Il decreto-capienze (decreto legge 8 ottobre 2021, n. 139), oltre alle previsioni sull’accesso alle attività culturali, sportive e ricreative, contiene importanti novità che riguardano la disciplina dei dati personali.
Tra queste ultime, quella che ha destato maggiori perplessità riguarda la possibilità, per gli enti pubblici, di effettuare un trattamento anche in assenza di una norma di legge quale base giuridica. Per essere più chiari, l’art. 9 del decreto stabilisce che il trattamento, da parte delle PA, “è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti”. Laddove la finalità del trattamento non sia prevista da una norma di legge, “è indicata dall’amministrazione, dalla società a controllo pubblico in coerenza al compito svolto o al potere esercitato, assicurando adeguata pubblicità all’identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano”.
Proviamo a chiarire meglio e a sbrogliare questo tecnicismo. Fino ad oggi, per il trattamento dei dati personali da parte di un’amministrazione pubblica era necessario che vi fosse una legge che legittimasse tale trattamento; da domani, laddove il testo del decreto dovesse essere confermato senza modifiche, potrebbe non essere più così. Provo a riassumere quali sono gli aspetti che meritano attenzione in sede di conversione in legge.
Seconda stella a destra, questo è il cammino
È indiscutibile che la Pubblica amministrazione abbia bisogno di un alleggerimento burocratico, soprattutto per quanto riguarda l’analisi dei dati per finalità di ricerca e per finalità statistica (cui si applicano, però, anche norme ulteriori). Consentire l’incrocio delle diverse banche dati è un obiettivo cui dovrebbe tendere la PA nell’ottica di una maggiore efficienza. Dovremmo poi ricordarci che, istituzionalmente, la PA agisce nell’interesse dei cittadini (regola a cui sfuggono però le società a controllo pubblico, che, a parere di chi scrive, andrebbero escluse in sede di modifica legislativa). Partendo da queste premesse, ragioniamo però sui punti dolenti del decreto.
Tu vuo’ fa l’americano, ma sei nato in Italy
La norma ricalca un’analoga disposizione legislativa tedesca. Da comparatista, non posso non ricordare, innanzi tutto a me stesso, che l’imitazione giuridica deve tener conto non solo del dato formale (il testo della norma), ma anche di elementi extragiuridici, che incidono sulla selezione delle opzioni legislative.
Mamma mia, dammi cento lire
In materia di protezione dei dati personali, la PA italiana è davvero efficiente come quella tedesca? Da anni si lamenta un’endemica mancanza di risorse e l’assegnazione delle funzioni privacy, in seno alle amministrazioni, a soggetti privi delle competenze adeguate (a partire dal ruolo di Dpo, spesso assegnato a dipendenti che non hanno l’esperienza che pure sarebbe richiesta dal Gdpr). Un modello siffatto può funzionare con le amministrazioni centrali, che probabilmente possono sostenere investimenti adeguati. Il più grande Comune italiano, nel 2018, pubblicò un bando per l’assegnazione della funzione di Dpo. Qual era il compenso annuale? 15.000 euro, una cifra obiettivamente inadeguata per un incarico simile.
Ho visto un re, che re non è
In Germania, ogni Land ha la sua autorità per la protezione dei dati personali. In totale, ci sono più di 1.000 dipendenti. In Italia, sono circa 130. Davvero un numero così esiguo può controllare, ex post, la fondatezza delle determinazioni assunte dalle singole amministrazioni (e qui, come nel gioco dell’oca, tocca tornare al punto 3)?
Quando, in anticipo, sul tuo stupore
La circostanza che il Garante possa intervenire solo ex post è censurabile. È davvero efficiente un rimedio che intervenga quando il male si sta già propagando? Gli esempi dal recente passato sono numerosi. Pensiamo ai Comuni che distribuivano, anni fa, sacchetti trasparenti e identificati per mezzo di codici per la raccolta differenziata, consentendo così ai vicini di casa di sapere da quali patologie erano affetti gli altri condomini. Raramente la soluzione migliore è quella di chiudere i recinti quando i buoi sono già scappati.
Vengo dopo il tiggì
Non va sottovalutato un altro possibile effetto del controllo ex post. Il Garante potrebbe intervenire con provvedimenti di blocco (oltreché sanzionatori), vanificando gli investimenti compiuti dalle PA, laddove la valutazione dei rischi o della legittimità del trattamento fosse errata. Ancora una volta, uno scenario rischioso, che, evidentemente, non è stato opportunamente valutato.
Quanta fretta, ma dove corri?
Il decreto-legge non è forse lo strumento più adatto. Oramai se ne abusa, in tutti i settori, però davvero si fatica a comprendere quali siano le ragioni di urgenza che legittimerebbero un provvedimento legislativo che trova applicazione, e non avrebbe potuto essere altrimenti, ai soli dati personali cc.dd. ordinari e non anche alle particolari categorie di dati (meglio note come dati sensibili). Una novità legislativa, quindi, urgente, ma non connessa con l’emergenza pandemica. Quali sono, allora, le ragioni di urgenza sottese al provvedimento? A prescindere dalla risposta (qualche idea non è difficile averla), questa urgenza non può riguardare, indiscriminatamente, tutti i trattamenti di tutte le pubbliche amministrazioni. Si circoscriva allora il campo e, se l’obiettivo è quello di incidere in un determinato ambito, lo si faccia.
