Decreto capienze: diritti sacrificati in nome della semplificazione
Autori: Gabriele Ientile, Andrea Baldrati, Matteo Navacci
Il testo del Decreto Legge n. 139/2021 (c.d. Decreto Capienze), pubblicato in Gazzetta Ufficiale lo scorso 8 ottobre, ci suscita una forte preoccupazione. Quello che vorrebbe essere un tentativo di semplificazione ed efficientamento dei compiti della Pubblica Amministrazione (specie per l’attuazione del PNRR) rischia di svuotare di significato l’intera normativa in materia di protezione di dati personali e di compromettere la libertà e le garanzie dei cittadini.
Il decreto, sulla base di una asserita e non meglio precisata “straordinaria necessità e urgenza di introdurre disposizioni di semplificazione in materia di trattamento di dati personali”, abroga alcune rilevanti disposizioni del Codice Privacy (d.lgs. n. 196/2003).
Non vogliamo però limitarci a segnalare quelle che rappresentano le più gravi criticità emerse dalla lettura della norma. Cercheremo anche di immaginare scenari plausibili (e pericolosi) in applicazione del decreto, oltre ad una serie di contro-proposte che vanno nella direzione di aumentare il grado di competenze e sensibilità sul tema della protezione dei dati all’interno delle PA.
Ma andiamo per ordine, partendo dalle criticità.
1: Ampliamento arbitrario e indeterminato della base giuridica del pubblico interesse a favore delle PA.
La prima modifica introdotta riguarda l’art. 2-ter del Codice Privacy. Il nuovo comma 1-bis amplia la base giuridica (la condizione legale), in base alla quale le pubbliche amministrazioni possono legittimamente trattare dati personali.
L’art. 2-ter comma primo consente alle PA di trattare dati personali solo quando previsto da una norma di legge. Di contro, secondo il nuovo articolo 1-bis “il trattamento dei dati personali da parte di un’amministrazione pubblica […] è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti”.
Le due disposizioni mal si conciliano, specie se si considera che l’obbligo di trattare dati solo in forza di uno specifico atto di legge discende direttamente dal Regolamento UE 2016/679 (GDPR), che lo afferma a più riprese anche nei suoi Considerando.
In breve, stando al dettato del nuovo comma, laddove la PA interessata ritenga che il trattamento sia necessario per l’adempimento di un compito di interesse pubblico, potrà procedere anche in assenza di una specifica norma di legge. La finalità, dunque, potrà essere “indicata” dall’amministrazione stessa, escludendo qualsiasi processo legislativo.
Peraltro, una norma di legge o di regolamento può fondare la legittimità di uno o più trattamenti specifici basati sul pubblico interesse, ma non certamente una generalità di trattamenti del tutto indefiniti. Diversamente, la novella introduce una clausola aperta, affermando che il trattamento “è sempre consentito”. Su questo punto torneremo a breve.
In definitiva, sarà la stessa Pubblica Amministrazione, in assenza di un diverso appiglio normativo, a “modellare” a proprio piacimento il trattamento dei dati, definendo la finalità del trattamento sulla base del solo (e non meglio precisato) “pubblico interesse”.
Non è chiaro come questa disposizione possa conciliarsi con quanto previsto dall’art. 5.1, b), GDPR, che richiede che le finalità siano determinate, esplicite e legittime. Il perseguimento di un generico “pubblico interesse”, peraltro diversamente interpretabile a seconda della PA che lo applica, non è una finalità del trattamento determinata a priori, né tantomeno esplicitamente delineata.
Si tratta di un vero e proprio potere arbitrario, che concede all’amministrazione il potere di valutare i limiti e gli ambiti dei compiti assegnategli. Il rischio è che si possa creare un “pubblico interesse per tutte le stagioni”, prescindendo dall’esistenza di una norma di legge o di regolamento e, quindi, da tutti i meccanismi democratici che conducono all’emanazione di tali atti.
2: Estensione dell’ambito di circolazione dei dati personali e la comunicazione tra PA per finalità non compatibili.
Un’ulteriore modifica all’art. 2-ter riguarda la possibilità di comunicazione dei dati tra Pubbliche Amministrazioni. Per l’effetto di quanto sopra descritto, la comunicazione di dati diversi da quelli appartenenti a categorie particolari e giudiziari potrà avvenire, anche in assenza di una norma di legge, per la necessità di perseguire il citato pubblico interesse.
Questa disposizione dà spazio ad una potenziale circolazione indiscriminata di dati personali – uno scambio di informazioni svolto senza nessuna verifica (su questo ci soffermeremo dopo) o garanzia.
Tutto ciò solleva notevoli perplessità circa il rispetto dei diritti fondamentali degli interessati: come si potrà procedere ad informare adeguatamente i cittadini sulle operazioni di trattamento? Come si potrà garantire che, nel rispetto dell’art. 5.1, b) GDPR, eventuali trattamenti ulteriori dei dati personali siano trattati solo per finalità compatibili?
In assenza delle opportune modifiche (o della totale non conversione del decreto) si apre alla possibilità che i dati personali, una volta conferiti ad una PA, possano sfuggire totalmente al controllo dell’interessato. Queste informazioni, infatti, potrebbero essere utilizzate per altre finalità di “pubblico interesse” da parte non solo della PA che li ha raccolti ma anche da parte di un differente soggetto. Un’ipotesi certamente non compatibile con il GDPR.
3: Contrasto con il GDPR del nuovo articolo 2-ter (violazione della normativa comunitaria).
Quanto descritto è in palese contrasto con il disposto del GDPR.
L’art. 6.3 afferma che la base su cui si fonda il trattamento dei dati personali svolto nel pubblico interesse deve essere stabilita dal diritto dell’Unione o dal diritto dello Stato membro di appartenenza del titolare. Questa chiave di lettura è ribadita dal cons. 45, laddove si afferma che “Ė opportuno che il trattamento necessario per l’esecuzione di un pubblico interesse sia basato sul diritto dell’Unione Europea o di uno Stato membro”.
In nessun modo il GDPR ammette che la base del trattamento svolto nel pubblico interesse possa fondarsi in una norma generica e del tutto priva di caratteri di specificità. Anzi, sempre l’art. 6, al paragrafo 2, nel riconoscere il diritto degli Stati di intervenire con riferimento al trattamento dei dati per pubblico interesse, limita questa facoltà alle sole disposizioni “più specifiche”, che possano determinare con maggiore precisione requisiti specifici e misure per garantire un trattamento lecito e corretto.
Al contrario, il nuovo art. 2-ter – ignorando quando disposto dalla normativa comunitaria – ritiene che il trattamento dei dati personali sia “sempre” legittimo, anche qualora non sia basato sul diritto dell’Unione o dello Stato membro. Il decreto agisce quindi in modo completamente opposto rispetto a quanto previsto dal GDPR, introducendo disposizioni generiche e astratte che vorrebbero eliminare ogni requisito di specificità del trattamento di dati da parte della Pubblica Amministrazione.
È evidente che il Decreto Capienze sia stato emanato in violazione di una norma comunitaria che occupa un ruolo sovraordinato nella gerarchia delle fonti, secondo solo alla Costituzione. Anche qualora questa norma dovesse essere convertita in legge, ci troveremmo di fronte ad una norma non applicabile all’interno del nostro ordinamento.
4: Abrogazione del potere di controllo preventivo del Garante Privacy per i trattamenti a rischio elevato per l’esecuzione di un compito di interesse pubblico (art. 2 quinquiesdecies Codice Privacy)
Ulteriore modifica è quella relativa ai poteri dell’autorità Garante per la Protezione dei Dati Personali.
Il DL 139 abroga l’art. 2-quinquiesdecies del Codice Privacy, che conferiva al Garante il potere di prescrivere misure e accorgimenti a garanzia dell’interessato nell’ambito del trattamento di dati per l’esecuzione di un interesse pubblico. Si trattava di una norma di grande importanza, specie se si considera che, qualora il titolare avesse disatteso tali prescrizioni, avrebbe risposto penalmente di trattamento illecito di dati (art. 167 Cod. Privacy).
Oltretutto, questa norma era stata più volte utilizzata dal Garante per correggere errori, anche macroscopici, commessi dalle PA nell’esecuzione dei propri compiti. Ad esempio, ai sensi di questa norma è stato possibile fornire alcuni importanti chiarimenti sulle modalità del trattamento per quanto riguarda il “bonus vacanze”, come le specifiche modalità di utilizzo dell’App “IO”. Osservazioni certamente lungimiranti, se si considera che poco tempo dopo l’Autorità ha dovuto limitare pesantemente l’utilizzo della medesima app.
L’art. 2-quinquiesdecies era emanazione dell’art. 36.5 GDPR. Questa norma concede la facoltà agli Stati membri di conferire alle proprie Autorità poteri autorizzativi maggiormente incisivi e si atteggia a tutela ulteriore rispetto alla consultazione preventiva, di cui all’art. 36.1.
In altri termini, la disposizione abrogata estendeva i poteri di controllo del Garante anche ai trattamenti non sottoposti a DPIA o che, se sottoposti, presentavano un rischio elevato. Questa facoltà era stata data al Garante dal legislatore nel 2018, in occasione del coordinamento del Codice Privacy al GDPR. A distanza di soli due anni sembra però che il governo ci abbia ripensato.
L’Autorità sarà ancora dotata di altri rilevanti poteri, come quello di imporre limitazioni del trattamento (art. 82.2 f)) ma l’aspetto che lascia perplessi è la scelta di circoscriverne l’ambito. A causa dello scarso grado di competenze e risorse, la maggior parte della Pubblica Amministrazione non è in grado di applicare e rispettare la normativa per la protezione dei dati. Questa modifica non potrà che peggiorare la situazione, in un contesto in cui le misure proposte dal Garante erano spesso l’unico modo di garantire la liceità del trattamento di dati.
La fine dell’approccio “by design” nell’ambito pubblico: quali rischi per i diritti dei cittadini?
Le modifiche descritte potrebbero avere conseguenze molto pesanti sui diritti e le libertà degli interessati: trattamenti discriminatori, mancanza di trasparenza e perdita di controllo dei dati.
La moltiplicazione delle medesime informazioni in diversi database potrebbe anche condurre all’aumento dei dati breach. Per di più, i cittadini potrebbero vedersi coinvolti in violazioni di dati personali riguardanti Pubbliche Amministrazioni, senza essere a conoscenza che queste fossero in possesso dei loro dati.
Ancora, dati di assoluta rilevanza come quelli relativi alla propria situazione economica potrebbero essere utilizzati da ogni pubblica amministrazione senza che gli interessati abbiano alcuna possibilità di controllo concreto.
Questo contesto potrebbe portare anche alla circolazione di dati non accurati o errati (in violazione del principio di esattezza del dato, previsto dall’art. 5, 1, d) GDPR). Queste medesime informazioni potrebbero essere utilizzate per alimentare algoritmi o fondare decisioni automatizzate, le quali risulterebbero certamente inique, se non del tutto errate.
Il Decreto Capienze sembra la conferma di un trend che, nonostante l’introduzione del GDPR, è rimasto costante: la protezione dei dati personali sembra una noia burocratica da rimuovere.
Il quadro appena delineato rischia di esimere le PA da qualsiasi valutazione circa la correttezza dei trattamenti di dati personali e, quindi, sui diritti dei cittadini. In altri termini, si va verso una de-responsabilizzazione delle PA, che sarebbe in grado di gestire un interesse pubblico “fai da te” e verso l’abolizione sostanziale dell’obbligo di privacy by design.
Questa decisione, giustificata con la semplificazione dei processi, potrebbe portare a conseguenze ben peggiori sul lungo periodo.
L’Italia si sta preparando ad affrontare un piano di massicci interventi sul piano tecnologico grazie al PNRR, ma la rincorsa all’innovazione non può essere priva di limiti e condizioni. Attuare il Piano Nazionale di Ripresa e Resilienza in assenza delle doverose garanzie per i cittadini rischia di creare un’infrastruttura fallata fin dall’inizio. In questo modo il rischio è di trovarci tra 10 o 15 anni con un sistema pieno di buchi: ricorsi giurisdizionali, banche dati non accurate, e altre violazioni dei diritti fondamentali.
Privacy Network lo ripete da sempre: la protezione dei dati personali è un principio di democrazia. Non si tratta di burocrazia, ma della garanzia per i cittadini di un trattamento equo, sicuro e trasparente dei dati, da cui poi derivano decisioni politiche e amministrative che impattano direttamente sulla vita di ognuno di noi.
Da ultimo, segnaliamo di aver ricevuto già delle segnalazioni da parte di alcuni nostri associati: dal 12/10 alcune pubbliche amministrazioni (che trattano dati riconducibili a soggetti vulnerabili) hanno ricevuto richieste da altre PA per la condivisione dei propri database.
La condivisione dei dati indiscriminata, come abbiamo evidenziato, può produrre rischi significativi per tutti i cittadini interessati.
Le contro-proposte di Privacy Network
Non crediamo che la strada giusta sia quella della “semplificazione”, e siamo assolutamente contrari a questo approccio, che peraltro ci sembra anche in diretta violazione della normativa europea.
Per questo, chiediamo al legislatore di ripensare completamente questo approccio “semplificativo”, puntando invece a rinnovare e innovare i processi della pubblica amministrazione in modo tale che possano essere adeguati ad affrontare le sfide di un paese sempre più digitalizzato.
Per questo abbiamo formulato alcune brevi proposte che mirano a efficientare i processi della pubblica amministrazione, rafforzando la sicurezza, la riservatezza e la qualità dei dati personali.
Istituire un Gruppo di Lavoro dedicato alle PA all’interno del Garante Privacy,
come dipartimento permanente all’interno dell’Ufficio del Garante Privacy. La gestione dei dati personali prevede processi complessi e le Pubbliche Amministrazioni non possono essere abbandonate a sé stesse. Per questa ragione, invece di “semplificare” la normativa, rischiando di svuotarla di contenuto, proponiamo la costituzione di un gruppo con il compito di monitorare e offrire in tempi brevi risposte inerenti le problematiche e le nuove sfide che si pongono nel campo della pubblica amministrazione, che saranno sempre più pressanti anche con la diffusione dell’intelligenza artificiale e delle tecnologie IoT
Definire un compenso minimo per i DPO di enti pubblici,
che sia congruo rispetto ai compiti e alle responsabilità assunte. È innegabile che affidamenti di incarico o bandi a poche migliaia di euro allontanano le competenze e avvicinano profili “improvvisati” o “inesperti”, che non sono in grado di supportare e guidare l’attività della PA.
Vincolare una parte dei fondi del PNRR,
a favore degli enti locali, per la formazione specifica in materia di privacy (GDPR) e per l’erogazione di bandi di gara accurati e adeguati al contesto concreto, che prevedano l’affidamento di incarico da DPO e/o consulenza specifica a società o professionisti terzi e indipendenti per l’adeguamento e l’implementazione dei processi privacy. La Pubblica Amministrazione dovrebbe essere consapevole delle proprie necessità specifiche, diverse anche a seconda del settore, e avere i fondi necessari per erogare questi bandi in modo competitivo, così da attrarre persone fisiche o giuridiche esperte e affidabili del settore.
Ringraziamo tutto il dipartimento Legal di Privacy Network per la collaborazione nella redazione di questo articolo.
