di Vincenzo Tiani
L’ultimo decreto legge del governo, il cosiddetto dl Capienze, tanto atteso per regolare alcune materie pressanti come l’accesso alle attività culturali, sportive e ricreative, ha toccato anche aspetti di tutela dei dati personali andando a modificare il Codice privacy e i poteri del Garante.
Dall’inizio della pandemia governo e Garante privacy hanno sempre dovuto dialogare in modo serrato per trovare la quadratura giuridica che garantisse il giusto bilanciamento tra tutti gli interessi e diritti in gioco: quello alla salute, quello alla protezione dei dati, quello al lavoro, il tutto cercando di facilitare una gestione non eccessivamente gravosa per pubblico e privato.
Più poteri alla pubblica amministrazione
Forse complice la difficile gestione di questo delicato equilibrio, il governo ha varato con l’ultimo decreto alcune misure che lasciano ampio spazio alla pubblica amministrazione nel trattamento dei dati personali dei cittadini per motivi di interesse pubblico e l’esercizio dei pubblici poteri. Da precisare però che tali cambiamenti non saranno limitati al momento d’emergenza pandemica ma saranno definitivi.
Con l’articolo 9 del decreto infatti si stabilisce che “il trattamento dei dati personali da parte di un’amministrazione pubblica […], ivi comprese le Autorità indipendenti e le amministrazioni […], nonché da parte di una società a controllo pubblico […] o di un organismo di diritto pubblico, è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti. La finalità del trattamento, se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall’amministrazione, dalla società a controllo pubblico o dall’organismo di diritto pubblico in coerenza al compito svolto o al potere esercitato.”
Il Gdpr, il regolamento europeo sulla protezione dei dati personali, prescrive che i dati personali possano essere trattati solo nel rispetto di sei possibili condizioni, tra cui l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. Il decreto prescrive che questo è possibile non più solo per legge (con tutte le garanzie previste dalla nostra costituzione), come previsto dal regolamento europeo, ma in sua mancanza anche su indicazione stessa dell’amministrazione o della società a controllo pubblico.
In seguito alle modifiche introdotte, di cui è difficile ravvisare l’urgenza propria del decreto legge, qualsiasi pubblica amministrazione potrebbe anche decidere di comunicare o diffondere i dati dei cittadini se ritenuto, autonomamente, inerente agli interessi pubblici perseguiti (viste le modifiche all’articolo 2-ter del Codice privacy).
Garante privacy depotenziato
L’altra grande novità introdotta è che proprio con riguardo all’esecuzione di un compito di interesse pubblico, nei casi in cui si possano ravvisare rischi elevati per i diritti e le libertà fondamentali (per via di un trattamento automatizzato dei dati, inclusa la profilazione, sorveglianza sistematica su larga scala di una zona accessibile al pubblico), il decreto abroga il potere del Garante privacy di prescrivere misure e accorgimenti a garanzia del cittadino, che la pubblica amministrazione finora avrebbe dovuto adottare (previsto dall’articolo 2-quinquiesdecies del codice privacy, ora in via d’abrogazione).
Inoltre viene meno il potere del Garante di stabilire i requisiti minimi di sicurezza e protezione dei dati di traffico telefonico e della loro distruzione, una volta decorso il tempo previsto per gli usi a fine di indagine e repressione dei reati. Questo potrebbe garantire minor sicurezza a dati importanti come quelli delle nostre comunicazioni proprio nel momento più delicato della loro distruzione.
Inoltre il Garante avrà solamente 30 giorni dalla richiesta per fornire il suo parere su riforme, misure e progetti per l’attuazione del Piano nazionale di ripresa e resilienza (Pnrr), riforme che per loro natura e visto l’interesse spiccato verso la digitalizzazione del Paese, potrebbero essere molto complesse e difficilmente commentabili in un lasso di tempo così ridotto.
L’unica nota positiva riguarda l’articolo 10 che riconosce al Garante il ruolo di interlocutore per le vittime di revenge porn potendo intervenire d’urgenza, dopo segnalazione, per limitare la diffusione di materiale considerato privato.
*Aggiornamento di Lunedì 11 Ottobre 2021, ore 17:30
Il testo pubblicato in Gazzetta Ufficiale presenta delle modifiche rispetto alla bozza che circolava quando l’articolo è stato scritto.
Rispetto alla prima versione, il decreto esclude dalle pubbliche amministrazioni interessate le società a controllo pubblico non statale e, per le società pubbliche, i trattamenti di dati personali “correlati ad attività svolte in regime di libero mercato“.
Si è poi precisato che la finalità del trattamento è indicata dall’amministrazione “assicurando adeguata pubblicità all’identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano.” In realtà questa precisazione non era necessaria essendo già prevista dal GDPR.
…
Originariamente pubblicato su Wired Italia
Licenza Creative Commons Attribution, Non Commercial, Non Derivs 3.0
