“Decreto aperture e privacy”: chiarezza sulle P.A. ma limitazioni al Garante sul “Pnrr”

“Decreto aperture e privacy”: chiarezza sulle P.A. ma limitazioni al Garante sul “Pnrr”

Sommario:

1. Introduzione; 2. Il trattamento dei dati personali da parte delle PA nel quadro precedente; 3. La riforma del Dl. n. 139/2021, dal “Green Pass” sul lavoro al contrasto del “Revenge Porn”; 3.1. Il trattamento dei dati personali nelle P.A.; 3.2. (segue) Le finalità di trattamento e il Principio di legalità; 3.3. Gli interventi sui poteri del Garante, in particolare sui Progetti legati al “Pnrr”; 4. Conclusioni.

1. Introduzione

Il Dl. 8 ottobre 2021, n. 139, contiene disposizioni urgenti “per l’accesso alle attività culturali, sportive e ricreative, nonché per l’organizzazione di Pubbliche Amministrazioni e in materia di protezione dei dati personali”. Un “Decreto Aperture”, com’è stato ribattezzato[1]. In realtà, contiene interventi mirati su un pò di tutto: dal “Green Pass”obbligatorio sul posto di lavoro all’esame abilitativo per la professione di Avvocato, dalle aperture dei Cinema e Teatri al potenziamento dell’Ufficio centrale per il referendum presso la Corte di Cassazione, dal contrasto al “Revenge porn” (art. 612-ter, Cp.) al trattamento dei dati personali nelle Pubbliche Amministrazioni.

Un Decreto-legge, l’ennesimo di questo periodo pandemico, che prova a “tamponare” piccole o grandi situazioni emergenziali senza una riforma complessiva del Sistema. Per questo c’è il “Pnrr”, che rappresenta il Progetto per l’Italia di domani[2]. Pare curiosa, ma non casuale, la scelta del Legislatore governativo di inserire proprio nel Dl. n. 139/2021, nell’ultimo comma dell’art. 9, una disposizione semplice ma cruciale al contempo. Come noto, infatti, il “Pnrr” è il volano di una serie di Interventi strutturali al Sistema-Paese, per traghettarlo nell’era digitale (finalmente, potremmo dire). E ciò non si potrebbe realizzare a pieno senza banche-dati gigantesche, App sempre più diffuse (e controllate dal Governo, come “Io” o “VerificaC19”), oppure in presenza di freni inibitori di Enti, Autorità varie e burocrazia. La parola d’ordine è semplificare, nonostante la mole impressionante di dati personali che di conseguenza verranno trattati.

Proprio in questa direzione va l’ultima disposizione dell’art. 9 richiamato: il parere obbligatorio del Garante per la protezione dei dati personali, richiesto dal Regolamento UE 2021/241 e dal “Pnrr” stesso, sui Progetti di riforma, misure e strumenti adottati in loro attuazione, sarà non vincolante per il Legislatore e per le P.A. coinvolte. La norma precisa infatti che il Garante dovrà pronunciarsi “nel termine non prorogabile di 30 giorni dalla richiesta, decorso il quale può procedersi indipendentemente dall’acquisizione del parere”. Un cd. “silenzio non impediente”, sullo schema dell’art. 17-bis della Legge n. 241/1990. L’opinione del Garante sul “Pnrr” può essere così superata dalla volontà politica e dalla discrezionalità amministrativa. Tuttavia, la stessa Autorità conserva il potere di intervento a tutela dei soggetti interessati, in presenza di violazioni della normativa privacy, ai sensi degli artt. 153 e seguenti, del Dlgs. n. 196/2003 (“Codice Privacy”) e degli artt. 83-84 del Regolamento Ue 2016/679 (Gdpr).

C’è anche da dire che il “Decreto Aperture” contiene delle innovazioni positive sul tema. L’art. 9, nella sua prima parte, è confezionato come normativa di modifica alle disposizioni del “Codice Privacy” che riguardano il trattamento dei dati personali da parte delle Pubbliche Amministrazioni. Viene finalmente fatta chiarezza sui soggetti che possono essere considerati “poteri pubblici”, ai sensi del Gdpr (cfr. art. 6), riconducendoli una volta per tutte entro i controlli ordinari del Garante per la protezione dei dati personali (abrogando, cioè, la normativa dell’art. 2-quinquiesdecies del “Codice Privacy”). In altre parole, le P.A. (in senso lato) saranno soggette ai medesimi controlli che il Garante svolge sugli enti privati.

Dunque, da ciò derivano due conseguenze positive: primo, può dirsi raggiunta la piena indifferenza sulla natura soggettiva del titolare e del responsabile di trattamento (senza un doppio regime tra enti privati e pubblici); secondo, imponendo che le finalità di trattamento vengano stabilite da legge o regolamento, oppure dall’ente pubblico “in coerenza al compito svolto o al potere esercitato”, le P.A. potranno (e dovranno) così rispettare a pieno il principio di legalità di cui all’art. 97 della Costituzione e ribadito dall’art. 1 della Legge n. 241/1990.

2. Il trattamento dei dati personali da parte delle P.A. nel quadro precedente

Proprio il Principio di legalità appena richiamato rappresenta un sottile filo rosso che lega la precedente esperienza a quella odierna, riguardo alla tutela dei dati personali trattati da Pubbliche Amministrazioni.

Nel “Codice” del 2003, prima cioè del Gdpr, si specificava (all’art. 18), che “qualunque trattamento dei dati da parte dei soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali” e che nel “trattare i dati il soggetto pubblico osserva i presupposti ed i limiti stabiliti” dal “Codice” stesso[3]. Tuttavia, si consentiva alle P.A. di trattare dati personali, ulteriori a quelli sensibili e giudiziali, in assenza del consenso dell’interessato (salvo che in ambito sanitario) in ragione della funzione istituzionale ricoperta dal titolare del trattamento. Parte di queste disposizioni sono ancora oggi conservate nel “Codice Privacy”, dopo le modifiche del Dlgs. 101/2018: l’art. 2-ter, che riguarda la base giuridica “per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri”, specifica che solo una norma di legge o di regolamento può definire quali sono gli interessi pubblici in grado di legittimare il trattamento di dati personali da parte delle P.A. (al di là del consenso dell’interessato)[4].

Del resto, il Gdpr non fa distinzioni sulla natura soggettiva del titolare e del responsabile del trattamento, in modo tale che la nuova disciplina sulla privacy si applichi indifferentemente a soggetti pubblici e privati[5]. Lo stesso dicasi per le finalità di trattamento, salvo alcune rilevanti di interesse pubblicistico (prevenire reati, tutelare la pubblica sicurezza, combattere il terrorismo, ecc.)[6], posto che le stesse verranno definite dal titolare del trattamento (qualunque sia la sua natura o identità). In pratica, il Legislatore europeo ha scelto un criterio di applicazione oggettivo: la normativa del Gdpr si applica in ogni caso e verso chiunque, a tutela del soggetto interessato (per il cittadino europeo ovunque nel mondo, per lo straniero solo se si trovi in UE)[7]. Tutto questo significa che le P.A. vengono direttamente chiamate in causa dalla necessaria compliance agli obblighi del Regolamento, anche sulla base degli artt. 97 e 117, comma 1, della Costituzione[8].

Le novità del Gdpr hanno comportato però alcune difficoltà negli Enti pubblici, soprattutto con riferimento alle figure chiave come il Data Protection Officer[9]. Per le peculiari caratteristiche del Dpo di imparzialità e indipendenza rispetto al titolare del trattamento (cfr. artt. 37-38 Gdpr), tale incarico deve essere svolto in assenza di conflitti d’interesse con altri ruoli ricoperti all’interno dell’Ente pubblico (per esempio, Direzione risorse umane e contabilità, Rtd, Responsabile corruzione e trasparenza)[10]. Ecco perché, probabilmente, conviene agli Enti pubblici avere un Dpo esterno all’Ente medesimo.

A ben vedere, seppur lentamente, le P.A. stanno trovando la strada della compliance anche grazie al Principio di legalità sostanziale (inteso come limite giuridico all’agire amministrativo): solo se un comportamento è previsto da una norma di legge o regolamento, questo può essere considerato legittimo (cfr. art. 21-octies della Legge n. 241/1990 sull’annullabilità del provvedimento amministrativo in caso di “violazione di legge”). La stessa accade rispetto al trattamento dei dati personali: il Gdpr prescrive infatti, all’art. 6, § 3, che la base giuridica su cui si fonda il trattamento effettuato da soggetti pubblici, per l’esecuzione di un loro compito o connesso all’esercizio di pubblici poteri (“di cui è investito il titolare del trattamento”, cfr. § 1 dello stesso articolo), deve essere stabilita dal diritto dell’Unione, ovvero dal diritto dello Stato membro (cui è soggetto il titolare del trattamento). E proprio l’art. 2-ter del nostro “Codice Privacy” ribadisce, al comma 1, lo stesso concetto, rafforzando così il Principio di legalità. In altre parole, le P.A. devono applicare le norme di legge e regolamento per compiere atti e trattamenti legittimi.

Peraltro, il Gdpr (art. 6, § 1, ultimo periodo) esclude in radice la possibilità che le P.A. possano fare affidamento, come base giuridica di trattamento, sul mero “legittimo interesse” del titolare. Ciò significa che gli Enti pubblici non possono esercitare alcuna discrezionalità nella scelta delle modalità e finalità del trattamento stesso, in presenza di una norma di legge o di regolamento che imponga un certo comportamento o atto. Trattasi di attività vincolata.

Altre volte è lo stesso Legislatore ad imporre alla P.A. di effettuare un bilanciamento tra diritti fondamentali contrapposti (si veda, in particolare, la disciplina europea di cui all’art. 23 Gdpr, ma anche quella nazionale sull’accesso documentale, ai sensi dell’art. 22 e seguenti, della Legge n. 241/1990, richiamato dall’art. 60 del “Codice Privacy”). Lo stesso dicasi per il trattamento dei dati particolari, in base all’art. 9 del Gdpr: è lecito il trattamento degli stessi per “motivi di interesse pubblico rilevante”, a patto che a) siano previsti dal diritto dell’Unione o degli Stati membri; b) siano proporzionati alla finalità perseguita dal trattamento; c) la norma che li prevede rispetti “l’essenza del diritto alla protezione dei dati personali”; d) siano approntate misure appropriate e specifiche a tutela dell’interessato.

Malgrado l’attenzione rivolta nei confronti delle P.A., il Gdpr rimane oscuro sull’ambito di applicazione soggettivo. Il Gdpr, detto altrimenti, non definisce chi siano le “Autorità pubbliche” di cui parla, né come è possibile individuarle. E non lo fa neanche l’art. 2-ter del Codice Privacy, introdotto dal Dlgs. n. 101/2018. Come accennato prima, il Legislatore europeo ha preferito restare vago e determinare così l’applicazione (indifferente) del Regolamento ad Enti pubblici e privati al contempo.

A ben vedere, il nostro Legislatore del 2018 ha creato così una grave lacuna, capace di generare dubbi circa alcune figure pubblicistiche che trattano pacificamente dati personali, per interessi pubblici rilevanti (come Società “in house”, Società miste, Autorità indipendenti, ecc.)[11]. Per questo motivo dev’essere accolta con favore la modifica introdotta dal Dl. n. 139/2021, capace di chiarire finalmente l’ambito di applicazione soggettivo della normativa privacy rispetto alle Pubbliche Amministrazioni.

3. La riforma del Dl. n. 139/2021, dal “Green Pass” sul lavoro al contrasto del “Revenge Porn”

Prima di parlare delle novità introdotte dall’art. 9 del “Decreto Aperture” (che modifica l’art. 2-ter del “Codice Privacy”), è utile dargli uno sguardo d’insieme.

All’art. 1 troviamo le aperture di Cinema, Teatri e Discoteche. Il “Green Pass” vale per tutti, ma cambiano i posti disponibili. Per gli spettacoli in “zona gialla” la capienza è la metà del totale, mentre in “zona bianca” non ci sono limitazioni; per le Sale da ballo invece la capienza è al 50% al chiuso e 75% all’aperto. Restrizioni maggiori si verificano nello Sport, dove si può riempire solo il 35% dei posti totali (in “zona gialla”).

All’art. 2 viene abolito il limite di un metro nella distanza interpersonale nei Musei e nelle Mostre, così da consentire anche un maggiore afflusso di utenti (e turisti). L’art. 3 invece si occupa della necessaria comunicazione del “Green Pass”, a richiesta del datore di lavoro, da parte dei lavoratori di Enti pubblici e privati.

Dall’art. 4 in poi si apre una serie di interventi mirati verso alcune funzioni pubblicistiche: la riorganizzazione del Ministero della Salute (art. 4), il rafforzamento dell’Ufficio centrale per il referendum presso la Corte di Cassazione (art. 5), la conferma delle modalità emergenziali per l’esame di abilitazione alla professione di Avvocato (art. 6).

L’art. 7 consente l’ampliamento del “Fondo nazionale per le politiche e i servizi dell’asilo”, “in conseguenza della crisi politica in atto in Afghanistan, al fine di consentire l’attivazione di ulteriori 3.000 posti nel Sistema di accoglienza e integrazione (Sai)”. Le risorse del “Fondo” verranno aumentate “di Euro 11.335.320 per l’anno 2021 e di Euro 44.971.650 per ciascuno degli anni 2022 e 2023”.

All’art. 8 troviamo una serie di Interventi a tutela della minoranza linguistica slovena in Friuli-Venezia Giulia, con il supporto dell’Università di Trieste. Nel complesso, vengono stanziati Euro 3 milioni per il 2022 (e 2 milioni per i successivi 9 anni) “al fine di realizzare Interventi di riqualificazione ovvero di manutenzione straordinaria degli immobili dell’Università degli Studi di Trieste o concessi alla stessa in uso perpetuo e gratuito per lo svolgimento delle proprie attività istituzionali”.

L’art. 9, di cui ci occuperemo nel successivo paragrafo, riguarda il trattamento dei dati personali nelle P.A., ma curiosamente contiene anche una normativa specifica per il contrasto al “Revenge porn”, garantendo alle vittime del reato la possibilità di effettuare una segnalazione al Garante per la protezione dei dati personali.

Nel complesso, come già anticipato, il Decreto in questione contiene misure mirate ma eterogenee, com’è spesso accaduto durante il periodo pandemico (cfr. Dl. n. 76/2020 e Dl. n. 77/2021). Purtroppo, spetta all’interprete e all’operatore del diritto fare chiarezza e mettere ordine nell’alluvionale attività del Legislatore. Cionondimeno, la modifica al “Codice Privacy” dev’essere accolta con favore, nonostante appaia nascosta dalla miscellanea di disposizioni normative emergenziali. Una volta per tutte si fa piazza pulita dei dubbi di applicazione dello stesso “Codice alle Pubbliche Amministrazioniin senso lato, come Società “in house” e Autorità amministrative indipendenti, introducendo una disposizione che potrebbe un domani costringere la dottrina più scettica a cambiare idea sulla natura di certi soggetti pubblici[12].

3.1. Il trattamento dei dati personali nelle P.A.

Come già anticipato, l’art. 18 del vecchio “Codice Privacy” disponeva che questo si applicasse a “tutti i soggetti pubblici, esclusi gli Enti pubblici economici”. Con il Dlgs. n. 101/2018 la norma è stata abrogata e sostituita dall’art. 2-ter, che rinvia al Gdpr – art. 6, § 3, lett. b). Tuttavia, la precedente formulazione della norma in esame non consentiva la perfetta individuazione delle Autorità pubbliche di cui parla il Regolamento europeo (cfr. art. 6, § 1, ultimo periodo). Chiaramente il Legislatore dell’Unione ha inteso lasciare allo Stato membro la definizione in concreto di ciò che significhi (per lo stesso) il concetto di “Autorità pubblica” e Pubblica Amministrazione. Ogni Stato membro infatti potrebbe avere tradizioni e orientamenti diversi in merito, così diventa necessario che il Legislatore nazionale specifichi al meglio il significato (interno) della norma europeo.

Il nostro “Codice Privacy”, seppur modificato nel 2018 in conseguenza dell’entrata in vigore del Gdpr, non possedeva una chiara definizione dei soggetti pubblici chiamati ad attuare la nuova disciplina sul trattamento dei dati personali, facendo anche leva sull’indifferenza della natura soggettiva del Titolare e Responsabile di trattamento.

Ecco perché l’intervento del Dl. n. 139/2021, seppur in ritardo di 3 anni e contenuto in un “Decreto miscellanea”, è da accogliere con favore. L’art. 9 modifica (di nuovo) il “Codice Privacy” in più punti, che affronteremo uno per uno, dall’ambito di applicazione per le P.A. al (limitato) ruolo del Garante sul “Pnrr[13].

Cominciamo dalla modifica all’art. 2-ter del “Codice Privacy”. Nel nuovo comma 1-bis, nella sua prima parte, è contenuta la norma relativa alla qualifica dei soggetti pubblici, che siano chiamati ad applicare la normativa sul trattamento dei dati personali. Il tenore testuale è chiaro: “il trattamento dei dati personali da parte di un’Amministrazione pubblica di cui all’art. 1, comma 2, del Dlgs. n. 165/2001, ivi comprese le Autorità indipendenti e le Amministrazioni inserite nell’Elenco di cui all’art. 1, comma 3, della Legge n. 196/2009, nonché da parte di una società a controllo pubblico statale di cui all’art. 16 del Dlgs. n. 175/2016, con esclusione per le società pubbliche dei trattamenti correlati ad attività svolte in regime di libero mercato, è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti”. Come si evince dal testo, la normativa privacy si applicherà a tutte le P.A. indicate tradizionalmente dal Dlgs. n. 165/2001 (art. 1, comma 2), ivi comprese le Autorità amministrative indipendenti, quelle individuate dall’Istat (ai sensi dell’art. 1, comma 3, della Legge n. 196/2009) e le Società in house providing (individuate dall’art. 16 del Dlgs. n. 175/2016, cd. “Tusp”).

Merita fare una piccola riflessione sul punto. Per com’è confezionata la norma, sembrerebbe che l’art. 1, comma 2, del Dlgs. n. 165/2001, contenesse già al suo interno le altre PA indicate nel nuovo comma 1-bis in parola. Peraltro, la precisazione sulle Società “in house” appare coerente col sistema precedente, di cui al vecchio art. 18 del “Codice Privacy” (oggi abrogato): vengono esclusi dall’ambito di applicazione del Codice medesimo tutti i trattamenti fatti dalle stesse in regime di libero mercato, ossia massimo il 20% del fatturato annuo (che un tempo avrebbero riguardato gli Enti pubblici economici)[14]. Certamente, per queste ultime attività si applicherà il regime comune, ma non anche l’art. 2-ter del Codice.

3.2. (segue) Le finalità di trattamento e il Principio di legalità

Veniamo ora alla seconda parte del nuovo comma 1-bis dell’art. 2-ter del “Codice Privacy”. La norma così dispone: “…la finalità del trattamento, se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall’Amministrazione, dalla Società a controllo pubblico in coerenza al compito svolto o al potere esercitato, assicurando adeguata pubblicità all’identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano”.

Come è facile desumere dalla disposizione in esame, 2 sono i cardini per l’individuazione della finalità di trattamento: il Principio di legalità e la discrezionalità amministrativa (cui sono connessi gli obblighi di trasparenza e adeguata motivazione, ai sensi della Legge n. 241/1990, artt. 1 e 3).

Merita particolare attenzione il collegamento teleologico fatto dal legislatore tra la finalità scelta dalla P.A. e la funzione o la competenza pubblica esercitata. La norma, con la dicitura “in coerenza al compito svolto o al potere esercitato”, intende agganciare in ogni caso l’attività del trattamento dei dati personali svolto con la disposizione di legge o regolamento (che attribuisce una certa competenza al dato ente pubblico). Con ogni probabilità, in presenza di una violazione della “coerenza” suddetta, due saranno le conseguenze: da un lato, un illegittimo trattamento, sanzionabile dal Garante per la protezione dei dati personali; dall’altro, l’annullabilità del provvedimento adottato dall’Ente (ai sensi dell’art. 21-octies della Legge n. 241/1990, per incompetenza o violazione di legge). Per questo motivo, assumerà particolare rilevanza la motivazione che la P.A. titolare di trattamento dovrà fornire (cfr. art. 3 Legge n. 241/1990 e artt. 4, n. 7, e 24 del Gdpr).

Infine, va ricordato che lo stesso regime, indicato dal nuovo comma 1-bis, dovrà essere seguito anche nelle comunicazioni e diffusioni di dati personali tra Pubbliche Amministrazioni[15]. Nota di assoluto rilievo, soprattutto per la creazione e gestione di grandi banche dati e App governative, ovvero della digitalizzazione di molti servizi pubblici, secondo il principio dell’interoperabilità dei sistemi e delle informazioni possedute dalle P.A.[16].

3.3. Gli interventi sui poteri del Garante, in particolare sui Progetti legati al “Pnrr

Il Garante per la protezione dei dati personali è destinatario di alcune eterogenee disposizioni contenute nel Dl. n. 139/2021. In primo luogo, viene abrogato l’art. 2-quinquiesdecies del “Codice Privacy”, che recitava: “con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati ai sensi dell’art. 35 del Regolamento, il Garante può, sulla base di quanto disposto dall’art. 36, paragrafo 5, del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio, prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare”. In sostanza, si trattava di un intervento dell’Autorità, in presenza delle condizioni necessarie al rilascio di una Dpia (di cui all’art. 35, cd. “Valutazione d’impatto sulla protezione dei dati”). Si trattava di un intervento innanzitutto facoltativo[17], ma capace di creare un doppio binario tra Enti pubblici ed enti privati titolari di trattamento.

Abrogando tale disposizione, assieme all’art. 135, comma 2, e i riferimenti di cui all’art. 137, comma 2, lett. a), il Legislatore riconduce le P.A. entro i controlli ordinari del Garante, assoggettandole alle medesime norme che si applicano agli enti privati (su Dpia, violazione del trattamento, sanzioni dell’Autorità, ecc.)[18]. In altre parole, i trattamenti effettuati per motivi di interesse pubblico rilevante, o per traffico telefonico, o per diritto di cronaca, informazione e opinione, non potranno più basarsi sui provvedimenti generali dell’Autorità Garante, ma verranno ricondotti entro le norme codicistiche ed europee (spazzando via il doppio binario di cui sopra).

Altro intervento riguarda il “Revenge porn”, di cui all’art. 612-ter del Codice penale[19]. Viene introdotta una nuova disposizione nel “Codice Privacy”, l’art. 144-bis, che recita: “1. Chiunque, compresi i minori ultraquattordicenni, abbia fondato motivo di ritenere che immagini o video a contenuto sessualmente esplicito che lo riguardano, destinati a rimanere privati, possano essere oggetto di invio, consegna, cessione, pubblicazione o diffusione senza il suo consenso in violazione dell’art. 612-ter Cp., può rivolgersi, mediante segnalazione o reclamo, al Garante, il quale, entro 48 ore dal ricevimento della richiesta, provvede ai sensi dell’art. 58 del Regolamento (Ue) 2016/679 e degli artt. 143 e144 [del Codice, ndr]. 2. Quando le immagini o i video riguardano minori, la richiesta al Garante può essere effettuata anche dai genitori o dagli esercenti la responsabilità genitoriale o la tutela. 3. Per le finalità di cui al comma 1, l’invio al Garante di immagini o video a contenuto sessualmente esplicito riguardanti soggetti terzi, effettuato dall’interessato, non integra il reato di cui all’art. 612-ter, Cp.”.

Il nuovo art. 144-bis del “Codice Privacy” ricalca quasi perfettamente l’art. 612-ter del Codice penale (si fa un generico riferimento a chiunque invii, consegni, diffonda, pubblichi o ceda, le immagini e i video destinati a rimanere privati, senza distinguere tra il “regista” e il “diffusore successivo”, come ha specificato la dottrina)[20]. Per quel che qui rileva, merita segnalare la possibilità per le vittime di fare la segnalazione al Garante[21], in presenza di un fondato motivo (o sospetto) che venga violata la propria “riservatezza sessuale[22]. L’invio in questione non integra il reato di cui all’art. 612-ter del Cp.; opportuna precisazione, sulla cui natura la dottrina dovrà interrogarsi (trattasi infatti di scriminante, ex art. 51 Cp., oppure di una causa di non punibilità ? Il Legislatore non si pronuncia in merito).

Infine, veniamo ora alla limitazione dei poteri del Garante sui progetti e le misure di attuazione del “Piano nazionale di ripresa e resilienza” (cd. “Pnrr”). Come noto, molte sono le semplificazioni introdotte dal Legislatore degli ultimi mesi (da ultimo, il Dl. n. 77/2021), ma mancava una disposizione specifica sugli eventuali rilievi dell’Autorità, in ordine alla protezione dei dati personali (trattati da Enti pubblici o privati).

L’ultimo comma dell’art. 9 del Dl. n. 139/2021 così recita: “I pareri del Garante per la protezione dei dati personali richiesti con riguardo a riforme, misure e progetti del ‘Piano nazionale di ripresa e resilienza’ di cui al Regolamento (Ue) 2021/241del Parlamento europeo e del Consiglio, 12 febbraio 2021, del ‘Piano nazionale per gli investimenti complementari’ di cui al Dl. 6 maggio 2021, n. 59, convertito con modificazioni dalla Legge 1° luglio 2021, n. 101, nonché del ‘Piano nazionale integrato per l’energia e il clima 2030’ di cui al Regolamento (Ue) 2018/1999 del Parlamento europeo e del Consiglio, 11 dicembre 2018, sono resi nel termine non prorogabile di 30 giorni dalla richiesta, decorso il quale può procedersi indipendentemente dall’acquisizione del parere”.

Come anticipato sopra, trattasi di un parere obbligatorio ma non vincolante, da rendere entro il termine perentorio di 30 giorni, decorsi i quali l’Ente può procedere indipendentemente dall’opinione del Garante. L’opinione del Garante sul “Pnrr” può essere così superata dalla volontà politica e dalla discrezionalità amministrativa. Tuttavia, la stessa Autorità conserva il potere di intervento a tutela dei soggetti interessati, in presenza di violazioni della normativa privacy, ai sensi degli artt. 153 e seguenti, del Dlgs. n. 196/2003 (“Codice Privacy”) e degli artt. 83-84 del Regolamento Ue 2016/679 (Gdpr).

Considerato il tenore testuale della norma, che vuole semplificare l’attuazione del “Pnrr”, va ribadito che il Garante può sempre intervenire in un momento successivo a quei 30 giorni indicati, decidendo di avviare un’istruttoria prima e adottare un’ordinanza di ingiunzione dopo, in presenza di trattamenti illegittimi. Quindi la norma in questione non dev’esser letta come “sblocca-privacy”, o una specie di lascia-passare, per cui l’ente può sentirsi al riparo da sanzioni dell’Autorità, una volta decorso inutilmente il termine perentorio di cui sopra. Ogni soggetto deputato al trattamento di dati personali, in ragione del “Pnrr” e delle misure attuative, dovrà essere sempre accorto e all’erta, perché la semplificazione in parola non si ritorca contro di lui. Per questo motivo sarà cruciale il supporto dell’interprete e operatore del diritto.

4. Conclusioni

Il “Decreto miscellanea”, come potrebbe essere appellato il Dl. n. 139/2021, ha introdotto varie norme apparentemente emergenziali, ma che intervengono su particolari profili e lacune (come spesso è accaduto durante questo periodo pandemico). Di sicuro rilievo è l’art. 9, che fa chiarezza sui soggetti deputati al trattamento dei dati personali in ambito pubblico, ma limita i poteri dell’Autorità Garante in ordine all’attuazione del “Pnrr”.

Un Decreto che risolve qualche problema e ne introduce di nuovi (quale sarà, per esempio, il ruolo del Garante rispetto alle P.A., dopo la sua entrata in vigore ?). Per gli Enti pubblici resta pur sempre la strada maestra del principio di legalità e del buon andamento, di cui all’art. 97 della Costituzione: conoscere e seguire le norme di legge (o regolamento) è fondamentale per adottare atti e trattamenti di dati personali che siano legittimi. E di fronte alle sfide della digitalizzazione non potrebbe esserci miglior bussola per la discrezionalità amministrativa.

di Ermanno Salerno


[1] Espressione qui ripresa: https://www.ipsoa.it/documents/impresa/contratti-dimpresa/quotidiano/2021/10/09/dl-aperture-11-ottobre-piena-capienza-luoghi-cultura-riapertura-discoteche.

[2] Si veda, per l’attuazione del “Piano nazionale di ripresa e resilienza”, tra gli altri, il Dl. n. 77/2021, come convertito in Legge n. 108/2021. Il “Piano” è reperibile qui: https://www.governo.it/sites/governo.it/files/Pnrr.pdf.

[3] Si veda il contributo della redazione di Pubblica Amministrazione di Qualità, http://qualitapa.gov.it/sitoarcheologico/relazioni-con-i-cittadini/comunicare-e-informare/privacy-e-tutela-dei-dati-personali/index.html.

[4] Si ricordi che l’art. 2-ter del “Codice Privacy” fa espresso rinvio all’art. 6, § 3, lett. c) ed e) del Gdpr, che riguardano la base giuridica (diversa dal consenso dell’interessato) derivante da obbligo contrattuale o interesse pubblico rilevante.

[5] Cfr. l’ottima ricostruzione di C. D’Orazi, I trattamenti di dati personali effettuati dalla P.A. Alla luce del Regolamento UE 679/2016, in Rivista semestrale di diritto, 1/2020, pagg. 302 e seguenti, qui reperibile: https://www.iusinitinere.it/i-trattamenti-di-dati-personali-effettuati-dalla-p-a-alla-luce-del-regolamento-ue-679-2016-33413.

[6]Cfr. l’art. 23 Gdpr, che recita: “1.Il diritto dell’Unione o dello Stato membro cui è soggetto il Titolare del trattamento o il Responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’art. 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare: a) la sicurezza nazionale; b) la difesa; c) la sicurezza pubblica; d) la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica; e) altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale; f) la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari; g)le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate; h) una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a), a e) e g); i) la tutela dell’interessato o dei diritti e delle libertà altrui; j) l’esecuzione delle azioni civili. 2. In particolare qualsiasi misura legislativa di cui al paragrafo 1 contiene disposizioni specifiche riguardanti almeno, se del caso: a) le finalità del trattamento o le categorie di trattamento; b) le categorie di dati personali; c) la portata delle limitazioni introdotte; d) le garanzie per prevenire abusi o l’accesso o il trasferimento illeciti; e) l’indicazione precisa del titolare del trattamento o delle categorie di titolari; f) i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell’ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento; g) i rischi per i diritti e le libertà degli interessati; e h) il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa”.

[7] Si vedano gli artt. 2 e 3 del Gdpr. Cfr. A. Zappia, Il trattamento di dati personali in ambito pubblico, in AA.VV., Privacy e dati personali, Key, Milano, 2018.

[8] Sul punto, si veda la Sentenza della Corte Costituzionale n. 20/2019, con commento di A. Corrado, Gli obblighi di pubblicazione dei dati patrimoniali dei Dirigenti alla luce delle indicazioni della Corte Costituzionale, in Federalismi, qui reperibile: https://www.federalismi.it/nv14/articolo-documento.cfm?Artid=38148. Cfr. anche F. Pizzetti, Sentenza n. 20/2019 della Consulta e riordino degli obblighi di pubblicità, trasparenza e diffusione delle informazioni della P.A.: il Legislatore non trascuri il ‘riuso’ delle fonti pubbliche, in MediaLaws, qui reperibile: https://www.medialaws.eu/rivista/sentenza-n-202019-della-consulta-e-riordino-degli-obblighi-di-pubblicita-trasparenza-e-diffusione-delle-informazioni-della-pa-il-legislatore-non-trascuri-il-riuso-delle-fonti-pub/.

[9] Soggetto terzo e imparziale rispetto a titolare e responsabile del trattamento, con obblighi specifici di controllo e monitoraggio di cui agli artt. 37 e seguenti, del Gdpr.

[10] Si veda il contributo di C. Ciccia Romito, Il Data Protection Officer in ambito pubblico: il Garante fa chiarezza, in Quotidiano Giuridico, Ipsoa, 9 settembre 2021, in riferimento al Provvedimento dell’Autorità Garante per la protezione dei dati personali n. 186/2021, docweb 9589104.

[11] Figure di confine sulla cui natura giuridica la dottrina e la giurisprudenza ancora oggi si interrogano; si veda, in proposito, l’art. di M. Gerardo, Soggetti pubblici operanti nell’economia, in Rassegna Avvocatura dello Stato, n. 2/2019. Del resto, l’art. 1, c. 2, del Dlgs. n. 165/2001 (che contiene la definizione normativa di Pubbliche Amministrazioni) così recita: “Per Amministrazioni pubbliche si intendono tutte le Amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le Istituzioni educative, le Aziende ed Amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunità montane, e loro Consorzi e Associazioni, le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e loro associazioni, tutti gli Enti pubblici non economici nazionali, regionali e locali, le Amministrazioni, le Aziende e gli Enti i del Ssn., l’Agenzia per la rappresentanza negoziale delle pubbliche amministrazioni (Aran) e le Agenzie di cui al Dlgs. n. 300/1999. Fino alla revisione organica della disciplina di settore, le disposizioni di cui al presente Decreto continuano ad applicarsi anche al Coni”. Come si può notare, non vengono menzionate le società in house (per la cui definizione è necessario fare riferimento al Dlgs. n. 50/2016, artt. 3, lett. e), e 192), oppure le Autorità amministrative indipendenti (sulla cui natura si interrogano A. Lalli, Le Autorità indipendenti: controllo giurisdizionale e indipendenza, in Astrid; M. Ramajoli, L’attuale configurazione delle Autorità indipendenti di regolazione dei mercati: la natura giuridica delle funzioni e la tipologia degli atti, qui reperibile: https://www.sipotra.it/wp-content/uploads/2019/03/L%E2%80%99attuale-configurazione-delle-Autorit%C3%A0-indipendenti-di-regolazione-dei-mercati-la-natura-giuridica-delle-funzioni-e-la-tipologia-degli-atti.pdf).

[12] Come noto infatti non si può adottare il termine “Ente pubblico” con riferimento alla Società in house, data l’assenza di alterità rispetto all’Ente controllante. Sul punto, si rinvia a M. Gerardo, cit.

[13] Si noti che gli interventi in questione sono giustificati dalla “straordinaria necessità e urgenza di introdurre disposizioni di semplificazione in materia di trattamento di dati personali da parte di Pubbliche Amministrazioni”.

[14] Cfr. art. 5, comma 1, lett. b), e comma 6, lett. c), del Dlgs. n. 50/2016. Sul punto, si veda anche l’opinione della Corte di Giustizia UE, nella Sentenza C-553/15, 8 dicembre 2016. Si veda anche il contributo pubblicato su questa Rivista, di L. Capecchi e E. Salerno, L’attivazione delle identità Spid presso gli sportelli pubblici, il servizio in house della Regione Emilia-Romagna sbarca in Toscana, in Privacy & Cybersecurity, Centro Studi Enti Locali (Ed.), n. 2, 2021, pagg. 35-48.

[15] Si veda l’art. 9, comma 1, nn. 2 e 3, del Dl. n. 139/2021.

[16] Cfr. AgID, Det. n. 406/2020, qui reperibile: https://www.agid.gov.it/it/infrastrutture/sistema-pubblico-connettivita/il-nuovo-modello-interoperabilita.

[17] La norma non usa il presente indicativo per un dovere del Garante, ma solamente il “può”, che lascia intuire la facoltatività dell’intervento dell’Autorità stessa.

[18] Si tenga presente che l’art. 132 riguarda il traffico telefonico e la diffusione dei relativi dati personali; il comma 5 consentiva la possibilità di affidarsi a degli schemi generali forniti dal Garante. L’abrogazione di tale disposizione potrebbe riportare entro la disciplina codicistica ed europea il trattamento suddetto.

[19] Si veda, per un commento alla norma, N. Zampaolo, Revenge porn, diffusione di immagini pedopornografiche e gruppi Telegram. Riflessioni, in Filodiritto.it, 23 aprile 2020; G. Caletti, Revenge porn e tutela penale, in Diritto penale contemporaneo, n. 3/2018, pagg. 65 e seguenti.

[20] Ibidem.

[21] Possono fare la segnalazione i maggiori degli anni 14 in modo autonomo (certamente con il supporto di un legale), oppure i genitori o i tutori dei minori degli anni 14.

[22] Così, N. Amore, La tutela penale della riservatezza sessuale nella società digitale. Contesto e contenuto del nuovo cybercrime disciplinato dall’art. 612-ter del C.p., in http://www.lalegislazionepenale.eu/wp-content/uploads/2020/01/N.-Amore-Approfondimenti-1.pdf.


Related Articles

Unioni di Comuni: facoltà assunzionali calcolate sul turnover e non sulla sostenibilità finanziaria

Nella Delibera n. 4 del 13 aprile 2021 della Corte dei conti Autonomie, la questione rimessa alla Sezione Autonomie riguarda

Incarichi di consulenza a titolo gratuito: legittimi se vincolati a regole flessibili e se rappresentino un’opportunità in termini di arricchimento professionale

Nella Sentenza 11411 del 30 settembre 2019 del Tar Lazio, la questione controversa traeva origine dal ricorso avverso un avviso

No comments

Write a comment
No Comments Yet! You can be first to comment this post!

Only registered users can comment.