni particolari, nell’esercizio della discrezionalità riconosciutagli dalla fonte europea, prevedendo condizioni di garanzia per gli interessati. Ora il legislatore cambia idea, preferendo semplificare: nulla, di per sé, di sbagliato e opinabile; tuttavia, guardando “dall’alto” queste trasformazioni, la percezione è quella di un depotenziamento delle tutele a favore dell’interessato. Questa impressione pare corroborata da diversi elementi.
In primo luogo, le pubbliche amministrazioni potranno determinare le finalità del trattamento ove non espressamente prevista da una norma di legge o di regolamento, ponendosi di fatto in una situazione di “concorrenza” con il legislatore. In sostanza, si equipara un intervento del legislatore (mediante la definizione di una norma di legge o di regolamento) a una determinazione della Pubblica Amministrazione. Così le pubbliche amministrazioni potranno ricorrere alla base giuridica dell’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri “in autonomia”, e cioè “auto-attribuendosi” una legittimazione che nel testo previgente apparteneva soltanto al legislatore. Questa scelta non corrisponde a una violazione di norme costituzionali né di norme europee; tuttavia, traduce senz’altro un arretramento delle garanzie connesse alla tipologia di atto rilevante (nonché dei controlli che sullo stesso si potranno esercitare): dall’atto legislativo si passa a un atto amministrativo, con quanto ne consegue. Anche senza scomodare il principio di separazione dei poteri, appare evidente che questa novella reca conseguenze che potrebbero provocare delle tensioni quantomeno con il principio di legalità.
Ma è – come si diceva – “guardando dall’alto” che emergono le complessive problematiche di cui l’art. 9 è portatore: la comunicazione tra titolari che utilizzino la base giuridica dell’adempimento di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri è consentita a condizioni analoghe, con rimozione del potere del Garante di adottare una determinazione ex ante nel termine di quarantacinque giorni.
Lo scenario fin qui dipinto evidenzia almeno due perplessità.
In primo luogo, si tratta di una previsione che deve confrontarsi con la disinvoltura talvolta eccessiva che – come si evince anche dalla casistica del Garante – le moltissime e variegate pubbliche amministrazioni italiane hanno dimostrato nel corso degli ultimi anni rispetto al trattamento di dati personali. È davvero il caso di ampliare la discrezionalità dei soggetti pubblici fino al punto di consentirvi di definire in modo autonomo il contenuto della base giuridica, facendo “di libito licito”?
In secondo luogo, viene da interrogarsi su quali conseguenze possano discendere in termini pratici soprattutto dalla rimozione del potere del Garante di intervenire ex ante. Questa modifica, ispirata senz’altro all’intento di garantire maggiore speditezza e celerità ai trattamenti di dati di cui si discorre, va affiancata e letta congiuntamente all’abrogazione dell’art. 2-quindesdecies del d.lgs. 196/2003, ossia della consultazione preventiva dell’Autorità in caso di rischi elevati. Anche assumendo che le finalità di semplificazione giustifichino una scelta così significativa, vi è da domandarsi se una opzione così incisiva non rischi di determinare una moltiplicazione di reclami destinati all’attenzione del Garante. Autorità che ha vissuto un’autentica rivoluzione copernicana dal punto di vista delle trasformazioni normative che si sono prodotte negli ultimi anni e che meriterebbe, per la delicatezza del compito istituzionale e la sensibilità dei diritti coinvolti, probabilmente un rafforzamento delle risorse in sua dotazione. Questo garantirebbe sì maggiore celerità e “prontezza di riflessi”, evitando che le necessarie e opportune verifiche sul rispetto del diritto fondamentale alla protezione dei dati vengano catalogate come inutili pastoie burocratiche.
Rimane poi difficile da spiegare la cancellazione del potere del Garante di impartire misure e accorgimenti rispetto alla conservazione di dati di traffico ex art. 132, comma 5, del d.lgs. 196/2003. Al di là della evidente estraneità di questa previsione – forse la più lontana – dal nucleo essenziale del Decreto capienze (a tacere della carenza di requisiti di straordinaria necessità e urgenza di una modifica in tal senso), non si comprendono le ragioni per un intervento che incide su un ambito problematico, in cui la giurisprudenza della Corte di giustizia si è più volte espressa rinviando agli ordinamenti nazionali la definizione di condizioni che possono legittimare le operazioni di trattamento di questa categoria di dati. Ancora una volta, l’impressione è che, pur trattandosi di modifiche che non confliggono con la fonte sovranazionale né – almeno sul piano contenutistico – con la Costituzione, si assista a un complessivo indebolimento di una serie di “contrappesi” di cui forse non vi era necessità, né tantomeno urgenza.