Disposizioni “urgenti” in materia di protezione dei dati personali. Brevi note sul trattamento dati per finalità di pubblico interesse.
di Fabio Francario
Sommario : 1.- Il d.l. 8 ottobre 2021 n. 139 e l’urgenza di dettare disposizioni in materia di dati personali; 2.- Il diritto alla protezione dei dati personali non è super diritto fondamentale e può essere sacrificato o compresso dall’azione amministrativa nel rispetto del principio di legalità; 3.- Nel sistema disegnato dal GDPR la disciplina del trattamento dati per finalità di pubblico interesse si differenzia da quella del trattamento dati nei rapporti inter privati ed è irragionevole l’applicazione del principio di minimizzazione allo stesso modo; 4.- Necessità di un chiarimento sostanzialmente (solo) interpretativo; 5. – Le nuove disposizioni in materia di protezione dei dati personali; 6.- Osservazioni conclusive.
1.- Il d.l. 8 ottobre 2021 n. 139 e l’urgenza di dettare disposizioni in materia di dati personali.
Il decreto legge 8 ottobre 2021 n 139, c.d. decreto riaperture, detta disposizioni urgenti per l’accesso alle attività culturali, sportive e ricreative, nonché per l’organizzazione di pubbliche amministrazioni. Fin dalla rubrica precisa però di voler dettare disposizioni urgenti anche “in materia di protezione dei dati personali”.
Viene subito da chiedersi dove sia l’urgenza di dettare disposizioni anche in materia di dati personali, ma la ragione viene ben presto in mente se solo si siano un po’ seguite le vicende che nell’ultimo biennio hanno caratterizzato l’organizzazione e lo svolgimento dell’attività delle amministrazioni chiamate a fronteggiare l’emergenza epidemiologica da Covid – 19, sia attraverso azioni di contrasto e contenimento dell’epidemia, che di sostegno della ripresa delle attività sociali ed economiche.
Nell’articolo già pubblicato su questa Rivista lo scorso mese di settembre[i] si è sottolineato come, in nome dell’esigenza di evitare che l’interesse alla protezione dei dati personali potesse correre non meglio precisati rischi (a causa del trattamento dei dati operato per finalità di pubblico interesse secondo modalità ritenute dal Garante non pienamente conformi ai principi della materia), l’intervento dell’Autorità garante abbia sovente arrestato o ritardato tanto l’erogazione delle misure di sostegno economico, quanto i relativi controlli, quanto ancora l’adozione delle stesse misure di contrasto dell’evento pandemico. Sono state a tal fine esemplificativamente richiamate una serie di vicende nelle quali ciò è sistematicamente avvenuto, mettendo in evidenza come l’interpretazione della normativa vigente propugnata dall’Autorità garante ed affermatasi nella prassi fosse praticamente diventata un fattore di blocco dell’azione amministrativa. Blocco assolutamente irragionevole nel bel mezzo di un’emergenza pandemica e in assoluta controtendenza rispetto allo sforzo complessivamente in atto nel nostro ordinamento negli ultimi anni, volto a recuperare quanto più possibile l’efficienza dell’amministrazione attraverso sempre più diffusi ed incisivi meccanismi di semplificazione dei processi decisionali e di rimozione della paura della firma in capo ai decisori pubblici.
I limiti e la non condivisibilità dell’interpretazione e dell’applicazione date alla normativa sulla protezione dei dati personali sono state più ampiamente illustrate nello scritto già citato, ma torna utile riassumerne sinteticamente le ragioni al fine di comprendere anzitutto il perché dell’urgenza di dettare nuove disposizioni in materia.
2.- Il diritto alla protezione dei dati personali non è super diritto fondamentale e può essere sacrificato o compresso dall’azione amministrativa nel rispetto del principio di legalità.
In linea di principio, la prima cosa da chiarire è che, in un contesto emergenziale come quello dell’evento pandemico, è assolutamente insostenibile ritenere che vi siano diritti o libertà individuali, anche fondamentali, che non possano essere compresse o sacrificate per le superiori esigenze di cura dell’interesse pubblico. Ciò è avvenuto per il diritto alla libertà personale, quando si è imposto il lockdown; per il diritto alla libertà di circolazione, quando si è limitata la circolazione tra comuni o regioni nel territorio nazionale o verso l’estero; quando per la carenza di risorse a disposizione negli ospedali non si è potuto assicurare a tutti il diritto alla vita.
In materia di privacy, si è invece praticamente ritenuto che quello alla protezione dei dati personali dovesse essere considerato come un super diritto fondamentale; che in nessun caso potesse essere sacrificato o compresso da un’azione amministrativa che non avesse un suo specifico fondamento nella normativa sulla protezione dei dati personali e che l’espressa attribuzione del potere di curare un determinato interesse pubblico non fosse pertanto sufficiente[ii] per comprimere o sacrificare, nel rispetto del principio di legalità, tale super diritto. L’Autorità garante ha infatti più volte ritenuto privi di valida base giuridica i trattamenti effettuati senza aver previamente calcolato i possibili rischi per il diritto alla protezione dei dati personali, ovvero senza che le norme rendessero prevedibile in maniera chiara e precisa da parte degli interessati il trattamento operato, ovvero ancora senza che fossero state adottate adeguate misure tecniche e organizzative per attuare in modo efficace la protezione dati; ovvero ha ritenuto i trattamenti sproporzionati rispetto all’interesse pubblico perseguito o privi di valida base giuridica, anche se previsti da una norma avente comunque forza e valore di legge, assumendo che non erano esattamente specificate le finalità del trattamento. In sostanza, ha preteso di applicare la normativa sulla protezione dei dati personali seguendo l’interpretazione più rigida e acritica possibile e senza minimamente tener conto o valorizzare il fatto che il trattamento dati per finalità di cura dell’interesse pubblico, nel sistema disegnato dal Reg. UE 679/2016 (GDPR), ubbidisce a regole e principi profondamente diversi rispetto a quelli che regolano la protezione dei dati personali nei rapporti inter privati. A partire dal fatto che la “esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” è di per sé considerata base giuridica sufficiente per rendere lecito il trattamento.
3.- Nel sistema disegnato dal GDPR la disciplina del trattamento dati per finalità di pubblico interesse si differenzia da quella del trattamento dati nei rapporti inter privati ed è irragionevole l’applicazione del principio di minimizzazione allo stesso modo.
La seconda cosa da chiarire è proprio l’irragionevolezza, più in generale, di una interpretazione della normativa recata dalla fonte comunitaria che tenda ad appiattirsi acriticamente sulla matrice privatistica che, in assenza del consenso dell’interessato, postula (ovviamente) un generale divieto di trattamento dei dati personali. Nell’impianto del regolamento comunitario, la disciplina del trattamento dati per finalità di pubblico interesse è invece profondamente differenziata rispetto a quella tratteggiata dal medesimo regolamento per la data protection nei rapporti inter privati[iii], e ciò non può rimanere privo di conseguenze al momento di sciogliere le possibili opzioni interpretative.
Premesso che il GDPR non pone un generale divieto di trattamento dei dati personali comuni o ordinari, ma, al contrario, lo prevede unicamente per i dati cd sensibili o particolari espressamente indicati dall’art. 9 (i soli dati che possono rivelare “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, … dati genetici, dati biometrici … dati relativi alla salute o alla vita sessuale o all’orientamento sessuale”), bisogna muovere dalla considerazione che il trattamento è da ritenersi lecito se solo ricorra una delle condizioni indicate dall’art. 6 del Regolamento come possibile base giuridica del trattamento. E l’art. 6 considera a tal fine, accanto alle ipotesi del consenso e dell’adempimento di un obbligo legale e distintamente da queste, quella della “esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” come una possibile base giuridica del trattamento[iv]. Sul piano sistematico, oltre che letterale, la previsione ha importanza tutt’altro che trascurabile. Essa implica che l’attribuzione da parte di una norma primaria dell’esercizio di un compito d’interesse pubblico o di un pubblico potere è condizione necessaria e sufficiente per consentire all’amministrazione il trattamento dati, senza che sia necessaria un’espressa ulteriore previsione che precisi per quale specifica finalità viene consentito il trattamento. Specificazione che è invece necessaria nel caso la base giuridica del trattamento sia rappresentata dal consenso. Il solo consenso, ove prestato “in bianco”, senza espressa precisazione della finalità per la quale venga prestato, autorizzerebbe qualsivoglia uso o finalità del trattamento con le conseguenti intuibili possibilità di abuso. Ed è per questo che le regole della minimizzazione sono perfettamente congeniali al sistema fondato sulla base giuridica del consenso e vanno rigorosamente applicate in tal caso; laddove s’impone quantomeno una maggiore elasticità nel caso in cui la base giuridica è data dalla “esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”. Nel primo caso, infatti, impongono al titolare di usarne nei limiti di quanto strettamente necessario per la specifica finalità dichiarata perché questi, diversamente, non sarebbe tenuto a comportarsi in tal modo. Nel secondo caso, invece, il soggetto pubblico agisce istituzionalmente perseguendo finalità predeterminate dalla legge, che sono quindi già perfettamente note all’interessato, e nell’osservanza del principio di proporzionalità, che impone di per sé come regola di condotta quella di arrecare il minor sacrificio possibile al diritto antagonista dell’interesse pubblico nel concreto del caso di specie.
Anche e soprattutto se considerata con riferimento alla fattispecie dell’obbligo legale, quella della “esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” rende subito evidente la differenza consistente nel fatto che, in un caso, la valutazione del trattamento come necessario e inevitabile è consumata direttamente dalla norma di legge, nell’altro è inevitabilmente rimessa all’amministrazione procedente, alla quale la legge ha attribuito il potere di curare l’interesse pubblico in una data materia o per una determinata funzione. Diversamente interpretata, la disposizione non avrebbe senso, perché la fattispecie sarebbe interamente assorbita nell’ipotesi dell’obbligo legale e non si distinguerebbe più da quest’ultima. Se la norma del GDPR non avesse inteso distinguere le fattispecie, sarebbe stata scritta diversamente, limitandosi a prevedere, molto più semplicemente, che, oltre alle ipotesi di consenso dell’interessato, il trattamento può ritenersi lecito nei soli casi e modi previsti dalla legge; senza distinguere tra le due ipotesi dell’adempimento dell’obbligo legale e del perseguimento di finalità di cura del pubblico interesse.
4.- Necessità di un chiarimento sostanzialmente (solo) interpretativo.
Le osservazioni sopra sinteticamente svolte consentono di concludere che, nel sistema disegnato dal DGPR, la previsione recata dalla lett e) dell’art 6 può e dovrebbe essere ritenuta di per sé sufficiente a fondare la base giuridica del trattamento, almeno dei dati comuni o ordinari, da parte della pubblica amministrazione, senza che si renda necessaria una successiva disposizione che specifichi ulteriormente le finalità e le modalità del trattamento.
Come sopra accennato, la prassi applicativa e l’interpretazione hanno purtroppo fino ad ora seguito la via opposta. L’acritica applicazione del principio di minimizzazione ai soggetti pubblici (come se questi, a differenza dei soggetti privati, non fossero già di per sé tenuti istituzionalmente ad agire per finalità predeterminate e nell’osservanza del principio di proporzionalità) ha avuto la conseguenza di far ritenere necessaria una specifica previsione di legge per ogni singolo trattamento (mezzi e finalità comprese) e di consentire al Garante un sindacato sul merito delle valutazioni discrezionali circa la necessità o meno di un dato intervento pubblico, arrivando così inevitabilmente a produrre quell’effetto di blocco o comunque di pesante condizionamento dell’esercizio della funzione amministrativa.
Questo fattore di blocco o di appesantimento dell’azione amministrativa, derivante, si ripete, da una quantomeno opinabile interpretazione della normativa sulla protezione dei dati personali, in un momento storico come quello attuale, nel quale tutti gli sforzi sono diretti ad assicurare la ripresa post pandemica del Paese, è evidentemente apparso eccessivo ed insostenibile e rimuovibile attraverso un intervento sostanzialmente interpretativo, come del resto espressamente auspicato anche nel precedente già citato scritto.
5. – Le nuove disposizioni in materia di protezione dei dati personali
Le nuove disposizioni in materia di protezione dei dati personali sono recate dall’art 9 del d.l. 139/2021.
Concettualmente, le nuove disposizioni si appuntano su tre distinti oggetti.
Cominciando dalla fine, si osserva subito che il terzo e ultimo comma dell’art. 9 introduce una misura generale di semplificazione che, con specifico riferimento a riforme, misure e progetti del Piano nazionale di ripresa e resilienza, del Piano nazionale per gli investimenti complementari, nonchè del Piano nazionale integrato per l'energia e il clima 2030 prevede che, ove richiesti, i pareri del Garante per la protezione dei dati personali vanno resi nel termine non prorogabile di trenta giorni, decorso il quale può procedersi indipendentemente dall'acquisizione del parere.
Procedendo sempre a ritroso, si osserva poi che le disposizioni sono volte a valorizzare e potenziare il ruolo del Garante nella tutela della privacy più strettamente intesa con specifico riferimento ai rapporti e alle relazioni inter - personali. Viene introdotto nel Codice della privacy l’art 144 - bis che consente all’Autorità d’intervenire con i poteri inibitori, repressivi e sanzionatori di cui all’art 58 del Regolamento al fine di contrastare il fenomeno del cd revenge porn[v].
Si arriva così alle disposizioni che riguardano propriamente il trattamento dei dati personali da parte di un’amministrazione pubblica e soggetti equiparati[vi].
L’art 9, al primo comma, sub lett. b), dispone l’abrogazione dell’art 2 – quinquiesdecies del Codice della privacy e prevede, sub lett. a), l’inserimento del comma 1 bis all’art. 2 – ter del medesimo Codice, con la consequenziale riscrittura in parte qua anche dei commi 2 e 3 sempre dell’art. 2 ter.
L’art 2 – quinquiesdecies era stato introdotto nel testo del Codice dall’art 2, comma 1, lett f) del d lgs 101/2018, che, nel recare le disposizioni per l’adeguamento della normativa nazionale alle disposizioni del GDPR, aveva contemplato la possibilità che l’Autorità garante potesse adottare d’ufficio provvedimenti di carattere generale per prescrivere misure e accorgimenti a garanzia dell’interessato per i trattamenti svolti per l’esecuzione di un compito d’interesse pubblico ritenuti tali da presentare rischio elevato. Questo incisivo potere di controllo preventivo e regolatorio, esercitato tra gli altri nel caso dell’introduzione dell’obbligo di fatturazione elettronica (cfr. Provvedimento in tema di fatturazione elettronica, 20 dicembre 2018, doc. web n. 9069072) o dell’impiego dell’App Immuni (cfr. Provvedimento di autorizzazione al trattamento dei dati personali effettuato attraverso il Sistema di allerta Covid-19 - App Immuni - 1° giugno 2020, doc. web 9356568), viene adesso soppresso. Le implicazioni sulla ricostruzione anche sistematica dei poteri dell’Autorità garante nei confronti delle altre pubbliche amministrazioni sono di tutta evidenza.
Sub lett. a), il primo comma dell’art. 9 del d.l. 139/2021 prevede poi l’inserimento del comma 1 bis all’art. 2 – ter del vigente Codice della privacy (d.lgs. 30 giugno 2003 n. 196 e s.m.i.)
L’art 2 – ter apre il Capo II (Principi), del Titolo I (Principi e disposizioni generali) della Parte prima (Disposizioni generali) del Codice e, come da rubrica, è dedicato alla disciplina della “Base giuridica per il trattamento di dati personali effettuato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri”. Al primo comma dispone che “La base giuridica prevista dall'articolo 6, paragrafo 3, lettera b), del regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento”. Vale quindi a precisare che l’obbligo legale o l’esecuzione di un compito d’interesse pubblico o connesso all’esercizio dei pubblici poteri di cui sia investito il titolare del trattamento (le due ipotesi di cui alla lett. b) del GDPR) rendono lecito il trattamento se hanno (l’obbligo o l’esecuzione del compito / funzione) fondamento in una norma di legge. La disposizione ha consumato in tal modo il rinvio al “diritto dello Stato membro” operato dal citato par 3, lett b) dell’art 6 del GDPR, ma, come detto, ha prestato il fianco a più interpretazioni, palesando l’opportunità di un intervento chiarificatore come quello adesso attuato.
La nuova previsione recata dal comma 1 bis, secondo la quale per le amministrazioni pubbliche e soggetti equiparati il trattamento dei dati personali “è sempre consentito se necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri a essa attribuiti”, all’apparenza potrebbe sembrare del tutto inutile, dal momento la norma, secondo la quale l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri a essa attribuiti dalla legge possono rappresentare una valida base giuridica del trattamento, è di per sé già recata dall’art. 6 del GDPR. La chiara valenza interpretativa ben si comprende però alla luce di quanto sopra osservato, in ordine all’interpretazione restrittiva affermatasi proprio con riferimento all’applicazione del citato art. 6.
Anche già solo alla luce della prima parte del disposto del comma 1 bis non può più sussistere dubbio alcuno sul fatto che “l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri a essa attribuiti” sia base giuridica sufficiente per il trattamento da parte di una pubblica amministrazione. Già solo il quid novi del testo, rappresentato unicamente dall’avverbio “sempre”, leva ogni possibile dubbio al riguardo: se il trattamento è sempre possibile quando necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri a essa attribuiti, ciò esclude che il trattamento possa avvenire solo nei casi in cui è espressamente previsto da una norma di legge.
Anche l’ulteriore precisazione recata dalla seconda parte del comma 1 bis e le ulteriori conseguenziali disposizioni sul regime della comunicazione e diffusione chiariscono definitivamente che la necessarietà del trattamento, ai fini della cura di un pubblico interesse o dell’esercizio di pubblico funzioni, non deve essere previamente valutata dal legislatore, ma può bene essere valutata dall’amministrazione alla quale la legge abbia attributo quel determinato compito o pubblica funzione.
Il secondo periodo del comma 1 – bis chiarisce espressamente che “la finalità del trattamento, se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall'amministrazione, dalla società a controllo pubblico in coerenza al compito svolto o al potere esercitato, assicurando adeguata pubblicità all'identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano."
Anche la riscrittura dei commi 2 e 3 dell’art 2 – ter si rivela oltremodo significativa. Il comma 2 disciplina la comunicazione fra titolari dei dati comuni o ordinari e, prima della novella, prevedeva che, per l’esecuzione di un compito d’interesse pubblico o connesso all’esercizio di pubblici poteri, la comunicazione fosse possibile solo nei casi espressamente previsti dalla legge e che, in mancanza di una espressa previsione di legge, la comunicazione dovesse essere in ogni caso previamente autorizzata (anche solo in forma tacita) dal Garante. La novella ha completamente eliminato il secondo periodo dell’art 2, che sottoponeva la comunicazione alla previa autorizzazione del Garante, e ha previsto che la comunicazione possa essere effettuata anche se ritenuta necessaria “ai sensi del comma 1 – bis”; ovvero rimettendo la valutazione circa la necessità della comunicazione all’amministrazione medesima. Lo stesso è a dirsi per la diffusione e la comunicazione contemplate al comma 3, per la quali si precisa parimenti che la valutazione di necessità può ben essere effettuata, in assenza di una espressa previsione di legge, “ai sensi del comma 1 – bis”.
6.- Osservazioni conclusive.
Le disposizioni urgenti in materia di protezione dei dati personali dettate dall’art 9 del d.l. 139/2021 chiariscono che il trattamento dei dati personali per finalità di pubblico interesse (necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri) è sempre consentito se ritenuto necessario dall’amministrazione alla quale il compito o potere sia stato attributo dal legislatore, senza che la finalità del trattamento debba essere espressamente specificata dal legislatore medesimo; e sottraggono la comunicazione dei dati (strumentale alla esecuzione di un compito di pubblico interesse o connesso all’esercizio di pubblici poteri) e la valutazione del rischio elevato (di un trattamento necessario per l’esecuzione di un compito d’interesse pubblico) alla potestà regolatoria dell’Autorità Garante.
Tanto l’espressa soppressione dei poteri in precedenza riconosciuti al Garante (per la valutazione dei rischi del trattamento o per la comunicazione e diffusione dei dati strumentali o connesse all’esecuzione di un compito di pubblico interesse o all’esercizio di un funzioni istituzionali), quanto l’inserimento del comma 1 - bis all’art 2 – ter del Codice, valgono indubbiamente a sottrarre il trattamento dati per finalità di pubblico interesse a quello stringente controllo che in precedenza ha consentito al Garante d’ingerirsi in maniera molto penetrante nella valutazione delle stesse finalità concretamente perseguite da una data azione amministrativa, sino al punto di valutarne l’effettiva utilità o l’astratta possibilità.
Sotto questo profilo, le disposizioni hanno una valenza interpretativa particolarmente significativa, che impone una lettura necessariamente più elastica dei principi di minimizzazione allorquando gli stessi non si rivolgono a rapporti tipicamente privatistici, ma devono essere applicati nei confronti del trattamento dati per finalità di pubblico interesse. Non solo la chiara indicazione della finalità di pubblico interesse deve essere ormai ritenuta necessariamente tale da poter di per sé giustificare l’eventuale trattamento anche in assenza di una espressa previsione che specifichi la finalità del trattamento; ma bisogna allo stesso modo tener conto del fatto che anche le valutazioni di pertinenza, adeguatezza e limitazione del trattamento devono per la gran parte ritenersi assorbite nell’applicazione del più generale principio di proporzionalità. In ogni caso, si vuol dire, non è più possibile doppiare le valutazioni discrezionali riservate all’amministrazione procedente per la cura dell’interesse pubblico nel concreto del caso di specie, con valutazioni di merito operate dall’Autorità garante in una maniera che non è consentita nemmeno al giudice amministrativo e che, per gli atti aventi forza e valore di legge, è riservata alla Corte costituzionale.
Queste prime conclusioni possono reputarsi pacifiche per il trattamento dei dati comuni o ordinari.
E’ facile immaginare che il problema rimanga aperto per i dati cd particolari, o perlomeno per alcuni di essi. La soluzione non appare scontata.
Se è vero infatti che le modifiche introdotte non hanno toccato l’art 2 – sexies, che per motivi d’interesse pubblico ammette il trattamento solo nei casi, indicati dal secondo comma dell’articolo medesimo, in cui l’interesse pubblico può essere considerato “rilevante”; è anche vero che il nuovo comma 1 – bis è stato inserito all’interno dell’art 2 – ter, che reca i principi generali della disciplina del trattamento dei dati personali effettuato per l’esecuzione di un compito d’interesse pubblico o connesso all’esercizio dei pubblici poteri, con particolare riferimento alla relativa base giuridica; e che l’art. 2 sexies consente il trattamento di categorie particolari di dati per motivi d’interesse pubblico, indicando al suo secondo comma quali motivi di pubblico interesse possano ritenersi rilevanti a tal fine. Non vi sarebbe quindi ragione per ritenere che, almeno nelle ipotesi contemplate dal citato secondo comma, non debba valere la regola generale dettata per il trattamento dei dati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. Lo stesso art. 9 del GDPR, d’altronde, dopo aver posto il divieto di trattamento dei dati personali particolari al primo comma, al secondo comma precisa che il divieto non si applica (e che quindi il trattamento può ritenersi lecito), tra gli altri, nel caso in cui il trattamento “è necessario per motivi d’interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri”.
Sarebbe pertanto opportuno che il permanere di questa ulteriore incertezza interpretativa venisse sciolto con apposita disposizione in sede di conversione del decreto - legge, precisando se e a quali ipotesi, tra quelle contemplate dal secondo comma dell’art 2 – sexies, si applica il comma 1 bis adesso introdotto dal d.l. 139/2021.
[i] F. Francario, Protezione dati personali e pubblica amministrazione in Giustizia Insieme, 1 settembre 2021; v. anche Protezione dei dati personali e PA. Intervista al Prof. Avv. Fabio Francario, in Diritto Mercato Tecnologia, 3 settembre 2021.
[ii] Ciò implica innanzi tutto che, nel sistema disegnato dal DPGR, porta a leggere la norma primaria che attribuisce il potere di trattare i dati personali per finalità di pubblico interesse, recata dall’art. 6, primo comma lett. e) del Reg. UE 2016/679, venga letta come mera norma di rinvio a ulteriori disposizioni che precisino la specifica finalità che il trattamento deve perseguire. A seguire il medesimo canone interpretativo, si dovrebbe allora arrivare ad analoga conclusione anche nel caso in cui il GDPR ritiene il trattamento lecito quando “è necessario all’esecuzione di un contratto di cui l’interessato è parte”; nel senso che, così come non si ritiene di per sé sufficiente l’attribuzione legislativa alla pubblica amministrazione del potere di curare un dato pubblico interesse, non potrebbe ritenersi sufficiente nemmeno il solo fatto dell’esistenza del contratto tra soggetti privati, imponendosi anche in tal caso, come necessaria, l’espressa previsione della possibilità di trattamento per quella determinata finalità in seno alla regolamentazione contrattuale. Il sistema disegnato dal GDPR contempla infatti parimenti, come possibili basi giuridiche del trattamento, tanto l’ipotesi in cui esso “è necessario all’esecuzione di un contratto di cui l’interessato è parte”, quanto quella in cui in cui “il trattamento è necessario per l’esecuzione di un compito interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”. In entrambi i casi bisognerebbe pertanto chiarire se la norma abbia o meno carattere immediatamente precettivo. Applicata nei confronti del solo trattamento in ambito pubblico, tale lettura produce peraltro il paradosso di raddoppiare l’operatività del principio di legalità nei confronti della pubblica amministrazione. Il che sarebbe un po’ come dire che l’attribuzione del potere di espropriazione per finalità di pubblica utilità non consentirebbe all’amministrazione di valutare essa la sussistenza della pubblica utilità, ma richiederebbe una ulteriore norma che consenta di sacrificare il diritto di proprietà per la finalità specificata da quest’ultima. Ovvero, per fare un altro esempio, che l’attribuzione del potere di regolare gli usi delle strade non consentirebbe all’Amministrazione di provvedere con atti amministrativi alla collocazione di divieti di transito, di sosta o di accesso se non vi sia una ulteriore norma che predetermini le specifiche finalità per le quali può essere consentita la limitazione della libertà di circolazione.
[iii] Esemplare sotto questo profilo è la disciplina di un istituto assolutamente centrale nel sistema disegnato per la tutela del diritto al trattamento dei dati personali, qual è il diritto all’oblio. L’art 17 del GDPR si preoccupa di precisare che il diritto dell’interessato, di ottenere dal titolare del trattamento la cancellazione dei dati personali quando questi “non sono più necessari rispetto alle finalità per le quali sono stati raccolti o trattati”, non sussiste nei casi in cui il trattamento è necessario “per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento”. Nel già sopra citato scritto Protezione dati personali e pubblica amministrazione si è precisato di ritenere comunque inaccettabili, sul piano valoriale più generalmente considerato, le interpretazioni che avrebbero l’effetto oggettivo di ridurre l’evoluzione della disciplina in tema di privacy ad una patrimonializzazione del diritto alla riservatezza, finalizzata a consentirne l’uso da parte dei big data ed a conservare e riposizionare il nucleo duro della riservatezza solo laddove ve ne sarebbe minor ragione, e cioè nell’ambito pubblico, nel quale la regola è quella della trasparenza e della conoscibilità.
[iv] Così come lo è, soprattutto rispetto a quella del consenso, come si è già ricordato sub nota 2, l’ipotesi del trattamento “necessario all’esecuzione di un contratto di cui l’interessato è parte”.
[v] "Art. 144-bis (Revenge porn). - 1. Chiunque, compresi i minori ultraquattordicenni, abbia fondato motivo di ritenere che immagini o video a contenuto sessualmente esplicito che lo riguardano, destinati a rimanere privati, possano essere oggetto di invio, consegna, cessione, pubblicazione o diffusione senza il suo consenso in violazione dell'art. 612-ter del codice penale, può rivolgersi, mediante segnalazione o reclamo, al Garante, il quale, entro quarantotto ore dal ricevimento della richiesta, provvede ai sensi dell'articolo 58 del regolamento (UE) 2016/679 e degli articoli 143 e 144.
2. Quando le immagini o i video riguardano minori, la richiesta al Garante può essere effettuata anche dai genitori o dagli esercenti la responsabilità genitoriale o la tutela.
3. Per le finalità di cui al comma 1, l'invio al Garante di immagini o video a contenuto sessualmente esplicito riguardanti soggetti terzi, effettuato dall'interessato, non integra il reato di cui all'articolo 612-ter del codice penale."
[vi] Come meglio precisa il comma 1 – bis che viene inserito nell’art 2 – ter del d. lgs. 30 giugno 2003 n. 196 (Codice della protezione dei dati personali), le previsioni concernono “Il trattamento dei dati personali da parte di un'amministrazione pubblica di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, ivi comprese le Autorità indipendenti e le amministrazioni inserite nell'elenco di cui all'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, nonchè da parte di una società a controllo pubblico statale di cui all'articolo 16 del decreto legislativo 19 agosto 2016, n. 175,con esclusione per le società pubbliche dei trattamenti correlati ad attività svolte in regime di libero mercato”.