22/09/2022 - Le novità in materia di trattamento dei dati personali introdotte dal Decreto Capienze
Cosa cambia per le Pubbliche amministrazioni
Negli ultimi anni la materia della protezione dei dati personali è stata oggetto di significativi interventi normativi.
Il Regolamento europeo per la protezione dei dati personali numero 679, adottato dal Parlamento e dal Consiglio europeo nel 2016[1] ed entrato definitivamente in vigore il 25 maggio del 2018, ha riscritto capitoli importanti della data protection regulation, pur conservando un impianto non dissimile dalla Direttiva del 1995.
A livello nazionale, a seguito dell’applicazione del Regolamento, è stato novellato il Codice della privacy[2] (d.lgs numero 196/2003) ad opera del decreto legislativo numero 101/2018[3].
Di recente, il Codice privacy è stato interessato da ulteriori modifiche per volontà del governo Draghi che all’unanimità ha approvato il decreto-legge 8 ottobre 2021, n. 139[4] poi convertito con la legge numero 205 del 2021 recante Disposizioni urgenti per l’accesso alle attività culturali, sportive e ricreative, nonche’ per l’organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali.
Si tratta di un intervento normativo rilevante per diversi aspetti, non ultimo la modifica della disciplina del trattamento dei dati personali, comuni e particolari, da parte delle realtà pubbliche.
Il novellato articolo 2 ter del Codice privacy stabilisce che il trattamento di dati personali da parte di un’amministrazione pubblica, ivi comprese le autorità indipendenti, le società a controllo pubblico e gli organismi di diritto pubblico, è consentito, oltre che nei casi previsti da una norma di legge o di regolamento, tutte le volte in cui l’amministrazione individui, mediante un atto amministrativo generale, le finalità del trattamento.
L’articolo 2 ter comma 1 bis, dunque, qualifica gli atti di amministrazione generale della pubblica amministrazione idonea base giuridica del trattamento dei dati personali degli interessati che, ad ogni modo, conservano i diritti di cui agli articoli 12 – 22 del Regolamento generale. In particolare, oltre a dover ricevere idonea informativa circa le modalità, i mezzi e la durata del trattamento conformemente a quanto richiesto dagli articoli 12 e 13 del Regolamento, nonché dall’articolo 13 del Codice, avranno diritto di accedere ai dati personali che li riguardano e di chiederne la rettifica, la cancellazione, la limitazione ovvero la portabilità.
Pertanto, alla luce della novellata disciplina, sarà la pubblica amministrazione ad individuare, tramite atti generali ed in coerenza con il compito ed il potere esercitato, il fine pubblico che legittima il trattamento dei dati personali dei cittadini senza che a tal fine sia necessaria una norma di rango primario. L’attività di trattamento sulla base delle finalità autonomamente individuate dalla Pubblica amministrazione non è limitata al trattamento in senso stretto, ma si estende alla possibilità di comunicare e diffondere tali dati alle altre realtà pubbliche.
Viene così eliminata la valutazione parlamentare democratica, mediante una legge, circa la proporzionalità e l’adeguatezza del trattamento dei dati rispetto alle prerogative degli interessati.
L’attività di trattamento delle pubbliche amministrazioni, dunque, non trova più solo una base “nel diritto”, ma anche in atti propri auto-prescrittivi.
La logica dell’ampliamento dei poteri delle pubbliche amministrazioni sottesa all’articolo 2 ter del Codice privacy è estesa anche all’articolo 2 sexies, che contempla l’ipotesi in cui i dati relativi alla salute pseudonomizzati (privi di elementi identificativi diretti) possano essere trattati, dal Ministero della salute, dall’Istituto superiore di sanita’, dall’Agenzia nazionale per i servizi sanitari regionali, dall’Agenzia italiana del farmaco, dall’Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della poverta’ e, relativamente ai propri assistiti, dalle regioni anche mediante l’interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, ivi incluso il Fascicolo sanitario elettronico (FSE). Tali attività di trattamento saranno regolate da apposito Decreto ministeriale della salute, previo parere del Garante, nel rispetto di quanto previsto dal Regolamento, dal Codice privacy, dal Codice dell’amministrazione digitale, e dalle linee guida dell’Agenzia per l’Italia digitale in materia di interoperabilità.
Le modifiche codicistiche sono di particolare rilevanza specie se calate nei casi concreti più recenti come le attività di tracciamento poste in essere dal Ministero della salute per contenere e contrastare l’emergenza epidemiologica da Covid-19 attraverso l’app. Immuni[5] ed il green-pass[6]. Ambedue i casi, infatti, essendo precedenti all’intervento normativo, hanno richiesto l’adozione di atti aventi forza di legge, che individuassero le finalità di tali attività di trattamento. Tali atti di legge sarebbero stati, alla luce delle recenti modifiche normative, superati da atti amministrativi dell’amministrazione titolare del trattamento dei dati personali.
L’allentamento delle rigide norme sull’utilizzo dei dati personali genererà i suoi effetti anche nell’ambito del trattamento posto in essere dall’Agenzia delle entrate e dalla Guardia di finanza per ragioni attinenti alla lotta all’evasione fiscale. Da questo punto di vista l’incrocio dei dati, in assenza di una norma di legge che lo consenta, rappresenta un potentissimo ed altrettanto pericoloso strumento.
Tali interventi vanno letti congiuntamente al progetto del Ministero per l’innovazione tecnologica e la transizione digitale di creare un cloud nazionale per le PP.AA[7]. L’obiettivo è inserire i dati detenuti da tutti gli enti pubblici in una nuvola informatica e renderli interoperabili. Dei veri e propri vasi comunicanti, da cui, tra l’altro, solo in extremis sono state eliminate le società in house a partecipazione non statale (vale a dire locale).
Attraverso questa condivisione dei dati si concretizza quella trasparenza asimmetrica da tempo rilevata da alcuni studiosi[8]. Vale a dire che diventa molto opaco l’utilizzo dei dati da parte di chi detiene il potere pubblico. È altresì alto il rischio di tradire il principio di finalità stabilito dal Regolamento, consentendo l’utilizzo di dati da parte di pubbliche amministrazioni per fini ulteriori e diversi rispetto a quelli per cui sono stati originariamente raccolti.
Tra le novità del decreto a firma Draghi rileva anche l’abrogazione dell’articolo 2 quinquidecies che, coerentemente con la logica sottesa all’introduzione del comma 1 bis dell’articolo 2 ter del Codice, esclude la possibilità di intervento dell’Autorità garante nei casi in cui il trattamento posto in essere per ragioni di interesse pubblico rappresenti un alto rischio per i diritti degli interessati. Prima dell’intervento normativo era rimessa al Garante la valutazione circa l’opportunità di adottare provvedimenti generali per prescrivere al titolare misure e accorgimenti a garanzia dell’interessato.
La consultazione preventiva è stata di recente richiesta in materia di app IO[9], il cui funzionamento è stato inizialmente bloccato dal Garante per le opportune verifiche in materia di protezione dei dati e tutela della privacy.
Il decreto numero 139/2021 è inoltre intervenuto in merito all’obbligo di consultazione preventiva sancito dall’articolo 36 comma 4 del Regolamento ove si afferma che Gli Stati membri consultano l’autorità di controllo durante l’elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento.
Il nuovo comma 5 bis dell’articolo 154 del Codice riduce drasticamente il potere d’intervento dell’Autorità alle sole ipotesi in cui la legge o il Regolamento in corso di adozione disciplina espressamente le modalità del trattamento descrivendo una o più operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione, nonché nei casi in cui la norma di legge o di Regolamento autorizza espressamente un trattamento di dati personali da parte di soggetti privati senza rinviare la disciplina delle modalità del trattamento a fonti sottoordinate.
Inoltre, quando il Presidente del Consiglio dei ministri dichiara che ragioni di urgenza non consentono la consultazione preventiva e comunque nei casi di adozione di decreti-legge, il parere del garante dovrà essere espresso in sede di esame definitivo in caso di decreti legislativi ed in sede di esame parlamentare con riferimento ai disegni di legge o alle leggi di conversione.
Con riferimento alla consultazione del Garante in merito al PNRR, attraverso un intervento extra codicistico, il decreto capienze stabilisce che i pareri dell’Autorità, normalmente espressi entro quarantacinque giorni a norma dell’articolo 154 comma 5 del Codice, dovranno essere resi entro trenta giorni dal ricevimento della richiesta di parere. Una volta decorso il termine, il governo potrà procedere anche in assenza dell’acquisizione del parere dell’Autorità.
In linea con gli interventi di cui sopra, dal punto di vista dei criteri di applicazione delle sanzioni amministrative e pecuniarie e del procedimento per l’adozione di provvedimenti correttivi e sanzionatori, la novellata disposizione di cui al comma 5 dell’articolo 166 del Codice prevede che nei confronti dei titolari del trattamento di cui agli articoli 2-ter, comma 1-bis, e 58 del presente Codice e all’articolo 1, comma 1, del decreto legislativo 18 maggio 2018, n. 51, la notifica dell’atto di avvio del procedimento per l’adozione dei provvedimenti e delle sanzioni puo’ essere omessa esclusivamente nel caso in cui il Garante abbia accertato che le presunte violazioni hanno gia’ arrecato e continuano ad arrecare un effettivo, concreto, attuale e rilevante pregiudizio ai soggetti interessati al trattamento, che il Garante ha l’obbligo di individuare e indicare nel provvedimento, motivando puntualmente le ragioni dell’omessa notifica. In assenza di tali presupposti, il giudice competente accerta l’inefficacia del provvedimento.
Dalle novità normative appena descritte appare evidente la valutazione dell’esecutivo circa la prevalenza dell’interesse generale ad un’attività amministrativa più flessibile e spedita rispetto ad un controllo dell’attività pubblica più capillare e garantista da parte dell’Autorità indipendente preposta alla tutela di un diritto fondamentale, quale il diritto alla protezione dei dati personali.
La corsia preferenziale riservata dall’esecutivo alle pubbliche amministrazioni risponde all’evidente necessità di sbloccare il patrimonio informativo ed auto-informativo in loro possesso e di mettere a fattor comune dati in possesso di diversi soggetti pubblici.
Tuttavia, secondo i primi commentatori della riforma, il soluzionismo tecnologico ha bisogno di un limite e tale limite dovrebbe essere rappresentato proprio da fonti democratiche, in assenza delle quali gli effetti collaterali potrebbero essere devastanti ed il trade off eccessivamente squilibrato ed a detrimento dei diritti dei cittadini.
Inoltre, a ben vedere, seppur è vero che si tratti di scelte di carattere politico che avvengono entro i limiti di discrezionalità che il Regolamento ha rimesso alle autorità nazionali, tale disciplina, se posta all’attenzione della Corte europea, potrebbe essere esposta a censure in quanto in contrasto con la normativa comunitaria del Regolamento[10].
Invero, per alcuni versi, il novellato Codice sembra tradire la volontà del legislatore europeo, che con il Regolamento generale non ha voluto solo porre un argine al potere delle big tech ma altresì assicurare la tutela di un diritto fondamentale, quale quello al trattamento dei dati personali, contro gli abusi e l’invasività dello Stato, che, tra l’altro, diversamente dalle realtà private, conserva un ampio e legittimo potere di coercizione nei confronti del cittadino.
A fronte di tali cambiamenti l’Europa, nelle istituzioni del European Data Protection Board e del European Data Protection Supervisor, propone l’attribuzione alle Autorità per la protezione dei dati personali di specifici ed ampi poteri in materia di intelligenza artificiale[11].
La sensazione è che la scelta dell’esecutivo di privare l’autorità nazionale di poteri d’intervento e di ampliare l’autonomia delle pubbliche amministrazioni sia contro tendenza ed inconsapevole delle ricadute pratiche delle modifiche codicistiche illustrate.
Le novità in materia di Revenge porn
Di tutt’altra matrice risulta l’attribuzione ad opera del decreto 139/2021 di competenze al Garante in materia di revenge porn ai sensi dell’articolo 144 bis del Codice privacy.
Il revenge porn consiste nella diffusione di immagini pornografiche o sessualmente esplicite, senza il consenso dell’interessato, a scopo vendicativo o denigratorio della persona cui si riferiscono.
Alla luce della nuova disciplina l’intervento del Garante può essere richiesto, attraverso un apposito modulo disponibile online, dall’interessato, ivi inclusi minori ultraquattordicenni e dall’esercente la responsabilità genitoriale, che abbiano fondato motivo di ritenere che registrazioni audio, video, foto a contenuto sessualmente esplicito, destinati a rimanere privati, possano essere oggetto di invio, consegna, cessione, pubblicazione o diffusione attraverso piattaforme digitali. Si tratta di attività di trattamento prive della base giuridica del consenso dell’interessato o in merito alle quali l’interessato ha revocato il consenso inizialmente espresso.
L’Autorità, una volta ricevuti i contenuti a sfondo sessuale, è tenuta, entro quarantotto ore, ad adottare un provvedimento d’urgenza al fine di inibire, in via preventiva, ai gestori delle piattaforme social segnalate la pubblicazione e la diffusione di tali immagini.
La necessità di fornire una tutela preventiva ed immediata alle potenziali vittime del revenge porn ha imposto una modifica del Regolamento interno del Garante numero 1 del 2019[12].
Il provvedimento in materia di revenge porn non segue le ordinarie logiche procedurali, che richiederebbero l’adozione formale del provvedimento da parte dell’organo di vertice, ma viene adottato dal dirigente dell’unità organizzativa competente e, trasmesso, entro quarantotto ore, ai gestori delle piattaforme digitali. Il fine è evitare la pubblicazione online del materiale pregiudizievole, verosimilmente ad eterna memoria della rete.
È possibile che il provvedimento venga adottato dopo il termine di quarantotto ore solo laddove sussista l’esigenza di acquisire un’integrazione delle informazioni fornite dal segnalante ai fini della predetta verifica. In seguito, il provvedimento è sottoposto a ratifica nella prima adunanza utile del Garante. In assenza di tale adempimento il provvedimento decade.
Al fine di ricevere tempestivamente il provvedimento d’urgenza, i fornitori di servizi di condivisione di contenuti audiovisivi, ovunque stabiliti, che erogano servizi accessibili in Italia, sono tenuti ad indicare, senza ritardo, al Garante o, in alternativa, a pubblicare nel proprio sito internet un recapito dedicato.
Nel corso del 2022 il Garante ha già adottato diversi provvedimenti d’urgenza con cui ha ingiunto alle principali piattaforme social (Facebook, Instagram e Google) di mettere in campo, immediatamente, tutte le misure necessarie ad impedire la diffusione nelle relative piattaforme del materiale (video, foto) segnalato di cui si temeva la messa online[13].
Modifiche all’articolo 170 del Codice Privacy
Di tutt’altro tipo sono invece le novità che riguardano l’articolo 170 del Codice Privacy, che disciplina il regime sanzionatorio in caso di inottemperanza dei provvedimenti adottati dal Garante Privacy ai sensi dell’articolo 58 comma 2 lettera f del Regolamento, nonché dall’articolo 2 septies del Codice.
Il testo originario dell’articolo 170 prevedeva che Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 58, paragrafo 2, lettera f) del Regolamento, dell’articolo 2-septies, comma 1, nonchè i provvedimenti generali di cui all’articolo 21, comma 1, del decreto legislativo di attuazione dell’articolo 13 della legge 25 ottobre 2017, n. 163, sia punito con la reclusione da tre mesi a due anni.
La modifica, invece, stabilisce che l’illecito non sia più perseguibile d’ufficio ma a querela della persona offesa, che dovrà, tra l’altro, dare prova di aver subito un concreto nocumento.
Un emendamento di portata notevole se si considera che il diritto di presentare querela decade dopo tre mesi. Inoltre, la specifica per cui l’inosservanza del provvedimento è punibile se arreca un danno concreto a uno o più soggetti interessati, sembra aver trasformato l’illecito da un reato di pericolo a un reato di danno. In altri termini, un reato in cui l’offesa deve concretizzarsi in una lesione effettiva, la cui prova richiede di determinare la tipologia di danno, il quantum, ed il nesso causale tra il fatto (trattamento illecito di dati) e l’evento dannoso.
[1] Regolamento (UE) generale sulla protezione dei dati personali 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016. Consultabile online: https://www.garanteprivacy.it/documents/10160/0/Regolamento+UE+2016+679.+Arricchito+con+riferimenti+ai+Considerando+Aggiornato+alle+rettifiche+pubblicate+sulla+Gazzetta+Ufficiale++dell%27Unione+europea+127+del+23+maggio+2018
[2] Decreto legislativo 30 giugno 2003, n.196 recante il “Codice in materia di protezione dei dati personali”. Consultabile online: https://www.garanteprivacy.it/documents/10160/0/Codice+in+materia+di+protezione+dei+dati+personali+%28Testo+coordinato%29
[3]Decreto legislativo 10 agosto 2018, n. 101. Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati). Consultabile online: https://www.gazzettaufficiale.it/eli/id/2018/09/04/18G00129/sg
[4] Testo del decreto-legge 8 ottobre 2021, n. 139 (pubblicato nella Gazzetta Ufficiale 8 ottobre 2021, n. 241), coordinato con la legge di conversione 3 dicembre 2021, n. 205. (GU Serie Generale n.291 del 07-12-2021). Consultabile online: https://www.gazzettaufficiale.it/eli/id/2021/12/07/21A07259/sg
[5]Comunicato stampa del Garante privacy, App “Immuni”: via libera del Garante privacy. 1 giugno 2020
Doc-Web 9356588. Consultabile online: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9356588
[6] A tal proposito si segnalano l provvedimento di avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per COvid-19 prevista dal d.l. 22 aprile 2021, n. 52 -adottato dal Garante il 23 aprile 2021 [doc. web n. 9578184], nonchè il provvedimento di avvertimento alla regione Campania in merito all’uso delle certificazioni verdi Covid-19 – del 25 maggio 2021 [doc.web.9590466]. Consultabili online: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9578184; https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9590466
[7] Comunicato del Ministero per l’innovazione tecnologica e la transizione digitale. Polo Strategico Nazionale, L’infrastruttura per garantire la sicurezza e l’autonomia tecnologica sugli asset strategici per il Paese, https://innovazione.gov.it/dipartimento/focus/polo-strategico-nazionale/
[8] Navacci M, Decreto Capienze, niente privacy siamo PA: ecco perché il nuovo testo spaventa gli esperti. 22 novembre 2021. Consultabile online: https://www.agendadigitale.eu/sicurezza/privacy/decreto-capienze-niente-privacy-siamo-pa-ecco-perche-il-nuovo-testo-spaventa-gli-esperti/#:~:text=In%20questi%20giorni%20il%20Parlamento,da%20parte%20della%20Pubblica%20Amministrazione.
Borghi G., Conversione Decreto capienze in G.U. luci e ombre in ambito privacy. 9 dicembre 2021. Consultabile online https://www.altalex.com/documents/2021/12/09/conversione-decreto-capienze-in-g-u-luci-e-ombre-in-ambito-privacy
[9] Provvedimento correttivo nei confronti di PagoPA sul funzionamento dell’App IO – 9 giugno 2021 [9668051] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9668051. Si vedano anche i provvedimenti Provvedimento del 16 giugno 2021 [9670061] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9670061. Provvedimento recante garanzie per l’utilizzo dell’App IO per recuperare le certificazioni verdi Covid-19 – 17 giugno 2021 [9670670] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9670670
[10] Si fa riferimento, ex multis, al considerando 47 del Regolamento che, con riferimento al legittimo interesse, recita “posto che spetta al legislatore prevedere per legge la base giuridica che autorizza le autorità pubbliche a trattare i dati personali.”
[11] Proposta di Regolamento del Parlamento e del Consiglio che stabilisce regole armonizzate sull’Intelligenza Artificiale COM/2021/206 final. Consultabile online: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:52021PC0206&from=IT
[12] Deliberazione del 4 aprile 2019 – Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali [9107633]. Consultabile online: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9107633
[13]Provvedimento del 28 aprile 2022 [9775414]. Consultabile online:https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9775414; Provvedimento del 28 aprile 2022 [9775327]. Consultabile online: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9775327. Si vedano anche i doc. web n. 9775401, 9775948, 9775932]