La privacy in Italia non sarà più la stessa con il decreto Capienze, approvato il 7 ottobre 2021 dal Consiglio dei ministri. Nel decreto infatti ci sono alcune disposizioni urgenti in materia di privacy e protezione dei dati personali che entrano in vigore l’11 ottobre 2021. Il comunicato stampa del governo descrive queste disposizioni così:
“Sono state introdotte, in coerenza con il quadro europeo, alcune semplificazioni alla disciplina prevista dal decreto legislativo 196/2003 del trattamento dei dati con finalità di interesse pubblico. Sono stati ridotti a 30 giorni i termini per l’espressione dei pareri del Garante in merito al PNRR. È stata inoltre potenziata la competenza del Garante al fine di prevenire la diffusione di materiale foto o video sessualmente espliciti.”
In realtà, quello che loro chiamano semplificazione, rischia di svuotare di qualsiasi significato perfino l’applicazione del Regolamento europeo per la protezione dei dati (GDPR) verso la pubblica amministrazione.
Decreto Capienze, rivoluzione privacy per la PA
Il decreto, all’art. 9, modifica diverse disposizioni del Codice Privacy (Dlgs. 196/2003).
Ampliamento della base giuridica per trattare dati personali nell’esecuzione di un compito di “interesse pubblico” (art. 2-ter Codice Privacy)
Il Decreto afferma che il trattamento di dati personali da parte di un’amministrazione pubblica (o società a controllo pubblico) è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse.
La privacy è sott’attacco, ecco la “Privacy Week”
La privacy come non mai è terreno politico e agone di democrazia. La digitalizzazione della società, diventata pressante con il covid, incentiva a spingere sull’accelerazione di norme e attuazioni. Una tendenza che può invitare governi e legislatori a vedere la privacy come un ostacolo.
Ma la stessa Commissione europea, nella proposta sull’intelligenza artificiale, ha ricordato che la via europea all’innovazione non dimentica mai garanzie e diritti. Altrimenti non potremo mai avere un progresso buono, utile a tutti e condiviso. Altrimenti perderemo noi stessi, annichiliti in un girone di finto sviluppo.
Per questo motivo dall’11 al 15 settembre c’è la Privacyweek.it, organizzato da Privacy Network, in collaborazione con Digital360, le cui testate trasmetteranno in streaming l’evento.
Alessandro Longo
L’interesse pubblico, come specificato anche dal GDPR, deve essere però definito da una norma di legge. Allo stesso modo, anche le finalità del trattamento di dati dovrebbero essere definite con atto legislativo (Considerando 45 GDPR).
Questa modifica invece permetterebbe alla PA di trattare dati personali sempre e comunque, a prescindere da una specifica norma di legge. Ma c’è di più. La pubblica amministrazione dall’11 ottobre potrà anche determinare le finalità del trattamento, pur se non espressamente definite da norma di legge o di regolamento. Quindi con un semplice atto amministrativo qualsiasi ente pubblico potrà arbitrariamente (“in coerenza al compito svolto o al potere esercitato”) definire il motivo per cui sarà necessario trattare dati personali dei cittadini, Ma non basta.
Dall’11 ottobre sarà anche permessa la comunicazione di dati personali tra enti pubblici anche se non formalmente prevista da una norma di legge, purché sia “necessaria” all’esecuzione del compito di interesse pubblico. Chi decide quando e cosa è necessario, se non la legge?
Il Decreto agisce quindi come una sorta di nulla osta preventivo sull’attività della pubblica amministrazione, che potrà trattare e comunicare dati anche senza specifica norma di legge. A mio parere si traduce in totale libero arbitrio della PA. Oltre ad essere molto pericolosa per la sua indeterminatezza, questa modifica al Codice Privacy potrebbe anche essere incostituzionale per violazione del GDPR (gerarchicamente superiore alle norme nazionali) che invece prevede che l’interesse pubblico venga definito con norma di legge.
Abrogazione del potere di controllo preventivo del Garante Privacy per i trattamenti a rischio elevato (art. 2 quinquiesdecies Codice Privacy)
Il Decreto abroga del tutto questo articolo, che disciplinava il potere del Garante di intervenire sull’attività della pubblica amministrazione con provvedimenti di carattere generale per prescrivere misure obbligatorie a garanzia dei diritti dei cittadini nel caso di trattamenti a rischio elevato svolti nello svolgimento di un interesse pubblico.
In parole povere, il Garante non avrà più alcun potere di intervenire per correggere trattamenti di dati personali ad alto rischio (per i cittadini). Recentemente il Garante era intervenuto ad esempio per bloccare alcuni trattamenti in violazione di legge fatti con l’app IO e sul green pass, proprio grazie a questo potere (previsto dall’art. 36 GDPR). Storicamente la PA italiana è un pessimo esempio per quanto riguarda la valutazione e gestione dei rischi derivanti dal trattamento di dati personali.
Il Garante Privacy in questi ultimi due anni ci ha mostrato l’utilità dei suoi interventi correttivi, subendo anche ritorsioni politiche e mediatiche da chi lo additava come “ostacolo” alla funzione amministrativa.
Eliminare il potere di intervento preventivo del Garante in un periodo di grande transizione digitale della pubblica amministrazione rischia di creare situazioni insanabili a posteriori, incentivando anche il “moral hazard”, cioè un incentivo a non rispettare la normativa, sapendo che il Garante non potrà intervenire se non a posteriori. Eliminando il potere di intervento preventivo si annienta anche quel poco di potere dissuasivo che, almeno ai livelli più alti, spingeva la PA a rispettare la normativa privacy proprio per evitare che il trattamento fosse bloccato dal Garante. Questo ora non sarà più possibile.
L’incompetenza della PA in materia di privacy e protezione dati è sotto gli occhi di chiunque. Già oggi pochissime amministrazioni rispettano gli obblighi di legge in caso di trattamenti ad alto rischio (es. obbligo di valutazione d’impatto).
Invece di agevolare il lavoro di un’Autorità indipendente nata per tutelare i cittadini, il governo ha deciso di imbrigliarla.
Abrogazione delle misure di garanzia per la conservazione dei dati di traffico telematici
Il Decreto abroga anche il comma 5 dell’art. 132 Codice Privacy. Questo articolo prevedeva che il trattamento e la conservazione di dati personali (tabulati telefonici) per le finalità di accertamento e repressione dei reati venisse effettuato nel rispetto delle misure e degli accorgimenti a garanzia delle persone prescritti dal Garante Privacy, secondo le modalità dell’art. 2 quinquiesdecies (articolo precedente, abrogato).
Non si capisce il motivo di questa abrogazione, soprattutto all’alba della sentenza della Corte di Giustizia dell’Unione Europea del 2 marzo scorso con cui si affermano con forza i principi di proporzionalità e del necessario bilanciamento tra sicurezza pubblica e diritti fondamentali nelle operazioni di conservazione e uso dei dati (e metadati) telefonici. Il Garante Privacy si era recentemente espresso proprio in merito ad una necessaria riforma della normativa italiana, in violazione dei principi europei e ben oltre i limiti del ragionevole. A quanto pare, la risposta del Governo è stata quella di tagliare la testa al toro ed eliminare il problema alla radice.
Di certo le forze dell’ordine e dell’intelligence ora saranno molto felici.
Pareri del Garante Privacy sui progetti del PNRR
I pareri del Garante Privacy in merito ai progetti del PNRR dovranno essere obbligatoriamente resi entro 30 giorni dalla richiesta. Una volta decorso il termine, il governo potrà comunque procedere a prescindere dall’acquisizione del parere.
Il PNRR è un piano da 248 miliardi di euro, con una moltitudine di progetti complessi e diversificati. Il Garante Privacy non sarà mai in grado di rendere i suoi pareri entro 30 giorni per ogni progetto del PNRR che prevede il trattamento di dati personali. La ratio di questo termine così ristretto sembra la stessa usata nei tribunali: riempire di documenti la controparte e il giudice, in modo tale da ingolfare il processo.
Che succede in caso di sorveglianza biometrica (es. riconoscimento facciale) nei luoghi pubblici
In queste ore ci sono alcuni che ipotizzano che il “nulla osta” di cui al primo punto possa applicarsi anche agli strumenti di identificazione biometrica, finora illeciti (in mancanza di legge statale).
A mio avviso, e secondo un’interpretazione ristrettiva della norma, non dovrebbe essere questo il caso.
Il Decreto parla infatti di “interesse pubblico”, andando a modificare l’art. 2-ter del Codice Privacy, che fa riferimento all’art. 6 GDPR. Viene escluso dall’ambito del Decreto invece l’art. 2-sexies del Codice Privacy, che rinvia all’art. 9 GDPR – quale riferimento normativo per il trattamento di dati particolari (es. dati biometrici). L’art. 9 GDPR subordina il trattamento di dati particolari ad un “interesse pubblico rilevante”, che è diverso dal mero “interesse pubblico”. Per questo motivo ritengo che le modifiche al Codice Privacy non si possano estendere anche al trattamento di dati biometrici, e che questo debba comunque essere considerato illecito in assenza di specifica norma di legge di rango primario. Vedremo comunque quale sarà l’interpretazione della legge e in che modo verrà poi ratificato il Decreto.
Privacy nel DL Capienze, un commento a caldo
Il rischio, decisamente concreto, è che molte amministrazioni e società partecipate possano prendere queste modifiche come un vero e proprio “via libera” per fare ciò che vogliono, ben più di quanto già facciano ora. Sembra un decreto preparato ad hoc per evitare “ostacoli” durante il processo di sviluppo dei progetti previsti con il PNRR, molti dei quali però prevedono trattamenti di dati molto rischiosi per i diritti dei cittadini.
La valutazione dei rischi e la limitazione (ex lege) delle finalità del trattamento sono il cuore del Regolamento europeo applicato alla pubblica amministrazione. Senza questi paletti il risultato è di svuotare completamente di ogni valore il Regolamento europeo e di diradare le tutele per i cittadini.
E se la “semplificazione” a discapito dei diritti dei cittadini ha una sua perversa e grottesca logica, non si capisce proprio il motivo dell’abrogazione del comma 5 dell’art. 132 del Codice Privacy, in merito alla conservazione dei tabulati telefonici.
Questo Decreto sembra il triste epilogo di una campagna costruita ad hoc per mortificare e sottomettere un’Autorità indipendente che dall’inizio della pandemia ha usato tutti i suoi poteri per dirigere un’attività normativa e amministrativa spesso in palese violazione della legge europea per la protezione dei dati e dei diritti delle persone.
