Il decreto legge 8 ottobre 2021 n. 139, cd. “decreto capienze”, reca delle modifiche in materia di privacy. Subito diversi esperti e riviste specializzate hanno gridato al “colpo di Stato”, ma cosa comporta la modifica, soprattutto in riferimento a quanto fatto fino ad oggi?
L’art. 9 del dl introduce il comma 1-bis all’art. 2-ter del “decreto privacy”, che ora recita:
1-bis. Il trattamento dei dati personali da parte di un’amministrazione pubblica…, … è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti. La finalità del trattamento, se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, e’ indicata dall’amministrazione,
E allora? Cosa cambia? Ad onor del vero, dobbiamo subito dire che tale testo è molto simile al testo dell’art. 18 co. 2 del d.lgs. 196/2013 che è stato in vigore dal 2004 al 2018, e che recitava:
Qualunque trattamento di dati personali da parte di soggetti pubblici e’ consentito soltanto per lo svolgimento delle funzioni istituzionali
L’articolo è stato poi abrogato dal d.lgs. 10 agosto 2018, n 101, che ha adeguato la normativa italiana a quella europea. Ma perchè nel 2018 è stato cambiato?
Sicuramente c’è stata in questi anni un’accresciuta sensibilità, soprattutto nel mondo e in Europa, riguardo ai temi della privacy, ed in particolare ai trattamenti effettuati da soggetti pubblici, dagli Stati, e in tema di sorveglianza di massa. Inoltre in questi anni la giurisprudenza, soprattutto di matrice europea, ha sottolineato che una pubblica amministrazione non può trasmettere dati personali a un’altra amministrazione pubblica, a fini di trattamento, senza che le persone interessate siano state informate né di tale trasmissione né del successivo trattamento. (cfr https://iusmanagement.org/2015/10/02/le-amministrazioni-pubbliche-non-possono-trasmettere-i-dati-personali-sulla-base-di-un-semplice-accordo-senza-informare-gli-interessati/)
Questo è stato un cambiamento radicale rispetto al nostro ordinamento giuridico. Si è mutato totalmente indirizzo: non ogni trattamento per “svoglimento di funzioni istituzionali” è legittimo, quindi la pubblica amministrazione non ha “carta bianca”.
Anche il Regolamento dell’Unione Europea (p.s.: non si è emanata una Direttiva, ma un Regolamento, che ha una natura molto più cogente per i singoli Stati) ha recepito tali preoccupazioni, stabilendo all’art. 6 che “1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: ….e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”
Ma come, direte voi, è praticamente il testo che è stato approvato con il decreto legge “capienze”! Sì, anche se c’è una piccola precisazione.
Il Considerando n. 45 (cioè quella serie di premesse al testo del regolamento europeo) precisa che “È opportuno che il trattamento effettuato in conformità a un obbligo legale al quale il titolare del trattamento è soggetto o necessario per l’esecuzione di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri sia basato sul diritto dell’Unione o di uno Stato membro. Il presente regolamento non impone che vi sia un atto legislativo specifico per ogni singolo trattamento. Un atto legislativo può essere sufficiente come base per più trattamenti”. Quindi il regolamento europeo auspica, ma non impone, che la base giuridica sia una legge.
Ecco perchè con il d.lgs. n. 101/2018, è stato stabilito (art. 2-sexies d.lgs. 196/2003) che:
I trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge,di regolamento ….. …… si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie:
Qui il legislatore ha previsto un elenco molto lungo di materie.
Quindi, riassumendo, una PA può trattare i nostri dati legittimamente e facendo a meno del nostro consenso:
- se è previsto da un obbligo di legge
- se il trattamento rientra in una di quelle materie nell’elenco di cui sopra (che è appunto all’interno di un atto avente forza di legge come il decreto legislativo)
Facciamo degli esempi: le farmacie trasmettono ogni mese al Ministero delle Finanze i dati su tutti i farmaci distribuiti il mese precedente, e il Ministero mette a disposizione dell’ASL tutti questi dati. E’ legittimo? Si, perchè vi è una legge che regolamenta tutto ciò e quindi è legittimo.
Potrebbe l’ASL dare i dati a qualcun altro? Qui è il punto dolens!
Per esempio, non è infrequente che la polizia giudiziaria faccia la richiesta a un’ASL di avere l’elenco degli acquisti di farmaci o erogazioni di prestazioni sanitarie relativi ad un soggetto. Perchè? Perchè questi dati sono necessariamente geolocalizzati (cioè, se compro farmaci in una determinata farmacia probabilmente sono lì, a quell’ora e quella data, così se faccio un prelievo in un ambulatorio medico) e spesso si ha la necessità di ricostruire gli spostamenti di un soggetto indagato. Tutto ciò è legittimo? Sì, perchè sugli atti di indagine vi è il giudizio del Giudice per le indagini preliminari, e perchè non si tratta di dati massivi, ma di dati specifici richiesti per motivi di ordine giudiziario (che quindi rientra tra quelli previsti dalla legge o elencati dal decreto legislativo).
E se l’ASL volesse trasmettere i dati a qualche altro soggetto, la cui trasmissione non sia prevista da una norma specifica di legge?
Fino a ieri il decreto sulla privacy prevedeva (art. 2-ter, secondo comma, secondo periodo) che in assenza di tale base giuridica (la legge) la pubblica amministrazione potesse effettuare il trattamento (e quindi anche la trasmissione) purché:
– la comunicazione sia necessaria allo svolgimento di funzioni istituzionali;
– sia stata data comunicazione al Garante e siano trascorsi dalla comunicazione 45 giorni.
Oggi, invece, con la modifica introdotto dal decreto “capienze”, la finalità del trattamento, se non è espressamente prevista da una norma di legge, e’ indicata dall’amministrazione e non c’è bisogno della comunicazione al Garante. La pubblica amministrazione può dichiarare che quella trasmissione rientra nelle finalità di pubblico interesse indicate da una norma di legge o in materia indicate nel decreto privacy. Come corollario, è abrogato l’articolo 2-quinquiesdecies che stabilisce che con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati … il Garante puo’ prescrivere misure e accorgimenti a garanzia dell’interessato.
Indubbiamente è insito in ciò un pericolo, cioè che ogni amministrazione arbitrariamente indichi di pubblico interesse trasferimenti di dati fatti per motivi che prescindono tale pubblico interesse. O comunque che sia fatto senza le necessarie garanzie di riservatezza, imparzialità, e altro. Per esempio i dati sanitari sono il “nuovo oro” delle aziende private che operano in tale settore, perchè capire subito quali malattie si stanno sviluppando, quale farmaco può essere più redditizio, riuscire a sviluppare un vaccino prima di altri, può significare guadagni milionari se non miliardari. E’ per questo che, più che in passato, alle ASL saranno sicuramente richiesti la trasmissione dei dati dei propri assistiti, soprattutto per finalità di ricerca, ma con il rischio di costituire delle banche dati fuori da ogni controllo.
Ma perchè è stata fatta questa norma? Secondo la Relazione illustrativa al decreto legge “nell’ottica di semplificare il quadro e valorizzare le attività e i compiti di interesse pubblico svolti dalle pubbliche amministrazioni …, oltre che nell’adozione e attuazione delle riforme e misure previste dal PNRR”
Quindi gli obiettivi sono: semplificazione e attuazione PNRR. Già, perchè una veloce attuazione e monitoraggio del PNRR potrebbe richiedere trattamenti dati ulteriori rispetto a quelli oggi vigenti.
Delle restrizioni dell’attività amministrativa dovute a motivi di privacy recentemente si era lamentato il Direttore dell’Agenzia delle Entrate (“Grazie alla tecnologia i dati per combatterla ci sono, ma non possiamo usarli”), anche se era stato smentito in ciò dal Garante (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9701894) che aveva sostenuto invece: “l’Agenzia delle Entrate può effettuare analisi e incrociare anche i dati finanziari dei contribuenti con i miliardi di informazioni di cui ha disponibilità: conti correnti, spese scolastiche, mutui, assicurazioni, interventi edilizi, collaboratori domestici, locazioni, utenze, spese per i viaggi, mezzi di trasporto, e tante altre che comporterebbe ben altro spazio per essere dettagliati. Sull’uso di questi dati, proprio in ragione dell’interesse generale, non c’è mai stata alcuna obiezione da parte del Garante.”
E sicuramente aveva fatto scalpore la decisione del Garante sulla vicenda dell’INPS e dei controlli in materia di reddito di cittadinanza. In quell’occasione, era emerso che alcuni parlamentari avessero chiesto il reddito di cittadinanza, sfruttando l’ambiguità della norma stessa. Il Garante, con mia grande sorpresa, non ha solo stigmatizzato la fuoriuscita di notizie, ma anche il trattamento effettuato dall’INPS, che ha elaborato i dati personali dei deputati e degli amministratori regionali e locali acquisiti presso le banche dati esterne disponibili a tutti (c.d. opendata), e li ha raffrontati con i dati dei richiedenti il reddito di cittadinanza, pur non essendo autorizzata a farlo.
Ma cosa può accadere oggi? Ogni pubblica amministrazione può qualificare come di pubblico interesse la trasmissione di dati a soggetti terzi.
Secondo me i rischi più elevati sono:
- che la trasmissione sia fatta attraverso protocolli o modalità non sicure, che possano comportare la perdita o l’alterazione dei dati;
- che sia fatta in modalità massiva.
Dal primo rischio originerebbe la perdita di dati o la generazione di dati errati (sbagliati accertamenti fiscali, erronee indagini penali), ma il secondo è più pericoloso.
Immaginate che un’autorità possa chiedere a tutte le pubbliche amministrazioni i dati per costituire una banca dati centralizzata. Saremmo molto vicino alla sorveglianza di massa.
Qualcuno potrebbe obiettare: ma perchè tanta diffidenza, se non si ha nulla da nascondere?
Tutte le norme a difesa dei diritti dell’individuo, e in particolare il diritto alla privacy, sono sorte perchè vi è una sproporzione di mezzi e forze tra lo Stato e l’individuo, per cui è necessario limitare e condizionare l’uso di tali poteri da parte dello Stato per garantire imparzialità e rispetto dei diritti.
Infatti, immaginate di essere accusati di un reato mai commesso: sareste costretti a incaricare un avvocato per vedere riconosciuta la vostra innocenza, con tutti i costi e le sofferenze che ne derivano.
Sicuramente, quindi, ci troviamo di fronte ad un arretramento rispetto al recente passato (post 2018) e un ritorno alla normativa, più blanda, di qualche anno fa (pre 2018).
Sono convinto che la norma sarà cambiata in sede di conversione del decreto legge, per apportare qualche correttivo ed evitare l’arbitrio più assoluto (p.es.: prevedere l’intervento del Garante ex post, oppure una comunicazione al Garante senza dover attendere il termine dilatorio di 45 giorni, ecc…).