Lo scorso 11 ottobre è stato pubblicato in Gazzetta Ufficiale l’ultimo Decreto Legge (DL.) emanato dal Governo, il c.d. Decreto Capienze. L’atto contiene “disposizioni urgenti per l’accesso alle attività culturali, sportive e ricreative”, ma tocca anche altri ambiti, quali l’organizzazione delle pubbliche amministrazioni e la protezione dei dati personali. Si tratta di un Decreto molto atteso, che permetterà a diversi settori di ripartire consentendo, ad esempio, la riapertura al 100% della capienza di teatri e cinema.
Il Decreto introduce, però, alcune modifiche al Codice Privacy, il testo normativo nazionale di riferimento in tema di protezione dei dati personali, che non convincono molti esperti in materia. A proposito, infatti, l’intervento opera principalmente su due piani: da un lato, amplia notevolmente le ipotesi di trattamento per le Pubbliche Amministrazioni (PA) e, dall’altro, ridimensiona i poteri di vigilanza e controllo del Garante Privacy.
Per quanto riguarda il primo punto: prima dell’intervento del DL., le PA potevano trattare i dati personali dei cittadini solo nei casi espressamente individuati da una Legge nazionale (o da una fonte equipollente, come un decreto legislativo o un decreto legge). Accadeva, cioè, che (quasi) solo il Parlamento, organo espressione della sovranità popolare, decidesse i casi in cui consentire agli enti pubblici di conoscere e utilizzare i dati personali dei privati.
Questo meccanismo, derivante dal GDPR, il Regolamento europeo sulla Protezione dei Dati Personali, era posto a tutela dei cittadini, che venivano assicurati contro un’arbitraria e intrusiva decisione del potere pubblico. Era inoltre richiesto che la stessa legge definisse le finalità del trattamento e delimitasse i contorni entro i quali circoscrivere le attività sui dati realizzate dalle pubbliche amministrazioni: determinando la tipologia di dati trattati, le operazioni eseguibili, le misure appropriate per tutelare i diritti fondamentali dei cittadini.
Il Decreto Capienze fa venire meno questo meccanismo di tutela delle informazioni del cittadino, consentendo alle PA di trattare i dati in ogni caso di adempimento di un compito svolto nel pubblico interesse o di esercizio di pubblici poteri. È lasciata, dunque, alla stessa pubblica amministrazione l’individuazione dei casi in cui trattare le informazioni dei cittadini, potendo autonomamente – e arbitrariamente – decidere se una certa attività rientri o meno nelle ipotesi di “adempimento di un compito svolto nel pubblico interesse” o di “esercizio di pubblici poteri”. Inoltre, non si prevedono limitazioni particolari alla possibilità concessa alle PA di comunicare o diffondere dati per la realizzazione di un pubblico interesse.
Passando al secondo punto: Il Garante per la protezione dei dati personali ha da sempre svolto un ruolo decisivo nella vigilanza dei trattamenti realizzati da poteri pubblici. Era dotato di importanti poteri di controllo che, nei casi in cui ravvisasse rischi per i diritti e le libertà fondamentali del cittadino, gli consentivano di intervenire emanando un atto contenente misure e accorgimenti a garanzia della privacy degli interessati, vincolante per il titolare del trattamento.
Questo potere di verifica che riguardava anche l’operato delle PA è stato completamente abrogato dal Decreto Capienze, che ha inoltre ridimensionato il potere di controllo ex post del Garante. Infatti, il nuovo Decreto stabilisce il termine perentorio di soli 30 giorni perché l’Autorità Garante si pronunci sui progetti e sui disegni di legge relativi al PNRR. Un termine che mal si coniuga con i numerosissimi impegni che l’Autorità quotidianamente è chiamata a osservare.
A questo punto, prima di aprire un’interessante riflessione sulla questione, è opportuno rassicurare il lettore non esperto di diritto. Il Decreto Capienze è un Decreto Legge, cioè quell’atto con cui il Governo emana delle norme ritenute di straordinaria necessità ed urgenza, senza sentire il parere del Parlamento. È una fonte del diritto molto particolare, che bypassa la sovranità popolare, ma solo per un brevissimo periodo di tempo. Rimarrà, infatti, in vigore al massimo per 60 giorni poi dovrà essere convertito in Legge. Il procedimento di conversione non è automatico, quindi il contenuto fin qui descritto, presumibilmente, verrà modificato o, addirittura, completamente abrogato. E nel caso in cui la conversione non avvenisse, il decreto perderebbe efficacia “ex tunc”, cioè è come se non fosse mai stato emanato.
Veniamo ora alla nostra riflessione.
È interessante notare come il Decreto Capienze risulti del tutto coerente con la realizzazione del piano di digitalizzazione della pubblica amministrazione auspicato dal Ministro per l’innovazione tecnologica e la transizione digitale Vittorio Colao. Si permette, infatti, una comunicazione molto più snella tra pubbliche amministrazioni, resa più celere grazie alla semplificazione delle modalità con cui i dati possono essere trasmessi. La grande interoperabilità di questo sistema permetterebbe alla pubblica amministrazione di dotarsi del Cloud di Stato voluto dal ministro Colao e di aumentare l’efficienza dei servizi. Appare dunque evidente come i due interessi in gioco siano l’efficienza della PA da un lato, e la tutela del diritto alla protezione dei dati personali del cittadino dall’altro. Ammesso che il Decreto veramente realizzi nel modo migliore l’obiettivo a cui mira il Ministro Colao, a detta di un nutrito gruppo di esperti di privacy sembra che non si siano tenuti sufficientemente in considerazione i pericoli di una semplificazione realizzata in questi termini.
Come accennato, appare sia completamente saltato il meccanismo posto a salvaguardia della riservatezza dei cittadini nei confronti del potere pubblico. Bypassare il Parlamento e consentire ad una qualsiasi Amministrazione di stabilire da sé i casi in cui può trattare i dati personali dei cittadini rappresenta un rischio importante per la tutela dei diritti fondamentali dei consociati. Questo non per una distopica (e difficilmente realizzabile) deriva autoritaria, ma perché le PA sono spesso soggette ad attacchi Hacker o a episodi di Data Breach. Ad un ampliamento indefinito delle ipotesi di trattamento dati da parte delle PA, corrisponde un proporzionale aumento del rischio di violazioni delle informazioni dei cittadini. Banalmente, se più PA hanno gli stessi dati personali in database diversi, non si fa altro che aumentare i vettori di attacco per i criminali informatici. Inoltre, non appare chiaro come vengano rispettati alcuni princìpi del trattamento previsti dalla normativa sulla data protection tanto comunitaria quanto nazionale. Ad esempio, il principio di limitazione delle finalità, previsto all’articolo 5 del GDPR, che impone al titolare del trattamento di trattare i dati solo per scopi determinati e precedentemente comunicato all’interessato e che, qualora voglia ampliare i casi di trattamento ad ipotesi differenti, questi devono essere coerenti con le finalità per cui i dati sono stati originariamente raccolti. Appare anche discutibile l’adempimento all’obbligo di informativa, in base al quale il titolare del trattamento è tenuto ad informare preliminarmente (e, nel caso di sviluppi, aggiornare successivamente) l’interessato circa le modalità di trattamento e l’identità dei soggetti a cui i dati vengono comunicati.
Le criticità sono anche altre (come il ridimensionamento apparentemente ingiustificato dei poteri dell’Autorità Garante), ma in questa sede non è opportuno procedere ad una disamina più approfondita.
L’auspicio, comunque, è quello che il Parlamento, in sede di eventuale conversione in Legge del Decreto, si interroghi sugli interessi in gioco e operi quel bilanciamento frutto di un’analisi razionale e cosciente di rischi e benefici che sarebbe necessario in ogni atto legislativo e che, a detta di chi scrive, è mancato nel Decreto esaminato.
Daniele Dhoor Singh