PROTEZIONE DATI PERSONALI E PUBBLICA AMMINISTRAZIONE
di Fabio Francario
(Il presente scritto è destinato ad essere ospitato nel volume a cura di C. Pisani, G. Proia e A. Topo, Privacy e lavoro. La circolazione dei dati personali e i controlli nel rapporto di lavoro, in corso di pubblicazione per la casa editrice Giuffrè W.K.. La Rivista ne anticipa la pubblicazione, ringraziando i curatori)
Sommario: 1.- Premessa; 2.- Il principio di buon andamento e imparzialità dell’azione amministrativa. La conoscenza dell’interesse primario e degli interessi secondari nel procedimento amministrativo; 3.- La necessaria considerazione del diritto alla protezione dei dati personali nell’ambito del procedimento amministrativo; 4.- La normativa privacy, ovvero la “tempesta perfetta” per il decisore pubblico; 5.- Il patologico aggravamento del processo decisionale; 5. 1.- Aggravamento e paralisi procedimentale; 5.2.- I c.d. bonus Covid; 5.3.- Il registro lobbisti e la pubblicazione delle sentenze; 5.4.- Vaccinazioni e green pass; 6.- Il trattamento per finalità di pubblico interesse; 6.1.- Opzioni interpretative; 6.2.- L’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri come base giuridica di per sé valida per il trattamento dei dati comuni o ordinari; 6.3.- Le declinazioni del principio di minimizzazione; 6.4.- Altre indicazioni del GDPR; 7.- Osservazioni conclusive.
1. – Premessa.
In linea generale, può ritenersi pacifico che oggi come oggi la privacy debba essere intesa come contenuto di un diritto individuale non più limitato soltanto ad evitare ingerenze nella propria sfera personale (“right of the individual to be let alone”) [1], ma esteso all’uso e alla circolazione dei propri dati personali; ovvero come un diritto che ha ad oggetto i dati personali e la capacità dispositiva degli stessi[2]. Nel che si concretizzerebbe il bene della vita protetto, con le inevitabili conseguenze anche in tema di patrimonializzazione del relativo interesse[3].
Anche il sistema disegnato dal Regolamento generale sulla protezione dei dati del Parlamento europeo e del Consiglio del 27 aprile 2016 (Regolamento UE 2016/279) ruota intorno ad una concezione della privacy come diritto fondamentale delle persone fisiche alla protezione dei propri dati personali e prevede un insieme di misure e principi volte ad evitare che soggetti terzi possano trattare dati personali acquisiti senza il consenso dell’interessato o per finalità diverse da quelle per le quali esso consenso sia stato prestato o oltre il tempo strettamente necessario. In assenza del consenso dell’interessato il trattamento si assume illecito e va in ogni caso rispettato il principio di minimizzazione del trattamento nei termini indicati dall’art. 5 del GDPR, che impone che i dati possano essere raccolti solo “per finalità determinate” e che siano oggetto di trattamenti “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
Un tale diritto deve essere ovviamente rispettato anche delle amministrazioni pubbliche, ma il GDPR, a partire dalla previsione recata dall’art. 6 lett. e) secondo la quale “l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” è una delle possibili basi giuridiche che consentono di ritenere lecito il trattamento, detta una serie di disposizioni che disciplinano specificamente presupposti e condizioni del trattamento per finalità di pubblico interesse e che dovrebbero differenziare il regime giuridico del trattamento nell’ambito pubblico. Tuttavia, se si guarda all’interpretazione e alla prassi applicativa prevalentemente seguite in materia di data protection, ciò non sembrerebbe essere avvenuto, dal momento che, anche nell’ambito pubblico, l’una e l’altra appaiono pressoché completamente appiattite sulla matrice privatistica che, in assenza del consenso, postula un generale divieto di trattamento anche per i dati comuni o ordinari, e non solo per quelli particolari o sensibili.
Prima ancora di vedere se e quali principi debbano correttamente orientare l’interpretazione in ambito pubblico, la trattazione del tema della disciplina della protezione dei dati personali con riferimento alla Pubblica Amministrazione deve necessariamente muovere da una considerazione preliminare d’ordine generale, e cioè che l’attività della pubblica amministrazione, differentemente da quella dei soggetti privati, è necessariamente improntata al rispetto dei principi fondamentali di legalità dell’azione amministrativa e di buon andamento e imparzialità.
Non si tratta soltanto di principi generali dell’attività che, al pari di diversi altri, devono essere generalmente seguiti dall’amministrazione nello svolgimento della propria attività, ma di veri e propri principi fondamentali che caratterizzano specificamente l’attività amministrativa rispetto a quella tipica dei soggetti privati. Il principio di legalità limita la capacità giuridica della pubblica amministrazione, consentendole di perseguire unicamente le finalità istituzionali che siano state ad essa previamente attribuite dal legislatore[4]. Il principio di buon andamento e imparzialità obbliga la pubblica amministrazione ad adottare le proprie determinazioni non solo nel rispetto del principio del neminem laedere (tanto più che, se legittimamente esercitato, il potere consente il sacrificio delle posizioni giuridiche soggettive che ad esso si contrappongono anche senza o contro la volontà del titolare), quanto soprattutto ad adottare la migliore delle decisioni possibili nel caso concreto.
Le presenti osservazioni si propongono di sottolineare che il GDPR offre molteplici spunti per differenziare significativamente il regime del trattamento in ambito pubblico. L’interpretazione della disciplina sulla protezione dei dati personali in ambito pubblico non può prescindere dalla considerazione della rilevanza che in tale ambito assume il principio di legalità dell’azione amministrativa e l’acritica applicazione della matrice privatistica in ambito pubblico pregiudica gravemente il principio di buon andamento della pubblica amministrazione.
2.-. Il principio di buon andamento e imparzialità dell’azione amministrativa. La conoscenza dell’interesse primario e degli interessi secondari nel procedimento amministrativo
Il principio di buon andamento e imparzialità, già sancito dall’art 97 della Costituzione, travalica ormai, com’è noto, i limiti nazionali ed è affermato anche nella Carta dei diritti fondamentali UE, nell’ambito della quale è declinato dall’art 41 in termini di Diritto fondamentale dell’individuo ad una buona amministrazione (Ogni individuo ha diritto a che le questioni che lo riguardano siano trattate in modo imparziale, equo ed entro un termine ragionevole dalle istituzioni e dagli organi dell’Unione)[5].
Come già detto, impone ai soggetti pubblici di adottare la migliore delle decisioni possibili nel caso concreto. Come si faccia poi a sapere se sia stata presa la migliore delle decisioni possibili è impresa ardua. E’ qualcosa che in realtà si può stabilire soltanto in un secondo momento, verificando ex post se la soluzione adottata funziona veramente; se cioè l’assetto dato ai diversi interessi in gioco si rivela effettivamente congruo oppure no; se il conflitto, reale o potenziale, tra diversi aspiranti ad un medesimo bene della vita sia stato ben amministrato dal decisore pubblico. Giudicando le cose ex post, potendo valutare se e cosa non ha funzionato bene nel caso concreto, si ha gioco facile a dire che un'altra decisione sarebbe stata migliore di quella presa e, assolutizzando il concetto della decisione migliore possibile, si arriverebbe a ritenere ingiusta anche la decisione che sia stata comunque ragionevolmente presa. Per questa ragione, i principi cardine del sistema di giustizia amministrativa annoverano anche quello della insindacabilità del merito, strettamente e propriamente inteso, della decisione amministrativa, limitandone la cognizione diretta da parte del giudice amministrativo nei soli casi eccezionalmente previsti di giurisdizione cd di merito.
Le regole di diritto amministrativo (e con esse il loro giudice naturale) non garantiscono pertanto che venga sicuramente presa, ogni volta, la migliore delle decisioni possibili, ma servono a far sì che il decisore pubblico sia messo nelle condizioni di prendere la migliore delle decisioni possibili; creano le condizioni perché venga presa la migliore delle decisioni possibili.
Per raggiungere questo risultato la scienza amministrativa ha costruito la categoria del procedimento amministrativo, quale momento di sintesi e necessaria convergenza delle diverse regole proprie di una determinata azione amministrativa, finalizzate nel loro insieme a consentire che il decisore pubblico sia messo nelle condizioni di prendere la migliore delle decisioni possibili[6].
Il procedimento serve a garantire la trasparenza del processo decisionale al fine di consentirne ex post il controllo, ma serve appunto anche a creare le condizioni per una buona decisione; ad obbligare il decisore pubblico a conoscere necessariamente della situazione sulla quale è necessario provvedere e a conoscere e contemperare preliminarmente gli interessi coinvolti nella decisione.
Diversamente da quella di un soggetto privato, la decisione del buon amministratore pubblico non può consumarsi istantaneamente, ma deve giungere solo quando si è raggiunta una adeguata conoscenza della realtà sulla quale si deve provvedere e degli interessi che sono coinvolti nella decisione (quale che ne sia il livello di protezione giuridica sul piano sostanziale: diritto soggettivo, interesse legittimo, interesse semplice), che vanno individuati e ponderati.
Nella ricerca della migliore delle decisioni possibili, questo processo di costruzione dell’adeguata conoscenza rischia di essere senza fine, perché, almeno in teoria, può esserci sempre l’esigenza di conoscere qualcosa in più, un interesse in più da considerare e ponderare con gli altri.
Alcuni interessi devono essere necessariamente presi in considerazione perché così vuole la legge.
Ma la serie è aperta, potenzialmente infinita. La partecipazione al procedimento dei diretti interessati è ormai considerata come necessaria stante la previsione dell’obbligo di comunicare l’avvio del procedimento recata dall’art. 7 della l. 241/1990 e smi, ma la medesima legge 241 prevede all’art. 9 anche la possibilità d’intervento nel procedimento di “Qualunque soggetto, portatore di interessi pubblici o privati, nonchè i portatori di interessi diffusi costituiti in associazioni o comitati, cui possa derivare un pregiudizio dal provvedimento”, con conseguente obbligo di valutazione e quindi di motivazione ai sensi dell’art 10 sempre della l. 241/1990. Altrettanto è a dirsi per pareri e atti istruttori in genere che possono essere anch’essi obbligatori e facoltativi
E qui va ancora sottolineato, prima di addentrarci nella specifica realtà del mondo privacy, che le regole del nostro procedimento sono in parte sicuramente schizofreniche, perché per un verso cercano di porre un limite al processo di conoscenza, stabilendo termini teorici abbastanza brevi per la conclusione dei procedimenti fissati di regola in trenta, novanta o centottanta giorni dall’art. 2 l. 241/90 [7] e affermando in via generale il divieto di aggravamento del procedimento (“se non per straordinarie e motivate esigenze imposte dallo svolgimento dell’istruttoria” art. 1 l. 241/90)[8]; per l’altro introducono istituti che inevitabilmente allungano e aggravano il procedimento ed i suoi tempi: garanzie di trasparenza e di motivazione e di partecipazione procedimentale[9]. E’ una linea di tendenza ormai generalizzata, che non sembra destinata ad attenuarsi, ma semmai ad accentuarsi; come dimostrato dalle recenti ormai annuali leggi di semplificazione che spesso e volentieri riducono la semplificazione al puro e semplice accorciamento del tempo di conclusione del procedimento, magari accompagnato dalla previsione della possibilità di sostituzione dell’organo decidente con tempi ancor più ristretti per il nuovo decisore o dal trasferimento della responsabilità della decisione interamente in capo al privato interessato[10].
Insomma, il procedimento amministrativo è la sede in cui devono essere conosciuti e ponderati gli interessi coinvolti nella decisione. Deve (teoricamente) concludersi sempre più in fretta, ma deve, al tempo stesso, farsi carico della necessità di conoscere, valutare e ponderare un numero sempre crescente di interessi prima di assumere la decisione.
3.- La necessaria considerazione del diritto alla protezione dei dati personali nell’ambito del procedimento amministrativo.
La premessa è necessaria per avere un corretto approccio alle problematiche giuridiche dall’impatto della normativa sulla protezione dati personali sulle pubbliche amministrazioni, sulla loro organizzazione e attività. Limitarsi alla sola considerazione del fatto che si è di fronte ad un diritto fondamentale della persona che, in quanto tale, non può essere sacrificato dall’azione amministrativa, sarebbe riduttivo ed errato. Errato, perché tutti i diritti, siano qualificati o meno come fondamentali, vanno parimenti rispettati dalla pubblica amministrazione, fermo restando che possono essere tutti parimenti sacrificati, purchè nel rispetto del principio di legalità. Nessun diritto può cioè essere ingiustamente leso dall’amministrazione senza che vi sia possibilità di reagire al danno iniuria datum[11]; ma tutti possono essere legittimamente sacrificati per ragioni di pubblico interesse[12]. Riduttivo, perché in tal modo non si considera che quello alla protezione dei dati personali dei destinatari dell’azione amministrativa è un interesse che oggi come oggi rappresenta il contenuto di un diritto fondamentale dell’individuo e che deve essere necessariamente considerato e valutato dalla PA prima di provvedere. Considerazione e valutazione s’impongono ormai con carattere necessarietà e di generalità non solo perché, tecnologicamente, l’amministrazione digitale si realizza necessariamente attraverso il ricorso a fonti d’informazione organizzate nella forma di vere e proprie banche dati digitalizzate che ormai implicano il trattamento di dati personali[13], ma anche per la soggezione delle amministrazioni pubbliche all’obbligo di riorganizzare tutti i suoi processi decisionali in chiave privacy; a partire dall’adozione di un registro delle attività di trattamento[14] che, oltre a consumare una prima valutazione circa la necessità e la proporzionalità del trattamento rispetto alle finalità per cui viene effettuato, è destinato a consentire anche una valutazione probabilistica del rischio che il trattamento leda diritti e libertà delle persone fisiche e a predisporre, ove necessario, le adeguate misure organizzative per evitare che ciò accada. Ciò ha impegnato e sta tutt’ora impegnando le risorse e le energie dell’Amministrazione in uno sforzo organizzativo forse senza precedenti per compiere una mappatura di tutti i procedimenti in chiave privacy, evidenziando le situazioni di rischio per gli interessati e auto-vincolandosi al rispetto delle regole di prevenzione conseguentemente predisposte. Il risultato di questo sforzo immane è comunque che, oggi come oggi, l’interesse alla protezione dei dati personali è ormai immanente nei procedimenti amministrativi e non è oggetto di una cognizione soltanto eventuale o occasionale.
L’affermazione per cui l’Amministrazione deve necessariamente prendere in considerazione l’interesse alla protezione dei dati personali e adottare le misure idonee ad assicurarne la protezione va ben chiarita nel suo effettivo significato, volto non già a negare che l’interesse sia contenuto di un diritto individuale che l’ordinamento qualifica fondamentale, ma a sottolineare che, differentemente dai casi in cui la considerazione di un dato interesse è reputata necessaria dal legislatore nel momento in cui questi disegna un determinato procedimento amministrativo, nel caso della privacy ci troviamo invece di fronte ad una previsione generale dell’obbligo di prendere in considerazione tale interesse nei procedimenti amministrativi e, conseguentemente o preliminarmente, nell’organizzazione amministrativa.
In genere, è la normativa specifica propria di una determinata tipologia procedimentale a prevedere di volta in volta quali interessi debbano essere necessariamente presi in considerazione e valutati prima di provvedere, prefigurando l’attività istruttoria che deve essere necessariamente svolta per un dato procedimento. Nel caso della privacy, invece, la necessità della considerazione dell’interesse alla protezione dei dati personali dei soggetti interessati, come interesse antagonista dell’interesse primario per la tutela del quale è stato aperto il procedimento amministrativo, è ormai imposta a prescindere dall’esistenza di una disposizione di legge che sia dettata per quella specifica tipologia procedimentale ed è frutto di una previsione generale. Fosse anche solo al fine di accertare che non vi siano soggetti interessati al trattamento dei dati personali, l’interesse va ormai necessariamente valutato dall’Amministrazione prima di provvedere. Nei confronti della pubblica amministrazione tale diritto gode dunque di una protezione rinforzata rispetto agli altri diritti fondamentali, in quanto obbliga la pubblica amministrazione a valutare preliminarmente, per ogni procedimento, se sussista anche solo il rischio che il diritto possa esser leso dall’azione amministrativa. E’ bene però precisare che ciò non significa anche che tale interesse debba poi essere protetto prevalendo necessariamente sull’interesse primario o condizionando comunque il concreto contenuto della funzione amministrativa esercitata; ma solo che debba appunto esser preso in considerazione, senza alcuna automatica conseguenza sul concreto contenuto o sulla forma della decisione amministrativa, in termini di preclusione del trattamento o anche solo di anonimizzazione del dato personale. Nella generalità dei casi si pone certamente un problema di “minimizzazione” del trattamento, ma si tratta di cosa ben diversa sia da un ipotetico divieto di usare i dati in possesso della PA utili per il perseguimento della finalità di cura del pubblico interesse, che da un obbligo di nascondere sempre e comunque l’identità del destinatario di un’azione amministrativa. E’ quanto ci si accinge a chiarire meglio nei paragrafi successivi.
4.- La normativa privacy, ovvero la “tempesta perfetta” per il decisore pubblico.
La riflessione sulla specificità del trattamento dati in ambito pubblicistico non ha fino ad ora avuto molta attenzione da parte della dottrina amministrativistica. Probabilmente l’appiattimento della ricostruzione teorica sulla matrice privatistica è stato condizionato dal fatto che l’attuazione del GDPR da parte del legislatore nazionale ha visto scomparire dal Codice della privacy le disposizioni sistematicamente recate dal Capo Secondo del Titolo Terzo, specificamente dedicate ai soggetti pubblici (artt. 18 – 22)[15]. Unitamente al condizionamento esercitato dalla circostanza per cui il patrimonio di informazioni e dati personali detenuto dalle pubbliche amministrazioni è senz’altro pari o superiore ai big data che possono essere detenuti da grandi gruppi imprenditoriali, ciò può aver indotto a ritenere del tutto indifferente la natura del soggetto “forte” del rapporto giuridico ed a presumere che presupposti e limiti dell’applicazione del GDPR potessero essere sempre gli stessi, senza considerare che l’azione di un soggetto pubblico o privato risponde a principi informatori profondamente diversi in punto di finalità e proporzionalità dell’agire. Forse si è trattato di una conclusione non meditata e troppo affrettata, data praticamente per scontata, fatta discendere dalle scelte confusamente fatte dal legislatore nazionale nel dare attuazione al GDPR e che avevano visto scomparire le disposizioni precedentemente recate dagli articoli 18 e seguenti del Codice. Forse si è trattato di mera distrazione, accentuata anche dalla mancanza di quegli stimoli che sarebbero potuti derivare dalla giurisprudenza amministrativa dal momento che la giurisdizione sul diritto alla protezione dei dati personali e sui provvedimenti dell’Autorità garante è stata infatti attribuita alla giurisdizione ordinaria e la giurisprudenza amministrativa ha potuto esprimersi nel limitato spazio lasciato aperto al contenzioso nel giudizio per l’accesso agli atti e documenti amministrativi, la volte in cui il diritto alla riservatezza si è contrapposto a quello di accesso[16].
A questa sottovalutazione del problema o mera distrazione da parte della dottrina si è peraltro accompagnata l’oggettiva difficoltà di comprensione e d’interpretazione della normativa dettata in materia di privacy, quasi esemplare (in negativo, s’intende) per disorientare il decisore pubblico. Diversi sono i fattori che concorrono a creare quella che sembra essere la tempesta perfetta in cui viene a trovarsi il decisore pubblico.
Innanzi tutto il Regolamento europeo 679/2016. Il GDPR ha inteso creare un sistema sicuramente raffinato, fondato sulla filosofia della “responsabilizzazione” (accountability)[17]; ma, al di là delle enunciazioni di principio, ciò in ultima analisi significa che non si deve più partire dal precetto normativo, ma dallo scopo ultimo della normativa, ossia la tutela del dato per poi a ritroso arrivare ad individuare le misure da adottare in conformità alle disposizioni del Regolamento. Con buona pace degli Engel criteria che secondo la giurisprudenza CEDU devono essere osservati dai provvedimenti (formalmente o sostanzialmente) sanzionatori[18], ciò significa che non si muove da regole d’azione chiare, certe e predeterminate da osservare, ma dalla costruzione di un sistema di misure da parte del titolare del trattamento che deve essere in grado di assicurare il rispetto del diritto fondamentale dell’individuo alla protezione dei dati personali. Non basta però osservare il sistema auto-responsabilmente creato dal titolare, che non viene previamente validato dall’Autorità garante; quest’ultima ne valuterà infatti validità ed efficacia unicamente ex post, eventualmente sanzionando le condotte tenute nell’osservanza del sistema che, al momento in cui se ne presenterà il caso, verrà ritenuto inadeguato.
Il Regolamento, dunque, non indica le misure da adottare, ma solo i principi da seguire per arrivare al raggiungimento dello scopo ultimo della tutela dei dati personali. E rinvia in ogni caso al legislatore nazionale. E il nostro legislatore nazionale non ha mancato di metterci del suo.
Il GDPR doveva essere attuato entro il 25 maggio 2018, data della sua entrata in vigore, ma le norme di adeguamento vengono emanate solo il 10 agosto 2018, con il dl lgs 101 /2018 (“Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (ue) 2016/679 del parlamento europeo e del consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/47/ce (regolamento generale sulla protezione dati”). Il problema interpretativo non è però determinato dal mancato rispetto dei termini, quanto proprio dal fatto che il d. lgs 101/2018 tutto sembra fare tranne che adeguare la normativa nazionale a quella eurounitaria. A cominciare dal fatto che si presenta già con una duplicità di veste e contenuto: una parte di norme sono nuove e proprie del d lgs 101/2018; altre modificano e integrano il d lgs 30 giugno 2003 n. 196 (Codice in materia di protezione dei dati personali), che non viene interamente abrogato. Alcune parti vengono espressamente abrogate (tra le quali l’intero Titolo Terzo, recante le “Regole generali per il trattamento dei dati”, ivi comprese sia le “Regole per tutti i trattamenti”, che le “Regole ulteriori per i soggetti pubblici”), altre (la gran parte) modificate o integrate. La previgente disciplina recata dal d lgs 196/2003 non viene dunque interamente sostituita e il Codice viene formalmente mantenuto in vita, con il risultato che oggi come oggi non esiste un unico testo leggibile, intellegibile e comprensibile dal quale ricavare il contenuto normativo[19]. E’ sempre necessaria una sfibrante opera d’interpretazione per ricostruire la norma vigente per effetto di un gioco pressochè continuo di rinvii che rende praticamente indispensabile l’impiego di una tavola sinottica[20].
Lo scenario di riferimento è poi contraddistinto anche dai dettami regolatori dell’Autorità garante della protezione dei dati personali, sostanzialmente privi di formulazioni normative chiaramente individuabili e il cui contenuto precettivo deve essere ricavato da quanto esposto in forma per lo più discorsiva in linee guida, FAQ, pareri e altri strumenti latamente riconducibili ad espressione di soft law. In molti casi, tali atti non sono stati peraltro nemmeno aggiornati dopo l’entrata in vigore del GDPR, scaricando sull’interprete la responsabilità della loro lettura aggiornata (è il caso ad esempio delle Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web, adottate con deliberazione n 88 del 2 marzo 2011).
A tutto ciò si accompagna il fatto che la normativa privacy crea in pratica un vero e proprio ordinamento di settore che impiega figure e istituti assolutamente tipici la cui lettura e applicazione richiedono una conoscenza specialistica e non sono certamente agevolate dall’incertezza originata dalla stessa terminologia tecnica impiegata[21],. Nel succedersi dei diversi interventi normativi, il medesimo lemma ha spesso finito per indicare figure con compiti e funzioni diverse da quelle che in precedenza si riconducevano alla medesima figura. Esemplare sotto questo profilo la figura del responsabile del trattamento che, nella quasi ventennale esperienza del codice della privacy del 2003 (sulla cui base si è formata anche la stessa legislazione regionale), ha individuato il soggetto “preposto” al trattamento, articolandosi nelle due figure del responsabile interno ed esterno, (artt. 4 e 29), al di sotto del quale operavano i soggetti autorizzati a compiere le operazioni di trattamento (art 4 e 30 Codice privacy); il nomen viene conservato nell’art 2 quaterdecies del Codice , ma sopravvive in un contesto profondamente diverso per indicare soggetti praticamente terzi rispetto all’organizzazione del titolare del trattamento che debbano effettuare il trattamento “per conto del titolare del trattamento” (art 28 GDPR); ed è doppiata dalla figura del responsabile della protezione dati, concepito anch’esso come organo terzo e indipendente con compiti sostanzialmente di assistenza, consulenza e sorveglianza (artt 37 – 39 GDPR). In pratica, l’unico soggetto responsabile è il titolare del trattamento, al di sotto il quale operano soggetti autorizzati o designati al trattamento. L’attributo di “responsabile” è tuttavia impiegato con riferimento a soggetti diversi dal titolare che hanno anche ruoli e funzioni nell’ambito delle procedure privacy assolutamente diversi.
Insomma, il decisore pubblico si trova a dover impiegare concetti propri di un sistema settoriale fortemente tipizzato e continuamente rimodulati senza nemmeno un appropriato adeguamento del lemmario; deve addossarsi l’onere interpretativo di una normativa non adeguatamente aggiornata e definita a livello nazionale sia dal legislatore che dall’Autorità garante; deve creare un sistema di regole finalizzate ad evitare il rischio di trattamenti illeciti, ma rimane esposto alla potestà sanzionatoria di un soggetto terzo che potrà ritenere non adeguate le misure adottate e, per di più, sindacare le modalità e le stesse finalità perseguite per la cura dell’interesse pubblico nel caso concreto (amplius v. infra, sub par. 6 e 7).
5. Il patologico aggravamento del processo decisionale
5. 1.- Aggravamento e paralisi procedimentale.
La necessità di considerare l’interesse alla protezione dei dati personali nell’ambito dei procedimenti amministrativi potrebbe comunque rappresentare un caso come un altro in cui il legislatore ritiene doveroso “aggravare” il procedimento amministrativo, i tempi e le forme della sua conclusione e di assunzione della decisione amministrativa, al fine appunto di valutare e ponderare tale interesse prima di concludere il processo decisionale. Se così fosse, verrebbe da dire, nulla quaestio. Il discorso potrebbe anche concludersi qui.
Il rischio che si verifichi la “tempesta perfetta” di cui si è appena detto, con il conseguente effetto di paralisi dei processi decisionali, è tuttavia più che concreto. L’esperienza di tutti i giorni dimostra infatti che spesso e volentieri la prassi applicativa delle norme primarie rende la privacy uno strumento che, impiegato indiscriminatamente o fuori luogo, rischia di paralizzare o compromettere seriamente l’efficacia dell’azione e l’efficienza dell’organizzazione amministrativa. Il che deve indurre seriamente a riflettere sull’opportunità di seguire interpretazioni o prassi applicative estremamente rigide nella lettura dei dettami normativi, specie laddove finiscono con il consumare scelte valoriali francamente opinabili e con l’imporre costi sociali inaccettabili.
Qualche esempio concreto può tornare utile.
5.2.- I cd bonus Covid
Esemplare è il caso della sanzione comminata dal GPDP all’INPS per aver male esercitato, in violazione della normativa sulla protezione dei dati personali, la funzione di controllo e vigilanza sull’erogazione del cd bonus Covid [22].
Nel pieno dell’emergenza determinata dalla prima ondata della pandemia Covid19, nel marzo 2020, il dl.l. 18/2020 prevede la concessione di misure indennitarie per sostenere le categorie di lavoratori e professionisti colpite dalle misure del lockdown, erogabili a condizione che i destinatari non fossero già titolari di pensione o iscritti ad altra forma previdenziale obbligatoria o titolari di un rapporto di lavoro dipendente (cd bonus covid). In un primo tempo, al fine di non ritardare e consentire l’immediata erogazione del sostegno economico, l’INPS si limita unicamente a verificare l’esattezza di quanto dichiarato dai richiedenti tramite il riscontro con i dati presenti nella propria banca dati. Successivamente, diffusa dalla stampa la notizia che i bonus sarebbero stati indebitamente erogati anche a diversi parlamentari e amministratori locali, l’INPS ha avviato dei controlli di secondo livello al fine di verificare se il bonus Covid fosse stato effettivamente erogato anche in tali casi. Ricavando il codice fiscale dai dati aperti disponibili sui siti web delle Camere e degli enti locali e territoriali, l’INPS ha poi incrociato il dato così ottenuto con quello indicato dai richiedenti nelle domande, in modo da accertare se tra questi vi fossero effettivamente parlamentari o amministratori pubblici (le cui retribuzioni, è inutile sottolineare, non erano state certamente sospese nel periodo dell’emergenza Covid19). Orbene, a seguito di richieste istruttorie e dell’apertura del procedimento sanzionatorio da parte del GPDP (data e protocollo degli atti di avvio del procedimento dell’Autorità Garante sono inspiegabilmente omissati nel provvedimento sanzionatorio finale), il procedimento di verifica si arresta e non verrà più portato a termine dall’INPS, che verrà peraltro pesantemente sanzionato dall’Autorità Garante con una multa di 300.000 euro. A detta del Garante, sarebbero state compiute attività non indispensabili o non necessarie per lo svolgimento della funzione di vigilanza: il codice fiscale ricavato dalle banche dati aperte non era quello ufficiale e si prestava al rischio di omocodie; l’incrocio dei dati era stato globale e andavano invece espunti i dati di coloro che erano stati già esclusi dal beneficio; al momento di apertura del procedimento di verifica non vi era ancora la certezza che il bonus non fosse dovuto[23]; non erano stati preventivamente calcolati i rischi che il trattamento presentava per i diritti e le libertà degli interessati laddove era invece necessario svolgere una preliminare valutazione d’impatto sulla protezione dei dati. In sostanza, secondo l’Autorità Garante, la funzione ispettiva o di controllo finalizzata ad evitare che le pur sempre limitate risorse non venissero disperse a beneficio di chi non ne aveva diritto, nel pieno dell’emergenza pandemica avrebbe dovuto seguire tutt’altra procedura o forse non avrebbe dovuto nemmeno essere iniziata perché i codici fiscali usati non erano quelli ufficiali rilasciati dal Centro nazionale di elaborazione di dati per l’anagrafe tributaria dell’Agenzia delle Entrate. A detta del Garante, dunque, l’attività posta in essere non era dunque necessaria per la cura dell’interesse pubblico nello specifico del caso concreto e aveva fatto correre un rischio “elevato” al trattamento dei dati personali dei soggetti interessati. Merita sicuramente una chiosa anche il fatto che in realtà non è mai emerso un solo nominativo dei soggetti potenzialmente interessati e che lo stesso Garante dà atto della “impenetrabilità dei dati” trattati dall’INPS, ma nondimeno l’Istituto viene sanzionato perché l’attività di vigilanza posta in essere avrebbe avuto “impatto negativo in termini di immagine pubblica e riprovazione sociale sull’intera categoria composta da deputati e amministratori regionali e locali”.
Il risultato finale è che in questo caso l’Ordinamento ha protetto l’interesse ad evitare il rischio puramente ipotetico che potessero essere resi noti i nominativi di chi aveva illegittimamente percepito sovvenzioni pubbliche, a scapito dell’interesse a che venga efficacemente esercitata la funzione di vigilanza e controllo sull’erogazione dei contributi necessari in un contesto emergenziale. Il risultato, anche ammesso che possa mai discendere da operazioni che possano ritenersi ermeneuticamente corrette, ci sembra in ogni caso inaccettabile sul piano etico e civile, prima ancora che propriamente giuridico, e impone l’apertura di una riflessione critica sulle possibili opzioni interpretative o, se del caso, sulle stesse scelte valoriali effettuate dal legislatore ove l’interpretazione data dal Garante dovesse ritenersi corretta.
Sempre in tema di erogazione di bonus covid, sotto forma di buoni spesa alimentari, può essere parimenti ricordato il caso della sanzione comminata al Comune di Palermo per non aver adottato adeguate misure tecniche e organizzative per attuare in modo efficace la protezione dati. Per coadiuvare i richiedenti a inserire nella piattaforma informativa “Centrale Unica Aiuti Alimentari” la dichiarazione necessaria all’erogazione dei sussidi previsti, il Comune si era avvalso del supporto di soggetti esterni (enti del terzo settore, sindacati, parrocchie - OPT) dislocati strategicamente a coprire l’intero territorio cittadino, fornendo un codice di accesso distinto per ogni OPT, ma senza fornire specifiche credenziali per i singoli operatori da autorizzare presso ciascun OPT per l’accesso alla piattaforma. In questo modo, ogni operatore che si avvicendava nella turnazione del servizio aveva la possibilità di accedere ai dati personali dei richiedenti pur non avendo mai ricevuto una specifica autorizzazione al trattamento dati. Il servizio viene cautelativamente sospeso dal Comune non appena ricevuta dal Garante la notifica della violazione. Per il fatto di aver utilizzato una piattaforma informatica priva delle necessarie misure tecniche e organizzative tali da assicurare un’adeguata tutela dei diritti e delle libertà degli interessati, verrà successivamente comminata una sanzione pecuniaria pari a 40.000 euro, pur prendendo atto della sussistenza della “necessità di provvedere con urgenza per fronteggiare il profondo disagio socioeconomico causato dalla pandemia da Covid 19 avendo il Comune dichiarato che nei mesi di marzo/aprile la chiusura improvvisa e assoluta di tutte le attività aveva messo la popolazione nell’impossibilità di provvedere a se stessa (e che) la situazione rischiava di diventare insostenibile per ripetuti episodi in varie città italiane tra cui Palermo di attacchi ai supermercati ed istigazione alla rivolta per la fame che cominciava a serpeggiare tra la popolazione più colpita” (GPDP, ordinanza ingiunzione n. 140 del 15 aprile 2021).
5.3.- Il registro lobbisti e la pubblicazione delle sentenze
Altro terreno scivoloso è senz’altro quello della trasparenza amministrativa, nel quale il contrasto tra esigenze di conoscibilità e di riservatezza è praticamente frontale.
Al pari del principio di buon andamento e imparzialità[24], anche quello di trasparenza non è un principio generale come un altro, ma è un principio caratterizzante l’attività di diritto amministrativo nel senso che vale a distinguerla da quella tipica dei soggetti di diritto privato. Il principio conforma i canoni fondamentali dell’attività in maniera differente da quelli propri dell’attività retta dal diritto privato, facendo gravare sulla pubblica amministrazione l’obbligo di rendere conoscibili tanto le ragioni per cui assume una determinata decisione (attraverso la motivazione), quanto la decisione stessa una volta presa (attraverso la pubblicità delle medesima). Si tratta di tutt’altra cosa rispetto agli obblighi di correttezza e buona fede che gravano sui soggetti privati nelle trattative, nella formazione e nell’esecuzione del contratto. In linea generale, questi sono obblighi di comportamento che impongono di agire in maniera seria e leale e di non nascondere informazioni che possono fuorviare la formazione della volontà contrattuale altrui[25]. Altro è rendere conoscibile il processo di formazione della volontà propria e della generalità delle proprie determinazioni.
Sotto questo profilo, appaiono esemplari due vicende maturate con riferimento al problema del trattamento sub specie di pubblicazione degli atti per finalità di trasparenza amministrativa.
La prima è quella del registro dei lobbisti[26]. Il Ministro dell’ambiente (oggi della transizione ecologica) pro tempore decida di adottare quello che viene gergalmente definito il registro dei lobbisti; ovvero di rendere pubblica l’agenda degli incontri dei dirigenti ministeriali con i portatori di interessi, al fine di promuovere un maggiore livello di trasparenza nei processi decisionali di competenza. La disposizione viene introdotta nel Codice di comportamento dei dipendenti del Ministero, approvato con apposito decreto ministeriale, prevedendo appunto che l’Agenda pubblica degli incontri con i portatori di interessi venga “pubblicata sul sito web del Ministero, in una sezione dedicata di “Amministrazione trasparente” ed è aggiornata ogni due settimane, entro il termine della settimana successiva a quelle a cui si riferisce la dichiarazione, per i Capi Dipartimento e per i Direttori Generali, e con cadenza mensile, entro il 10 del mese successivo al periodo a cui si riferisce la dichiarazione, per i dirigenti di Divisione. 5. L’Agenda riporta le seguenti informazioni: a) luogo, data, ora e durata dell’incontro; b) soggetto che ha formulato la richiesta; c) oggetto dell’incontro; d) partecipanti all’incontro; e) documentazione consegnata ovvero trasmessa anche successivamente”. Dunque, il Ministro pro tempore, così come il suo successore, così come già fatto dalla Camera dei deputati e dal Senato della repubblica, come previsto dal diverse leggi o statuti regionali o come fatto di recente anche dalla Commissione e dal Parlamento europeo con l’Accordo interistituzionale siglato lo scorso mese di maggio, ritengono che risponda a finalità di pubblico interesse rendere pubblici gli incontri con i soggetti portatori d’interesse che vengono ricevuti in ragione dell’ufficio pubblico rivestito. Ritengono dunque la misura utile e necessaria per garantire un più elevato livello di trasparenza dei processi decisionali e ne fanno oggetto di una norma che viene resa pubblica e inserita nel Codice di comportamento del personale approvato con decreto ministeriale.
Avviene però che il Garante apra un procedimento sanzionatorio anche in tal caso, contestando la liceità del trattamento e la violazione del principio di minimizzazione in quanto la diffusione dei dati non sarebbe necessaria per le finalità perseguite[27].
Ora, si potrà anche effettivamente dubitare che l’atto a contenuto normativo rappresentato dal decreto ministeriale che approva il Codice di comportamento possa rappresentare una valida base giuridica ai sensi dell’art 6 del GDPR, specie ove questa venga interpretata restrittivamente[28]. Rimane il fatto che è l’essenza stessa della normazione sulla trasparenza amministrativa a rimanere vulnerata in tal caso.
Se nel caso del registro lobbisti può anche mettersi in dubbio che vi sia una base legale del trattamento sotto forma di pubblicazione, nessun dubbio può invece sussistere al riguardo nel caso della pubblicazione delle decisioni giurisdizionali, che si propone come una seconda vicenda emblematica
L’art. 52, comma primo, del vigente Codice della privacy dispone chiaramente che l’indicazione delle generalità e dei dati identificativi dell’interessato riportati sulla sentenza o provvedimento può essere oscurata solo se espressamente richiesto dalla parte interessata e purché sussista un legittimo motivo, ovvero anche d’ufficio se necessario per tutelare diritti o dignità degli interessati: “l’interessato può chiedere per motivi legittimi, con richiesta depositata nella cancelleria o segreteria dell’ufficio che procede prima che sia definito il relativo grado di giudizio, che sia apposta a cura della medesima cancelleria o segreteria, sull’originale della sentenza o del provvedimento, un’annotazione volta a precludere, in caso di riproduzione della sentenza o provvedimento in qualsiasi forma, l’indicazione delle generalità e dei dati identificativi dell’interessato riportati sulla sentenza o provvedimento”. Il comma 5 del medesimo articolo dispone poi che in ogni caso, a prescindere dalla suddetta annotazione, va omessa l’indicazione di “generalità, altri dati identificativi o altri dati anche relativi a terzi dai quali può desumersi anche indirettamente l’identità di minori, oppure delle parti nei procedimenti in materia di rapporti di famiglia e di stato delle persone” e relativamente alle persone offese da atti di violenza sessuale; e il successivo comma 7 chiarisce che “fuori dei casi indicati dal presente articolo è ammessa la diffusione in ogni forma del contenuto anche integrale di sentenze e altri provvedimenti giurisdizionali”. Nessun dubbio può quindi esservi sul fatto che il trattamento dati sotto forma di pubblicazione abbia una chiara base legale; sul fatto che la regola generale è che le decisioni vanno pubblicate senza oscurare i dati personali, sul fatto che l’oscuramento dei dati “dai quali può desumersi anche indirettamente l’identità” è possibile solo nell’ipotesi dei dati particolari o sensibili riguardanti l’identità di minori o rapporti di famiglia o di stato delle persone.
Nonostante il chiaro disposto della norma primaria di legge[29], si è tuttavia ampiamente diffusa nella prassi l’interpretazione volta a generalizzare per tutti i dati personali il regime che è invece previsto per i soli dati cd “sensibili”, con l’effetto di oscurare senza motivo non solo i dati identificativi delle persone, ma sempre più spesso gli stessi dati identificativi dei provvedimenti giurisdizionali e a volte persino dell’organo giudicante[30].
Questo oscuramento pregiudica e compromette in maniera arbitraria e del tutto ingiustificata l’interesse alla piena conoscenza delle decisioni giurisdizionali tanto degli operatori e degli studiosi del diritto, quanto della collettività di per sé considerata. Il fatto è di una gravità inaudita, se solo si considera che l’effetto di rendere non intellegibili tanto la decisione in quanto tale, quanto il caso al quale essa si riferisce, elimina la possibilità di controllo democratico da parte della società civile su una delle forme fondamentali di esercizio della sovranità popolare[31].
Merita di essere segnalato al riguardo che questa distorta prassi interpretativa della normativa sulla protezione dei dati personali è stata di recente stigmatizzata dall’Associazione Italiana dei Professori di Diritto Amministrativo, che ha pubblicato anche un vero e proprio appello per sollecitare l’adozione delle iniziative più opportune volte a far cessare quanto prima la sopra descritta prassi contra legem e a rimuoverne gli effetti, atteso il pregiudizio che tale prassi arreca alla piena conoscenza e conoscibilità del dato giudiziario con la sua sottrazione al controllo democratico della collettività e alla piena utilizzazione da parte di studiosi ed operatori del diritto[32].
Due vicende emblematiche dunque in cui l’interesse alla protezione dei dati personali compromette e vanifica la quintessenza del principio di trasparenza, sottraendo alla possibilità di controllo democratico o anche degli stessi operatori del settore la comprensibilità e conoscibilità della formazione delle decisioni pubbliche e dei contenuti delle medesime.
5.4.- Vaccinazioni e green pass.
E’ notoria la periodica denuncia da parte degli operatori sanitari e degli amministratori del fatto che l’applicazione delle norme sulla privacy ha fortemente ostacolato l’efficienza dell’azione di contrasto dell’evento pandemico[33].
Ci si può limitare a ricordare sotto questo profilo i tratti salienti della vicenda dell’introduzione e dell’uso dei certificati verdi (cd green pass)[34].
Nelle more dell’adozione di una normativa europea volta a disciplinare l’uso del green pass, che interverrà solo nel mese di giugno 2021 con l’entrata in vigore del Regolamento UE 2021/953, il decreto legge 22 aprile 2021 n. 52 dispone misure urgenti per contenere e contrastare l’emergenza epidemiologica da Covid 19 con riferimento agli spostamenti sul territorio nazionale, alle modalità di svolgimento degli spettacoli aperti al pubblico, eventi sportivi, fiere e congressi prevedendo l’introduzione dello strumento delle certificazioni verdi o green pass. Il 23 aprile 2021 il Garante adotta un provvedimento di avvertimento rivolto ai soggetti coinvolti nell’attuazione del decreto legge, nel quale afferma di ritenere che esso “non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi”. Tra le principali ragioni addotte, il fatto che il trattamento dei dati personali non appare proporzionato rispetto all’obbiettivo di interesse pubblico perseguito perché non sono specificate le finalità per le quali possono essere utilizzate le certificazioni e il fatto che i dati riportati nella certificazione consentirebbero alle persone preposte ai controlli di conoscere se il possessore è un soggetto vaccinato, guarito o se ha fatto semplicemente un test negativo. I rilievi, si badi, non sono rivolti nei confronti di un atto amministrativo, ma verso un atto avente forza e valore di legge che nondimeno si ritiene non rappresenti una valida base giuridica per il trattamento perché questo è ritenuto sproporzionato rispetto all’interesse pubblico perseguito.
L’avvertimento è puntualmente ripetuto nei confronti dell’ordinanza n. 17 del 6 maggio 2021 adottata dal Presidente della Regione Campania in attuazione delle disposizioni del dl 52/2021 e delle "Linee guida per la ripresa delle attività economiche e sociali", approvate 28 aprile 2021 dalla Conferenza delle Regioni e delle Province autonome, che aveva esteso l’impiego della certificazione verde “per assicurare l’accoglienza sicura e la promozione della fruizione in sicurezza dei diversi servizi - turistici, alberghieri, di wedding, trasporti, spettacoli, etc.– anche attraverso facilitazioni all’accesso dei servizi e/o deroghe alle misure di sicurezza più restrittive, relative al contingentamento delle presenze e al distanziamento interpersonale”.
Stessa sorte, sempre per lo stesse motivazioni, tocca alla Provincia autonoma di Bolzano che, alla luce di quanto disposto dal decreto-legge 22 aprile 2021, n. 52, con ordinanze del 23 aprile 2021 e del 21 maggio 2021 aveva previsto l’introduzione della certificazione verde “quale misura di sanità pubblica per il contenimento della diffusione del virus Sars CoV-2, al fine di garantire la ripresa graduale delle attività economiche e sociali e “in attesa di eventuali disposizioni emanate a livello centrale” come misura necessaria per svolgere l’ attività di ristorazione al chiuso; per l’accesso alle strutture ricettive; per le attività addestrative e corsi di formazione dei Vigili del fuoco, sia volontari che permanenti, di tutti i collaboratori e soci attivi componenti delle organizzazioni di volontariato facenti parte delle strutture operative della protezione civile provinciale; per l’accesso ai locali delle attività commerciali; in particolare le persone in grado di esibire una certificazione verde possono utilizzare mascherine chirurgiche in luogo delle mascherine FFP2; per l’accesso a spettacoli al chiuso in sale teatrali, sale da concerto, sale cinematografiche e in altri luoghi accessibili al pubblico; per l’accesso a fiere, convegni e congressi che si svolgono al chiuso; per l’accesso a esibizioni, spettacoli di cori e bande che si svolgono al chiuso; per l’accesso a musei al chiuso; per l’accesso a feste al chiuso conseguenti a cerimonie; per l’accesso a sale giochi, sale scommesse, sale bingo e casinò al chiuso; attività al chiuso di palestre, centri fitness e centri sportivi; per l’utilizzo di docce e spogliatoi siti in locali al chiuso; per l’attività dei centri benessere e dei centri termali (Cfr Provvedimento di limitazione definitiva in merito ai trattamenti previsti dalla Provincia autonoma di Bolzano in tema di certificazione verde per Covid 19, n. 244 del 18 giugno 2021).
Sempre sul presupposto che il decreto legge non costituisse una valida base giuridica per l’introduzione e l’utilizzo delle certificazioni verdi a livello nazionale, con provvedimento del n. 224 del 3 giugno 2021 l’Autorità Garante ritiene di dover intervenire “urgentemente per tutelare i diritti e le libertà degli interessati”, inibendo l’utilizzo dell’App Mitiga Italia finalizzato ad attestare il possesso delle condizioni oggetto anche delle certificazioni verdi Covid-19 ai fini della partecipazione ad eventi sportivi e ad altre manifestazioni pubbliche, già impiegata in occasione dell’evento calcistico “Finale Coppa Italia TIM Vision 2020/2021” svoltosi il 19 maggio 2021 al fine di consentire l’accesso al Mapei Stadium di Reggio Emilia.
Anche il parere favorevole che viene successivamente reso sul DPCM di attuazione della piattaforma nazionale DCG per l’emissione, il rilascio e la verifica del Green Pass del 9 giugno 2021, viene reso “a condizione che in sede di conversione in legge del d.l. n. 52/2021 … siano specificamente definite le finalità del trattamento e sia introdotta una riserva di legge statale per l’utilizzo delle certificazioni per attestare l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare …”. Nelle motivazioni del parere, il Garante precisa che “le certificazioni attestanti l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare non possano essere ritenute una condizione necessaria per consentire l’accesso a luoghi o servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici se non nei limiti in cui ciò è previsto da una norma di rango primario, nell’ambito dell’adozione delle misure di sanità pubblica necessarie per il contenimento del virus SARS-CoV-2”; che come “misura di sanità pubblica richiesta per accedere ad alcune tipologie di eventi/luoghi” può essere ritenuta proporzionata “solo qualora sia prevista la presenza di un numero di partecipanti superiore a una soglia determinata, da individuare anche in funzione della tipologia di attività svolta” e che non può operare “per quelle attività che comportano l’accesso a luoghi in cui si svolgono attività quotidiane (es. ristoranti, luoghi di lavoro, negozi, ecc.) o a quelli legati all’esercizio di diritti e libertà fondamentali (es. diritto di riunione, libertà di culto, ecc.)”.
In sede di conversione del dl 52/2021, con l’inserimento del comma 10 bis nell’art 9, il legislatore ha poi effettivamente ritenuto di circoscrivere l’uso delle certificazioni verdi “esclusivamente ai fini di cui agli articoli 2, comma 1, 2-bis, comma 1, 2-quater, 5, 8-bis, comma 2, e 9-bis del presente decreto, nonche' all'articolo 1-bis del decreto-legge 1° aprile 2021, n. 44, convertito, con modificazioni, dalla legge 28 maggio 2021, n.76”, ma ciò non esime dall’osservare che, prima che il legislatore avesse consumato una tale opzione, viene ritenuto illecito il trattamento contemplato da un atto avente forza e valore di legge e da atti a contenuto normativo adottati sulla base del primo. Il giudice del bilanciamento, tra l’interesse alla protezione dei dati personali e l’interesse pubblico primario che il legislatore abbia ritenuto di tutelare in un dato momento, è la Corte costituzionale o il Garante per la protezione dei dati personali ? [35] .
In tema si può ricordare anche il Provvedimento di avvertimento n.273 del 22 luglio 2021, adottato dal Garante nei confronti del Presidente della Regione Siciliana e soggetti pubblici e privati coinvolti nelle misure previste con l’ordinanza n 75 del 7 luglio 2021.
Con tale ordinanza il Presidente della Regione Siciliana ha introdotto sul territorio regionale “Ulteriori misure per l’emergenza epidemiologica da Covid-19”, “al fine di conseguire celermente nel territorio della Regione Siciliana uno standard di vaccinazione non inferiore alla quota percentuale dell’80% per tutti i target anagrafici individuati a livello nazionale” e “tenuto conto del rischio di diffusione del virus nella variante comunemente nota come “Delta”. A tal fine l’ordinanza ha disposto una “ricognizione del personale non vaccinato operante nelle Pubbliche Amministrazioni e preposto ai servizi di pubblica utilità e ai servizi essenziali di cui alla legge n. 146 del 12 giugno 1990”, da effettuare con modalità che, si badi, non richiedono l’indicazione nominativa del personale. L’ordinanza prevede infatti che le aziende sanitarie debbano provvedere alla “ricognizione aggiornata del numero dei dipendenti che non si sono ancora sottoposti alla vaccinazione” mediante apposito interpello a tutti gli Enti pubblici operanti nel territorio della Regione Siciliana(comma 1); che all’esito di tale ricognizione “tutti coloro che nell’esercizio dei propri compiti d’ufficio si trovino ad instaurare contatti diretti con il pubblico vengono formalmente invitati, per il tramite dei datori di lavoro, a ricevere la vaccinazione” (comma 2); che in caso di indisponibilità o di rifiuto di sottoposizione a vaccinazione, il datore di lavoro pubblico provvede, nei modi e termini previsti dal CCNL di categoria, “ad individuare per l’interessato una differente assegnazione lavorativa, ove possibile, che non implichi il contatto diretto del lavoratore con l’utenza esterna” (comma 2). SI prevede altresì che analoga attività ricognitiva debba essere effettuata “con riferimento al personale preposto ai servizi di pubblica utilità e ai servizi essenziali di cui alla legge n. 146 del 12 giugno 1990, nonché agli autotrasportatori e al personale delle imprese che assicurano la continuità della filiera agro-alimentare e sanitaria e agli equipaggi dei mezzi di trasporto” (comma 1).
Secondo il Garante, l’ordinanza presidenziale di una regione o di una provincia autonoma (e analogamente anche una circolare interpretativa) non rappresenta una valida base giuridica, alla luce delle caratteristiche richieste dalla disciplina di protezione dei dati (qualità della fonte, contenuti necessari, rispetto del principio di proporzionalità) per introdurre limitazioni ai diritti e alle libertà individuali che implichino il trattamento di dati personali, in quanto disciplina profili che ricadono nelle materie assoggettate alla riserva di legge statale; e l’ordinanza adottata nel caso di specie “non individua in modo corretto le distinte finalità del trattamento perseguite, i titolari del trattamento legittimati a perseguirle, i diversi presupposti di liceità su cui debbono fondarsi i trattamenti, nonché le misure volte ad assicurare il rispetto dei principi di protezione dei dati con particolare riferimento a quello di liceità, correttezza e trasparenza e di protezione dei dati fin dalla progettazione e per impostazione predefinita”. Sempre secondo il Garante, anche la previsione di eventuali determinazioni consequenziali in ordine all’assegnazione del lavoratore ad altra mansione per effetto dell’accertata inidoneità “siccome discendente dall'omessa effettuazione del vaccino” (cfr. circolare p. 3; e ordinanza), non appare conforme al quadro normativo in materia di protezione dei dati, alla disciplina in materia di sicurezza dei luoghi di lavoro nonché alle disposizioni introdotte nel periodo dell’emergenza epidemiologica in corso, comportando trattamenti in violazione degli artt. 5, 6, 9 del Regolamento e 2-ter e 2-sexies del Codice”.
Nelle more della chiusura delle presenti note, a poche settimane dalla riapertura delle scuole, analoga questione è aperta per la verifica del green pass da parte dei dirigenti scolastici per docenti, alunni e personale tecnico e amministrativo[36].
6.- Il trattamento per finalità di pubblico interesse.
6.1.- Opzioni interpretative.
I casi sopra esaminati rendono evidente come si sia venuta a creare una situazione senza precedenti nel nostro ordinamento, che consente al Garante d’intervenire nei confronti di qualsiasi altra pubblica amministrazione consumando un sindacato che sconfina chiaramente nel merito dell’azione amministrativa, mettendo in discussione la stessa necessarietà di una data azione per la finalità di cura del pubblico interesse. In una misura che di regola non è consentita né alla magistratura amministrativa, né a quella contabile, e che si spinge sino ad arrivare a sostituire il Giudice delle leggi nel giudizio sul bilanciamento tra interessi contrapposti che sia appunto operato da atti aventi forza e valore di legge.
Il tutto deriva in maniera sin troppo evidente da una lettura del GDPR che priva d’efficacia immediatamente precettiva la previsione recata dall’art. 6 lett. e), secondo la quale “l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” è una delle possibili basi giuridiche che consentono di ritenere lecito il trattamento; che presume l’esistenza di un divieto generalizzato del trattamento di qualsiasi dato personale, laddove il divieto è invece espressamente sancito dall’art. 9 unicamente per i dati particolari o sensibili; che applica indiscriminatamente e allo stesso modo le regole della minimizzazione, declinate dall’art. 5, ai soggetti tanto privati, quanto pubblici, senza minimamente considerare che le finalità perseguite da una qualsivoglia azione amministrativa sono note ab origine (in quanto connaturate ai compiti istituzionalmente propri ) e che pertanto, differentemente dai soggetti privati, non sussiste il problema di conoscere la finalità per la quale agisce il titolare.
L’apertura di una riflessione sulle possibili opzioni interpretative della normativa privacy concernente il trattamento per finalità di pubblico interesse appare pertanto doverosa per comprendere se un intervento così pervasivo, come s’è visto, sia effettivamente consentito o meno.
6.2.- L’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri come base giuridica di per sé valida per il trattamento dei dati comuni o ordinari.
Dalla lettura del GDPR emerge immediatamente come, nel caso il titolare del trattamento (cioè chi decide per quali “finalità” e con quali “mezzi” deve avvenire il trattamento) sia un’autorità pubblica, presupposti e modalità del trattamento si differenzino chiaramente da quelli che governano il trattamento operato da soggetti privati.
Il primo tratto saliente, come già sottolineato, riguarda proprio la possibile base giuridica del trattamento. Nel caso delle pubbliche amministrazioni, infatti, questa può esser data non solo dal consenso o dall’esistenza di un obbligo legale, ma anche dalla necessità del trattamento “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” [37].
La previsione può essere interpretata come pura e semplice norma di rinvio ai casi e ai modi in cui una specifica disposizione di legge debba consentire e disciplinare il trattamento dei dati personali per finalità di pubblico interesse, oppure come di per sé sufficiente a fondare la base giuridica del trattamento dei dati comuni o ordinari da parte della pubblica amministrazione se e in quanto ciò si renda necessario per provvedere alla cura in concreto dell’interesse pubblico.
La prima è quella che, almeno per il momento, sembrerebbe essersi affermata nella prassi applicativa, ma almeno tre buone ragioni rendono preferibile la seconda ipotesi.
La prima ragione è che, nell’art. 6 del GDPR, l’ipotesi della esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri individua una base giuridica diversa sia dal consenso, che dall’obbligo legale. La differenza è chiara rispetto alla ipotesi del consenso, ma deve avere senso anche con riferimento all’ipotesi dell’obbligo legale. Se il trattamento è lecito per esistenza di un obbligo legale, ciò significa che c’è una norma di legge che lo prevede come necessario e consuma la valutazione sotto questo profilo[38], rimanendo indifferente la natura pubblica o privata del soggetto tenuto all’osservanza dell’obbligo. Se il trattamento per l’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri è un requisito alternativo, ciò significa che la valutazione di necessarietà deve essere rimessa all’amministrazione procedente, alla quale la legge ha attribuito il potere di curare l’interesse pubblico in una data materia o per una determinata funzione. Diversamente interpretata, la disposizione non avrebbe senso, perché sarebbe interamente assorbita nell’ipotesi dell’obbligo legale. E d’altronde, se fosse stato questo l’effetto voluto, la norma sarebbe stata scritta molto più semplicemente limitandosi a prevedere che, oltre alle ipotesi di consenso dell’interessato, il trattamento può ritenersi lecito nei soli casi e modi previsti dalla legge; senza distinguere tra le due ipotesi dell’adempimento dell’obbligo legale e del perseguimento di finalità di cura del pubblico interesse.
La seconda buona ragione risiede nel fatto che il GDPR vieta esplicitamente, all’art. 9, soltanto il trattamento dei dati particolari o sensibili, che rivelino cioè “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, … dati genetici, dati biometrici … dati relativi alla salute o alla vita sessuale o all’orientamento sessuale”[39]. Ciò significa che, in linea di principio, il trattamento dei dati comuni o ordinari non è di per sé vietato, ma deve ritenersi lecito se sussista una delle basi giuridiche indicate dal GDPR, tra le quali figura a pieno titolo, oltre al consenso, anche l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. In questo modo, si badi, si attribuisce anche un più preciso significato, sul piano logico e sistematico, proprio alla esplicita previsione del divieto soltanto per le categorie particolari. Il divieto di trattamento non è generale. Non c’è un generale divieto di trattamento dei dati personali, che verrebbe soltanto rinforzato nel caso dei dati sensibili o particolari. Al contrario, c’è una generale previsione di liceità alle condizioni previste dall'art 6 del GDPR, tra le quali figura a chiare lettere l’ipotesi della necessità per la cura del pubblico interesse.
La terza buona ragione, per ritenere lecito il trattamento dei dati comuni o ordinari da parte della pubblica amministrazione se e in quanto esso si renda necessario per provvedere alla cura in concreto dell’interesse pubblico, si risolve nel ricordare che finalità perseguita dal GDPR non è stata quella di vietare, ma di consentire la libera circolazione dei dati in ambito comunitario[40].
L’interpretazione letterale e sistematica delle norme del GDPR non offre dunque valide ragioni per far ritenere superato quanto pacificamente ritenuto prima delle modifiche introdotte dal d lgs 101/2018 al Codice della privacy, in ordine alla possibilità di trattare dati personali comuni da parte di soggetti pubblici anche in mancanza di una norma di legge che lo preveda espressamente[41]. Al contrario, si può correttamente ravvisare nello stesso art. 5 la base giuridica sufficiente per rientrare nel rispetto del principio di legalità dell’azione amministrativa e del “fondamento legittimo previsto dalla legge” richiesto per il trattamento dei dati personali dall’art 8 della Carta dei diritti fondamentali UE, nel senso di consentire alla pubblica amministrazione di trattare i dati semplici o ordinari, per i quali non c’è un esplicito divieto di trattamento, per finalità d’interesse pubblico; e di ricondurre in tal caso nell’ambito e nei limiti del principio di proporzionalità dell’attività amministrativa le previsioni recate dall’art. 6 per il trattamento dei dati ordinari o semplici.
6.3.- Le declinazioni del principio di minimizzazione.
Il favor manifestato dal legislatore nazionale[42] con l’art 2 ter del Codice per una interpretazione restrittiva dell’ipotesi della lett e) dell’art 6 del GDPR conduce comunque a spostare e concentrare l’attenzione sull’applicazione del principio di minimizzazione nei confronti della pubblica amministrazione.
Le regole dettate dall’art. 5 del GDPR sono sicuramente congeniali al sistema allorquando presuppone il consenso dell’interessato quale base giuridica del trattamento oppure lo consente come eccezione al divieto di trattamento. Entrambe le circostanze impongono necessariamente al titolare di chiarire per quale specifica finalità vengono raccolti. Nel caso del consenso è evidente che esso non può essere validamente dato dall’interessato “in bianco”, per qualsivoglia uso o finalità cui non si presti espressamente il consenso[43], e, se non venisse espressamente specificata, questa non sarebbe del resto nemmeno nota. E le regole della minimizzazione impongono al titolare di usarne nei limiti di quanto strettamente necessario per la specifica finalità dichiarata perché questi, diversamente, non sarebbe tenuto a comportarsi in tal modo. Lo stesso è a dirsi se si tratta di superare l’esplicito divieto posto per il trattamento dei dati sensibili o particolari, ritenuto lecito solo alle più stringenti condizioni previste dal comma secondo dell’art 9.
Assolutizzare o applicare acriticamente o in maniera eccessivamente restrittiva le regole della minimizzazione non ha però senso se la finalità (pubblica) perseguita rappresenta già di per sé la base giuridica del trattamento, se l’azione del titolare nasce cioè già a monte come istituzionalizzata al perseguimento di quella determinata finalità d’interesse pubblico che gli è stata attribuita dal legislatore; e se il titolare è già di per sé istituzionalmente tenuto ad osservare il principio di proporzionalità dell’azione amministrativa imperativa per il quale ogni trattamento, anche se lecito, implica un sacrificio del diritto che deve pertanto essere sempre contenuto nella misura minima possibile.
Richiedere di dettagliare la finalità specificamente perseguita e valutare se il trattamento è effettivamente necessario al fine dichiarato ha senso nei confronti di un soggetto privato, che altrimenti non ha alcun onere di rendere noti i motivi per i quali agisce e che non è tenuto all’osservanza di un principio di proporzionalità della propria azione; ma non ha senso se il soggetto titolare è una pubblica amministrazione che agisce istituzionalmente per finalità predeterminate dalla legge e nell’osservanza del principio di proporzionalità. Richiedere di dettagliare ulteriormente la finalità specificamente perseguita, quando il soggetto titolare è una pubblica amministrazione, ha unicamente l’effetto di duplicare l’operatività del principio di legalità nei suoi confronti con il conseguente intollerabile aggravamento procedimentale.
6.4.- Altre indicazioni del GDPR
Che il perseguimento della finalità di cura del pubblico interesse istituzionalmente attribuita ad una data pubblica amministrazione dal legislatore sia base giuridica di per sé sufficiente per il trattamento dei dati ordinari o comuni, senza che vi sia quindi necessità di una ulteriore previsione legislativa che autorizzi il trattamento del dato comune o ordinario specificandone in dettaglio finalità perseguita e necessità a tal fine, è del resto sottolineato anche da diverse altre previsioni del GDPR.
L’alternativa tra necessità per la cura del pubblico interesse e base legale tipica è chiaramente riproposta anche nel par. 3 dell’art. 6 per la determinazione della finalità del trattamento, laddove la determinazione ricavata dalla base giuridica del trattamento consistente in una norma di diritto dell’Unione o dello Stato membro si contrappone appunto al fatto che la finalità possa ricavarsi anche direttamente dalla stessa necessità per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
Si può inoltre ricordare quanto chiarito dai Considerando 41 e 45, i quali precisano, rispettivamente, che “qualora il presente regolamento faccia riferimento a una base giuridica o a una misura legislativa , ciò non richiede necessariamente l’adozione di un atto legislativo da parte di un parlamento, fatte salve le prescrizioni dell’ordinamento costituzionale dello Stato membro interessato” (C. 41); e che “Il presente regolamento non impone che vi sia un atto legislativo specifico per ogni singolo trattamento” e che “Un atto legislativo può essere sufficiente come base per più trattamenti effettuati conformemente a un obbligo giuridico cui è soggetto il titolare del trattamento o se è necessario per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri” (C. 45).
Soprattutto, non va dimenticato che, nel disciplinare un istituto assolutamente centrale nel sistema disegnato per la tutela del diritto al trattamento dei dati personali, qual è il diritto all’oblio, l’art 17 si preoccupa di precisare che il diritto dell’interessato di ottenere dal titolare del trattamento la cancellazione dei dati personali quando questi “non sono più necessari rispetto alle finalità per le quali sono stati raccolti o trattati” non sussiste nei casi in cui il trattamento è necessario “per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento”. Previsione, quest’ultima, che conferma chiaramente come la valutazione di stretta necessarietà del trattamento rispetto al fine perseguito sfugga alla disponibilità dello stesso interessato se effettuata dalla pubblica amministrazione nell’esercizio di pubblici poteri o per l’esecuzione di un compito svolto nel pubblico interesse e si sottrae pertanto ad una applicazione del principio di minimizzazione che non sia riconducibile allo schema logico del principio di proporzionalità.
7.- Osservazioni conclusive.
Le osservazioni conclusive della presente riflessione devono muovere innanzi tutto dalla considerazione di quanto messo in evidenza dai casi in precedenza esaminati. In alcuni di essi, il trattamento è stato qualificato illecito anche se fondato su una norma avente forza e valore di legge. In altri, il trattamento è stato qualificato illecito perché si è asserita la insussistenza dei presupposti per provvedere alla cura dell’interesse pubblico. La possibilità di qualificare illeciti i trattamenti in ipotesi siffatte va però sicuramente esclusa perché, come si è chiarito, il bilanciamento tra gli interessi va riservato in primis al legislatore e, una volta operato, può essere sindacato sotto il profilo della ragionevolezza unicamente dal Giudice delle leggi. E così la valutazione della necessità di provvedere alla cura dell’interesse pubblico spetta in primis alla pubblica amministrazione ed è insindacabile sotto il profilo della discrezionalità amministrativa. Tanto dall’autorità giurisdizionale, quanto, a maggior ragione, da altra autorità amministrativa cui non sia stato espressamente attribuito tale potere.
Sfruttando il varco aperto dalla scelta restrittiva operata dal legislatore nazionale con l’art. 2 ter del Codice della protezione dei dati personali, più o meno sottili o raffinate operazioni esegetiche possono però effettivamente consentire di prospettare, sempre nei casi esaminati, l’avvenuta violazione dei principi di minimizzazione, di esattezza, della privacy by design e by default, del mancato coinvolgimento del responsabile per la protezione dati e via dicendo. Ammesso e non concesso che tali interpretazioni siano effettivamente possibili, ovvero possano ritenersi corrette sul piano ermeneutico, e a maggior ragione nel caso dovessero esserlo[44], bisognerebbe in tal caso aprire una riflessione sul risultato di queste operazioni esegetiche in termini valoriali.
I casi sopra esaminati dimostrano infatti che tali interpretazioni comportano innanzi tutto un sostanziale svuotamento del principio di trasparenza dell’azione amministrativa. L’interesse alla protezione dei dati personali non solo giustifica l’oscuramento dell’attività degli uffici pubblici, ma giunge sino al punto di nascondere e di rendere incomprensibili o non intellegibili anche e proprio le decisioni che sono rese “in nome del Popolo italiano”, quali sono le pronunce giurisdizionali. Se l’evoluzione della privacy da “right to let be alone” a diritto al trattamento dei dati personali è servita a patrimonializzare il diritto di riservatezza per consentirne l’uso da parte dei big data e a riposizionare il nucleo duro della riservatezza solo laddove ve ne sarebbe minor ragione, e cioè nell’ambito pubblico, dove la regola è quella della trasparenza e della conoscibilità, il risultato sarebbe paradossale. Se l’attuazione del DPGR serve a rendere disponibile il diritto da parte di soggetti privati e imprese, che vengono autorizzati all’uso economico dei dati personali in base ad un consenso che risulta prestato secondo formule di rito standardizzate e non negoziabili, e a rendere per converso indisponibile in ambito pubblico anche il trattamento dei dati comuni e ordinari, il risultato appare francamente inaccettabile.
Le esperienze maturate nel mezzo dell’emergenza pandemica, dal canto loro, mostrano che una incondizionata e acritica tutela del diritto alla protezione dei dati personali, finalizzata ad evitare che i dati personali corrano il rischio di essere trattati senza il debito consenso, in termini valoriali si contrappone e prevale sul rischio sicuramente più grave e certo corso dal diritto alla salute di ogni singolo individuo e della intera collettività, così come da altri diritti e libertà fondamentali dell’individuo.
Nel contesto di una situazione e di una legislazione emergenziali, l’interesse alla protezione dei dati personali ha arrestato o ritardato l’erogazione dei sussidi e i relativi controlli, così come l’adozione delle stesse misure di contrasto dell’evento pandemico. Specie sotto quest’ultimo profilo, si deve ricordare che la normazione emergenziale di contrasto dell’evento pandemico ha non solo messo a rischio, ma ha concretamente limitato, con effetti gravi, immediati e diretti, anche altri diritti e libertà fondamentali dell’individuo, di maggiore o certamente non minore dignità quali la libertà personale, di circolazione, di riunione, di culto, d’impresa, il diritto all’istruzione, al giusto processo, al lavoro. Il problema di validità della normazione emergenziale si è posto in termini generali, sotto il profilo costituzionale, nei confronti delle suddette libertà e diritti fondamentali, e non si è mai seriamente dubitato del fatto che un decreto legge potesse comprimere diritti e libertà fondamentali dell’individuo in un contesto emergenziale [45]. Se n’è anzi sovente auspicato l’impiego in luogo del ricorso alla forma del DPCM[46], nemmeno questa comunque di per sé censurata dalla Corte costituzionale allorquando si è espressa sulla costituzionalità del sistema articolato sulla introduzione delle misure di contrasto all’epidemia da parte di decreti legge e sull’affidamento a successivi d.P.C.m. della graduazione di esse sul territorio nazionale [47]. In ogni caso, nell’ambito dell’Ordinamento giuridico, il problema si è posto sul piano più generale per la tutela dei diritti e delle libertà fondamentali e non solo per la privacy[48].
Non è pertanto concepibile che, in un contesto emergenziale, il diritto alla protezione dei dati personali si muova in una dimensione a sé stante, sottratta alla possibilità che, al pari delle altre libertà e diritti fondamentali dell’individuo, possa essere limitato e condizionato dall’esigenza di protezione del pubblico interesse. Per contro, la sopra ricordata prassi interpretativa ha praticamente configurato il diritto alla protezione dei dati personali come un super diritto fondamentale, indisponibile da parte della pubblica amministrazione nemmeno nell’ambito di un contesto emergenziale.
L’esperienza maturata nel contesto pandemico appare pertanto significativa perché, al di là della “aggravante” del contesto emergenziale, ha reso esplicito che l’applicazione acritica e incondizionata dalla normativa privacy alla pubblica amministrazione entra in conflitto con l’area delle valutazioni discrezionali rimesse alla pubblica amministrazione per la cura dell’interesse pubblico nel concreto dei casi di specie. Il sindacato del Garante ha infatti finito con il riguardare quasi sempre la valutazione della necessità o meno di una data attività per la cura del pubblico interesse e quindi in ultima analisi l’opportunità stessa dell’azione amministrativa. Sindacare la strumentalità del trattamento dei dati personali rispetto alla finalità di cura del pubblico interesse significa infatti sindacare la necessità o meno di una determinata azione per la cura dell’interesse pubblico ed implica muoversi sul crinale del merito delle decisioni amministrative, il cui sindacato è di regola sottratto alla cognizione persino del giudice amministrativo.
La sensazione, ma è più che una sensazione, è che si stia imponendo una prassi che considera la privacy un interesse indisponibile da parte della pubblica amministrazione, di rilevanza talmente pervasiva da poter determinare o l’arresto del procedimento amministrativo nell’ambito del quale deve essere considerato o comunque un condizionamento tale da pregiudicare l’efficacia dell’azione amministrativa. L’intervento dell’Autorità garante viene ormai considerato alla stregua di un nulla osta generalmente richiesto nei procedimenti amministrativi. In maniera peraltro non surrogabile. In manifesta controtendenza rispetto alle misure di semplificazione volte a recuperare l’efficienza amministrativa che hanno reso disponibili, per le amministrazioni procedenti, interessi pubblici di ben altro spessore attraverso il continuo aggiustamento della disciplina della conferenza di servizi decisoria o la previsione di meccanismi comunque sostitutivi; così come rispetto alle misure espressamente volte a rimuovere la “paura della firma” del decisore pubblico attraverso la limitazione della responsabilità erariale, con l’esclusione della colpa grave, o della responsabilità penale, con la mitigazione dell’abuso d’ufficio[49].
Una acritica applicazione del principio di minimizzazione all’operato delle pubbliche amministrazioni che richieda una specifica previsione di legge per ogni singolo trattamento, mezzi e finalità comprese, porta inevitabilmente a far sì che le valutazioni sulla stretta necessarietà del trattamento rispetto al fine perseguito vengano a confliggere con l’area delle valutazioni discrezionali riservate alla pubblica amministrazione ed espongono il decisore pubblico ad un potere sanzionatorio libero di esplicarsi senza che vi sia pena certa, previa e chiara. Come già detto, ciò finisce con il condizionare pesantemente l’esercizio della funzione amministrativa, disorientando il decisore pubblico e rialimentando quella paura della firma che troppo spesso determina il blocco dell’azione amministrativa, con gravissime conseguenze sull’efficacia della medesima.
Pare dunque doveroso quantomeno interrogarsi sulla correttezza delle interpretazioni comunemente seguite nell’applicazione della normativa privacy nei confronti della pubblica amministrazione e prendere in considerazione la possibilità che siano date anche altre opzioni interpretative, diverse da quella che impone l’assoluto e incondizionato rispetto del diritto da parte della pubblica amministrazione e che di fatto consente di irrogare sanzioni sindacando ex post il merito delle scelte amministrative. Allo stato questa possibilità sussiste e la strada passa innanzi tutto attraverso la valorizzazione della piena efficacia immediatamente precettiva della previsione recata dall’art. 6 lett. E) del GDPR, secondo la quale “l’esecuzione di un compito svolto nel pubblico interesse oppure ..l’esercizio di pubblici poteri di cui è investito il titolare del trattamento” rappresenta una valida base giuridica del trattamento dei dati personali (ordinari o comuni); e in secondo luogo attraverso una interpretazione necessariamente più elastica delle regole della minimizzazione indicate dall’art. 5 del GDPR, sicuramente congeniali al sistema se la base giuridica del trattamento è il consenso o se si muove da situazione di divieto, com’è per i dati particolari o sensibili, ma priva di senso se il titolare è già di per sé istituzionalmente tenuto ad agire unicamente per finalità di pubblico interesse e ad osservare il principio di proporzionalità nella propria azione. Diversamente, l’Autorità Garante sarà destinata inevitabilmente ad intervenire in tutti i procedimenti amministrativi come un’amministrazione generale di secondo livello, aggravando i processi decisionali pubblici in manifesta controtendenza con le misure di semplificazione e di accelerazione che si cerca di introdurre quanto più possibile nel nostro ordinamento per recuperare efficienza e efficacia dell’azione amministrativa.
[1] Per la nozione originaria e la sua evoluzione i riferimenti ormai classici sono S. Warren , L. Brandeis, The right to privacy, in Harvard law review, 4, 1890, 215 e S. Rodotà, Riservatezza, in Enciclopedia Italiana Treccani - VII Appendice, 2007. Per un quadro generale di sintesi dell’evoluzione per tutti v. G. Alpa, Principi e disposizioni generali. Art. 1. Oggetto, in R. D’Orazio, G. Finocchiaro, O. Pollicino, G. Resta (a cura di), Codice della privacy e data protection, Milano, 2021, 996 ss.
[2] Da ultimo v. O. Pollicino, M. Bassini, Art. 8 Protezione dei dati personali, in R. D’Orazio, G. Finocchiaro, O. Pollicino, G. Resta (a cura di), Codice della privacy e data protection, Milano, 2021, 38 ss. Ex multis v. anche G. Carullo, Trattamento di dati personali da parte delle pubbliche amministrazioni e natura del rapporto giuridico con l’interessato, in Riv it dir pubbl com., 2020, 141; cfr. anche G. Resta, Revoca del consenso ed interesse al trattamento nella legge sulla protezione dei dati personali, in Riv crit dir priv., 2, 2000, 329; G.P. Cirillo, Trattamento pubblico dei dati personale responsabilità civile della P.A., in Foro Amm., 1999, 11; F. Midiri, Il diritto alla protezione dei dati personali. Regolazione e tutela, Napoli, 2017, 126 ss.
[3] Ex multis in tema v. C. Colapietro, I principi ispiratori del regolamento UE 2016/679 sulla protezione dei dati personali e la loro incidenza sul contesto normativo nazionale, in Federalismi, 22/2018; F. Pizzetti, GDPR, Codice novellato e Garante all’epoca dei Big Data e dell’Intelligenza artificiale, in F. Pizzetti (a cura di), Protezione dei dati personali in Italia tra GDPR e codice novellato, Torino, 2021, 256 ss; G. D’Acquisto, F. Pizzetti, Regolamentazione dell’economia dei dati e protezione dei dati personali, in Il diritto commerciale, 1, Bologna, 2019; Zorzi - Galgano (a cura di), Persona e mercato dei dati. Riflessioni sul GDPR, Bologna, 2019; M. Maglio, Il valore economico dei dati personali: spunti per un’analisi economica della data protection, in M. Magli, M. Polini, N. Tilli (a cura di) Manuale di diritto alla protezione dei dati personali. La privacy dopo il regolamento UE 2016/679, Santarcangelo di Romagna, 2017, 79 ss.
[4] A. Romano, “L’ordinamento giuridico” di Santi Romano, il diritto dei privati e il diritto dell’amministrazione, in Dir. amm.,2/2011; D. Sorace, Diritto delle amministrazioni pubbliche. Una introduzione, Bologna, 2018, 30 ss.
[5] Tra i contributi più recenti per tutti v. A. Massera, I criteri di economicità, efficacia ed efficienza, in M.A. Sandulli (a cura di), Codice dell’azione amministrativa, 2° ed. Milano, 2017, 112 ss nonchè D.U. Galetta, Le fonti europee (Diritto UE e CEDU) e M. R. Spasiano, Il principio di buon andamento, entrambi in M. A. Sandulli (a cura di), Principi e regole dell’azione amministrativa, 3° ed., Milano, 2020, 9 ss e 63 ss.
[6] A.M. Sandulli, Il procedimento amministrativo, Milano, 1940 (rist. 1959), 85 ss; M.S. Giannini, Diritto amministrativo, II, Milano, 1970, II, 813 ss.
[7] Per tutti v. A. Police, Il dovere di concludere il procedimento e il silenzio inadempimento, in M.A. Sandulli (a cura di), Codice dell’azione amministrativa, cit., 275 ss ed ivi ulteriori riferimenti a dottrina e giurisprudenza.
[8] Cfr. F. Manganaro, Il principio di non aggravamento del procedimento amministrativo, in M.A. Sandulli (a cura di), Codice dell’azione amministrativa, cit., 261 ss ed ivi ulteriori riferimenti a dottrina e giurisprudenza.
[9] Per tutti v. F. Aperio Bella, L’istruttoria procedimentale, in M.A. Sandulli (a cura di ), Principi e regole, cit., 351 ss.
[10] Gli ultimi riferimenti sono offerti al momento dal d lgs 76/2020 e 77/2021 sulle cui norme, per la parte d’interesse ai fini del presente discorso, per tutti v. M.A Sandulli, Basta norme - trappola sui rapporti tra privati e PA o il Recovery è inutile, in Giustiziainsieme.it, 10 maggio 2021 e A. Bartolini, Il termine del procedimento amministrativo tra clamori di novità ed intenti di pietrificazione, in Giustiziainsieme.it, 26 luglio 2021.
[11] Cfr. E. Cannada Bartoli, La tutela giudiziaria del cittadino nei confronti della pubblica amministrazione, Milano, 1964, 138: “affinchè il privato non possa far questione di diritti civili o politici occorre che siffatta attività amministrativa si a legittima. Se invece tale attività è illegittima, la prestazione imposta appare non più come sacrificio (concetto puramente economico), ma come una lesione del diritto del cittadino”,
[12] Il tema della sacrificabilità dei diritti fondamentali si è peraltro riacceso proprio sull’onda dell’evento pandemico, a partire dal dialogo tra J. Habermas e K. Gunter, Diritti fondamentali: Nessun diritto fondamentale vale senza limiti ospitato dal settimanale Die Zeit e ripubblicato in Italia da Giustiziainsieme, 30 maggio 2020. La Rivista ha successivamente aperto un dialogo a distanza della dottrina italiana con gli Autori, ospitando una serie di interviste sul tema tra i quali si segnalano, per la parte pubblicistica, Il dialogo Habermas- Gunter riletto dalla cultura giuridica italiana, parte prima. I giuspubblicisti. Intervista di R. Conti a G. Silvestri, in Giustiziainsieme, 15 maggio 2020 e Il dialogo Habermas- Gunter riletto dalla cultura giuridica italiana, parte seconda. I giuspubblicisti. Intervista di F. Francario a D. Sorace, F.G. Scoca e G. Montedoro, in Giustiziainsieme, 26 giugno 2020. In giurisprudenza, sul tema della possibilità di limitazione anche dei diritti fondamentali, tra le più recenti pronunce, v. Cons Stato, Sez. Terza, 21 10 2020 n. 6371, resa con riferimento al diritto (alla salute) a ricevere cure sanitarie all’estero.
[13] Sul tema si vedano gli atti del recente convegno tenuto dall’Associazione Italiana Professori di Diritto Amministrativo, La transizione digitale nella pubblica amministrazione, webinar del 28 maggio 2021, in www.aipda.it . Tra i più recenti contributi sul tema v. S. D’Ancona, Trattamento e scambio di dati e documenti tra pubbliche amministrazioni, utilizzo delle nuove tecnologie e tutela della riservatezza tra diritto nazionale e diritto europeo, in Riv ital dir pubbl com., 2018, 3/4, 588 ss; G. Carullo, Gestione, fruizione e diffusione dei dati dell’amministrazione digitale e funzione amministrativa, Torino, 2017, 42 ss; D.U. Galetta, H. C.H. Hofmann, J.P. Schneider, Information exchange in the european administrative union: an introduction, in European public law, 2014/1, 65 ss; R. Cavallo Perin, D. U. Galetta (a cura di), Il diritto dell’amministrazione digitale, Torino, 2020.
[14] In generale, sul registro del trattamento per tutti v. F. Modaferri, Il regime particolare dei trattamenti effettuati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, in F. Pizzetti (a cura di), Protezione dei dati personali in Italia tra GDPR e codice novellato, Torino, 2021, 381 ss. Merita segnalazione il fatto che, allo stato, non si rinviene lo schema di un modello tipo generalizzato di registro adottabile dalle pubbliche amministrazioni, ragion per cui i contenuti vanno ricavati integrando l’elencazione recata dall’art 30 GDPR con le ulteriori indicazioni recate dalle FAQ redatte dall’Autorità Garante. Allo stato, l’Autorità Garante si è però limitata ad adottare soltanto un modello di registro semplificato per PMI, assolutamente inadeguato ad assurgere a parametro di riferimento per amministrazioni pubbliche complesse. I termini di riferimento utili per valutare la completezza delle informazioni registrate si rimangono pertanto quelli recati dall’art 30 del GDPR e nelle citate FAQ del Garante. Merita altresì di essere segnalato che la riorganizzazione in chiave privacy della pubblica amministrazione, in caso di acritica applicazione della normativa data protection, pone un delicatissimo problema, finora sicuramente sottostimato, con riferimento alla figura del responsabile della protezione dei dati personali. Contemplata e disciplinata dagli articoli 38 e seguenti del GDPR, la figura è concepita come un organo di consulenza che deve essere “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”, con penetranti poteri di sorveglianza sull’applicazione del Regolamento e sulla validità delle misure organizzative e procedimentali concretamente adottate (per tutti v. M. Bassini, Art. 38 Posizione del responsabile della protezione dati, Art. 39. Compiti del responsabile della protezione dei dati, in R. D’Orazio, G. Finocchiaro, O. Pollicino, G.Resta (a cura di), Codice della privacy e data protection, Milano, 2021, 573 ss e 579 ss; Avitabile, Il responsabile della protezione dati, in G. Finocchiaro, (diretto da), La protezione dei dati personali in Italia, Bologna, 2019, 355 ss). Per interpretazione consolidata, deve essere impersonata da un soggetto diverso ed esterno all’organizzazione del titolare, ma una così penetrante ingerenza di un soggetto privato nell’organizzazione dei pubblici uffici induce a dubitare del rispetto del principio di legalità imposto dall’art. 98 Cost. o comunque dell’opportunità di consentire a un soggetto privato l’invasione dell’area della discrezionalità organizzativa della pubblica amministrazione.
[15] Sulla disciplina dettata con specifico riferimento ai soggetti pubblici dal Codice della privacy come risultante dal d. lgs. 30 giugno 2003 n. 196, prima delle modifiche introdotte dal d. lgs. 10 agosto 2018 n. 101 in attuazione del Regolamento 27 aprile 2016, n. 2016/679/UE (GDPR), v. in ptcl F. Cardarelli, Il trattamento dei dati personali in ambito pubblico: i soggetti ed i rapporti tra le fonti, in F. Cardarelli, S. Sica, V. Zeno – Zencovich (a cura di), Il codice dei dati personali. Temi e problemi, Milano, 2004, 203 ss; E. Fonte, Regole ulteriori per i soggetti pubblici, in G. P. Cirillo, (a cura di), Il codice sulla protezione dei dati personali, Milano, 2004, 87 ss.
[16] Sul tema in generale sia consentito rinviare a F. Francario, Il diritto di accesso deve essere una garanzia effettiva e non una mera declamazione retorica, in Federalismi, maggio 2019. Tra i contributi più recenti v. anche M. Sinisi, I diritti di accesso e la discrezionalità amministrativa, Bari, 2020; I. Piazza, Strumentalità dell’accesso difensivo e sindacato giurisdizionale, in Giustiziainsieme, 4 febbraio 2021 e M. Ricciardo Calderaro, Diritto d’accesso e acquisizione probatoria processuale, in Giustiziainsieme, 25 novembre 2020.
[17] Ex multis v. G. Malgieri, Art. 5. Principi applicabili al trattamento di dati personali, in R. D’Orazio, G. Finocchiaro, O. Pollicino, G. Resta (a cura di), Codice della privacy e data protection, Milano, 2021, 177 ss; G. Finocchiaro, Introduzione al Regolamento europeo sulla protezione dei dati personali, in Nuove leggi civ comm., 2017, 4 ss.
[18] Il riferimento è alla sentenza della Corte EDU Corte EDU, 8 giugno 1976, Engel. c. Paesi Bassi, seguita dalle altrettanto note sentenze 21 febbraio 1984, Öztürk c. Germania, 27 settembre 2011, Menarini Diagnostic c. Italia, e 4 marzo 2014, Grande Stevens e altri c. Italia. In dottrina sul tema v. F. Goisis, La tutela del cittadino nei confronti delle sanzioni amministrative tra diritto nazionale ed europeo, Torino 2018, 7 ss; A. Travi, Corte europea dei diritti dell’uomo e Corte costituzionale: alla ricerca di una nozione comune di «sanzione», in Giur. cost., 2010, 2323 ss.; M.A. Sandulli, Sanzioni non pecuniarie della p.a., in Libro dell’anno del diritto - Enc. Treccani, 2015; M. Lipari, Il sindacato pieno del giudice amministrativo sulle sanzioni secondo i principi della CEDU e del diritto UE. Il recepimento della direttiva n. 2014/104/EU sul private enforcement (decreto legislativo n. 3/2017), in Federalismi, aprile 2018; P. Lazzara, Funzione antitrust e potestà sanzionatoria. Alla ricerca di un modello nel diritto dell’economia, in Dir. amm., 2015, 767 ss.; S. Cimini, Il potere sanzionatorio delle amministrazioni pubbliche, Napoli, 2017, 383 ss.; A. Porporato, Le sanzioni interdittive, in A. Cagnazzo, S. Toschei, F. Tuccari (a cura di), La sanzione amministrativa, Milano, 2016, 508 ss.; M. Allena, Sanzioni amministrative e garanzie fondamentali: la prima parola alla Consulta, in Giorn. dir. amm., 2018, 368 ss. Di recente sul tema v. anche Corte cost. 14 maggio 2021 n. 98 annotata da M. A. Sandulli Incostituzionalità dell’interpretazione analogica “creativa” in malam partem, in Giustiziainsieme, 31 maggio 2021 e da A. Venegoni, La Corte Costituzionale ritorna sul tema della “materia penale”: verso uno statuto della disciplina delle sanzioni formalmente amministrative ma sostanzialmente penali? in Giustiziainsieme, 23 luglio 2021.
[19] Sulla difficoltà di lettura derivante dal complesso e contraddittorio processo di adeguamento al GDPR per tutti v. F. Pizzetti, Il procedimento italiano di adeguamento al GDPR e la struttura del Codice novellato, in F. Pizzetti, Protezione dei dati personali in Italia tra GDPR e codice novellato, Torino, 2021, 49 ss.
[20] Per una efficace rappresentazione v. A. Ciccia Messina, Guida al codice della privacy. Come cambia dopo il GDPR e il d lgs n.101/2018, Vicenza, 2018, 3 ss.
[21] Anche G. Finocchiaro, Art 1. Oggetto e finalità, in R. D’Orazio, G. Finocchiaro, O. Pollicino, G. Resta (a cura di), Codice della privacy e data protection, Milano, 2021, 125 osserva che si è di fronte ad “un quadro composito costituito da molteplici livelli normativi e paranormativi, di hard law e soft law … un sistema quindi in costruzione, un sistema ad alta complessità, un sistema in cui la stessa parola base, privacy, può assumere molteplici significati”.
[22] Il provvedimento sanzionatorio n 87 del 25 febbraio 2021 è pubblicato in Giustiziainsieme, 13 luglio 2021 con nota di D. Bottega, Illegittima erogazione dei bonus Covid e protezione dati personali. Il sindacato del Garante sulle modalità di organizzazione della verifica della spettanza.
[23] Sotto questo profilo la valutazione di illiceità del trattamento viene fatta derivare dalla considerazione che “i trattamenti di dati personali necessari nell’ambito dei predetti controlli si sarebbero dovuti effettuare solo dopo aver superato le manifestate incertezze interpretative e avere quindi predeterminato, in astratto, la spettanza del bonus (non procedendo quindi all’incrocio dei dati prima di aver determinato se spettava l’indennità). Il provvedimento precisa al riguardo che “i trattamenti di dati personali per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri devono avvenire sulla base di un quadro normativo il più possibile chiaro e preciso la cui applicazione possa essere prevedibile per gli interessati (cfr. cons. 41 del Regolamento)”.
[24] La precisazione che “i principi di pubblicità e trasparenza (vanno) riferiti non solo, quale corollario del principio democratico (art. 1 Cost.), a tutti gli aspetti rilevanti della vita pubblica e istituzionale, ma anche, ai sensi dell’art. 97 Cost., al buon funzionamento dell’amministrazione (sentenze n. 177 e n. 69 del 2018, n. 212 del 2017)” è esplicitata anche in Corte cost. 23 01 2019 n. 20. Sul principio per tutti v. A.G. Orofino, La trasparenza oltre la crisi. Accesso, informatizzazione e controllo civico, Bari, 2020 ed ivi ulteriori riferimenti alla vasta letteratura e giurisprudenza in materia.
[25] Ex multis v. G. Roppo, Il contratto, in G. Iudica, P. Zatti (a cura di), Trattato di diritto privato, Milano, 2001, 175 ss; C.M. Bianca, La nozione di buona fede quale regola di comportamento contrattuale, in Riv dir civ., 1983, 206 ss; G. Grisi, Gli oneri e gli obblighi d’informazione, in G.Alpa, A.Bessone (a cura di), I contratti in generale, Giur sit Bigiavi, Torino, 1991, 573 ss.
[26] Sul tema generale del lobbying in rapporto alla formazione dei processi decisionali pubblici sia consentito rinviare a F. Francario, “Interessi economici privati, trasparenza e imparzialità dell’azione amministrativa. Osservazioni a margine della disciplina normativa del lobbying”, in Scritti in onore di Fabio Roversi Monaco, Diritto amministrativo e società civile. Volume I - Studi introduttivi, Bologna, 2018, 267 ss.
[27] L’atto in data 20 04 2021 di Richiesta d’informazioni ai sensi dell’art. 157 del d lgs n 196 del 30 6 2003 precisa al riguardo che la violazione dell’obbligo di minimizzazione si rivelerebbe “anche considerando che gli stessi risultano riferiti indifferentemente a tutte le strutture politiche e amministrative del Ministero e a tutti i soggetti che effettuano incontri e riunioni lavorative, senza peraltro prevedere proporzionati tempi di cancellazione dei dati”. Sembra ritenere inoltre censurabile il fatto che “anche una semplice riunione di lavoro o una videoconferenza fra diverse amministrazioni diviene oggetto di un obbligo di pubblicazione online, con i nominativi di tutti i partecipanti, data, ora, sede, oggetto ecc”.
[28] Si ricorda comunque che al riguardo il GDPR rinvia al legislatore nazionale e la compiuta declinazione degli obblighi di pubblicità in termini di regole generali dell’azione amministrativa è operata nel nostro ordinamento dal d lgs 14 marzo 2013 n. 33 (Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni) come successivamente modificato e integrato dal d lgs 25 maggio 2016 n. 97 (Revisione e semplificazione delle disposizioni in materia di prevenzione della corruzione, pubblicità e trasparenza). Dopo aver precisato che la trasparenza va intesa “come accessibilità totale dei dati e documenti detenuti dalle pubbliche amministrazioni, allo scopo di tutelare i diritti dei cittadini, promuovere la partecipazione degli interessati all'attività amministrativa e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche” (art 1) e che “per pubblicazione si intende la pubblicazione … … nei siti istituzionali delle pubbliche amministrazioni dei documenti, delle informazioni e dei dati concernenti l'organizzazione e l'attività delle pubbliche amministrazioni” (art 2), le disposizioni sulla trasparenza non limitano la possibilità di pubblicazione ai soli casi in cui questa è espressamente prevista come obbligatoria da una specifica disposizione di legge. Prevedono infatti che l’accesso civico (e quindi anche la conseguente possibilità di pubblicazione) possa riguardare anche “dati e documenti detenuti dalle pubbliche amministrazioni ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’art. 5 bis” (art 5); e l’art 5 bis esclude l’accesso civico se ciò è “necessario per evitare un pregiudizio concreto all’interesse pubblico … alla protezione dei dati personali”.
[29] Dovrebbe essere inutile ricordare che la valutazione dell’opportunità del bilanciamento che sia stata operata dal legislatore è rimessa, sotto il profilo della ragionevolezza, al giudice delle leggi. V. infatti la nota sentenza Corte cost. 23 01 2019 n. 20, resa con specifico riferimento all’obbligo generalizzato di pubblicazione dei dati personali relativi indistintamente a tutti i titolari di incarichi dirigenziali a qualsiasi tiolo conferiti, con la quale la Corte ha ritenuto che la previsione fosse sproporzionata rispetto alla finalità principale perseguita e l’ha dichiarata incostituzionale. Nel ribadire che il legislatore nazionale è comunque tenuto “a rispettare i criteri di necessità, proporzionalità, finalità, pertinenza e non eccedenza nel trattamento dei dati personali pur al cospetto dell’esigenza di garantire fino al punto tollerabile la pubblicità dei dati in possesso dell’amministrazione”, la sentenza ha confermato che una tale scelta si consuma appunto a livello legislativo e che la individuazione della “soluzione più idonea a bilanciare i diritti antagonisti rientra … nella ampia discrezionalità del legislatore”. Tra i più recenti commenti della sentenza si veda A. Corrado, Gli obblighi di trasparenza dei dirigenti amministrativi: il lento e “incerto” incedere del legislatore, in Federalismi.it, 11 agosto 2021. Sulla ragionevolezza del bilanciamento operato dal legislatore v. anche Corte EDU 12 gennaio 2021 (L.B. contro Ungheria), che ha ritenuto che la pubblicazione su internet di una lista di grandi evasori fiscali da parte dell’amministrazione finanziaria ungherese non violi l’art. 8 della Convenzione in materia di protezione della riservatezza, annotata (criticamente) da G. Chiarizia, La pubblicazione della lista di evasori (caso L.B. c. Ungheria): il fine giustifica sempre i mezzi?, in Giustiziainsieme, 3 maggio 2021 .
[30] Sul tema v. E. Concilio, Atti giudiziari e tutela dei dati personali, in Giustiziainsieme, 29 marzo 2021; F. Francario, Una giusta revocazione oscurata dalla privacy. A proposito dei rapporti tra giudizio penale e amministrativo, in Giustiziainsieme, 20 ottobre 2020.
[31] Giusto per avere un’idea concreta della dimensione del fenomeno, può essere utile riportare il preambolo e la descrizione del fatto come operati da una sentenza recentemente resa, tra le tante che possono essere segnalate in cui si esprime questa sempre più diffusa prassi interpretativa: “ Il Tribunale Amministrativo Regionale per il Lazio (Sezione Terza) ha pronunciato la presente SENTENZA sul ricorso numero di registro generale 7316 del 2020, proposto da -OMISSIS-, in persona del legale rappresentante pro tempore, rappresentata e difesa dagli avv.ti Avilio Presutti, Marco Laudani, con domicilio digitale come da PEC da Registri di Giustizia e domicilio eletto presso lo studio Avilio Presutti in Roma, piazza San Salvatore in Lauro 10; contro -OMISSIS-, in persona del Presidente pro tempore, rappresentata e difesa dagli avv.ti Giuseppe Lo Pinto, Fabio Cintioli, David Astorre, con domicilio digitale come da PEC da Registri di Giustizia e domicilio eletto presso lo studio Fabio Cintioli in Roma, via Vittoria Colonna, 32; nei confronti -OMISSIS-in persona del legale rappresentante pro tempore, rappresentata e difesa dagli avv.ti Giorgio Fraccastoro, Alice Volino, Alessio Maria Tropiano, con domicilio digitale come da PEC da Registri di Giustizia e domicilio eletto presso lo studio Giorgio Fraccastoro in Roma, via Piemonte, 39; per l'annullamento
-Per quanto riguarda il ricorso introduttivo: del provvedimento di -OMISSIS- di aggiudicazione del -OMISSIS-della procedura aperta indetta da -OMISSIS- ai sensi dell'art. 60, D.Lgs. 50/2016, articolata in sette lotti, per l'affidamento del “Servizio di sicurezza integrata per Centro di Produzione TV, Uffici di Roma, insediamenti produttivi della Radio, Sedi regionali” – Gara n. -OMISSIS- – -OMISSIS-; della comunicazione -OMISSIS-, di aggiudicazione ex art. 76, comma 5, lett. a), D.Lgs. 50/2016 prot. -OMISSIS- in relazione al -OMISSIS-(Gara n. -OMISSIS-); della graduatoria di gara riferita al lotto 3; di tutti gli atti della stazione appaltante nella parte in cui non dispongono l'esclusione dalla gara in questione del rti -OMISSIS-(mandanti); del verbale di gara di cui alla terza seduta pubblica del -OMISSIS-; del verbale della seduta riservata del -OMISSIS-; di tutti gli atti di gara, ivi compresi la determina di indizione, il bando, il disciplinare, il capitolato tecnico, i chiarimenti, i verbali di gara; di ogni altro atto presupposto, connesso e conseguente nonché per il risarcimento del danno in forma specifica, con domanda di subentro nel contratto di appalto stipulato;
sull’istanza ex art. 116, comma 2, c.p.a.
per l’ostensione di tutti gli atti adottati in ordine all’affidabilità professionale del RTI controinteressato -OMISSIS- ed alla permanenza dei requisiti di partecipazione in capo al medesimo,
depositata in data-OMISSIS- nell’ambito del giudizio per l’annullamento:
-Per quanto riguarda il ricorso incidentale presentato da -OMISSIS-\10\2020 :
per l'annullamento dei verbali di gara delle sedute pubbliche e riservate, con particolare riferimento ai verbali di gara del -OMISSIS- nella parte in cui la Commissione di gara ha ritenuto di ammettere -OMISSIS- S.r.l. alle successive fasi della procedura, e dopo aver completato la valutazione, di approvare la documentazione tecnico-economica da quest'ultima trasmessa;
Visti il ricorso e i relativi allegati;
Visti gli atti di costituzione in giudizio di -OMISSIS- e di -OMISSIS-.;
Visti tutti gli atti della causa;
Relatore nell'udienza pubblica del giorno 9 giugno 2021 il dott. Ugo De Carlo e uditi per le parti i difensori come specificato nel verbale;
Ritenuto e considerato in fatto e diritto quanto segue.
FATTO e DIRITTO
La RAI indiceva una procedura aperta ai sensi dell’art. 60, D.lgs. 50/2016, articolata in sette lotti senza vincolo di aggiudicazione, per l’affidamento del “Servizio di sicurezza integrata per Centro di Produzione TV, Uffici di Roma, insediamenti produttivi della Radio, Sedi regionali”.
Il -OMISSIS-veniva aggiudicato al RTI controinteressato e la ricorrente chiedeva ed otteneva di accedere agli atti di gara.
Il primo motivo di ricorso denuncia la violazione dell’art. 80 D.lgs. 50/2016 in quanto il presidente del collegio sindacale della mandataria del RTI aggiudicatario è stato rinviato a giudizio in relazione ad un’indagine che ha riguardato la corruzione di un giudice fallimentare del Tribunale di -OMISSIS-.
Inoltre la mandante -OMISSIS-è stata destinataria di un provvedimento di risoluzione di un contratto di pubblico appalto del -OMISSIS- da parte del Politecnico di-OMISSIS-per inadempimento, con contestuale segnalazione all’ANAC.
Da ciò doveva scaturire l’esclusione dalla gara alla luce della sentenza -OMISSIS- dell’Adunanza Plenaria del Consiglio di Stato anche perché il RTI ha sottoscritto un patto di integrità con la stazione appaltante il quale prevede proprio l’esclusione dell’operatore che violi i doveri di leale cooperazione con l’amministrazione.
Comunque la gravità dei fatti sopra descritte esclude in radice l’affidabilità del RTI controinteressato, anche laddove si ritenga che l’omissione dichiarativa non comporti l’automaticità dell’espulsione.
Il secondo motivo lamenta la manifesta illogicità della valutazione di affidabilità fatta dalla Stazione Appaltante laddove fosse stata informata delle due vicende indicate nel primo motivo.
Il terzo motivo attiene alla violazione dell’art. 80, comma 5, lett. b) ed f-bis), D.lgs. 50/2016.
La mandataria ha partecipato alla gara spendendo anche i requisiti dei rami di azienda di -OMISSIS-, entrambe fallite rispettivamente in data -OMISSIS- cioè all’interno del triennio antecedente l’indizione gara in relazione al quale è richiesto il possesso dei requisiti tecnici e di capacità economico e finanziaria.
Il quarto motivo contesta l’illegittimità della gara dal momento che l’appalto è stato suddiviso in sette lotti, ma manca nella disciplina di gara il cd. vincolo di aggiudicazione, ossia la clausola che, in presenza di più lotti, assicura a tutti la possibilità di parteciparvi ma limita il numero massimo di lotti che possono essere aggiudicati ad uno stesso soggetto.
Il quinto motivo, in subordine rispetto al precedente, censura la facoltà per la controinteressata di partecipare a distinti lotti con una diversa composizione del RTI in violazione dell’art. 48, comma 7, D.lgs. 50/2016.
Si costituivano in giudizio RAI e la mandataria del RTI aggiudicatario che concludevano per il rigetto del ricorso.
Il Presidente del Collegio con decreto del -OMISSIS-accoglieva la domanda cautelare monocratica allo scopo di mantenere la res adhuc integra, ma alla camera di consiglio del 7.10.2020 veniva respinta l’istanza cautelare.
La controinteressata presentava ricorso incidentale fondato su due motivi.
Il primo segnala che una delle mandanti che avrebbe dovuto eseguire i “servizi di sorveglianza e prevenzione incendio” e una parte di “servizi di reception” risultava alla Camera di Commercio avere la sede legale inattiva con conseguente violazione degli articoli 7.3 e 7.4 del disciplinare di gara, posto che l’impossibilità oggettiva per la mandante -OMISSIS-di dimostrare il possesso dei requisiti spesi in gara, nonché di eseguire almeno il 30% dei servizi di reception e tutte le prestazioni di sorveglianza/prevenzione antincendio si pone in evidente contrasto con lo stato di inattività. Su tale circostanza vi era poi un’omissione informativa alla Stazione Appaltante.
Il secondo motivo riguarda la qualità dei metal detector portatili palmari per il rilevamento di armi e masse metalliche magnetiche; il soccorso istruttorio non è ammissibile per sanare irregolarità essenziali afferenti all’offerta tecnica ed economica, il -OMISSIS- non avrebbe potuto/dovuto essere messo nelle condizioni di rendere chiarimenti in merito al “range di operatività” e al “grado di protezione” del metal detector offerto in gara e, dal canto suo, la Stazione appaltante non avrebbe dovuto attivare il soccorso istruttorio in relazione ad elementi inerenti l’offerta tecnica del concorrente o, comunque, avrebbe dovuto escludere il concorrente dopo aver rilevato l’inidoneità della documentazione prodotta all’esito del soccorso istruttorio.
Alla camera di consiglio del 13.1.2021 veniva dichiarata inammissibile un’istanza ex art. 116 comma 2 c.p.a. volta all’ostensione dei provvedimenti e la documentazione relativa all’istruttoria svolta dalla stazione appaltante per accertare l’affidabilità professionale del RTI controinteressato -OMISSIS-, in quanto la ricorrente non aveva presentato alcuna previa istanza di accesso agli atti in questione … …”.
[32] L’appello è pubblicato sul sito dell’Associazione www.aipda.it .
[33] Ex multis v. La Stampa, sabato 3 luglio 2021, Oltre 6,5 milioni di anziani a rischio. i medici: mani legate dalla privacy.
[34] Le vicende sono (criticamente) riassunte da G. Scarselli, Note sul decreto legge 105/2021 che estende il green pass a attività e servizi della vita quotidiana, in Giustiziainsieme, 30 luglio 2021.
[35] La domanda è chiaramente retorica. Ove mai dovesse esserci qualche dubbio, soccorre la già ricordata pronuncia Corte cost. n. 20 del 2019. Analogamente si potrebbe osservare che anche il giudizio di conformità alla disciplina comunitaria sul green pass dettata con il Reg. UE 2021/953 non spetta certamente al Garante, ma è ovviamente riservato alla Corte di Giustizia europea. Sotto questo specifico profilo v. R. Bin, Replica al documento anti green pass pubblicato da Questione giustizia, in Lacostituzione.info, 9 agosto 2021 nonché lo stesso documento dell’Osservatorio per la legalità costituzionale, pubblicato in Questione Giustizia, 4 agosto 2021 (Sul dovere costituzionale e comunitario di disapplicazione del decreto green pass), nel quale si sostiene che la disciplina nazionale sul green pass contrasterebbe con quella recata dal Regolamento UE 2021/953 e potrebbe per tale ragione essere disapplicata, ma comunque dall’autorità giurisdizionale e non da una autorità amministrativa.
[36] I termini essenziali della questione sono riassunti nella intervista al Garante pubblicata sul quotidiano LaRepubblica, 25 agosto 2021 “No alle liste dei no vax. I presidi non devono conoscere le scelte sanitarie dei professori”.
[37] Per tutti v. F. Cardarelli, Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, in G. Finocchiaro, R. D’orazio, O. Pollicino, G. Resta (a cura di), Codice della privacy e data protection, Giuffrè F.L., Milano, 2021: “ L’art. 6 del Regolamento elenca sei basi giuridiche (le quali rappresentano quindi i presupposti di legittimazione del trattamento) che rendono lecito e legittimo, fin dall’origine, il trattamento di dati “comuni”. Tale disposizione, riprendendo quasi integralmente le previsioni dell’art. 7 della dir. 95/46/CE, àncora la liceità del trattamento alla sussistenza di presupposti che si fondano due requisiti generali alternativi (il consenso dell’interessato — par. 1, lett. a — oppure la necessità del trattamento — par. 1, lett. b-f). Tra queste ipotesi di trattamento necessario le lett. c) ed e) della disposizione contemplano “c) l’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento”, e “e) l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.
[38] In tal senso anche F. Cardarelli, Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, cit., 1016 il quale sottolinea la necessità della distinzione riconducendo l’ipotesi della esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri nell’ambito del più generale principio di legalità dell’azione amministrativa. A mio avviso, come sostengo nel testo, ciò conduce però necessariamente ad ammettere che nell’ipotesi della esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri la valutazione di necessità viene effettuata dall’amministrazione alla quale la legge ha attribuito il potere di curare l’interesse pubblico.
[39] Per le quali l’art. 9 fa comunque salva la possibilità di trattamento da parte delle pubbliche amministrazioni nelle ipotesi in cui il trattamento è necessario “per motivi d’interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” o “per motivi d’interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”. Sottolinea che è sempre l’esigenza di tutela di un interesse generale che giustifica l’eccezione al divieto A. Thiene, Art 9. Profili generali, in R. D’Orazio, G. Finocchiaro, O. Pollicino, G. Resta (a cura di), Codice della privacy e data protection, Milano, 2021, 241 ss. F Cortese, Art 2 sexies. Trattamento di categorie particolari di dati personali necessario per motivi d’interesse pubblico rilevante, in R. D’Orazio, G. Finocchiaro, O. Pollicino, G. Resta (a cura di), Codice della privacy e data protection, Milano, 2021, 1047 sottolinea come “tale disciplina comporta un rafforzamento circostanziato delle attenzioni con cui quel soggetto (pubblico) è chiamato a rispettare il principio di proporzionalità”.
[40] Per tutti v. F. Colapietro, I principi ispiratori del Regolamento UE 2016/679 sulla protezione dei dati personali e la loro incidenza sul contesto normativo nazionale, in Federalismi, 22/2018, 4 ss.
[41] V. ante, sub nota 15.
[42] La interpretazione della base giuridica del trattamento data dall’art. 2 ter del Codice nell’attuazione dell’art 6 par 3 lett b) del GDPR è stata comunque ritenuta in dottrina “eccessivamente restrittiva” da F. Pizzetti, La parte I del Codice novellato, in F. Pizzetti (a cura di), Protezione dei dati personali in Italia tra GDPR e codice novellato, Torino, 2021, 92 ss. Analogamente v. anche E. Pelino, Art 2 ter D.Lgs 196/2003, in L. Bolognino, E. Pelino (a cura di), Codice della disciplina privacy, Milano, 2019, 97 ss il quale sostiene che per questo motivo l’art. 2 ter potrebbe essere disapplicato per contrasto con il Regolamento UE. Generale è comunque l’osservazione che la lettura dell’art 2 ter, primo comma, deve essere opportunamente riequilibrata alla luce della previsione recata dal successivo comma secondo; per tutti v. F. Cardarelli, Art. 2. Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, in R. D’Orazio, G. Finocchiaro, O. Pollicino, G. Resta (a cura di), Codice della privacy e data protection, Milano, 2021, 1016 ss.
[43] Cfr. D. Poletti, Art. 6. Liceità del trattamento, in R. D’Orazio, G. Finocchiaro, O. Pollicino, G. Resta (a cura di), Codice della privacy e data protection, Milano, 2021, 195 ss; F. Resta, Art. 6. Liceità del trattamento, in Riccio, Scorza, Belisario (a cura di), GDPR e normativa privacy. Commentario, Milano, 2018, 63 ss; G. Alpa, Principi e disposizioni generali. Art. 1. Oggetto, in R. D’Orazio, G. Finocchiaro, O. Pollicino, G. Resta (a cura di), Codice della privacy e data protection, Milano, 2021, 1001.
[44] In tal caso andrebbe immediatamente presa in considerazione l’opportunità di inserire nella legge 241/1990, con l’annuale legge di semplificazione o alla prima occasione utile, una norma che chiarisca che il trattamento dei dati personali ordinari necessario per il perseguimento di finalità di pubblico interesse non richiede l’attribuzione di una ulteriore specifica disposizione di legge diversa da quella attributiva del potere, salvo che si tratti di dati particolari o sensibili ai sensi dell’art 9 primo comma GDPR, sulla falsa riga della disposizione originariamente recata dall’art 19 del d lgs 196/2003.
[45] In generale sul tema si rinvia alla voce di C. Esposito, Decreto-legge, in Enc. Dir., XI, Milano, 1962,pp. 831 ss. Con specifico riferimento al sistema delle fonti disciplinanti il periodo dell’emergenza Covid 19 v. ex multis M. Luciani, Il sistema delle fonti del diritto alla prova dell’emergenza, in Liber amicorum per Pasquale Costanzo, 2020, p. 4; B.Caravita, L’Italia ai tempi del Coronavirus: rileggendo la Costituzione italiana, in Federalismi.it n. 6/2020, 4 ss.; F. Fracchia, Diritto ed emergenza sanitaria, in Dir. dell’economia, n. 3/2019, p. 575 ss; S. Licciardello, I poteri necessitati al tempo della pandemia, in Federalismi, maggio 2020. Con specifico riferimento alla tematica del green pass si rinvia al già citato contributo di R.Bin, Replica al documento anti green pass pubblicato da Questione giustizia, in Lacostituzione.it, 9 agosto 2021.
[46] Ex multis cfr. F. S. Marini, Le deroghe costituzionali da parte dei decreti legge, in Federalismi, aprile 2020, 12; Ludovico A. Mazzarolli, «Riserva di legge» e «principio di legalità» in tempo di emergenza nazionale. Di un parlamentarismo che non regge e cede il passo a una sorta di presidenzialismo extra ordinem, con ovvio, conseguente strapotere delle pp.aa. La reiterata e prolungata violazione degli artt. 16, 70 ss., 77 Cost., per tacer d’altri, in Federalismi, marzo 2020; M. Cavino, Covid 19. Una prima lettura dei provvedimenti adottati dal Governo, in Federalismi, marzo 2020.
[47] Cfr. Corte cost., 24 febbraio 2021 n. 37, in Giustiziainsieme, 19 maggio 2021, con nota di M. Gola, Pandemia, Stato e Regioni: quando la “materia” non basta; v. anche l’ordinanza Corte cost. 14 gennaio 2021 n. 4 resa sulla medesima questione con la quale la Corte ha sospeso l’impugnata legge regionale della Valle d’Aosta in Giustiziainsieme, 26 gennaio 2021, con nota E. Lamarque, Sospensione cautelare di legge regionale da parte della Corte costituzionale.
[48] V. ante, sub nota 12. Più in generale, sulla crisi del principio di legalità in situazioni emergenziali si rinvia per tutti a A. Barone, La regolazione giuridica del rischio, in R. Martino, F. Alicino, A. Barone (a cura di), L’impatto delle situazioni di urgenza sulle attività umane regolate dal diritto, Milano, 2017, 263 ss ed ivi per ulteriori riferimenti a dottrina e giurisprudenza.
[49] Ciò che forse è più paradossale, è che tutto ciò, a ben guardare, non avviene nemmeno per assicurare la protezione un interesse pubblico, ma di un interesse privato, contenuto di un diritto individuale. Paradosso a sua volta generato dall’anomalia del fatto che, differentemente da quanto normalmente avviene nei casi in cui viene istituito un ente o autorità pubblica, anche se con compiti di sola regolazione, nel caso della privacy si è appositamente creata un’autorità pubblica la cui mission istituzionale si sostanzia nella protezione dell’interesse dell’individuo alla protezione dei propri dati personali, e non già di un interesse pubblico.