- Sin dall’inizio della pandemia alcuni hanno reputato che la privacy fosse un inutile intralcio nel contrasto al virus, e che servisse superarla, contenendo altresì i poteri del Garante. Il decreto Capienze interviene in questo senso.
- Non serve più una legge o un regolamento per autorizzare un trattamento di dati personali da parte di un’amministrazione, la comunicazione di tali dati da un’amministrazione all’altra o anche a soggetti diversi: è sufficiente una decisione discrezionale di chi esercita compiti di interesse pubblico o pubblici poteri.
- Il decreto Capienze, inoltre, elimina il potere del Garante Privacy di prescrivere misure vincolanti in caso di trattamenti con rischi elevati per i diritti e le libertà, nonché di stabilire i requisiti minimi di sicurezza e protezione dei dati di traffico telefonico trattati per fini di accertamento e repressione dei reati.
Sin dall’inizio della pandemia, la privacy è stata talora reputata un ostacolo nell’azione di contrasto al virus. Si rammentano, ad esempio, le richieste di soluzioni di tracciamento poco rispettose di principi normativi, indicati come un inutile intralcio nel contenimento dei contagi.
Il Garante della privacy, intervenuto più volte per ribadire i paletti in materia di trattamento dei dati personali, ha costituito un presidio al loro superamento. Si possono ancora ricordare i pareri dell’Autorità circa il rispetto della riservatezza relativamente allo stato vaccinale del lavoratore ovvero riguardo all’utilizzo della app IO per il “green pass”. Tali interventi del Garante sono stati vissuti con una sorta di fastidio da parte di chi ha reputato che la privacy fosse una “fisima” e si dovesse, quindi, badare solo ai fini perseguiti, potendosi considerare giustificato qualunque mezzo, data la pandemia.
Questo è il terreno su cui è maturata la scelta del governo di modificare la normativa in tema di trattamento dei dati personali, riducendo le tutele previste dalla legge e limitando i poteri del Garante stesso, con il cosiddetto decreto Capienze.
Meno privacy per tutti
Prima di esporre le novità del nuovo decreto è necessario richiamare alcuni elementi della normativa in materia di privacy. Il regolamento europeo sulla protezione dei dati personali (Gdpr) stabilisce che ogni trattamento di tali dati deve trovare fondamento in una base giuridica, che autorizza legalmente il trattamento stesso.
Il Gdpr indica sei possibili basi: una di queste è l’interesse pubblico o l’esercizio di pubblici poteri, e ricorre in particolare per il trattamento di dati da parte delle autorità pubbliche nello svolgimento dei propri compiti. La norma del Gdpr dà la facoltà ai legislatori nazionali di determinare «con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto».
Questa facoltà era stata esercitata dal legislatore italiano, il quale aveva disposto che il trattamento di dati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri fosse lecito ove previsto «esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento». Il decreto Capienze interviene proprio su tale norma, abrogandola.
Di conseguenza, ora non serve più una legge o un regolamento che autorizzi un trattamento di dati personali: è sufficiente la decisione discrezionale di una pubblica amministrazione. Infatti, qualunque trattamento ormai «è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri». In altre parole, ogni ente può decidere autonomamente quale uso fare dei dati dei cittadini, se reputa che tale uso sia necessario per i compiti istituzionalmente svolti e, quindi, per gli interessi pubblici perseguiti.
La norma dell’ultimo decreto-legge precisa che va assicurata «adeguata pubblicità all’identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano». Ma tali precisazioni non attenuano la gravità dell’abrogazione della norma, e peraltro rappresentano la mera ripetizione di quanto già previsto dal Gdpr.
Ai sensi del nuovo decreto, inoltre, anche in mancanza di una legge o di un regolamento, è pure consentita la comunicazione di dati tra le amministrazioni, esclusi i dati particolari (“sensibili”) e giudiziari, se effettuata per l'adempimento di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri.
E non basta. Anche la comunicazione e la diffusione di dati dei cittadini da parte delle amministrazioni verso altri soggetti non richiede più l’autorizzazione di una legge o di un regolamento oppure un’istanza al Garante: basta una decisione discrezionale delle amministrazioni stesse, e i dati possono essere diffusi.
Insomma, il decreto Capienze introduce una sorta di “liberi tutti” nella trasmissione e nella conseguente conoscenza dei dati delle persone, e ciò si risolve in una pervasività sproporzionata nella sfera individuale. Ma la proporzionalità è uno dei principi cardine della normativa privacy, così come dell’ordinamento in generale per qualunque misura limitativa di libertà e diritti.
Se si fosse voluto rendere più fluida la trasmissione di dati fra soggetti pubblici, e in taluni casi anche verso altri soggetti, la legge avrebbe potuto delegare a fonti di rango inferiore – più flessibili – la previsione di fini, limiti e modalità.
Limiti ai poteri del Garante
Il decreto Capienze abroga la norma ai sensi della quale l’Autorità garante aveva il potere di prescrivere misure e accorgimenti vincolanti a garanzia dei dati personali in caso di trattamenti con rischi elevati per i diritti e le libertà (com’è stato, ad esempio per la fatturazione elettronica). Viene anche meno il potere del Garante di stabilire i requisiti minimi di sicurezza e protezione dei dati di traffico telefonico trattati per finalità di accertamento e repressione dei reati, nonché di indicare le modalità tecniche per la distruzione di tali dati, una volta decorso il tempo previsto. Insomma, vengono cancellate importanti garanzie a tutela della libertà. Infine, si limita a 30 giorni il termine entro cui il Garante dovrà esprimere i propri pareri riguardo al Piano nazionale di ripresa e resilienza, al Piano nazionale per gli investimenti complementari e al Piano nazionale integrato per l’energia e il clima 2030, decorso il quale si maturerà un silenzio-assenso e l'amministrazione potrà procedere.
L’unica nota positiva del decreto è l’inserimento di una norma in tema di revenge porn nel Codice della protezione dei dati personali, permettendo ai minori ultraquattordicenni di rivolgersi direttamente al Garante nel caso siano vittime di tali illeciti. Nel marzo 2020, l’allora Garante, Antonello Soro, disse che non era «momento di improvvisazioni né di espressioni infelici come chi dice “io della privacy me ne frego”. La privacy è diritto alla libertà». Se non era momento allora, a maggior ragione non lo è oggi. Eppure oggi i cittadini hanno un po’ di privacy in meno, tra maggiore discrezionalità delle amministrazioni e minori poteri del Garante.
© Riproduzione riservata