Il Dl. 8 ottobre 2021, n. 139, contiene disposizioni urgenti “per l’accesso alle attività culturali, sportive e ricreative, nonché per l’organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali”. Un “Decreto Aperture”, com’è stato ribattezzato[1]. In realtà, esso contiene interventi mirati per un po’ di tutto: dal “Green Pass” obbligatorio sul posto di lavoro all’esame abilitativo per la professione di avvocato, dalle aperture dei cinema e teatri al potenziamento dell’ufficio per il referendum presso la Corte di Cassazione, dal contrasto al “revenge porn” al trattamento dei dati personali nelle Pubbliche Amministrazioni.
Un Decreto-legge, l’ennesimo di questo periodo pandemico, che prova a tamponare piccole o grandi situazioni emergenziali senza una riforma complessiva del sistema. Certo, per questo c’è il “Pnrr”, che rappresenta il progetto per l’Italia di domani. Appare curiosa, ma non casuale, la scelta del legislatore governativo di inserire proprio nel Dl. n. 139/2021, nell’ultimo comma dell’art. 9, una disposizione semplice e cruciale al contempo. Come noto, infatti, il “Pnrr”ha a che fare con una serie di interventi strutturali al sistema-Paese, traghettandolo nell’era digitale (finalmente); purtroppo, ciò non si potrebbe realizzare a pieno senza la creazione di banche dati gigantesche, App sempre più diffuse (e controllate dal Governo), oppure in presenza di freni inibitori di enti, Autorità varie e burocrazia. La parola d’ordine è semplificare, nonostante la mole impressionante di dati personali che verranno trattati di conseguenza.
In questa direzione va l’ultima disposizione presente nell’art. 9 richiamato: il parere obbligatorio del Garante per la protezione dei dati personali, richiesto dal Regolamento UE 2021/241 e dal “Pnrr” stesso, sui progetti di riforma, misure e strumenti adottati in loro attuazione, sarà non vincolante per il legislatore e per le PA coinvolte. La norma precisa, infatti, che il Garante dovrà pronunciarsi “nel termine non prorogabile di trenta giorni dalla richiesta, decorso il quale può procedersi indipendentemente dall’acquisizione del parere”. Un cd. silenzio non impediente, sullo schema dell’art. 17-bis della Legge 241/1990. L’opinione del Garante sul “Pnrr”diventa secondaria e non impedisce di procedere in sua assenza, nonostante la stessa Autorità conservi pur sempre il potere di intervenire a tutela dei soggetti interessati, in presenza di violazioni della normativa privacy, ai sensi degli artt. 153 e ss. del Dlgs. N. 196/2003 e degli artt. 83-84 del Gdpr.
Ma il Decreto Aperture contiene anche innovazioni positive sul tema. L’art. 9, nella sua prima parte, è confezionato come normativa di modifica alle disposizioni del Codice Privacy che riguardano il trattamento dei dati personali da parte delle Pubbliche Amministrazioni. Viene finalmente fatta chiarezza sui soggetti che possono essere considerati “poteri pubblici”, ai sensi del Gdpr (cfr. art. 6), riconducendoli una volta per tutte entro i controlli ordinari del Garante per la protezione dei dati personali (abrogando, cioè, la normativa particolare dell’art. 2-quinquiesdecies del Codice Privacy). Da qui due note positive: primo, c’è davvero indifferenza sulla natura soggettiva del titolare e del responsabile di trattamento (cancellando il “doppio regime” tra enti privati e pubblici); secondo, imponendo che le finalità di trattamento vengano stabilite per legge o regolamento, oppure dall’ente pubblico “in coerenza al compito svolto o al potere esercitato”, le P.A. potranno (e dovranno) così rispettare a pieno il principio di legalità di cui all’art. 97 della Costituzione e ribadito dall’art. 1 della Legge n. 241/1990. Un mezzo ulteriore per controllare la legittimità del loro operato.
[1] Espressione qui ripresa: https://www.ipsoa.it/documents/impresa/contratti-dimpresa/quotidiano/2021/10/09/dl-aperture-11-ottobre-piena-capienza-luoghi-cultura-riapertura-discoteche.
