Sommario: 1. Premessa - 2. Il caso INPS e la pronuncia del Tribunale civile di Roma 24 marzo 2022 - 3. Il caso Rechtbank Midden (CGUE 24 marzo 2022 C – 245/20) - 4. Osservazioni conclusive.
1. Premessa.
Due recenti pronunce del Tribunale civile di Roma e della Corte di giustizia europea consentono di fare il punto sull’attuale regime del trattamento dei dati personali per finalità di pubblico interesse da parte delle pubbliche amministrazioni.
2. Il caso INPS e la pronuncia del Tribunale civile di Roma 24 marzo 2022.
2.1. La prima è stata resa il 24 marzo 2022 dalla XVIII Sezione civile del tribunale di Roma con riferimento alla sanzione adottata dal GPDP nei confronti dell’INPS assumendo che i controlli da quest’ultimo svolti sui sussidi erogati nel pieno dell’emergenza pandemica avessero violato praticamente quasi tutte le regole e i principi esistenti in materia di trattamento dati personali (principi di liceità, correttezza e trasparenza del trattamento di cui all’art 5 par 1 lett. a, del GDPR; principio di minimizzazione di cui all’art 5 par 1 lett c del GDPR; principio di esattezza di cui all’art 5 par 1 lett d del GDPR; protezione dati fin dalla progettazione e per impostazione predefinita di cui all’art 25 GDPR; obbligo di effettuare la valutazione d’impatto sulla protezione dati ai sensi dell’art 33 GDPR; principio di responsabilizzazione di cui agli artt. 5 par. 2 e 24 del GDPR).
Cos’era successo di così grave da giustificare un intervento presso che esemplare dell’Autorità garante? Era accaduto che, nel pieno dell’emergenza determinata dalla prima ondata della pandemia Covid19, nel marzo 2020, il dl.l. 18/2020 aveva previsto la concessione di misure indennitarie per sostenere le categorie di lavoratori e professionisti colpite dalle misure del lockdown, erogabili a condizione che i destinatari non fossero già titolari di pensione o iscritti ad altra forma previdenziale obbligatoria o titolari di un rapporto di lavoro dipendente (cd bonus covid). L’immediata erogazione del sostegno economico è subordinata alla autodichiarazione degli stessi richiedenti della sussistenza della suddetta condizione e l’INPS può pertanto operare unicamente dei controlli successivi per verificare l’esattezza di quanto dichiarato dai richiedenti. Essendo stata diffusa dalla stampa la notizia che i bonus sarebbero stati indebitamente erogati anche a diversi parlamentari e amministratori locali, l’INPS avvia così dei controlli di secondo livello al fine di verificare se il bonus Covid fosse stato effettivamente erogato anche in tali casi, incrociando i codici fiscali indicati dai richiedenti nelle domande presentate con quelli ricavati dai dati aperti disponibili sui siti web delle Camere e degli enti locali e territoriali dei politici eletti nelle rispettive assemblee. A detta dell’Autorità Garante, in questo modo sarebbero state compiute attività non necessarie per lo svolgimento della funzione di vigilanza con grave pregiudizio del diritto al trattamento dei dati personali da parte dei soggetti interessati: il codice fiscale ricavato dalle banche dati aperte non era quello ufficiale e si prestava al rischio di omocodie; l’incrocio dei dati era stato globale e andavano invece espunti i dati di coloro che erano stati già esclusi dal beneficio; al momento di apertura del procedimento di verifica non vi era ancora la certezza che il bonus non fosse dovuto; non erano stati preventivamente calcolati i rischi che il trattamento presentava per i diritti e le libertà degli interessati laddove era invece necessario svolgere una preliminare valutazione d’impatto sulla protezione dei dati. In sostanza, secondo l’Autorità Garante, la funzione ispettiva o di controllo finalizzata ad evitare che le (limitate) risorse non venissero disperse a beneficio di chi non ne aveva diritto, nel pieno dell’emergenza pandemica, avrebbe dovuto seguire tutt’altra procedura o a ben guardare non avrebbe dovuto nemmeno essere iniziata (perché i codici fiscali usati non erano quelli ufficiali rilasciati dal Centro nazionale di elaborazione di dati per l’anagrafe tributaria dell’Agenzia delle Entrate; perché non vi era certezza che i contributi fossero stati percepiti; perché non v’era certezza che i sussidi non potessero essere erogati a politici e parlamentari: adempimenti o pseudo garanzie che nessuna norma di legge ha mai imposto di seguire, ma ritenuti tali da precludere l’esercizio della funzione amministrativa). A detta dell’Autorità Garante, in buona sostanza, l’interesse pubblico poteva e doveva esser curato diversamente o, forse, non richiedeva affatto alcun intervento dell’autorità pubblica. L’attività posta in essere non era cioè necessaria per la cura dell’interesse pubblico nello specifico del caso concreto e aveva fatto correre un rischio “elevato” al trattamento dei dati personali dei soggetti interessati. E qui si tocca forse il punto più delicato delle conseguenze dell’azione dell’Autorità Garante se si considera l’interesse che l’intervento del Garante ha inteso proteggere, dal momento che non è mai emerso un solo nominativo dei soggetti potenzialmente interessati e lo stesso Garante dà atto della “impenetrabilità dei dati” trattati dall’INPS. L’Istituto viene sanzionato ugualmente perché l’attività di vigilanza posta in essere avrebbe avuto “impatto negativo in termini di immagine pubblica e riprovazione sociale sull’intera categoria composta da deputati e amministratori regionali e locali”.
Il Tribunale civile di Roma, con la pronuncia del marzo 2022, ha annullato la sanzione, ritenendo in concreto insussistenti le violazioni contestate dal Garante. La sentenza va salutata senz’altro con favore nella misura in cui mostra di ricondurre entro limiti ragionevoli l’esigenza di rispettare il diritto al trattamento dei personali e la possibilità di sindacato da parte del Garante delle scelte discrezionali effettuate dalle amministrazioni procedenti.
2.2. L’importanza della pronuncia si apprezza però soprattutto se si considera che non si era di fronte ad un caso isolato o eccezionale di controllo oltremodo invasivo del Garante sull’esercizio di poteri discrezionali.
L’intervento del Garante ha a suo tempo determinato l’arresto del procedimento di verifica che non è stato più portato a termine dall’INPS; così come è avvenuto in diversi altri casi in cui l’intervento del Garante ha ritardato o impedito l’esercizio di funzioni amministrative nel periodo dell’emergenza in nome dell’esigenza di assicurare una tutela assoluta e incondizionata al diritto alla protezione dei dati personali, in un momento in cui tutti i diritti fondamentali dell’individuo e della persona, anche di rango senz’altro superiore a quello alla “riservatezza”, sono stati compressi e limitati nel periodo dell’emergenza.
Il caso INPS è esemplare di un certo modo d’intendere la normativa in materia di protezione dei dati personali trattati per finalità di pubblico interesse, che nel periodo dell’emergenza pandemica ha mostrato in maniera evidente tutti i suoi limiti e la sua insostenibilità. Dall’erogazione dei buoni spesa alimentari, alle vaccinazioni, all’uso delle App Immuni o Mitiga Italia; all’uso del green pass per l’accesso ai luoghi di lavoro pubblici e privati, nelle scuole, nei pubblici uffici e nei locali commerciali, l’intervento dell’Autorità Garante si è contraddistinto per una costante sovrapposizione alle Autorità istituzionalmente competenti sulle scelte relative alla possibilità e alle modalità di cura dell’interesse pubblico nel caso concreto, con funzione quasi sempre interdittiva. Il sindacato dell’Autorità Garante ha finito con il riguardare quasi sempre la valutazione della necessità o meno di una data attività per la cura del pubblico interesse e quindi in ultima analisi l’opportunità stessa dell’azione amministrativa. Sindacare la strumentalità del trattamento dei dati personali rispetto alla finalità di cura del pubblico interesse significa infatti sindacare la necessità o meno di una determinata azione per la cura dell’interesse pubblico ed implica muoversi sul crinale del merito delle decisioni amministrative, il cui sindacato è di regola sottratto alla cognizione persino del giudice amministrativo.
Direi che quanto sopra renda giusto aprire una serie d’interrogativi. .
Innanzi tutto come ciò sia potuto accadere in manifesta controtendenza rispetto alle linee evolutive in atto nel nostro Ordinamento, caratterizzate dalla costante e crescente introduzione di misure di semplificazione volte a recuperare l’efficienza amministrativa, che hanno reso disponibili, per le amministrazioni procedenti, interessi pubblici di ben altro spessore, attraverso il continuo aggiustamento della disciplina della conferenza di servizi decisoria o la previsione di meccanismi comunque sostitutivi; o di misure espressamente volte a rimuovere il fenomeno paralizzante dell’amministrazione difensiva o della “paura della firma” del decisore pubblico attraverso la limitazione della responsabilità erariale, con l’esclusione della colpa grave, o della responsabilità penale, con la mitigazione dell’abuso d’ufficio.
Davvero la normativa sulla protezione dei dati personali consente all’Autorità Garante di operare come una sorta di amministrazione di secondo livello in grado di condizionare le scelte del decisore pubblico, assumendo che, in assenza dell’espresso consenso dell’interessato o di una specifica norma di legge che ne consenta il trattamento per finalità di pubblico interesse prevedendone espressamente modi e limiti, il diritto alla protezione dei dati personali non possa essere limitato e condizionato dall’esigenza di protezione del pubblico interesse, come se si fosse in presenza di un super diritto fondamentale, indisponibile da parte della PA ?
E, in ultima analisi, quali interessi si avvantaggiano effettivamente delle cure dell’Autorità Garante ? Quali interessi vengono effettivamente tutelati? Siamo sicuri che alla fine l’azione dell’Autorità Garante nel concreto dei casi di specie tuteli interessi effettivamente meritevoli di tutela da parte dell’ordinamento?
Per la risposta rinvio alle conclusioni, che formulerò dopo aver esaminato anche il secondo caso che ho segnalato in apertura.
3. Il caso Rechtbank Midden (CGUE 24 marzo 2022 C – 245/20)
3.1. La seconda pronuncia che merita di essere segnalata è CGUE , Prima Sezione, 24 marzo 2022 causa C – 245/20 (Rechtbank Midden – Nederland), la quale ha affermato che “L'articolo 55, paragrafo 3, del regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento di dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che il fatto che un organo giurisdizionale metta temporaneamente a disposizione dei giornalisti documenti di un procedimento giurisdizionale, contenenti dati personali, al fine di consentire loro di riferire in modo più completo sullo svolgimento di tale procedimento rientra nell'esercizio, da parte di tale organo giurisdizionale, delle sue «funzioni giurisdizionali», ai sensi di tale disposizione”, escludendo con ciò la possibilità di un sindacato da parte dell’Autorità garante nazionale.
Cos’era successo nel caso di specie ? Al termine di un’udienza del Raad van State (che in Olanda corrisponde al nostro Consiglio di Stato), la parte e il suo avvocato vengono intervistati da un giornalista che, nel corso della conversazione, mostra di avere dettagliata conoscenza degli atti del fascicolo della causa, compresi gli atti nei quali apparivano nome, indirizzo e il cd numero nazionale di identificazione. Dopo che il giornalista ha spiegato che, di regola, i principali atti del processo vengono messi a disposizione dei giornalisti interessati a partecipare all’udienza pubblica al fine di agevolarne la comprensione, l’avvocato e la parte presentano un reclamo sostenendo che sarebbe avvenuto un trattamento di dati personali al quale non avrebbero prestato il proprio consenso e che sarebbe pertanto avvenuto in violazione del GDPR.
Poiché la questione della sussistenza o meno del potere dell’Autorità garante nazionale di sindacare la decisione di un organo giurisdizionale di mettere a disposizione dei giornalisti i principali atti del fascicolo di causa dipende dall’interpretazione delle norme del GDPR, e in particolare dell’art 55 comma terzo che dispone che “Le autorità di controllo non sono competenti per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali”, viene investita la Corte di giustizia. Dopo aver chiarito che l’art 55 paragrafo 3 del Regolamento deve essere letto alla luce del considerando 20, il quale precisa che “Non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell'adempimento delle loro funzioni giurisdizionali, al fine di salvaguardare l'indipendenza della magistratura nell'adempimento dei suoi compiti giurisdizionali, compreso il processo decisionale”, la Corte di giustizia ha appunto concluso che “il fatto che un organo giurisdizionale metta temporaneamente a disposizione dei giornalisti documenti di un procedimento giurisdizionale, contenenti dati personali, al fine di consentire loro di riferire in modo più completo sullo svolgimento di tale procedimento rientra nell'esercizio, da parte di tale organo giurisdizionale, delle sue «funzioni giurisdizionali»”.
Secondo la decisione, rimangono dunque insindacabili dall’Autorità garante i trattamenti di dati personali effettuati dalle autorità giurisdizionali nell'ambito della loro politica di comunicazione sulle cause di cui sono investite, come quelli consistenti nel mettere temporaneamente a disposizione dei giornalisti atti di un procedimento giudiziario per consentire loro di assicurarne la copertura mediatica.
Una decisione dunque senz’altro meritevole di segnalazione per il fatto di tutelare l’indipendenza della magistratura da qualsiasi possibilità di condizionamento esterno e per garantire la trasparenza e il controllo democratico sull’esercizio della funzione giurisdizionale.
3.2. A questa decisione, che definirei illuminata, della Corte di giustizia fa da contraltare una inspiegabile timidezza dei nostri giudici nazionali, non consapevoli di rendere oggettivamente l’esercizio della funzione giurisdizionale un fatto riservato ai soli diretti interessati e che nessun altro avrebbe il diritto di conoscere.
Con il chiaro intento di impedire la possibilità di risalire anche indirettamente al caso concreto deciso, anche quando non si è in presenza di quei dati personali particolari o sensibili protetti da un divieto di divulgazione o quando l’oscuramento non sia stato chiesto nemmeno dal diretto interessato, le sentenze spesso e volentieri vengono pubblicate nelle banche dati istituzionali omettendo sempre e comunque nominativo e generalità delle persone fisiche. Non solo. L’omissione si estende spesso al nome delle persone giuridiche, ovvero colpisce indiscriminatamente tutte le parti del giudizio. Diffusa e crescente è anche la prassi di omissare, nei giudizi d’impugnazione, persino la data e gli estremi dei provvedimenti del giudizio di primo grado o, più in generale, degli stessi provvedimenti giurisdizionali citati come precedenti. In alcuni casi finanche del tribunale adito. In altri ancora vengono omissati data ed estremi del provvedimento impugnato o delle stesse autorità pubbliche emananti.
Anche qui mi pare giusto aprire una serie di interrogativi.
Com’è possibile che si arrivi a nascondere i dati identificativi non delle persone, ma delle stesse pronunce giurisdizionali e delle autorità giudicanti ?
Se si è arrivati a questo punto, è evidente che c’è qualche grave distorsione al fondo del sistema, che si è creato un sistema profondamente distorto
La situazione è stata denunciata dall’AIPDA in un apposito appello che ha cercato di richiamare l’attenzione sul grave pregiudizio che viene in tal modo arrecato alla possibilità di controllo democratico da parte della società civile su una delle forme fondamentali di esercizio della sovranità popolare e sul fatto che in tal modo le decisioni giurisdizionali diventano non intellegibili, anche da parte di chi sia provvisto della particolare preparazione culturale e giuridica che potrebbe essere richiesta dalla eventuale complessità della decisione, perché se ne nasconde volutamente il contenuto proprio per evitare che si possa mai individuare il caso al quale si riferisce.
4. Osservazioni conclusive.
4.1. Per trovare una risposta agli interrogativi che si sono aperti si deve muovere dalla considerazione che l’azione dell’Autorità Garante mostra di aver sposato una lettura restrittiva e acritica del GDPR. Oggettivamente, la lettura dell’Autorità priva d’efficacia immediatamente precettiva la previsione recata dall’art. 6 lett. e), secondo la quale “l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” è una delle possibili basi giuridiche che consentono di ritenere lecito il trattamento; presume l’esistenza di un divieto generalizzato del trattamento di qualsiasi dato personale, laddove il divieto è invece espressamente sancito dall’art. 9 unicamente per i dati particolari o sensibili; applica, infine, indiscriminatamente e allo stesso modo, le regole della minimizzazione, declinate dall’art. 5, ai soggetti tanto privati, quanto pubblici, senza minimamente considerare che le finalità perseguite da una qualsivoglia azione amministrativa sono note ab origine (in quanto connaturate ai compiti istituzionalmente propri dell’ente) e che pertanto, differentemente dai soggetti privati, non sussiste il problema di conoscere la finalità per la quale agisce il titolare.
Questa impostazione ha finora consentito all’Autorità Garante di sindacare la stessa sussistenza del potere di provvedere in capo all’Amministrazione procedente in caso di mancanza di una espressa attribuzione del potere di trattamento del dato personale e comunque le concrete modalità di esercizio della funzione amministrativa sotto il profilo della necessarietà rispetto al fine perseguito, operando come un potente fattore di blocco dell’azione amministrativa per proteggere valori a dir poco discutibili.
L’interpretazione restrittiva delle norme che regolano il trattamento dei dati personali per finalità di pubblico interesse, completamente appiattita, senza distinzioni, su quella propria dei rapporti inter privati è già difficilmente spiegabile per il trattamento per finalità di pubblico interesse generalmente considerato, ma nel caso delle pronunce giurisdizionali appare non solo discutibile sul piano valoriale ma chiaramente contra legem.
Lasciamo stare il fatto che il GDPR (art. 6) prevede che il trattamento è lecito se “necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o quando è “connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”. Le sentenze sono espressione di una funzione sovrana e l’obbligo di pubblicazione deriva da norma di legge, ma il rilievo per questa parte è comune a tutti i casi di trattamento per finalità di pubblico interesse.
Il fatto veramente sconcertante è che, nel caso dei provvedimenti giurisdizionali, le norme specificamente dettate dal Codice nazionale (le uniche che sono rimaste sempre ferme anche quando le altre norme del d. lgs. 30 giugno 2003 n. 196 che disciplinavano il trattamento dei dati per finalità di pubblico interesse erano state abrogate dal d. lgs. 101/2018) hanno sempre espressamente previsto che “le sentenze e le altre decisioni dell’autorità giudiziaria di ogni ordine e grado depositate in cancelleria o segreteria sono rese accessibili anche attraverso il sistema informativo e il sito istituzionale della medesima autorità nella rete Internet (osservando le cautele previste dal presente capo” – v. infra - ) (art. 51, co. 2); che i dati identificati degli interessati riportati sulla sentenza o provvedimento possono essere omissati su richiesta di parte, che spetta però all’autorità giudiziaria accogliere o disporre anche d’ufficio se fondata su “motivi legittimi” o per tutelare la “dignità degli interessati” (art 52, co. 1 e 2); che l’omissione di “generalità, dati identificativi o altri dati anche relativi a terzi dai quali può desumersi anche indirettamente l’identità di minori, oppure delle parti nei procedimenti” è doverosa soltanto se si tratti di “persone offese da atti di violenza sessuale” o se si verta “in materia di rapporti di famiglia e di stato delle persone” (art. 52 co. 5). “Fuori dei casi indicati nel presente articolo”, conclude il comma settimo dell’art. 52 del Codice, “è ammessa la diffusione in ogni forma del contenuto anche integrale di sentenze e di altri provvedimenti giurisdizionali”.
4.2. Se l’auspicio è che le due pronunce, del Tribunale civile di Roma e della Corte di giustizia, non rimangano un caso isolato, lascia ben sperare il fatto che sulla stessa linea è recentemente intervenuto anche il legislatore, per chiarire appunto che, nel sistema disegnato dal DGPR, la previsione recata dalla lett e) dell’art 6 può e deve essere ritenuta di per sé sufficiente a fondare la base giuridica del trattamento, almeno dei dati comuni o ordinari, da parte della pubblica amministrazione, senza che si renda necessaria una successiva disposizione che specifichi ulteriormente le finalità e le modalità del trattamento. Il dl 139/2021, convertito con modificazioni dalla l 205/2021, è espressamente intervenuto per modificare l’art. 2 ter del Codice sulla protezione dati personali, dedicato alla “Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri”, eliminando dalla formulazione normativa del primo comma l’avverbio “esclusivamente” e l’espressione “nei casi previsti dalla legge” al fine appunto di precisare che “la base giuridica prevista dall’art 6 par 3 lett b) del regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali”. Oltre ad altre significative modifiche, ha poi introdotto il comma 1 bis al fine di precisare che per le amministrazioni pubbliche e soggetti equiparati il trattamento dei dati personali “è anche consentito se necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri a essa attribuiti” e che ““la finalità del trattamento, se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall'amministrazione, dalla società a controllo pubblico in coerenza al compito svolto o al potere esercitato, assicurando adeguata pubblicità all'identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano."
Le disposizioni urgenti in materia di protezione dei dati personali dettate dal d.l. 139/2021 oggi chiariscono senza dubbio alcuno che il trattamento dei dati personali per finalità di pubblico interesse (necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri) è consentito se ritenuto necessario dall’amministrazione alla quale il compito o potere sia stato attributo dal legislatore, senza che la finalità del trattamento debba essere espressamente specificata dal legislatore medesimo.
Alla riscrittura dell’art 2 ter si accompagna anche la soppressione di altri poteri in precedenza riconosciuti al Garante (per la valutazione dei rischi del trattamento o per la comunicazione e diffusione dei dati strumentali o connesse all’esecuzione di un compito di pubblico interesse o all’esercizio di un funzioni istituzionali), a sottolineare la chiara volontà di sottrarre il trattamento dati per finalità di pubblico interesse a quello stringente controllo che in precedenza ha consentito al Garante d’ingerirsi in maniera molto penetrante nella valutazione delle stesse finalità concretamente perseguite da una data azione amministrativa, sino al punto di valutarne l’effettiva utilità o l’astratta possibilità.
Sotto questo profilo, le disposizioni hanno una valenza interpretativa particolarmente significativa, che impone una lettura necessariamente più elastica dello stesso principio di minimizzazione allorquando esso non si rivolga a rapporti tipicamente privatistici, ma deve essere applicato nei confronti del trattamento dati per finalità di pubblico interesse. In ogni caso, si vuol dire, non è più possibile doppiare le valutazioni discrezionali riservate all’amministrazione procedente per la cura dell’interesse pubblico nel concreto del caso di specie, con valutazioni di merito operate dall’Autorità garante in una maniera che non è consentita nemmeno al giudice amministrativo e che, per gli atti aventi forza e valore di legge, è riservata alla Corte costituzionale.
A maggior ragione, quindi, nel caso della pubblicazione dei provvedimenti giurisdizionali s’impone quella immediata correzione di rotta prefigurata dal legislatore per il trattamento dei dati personali per finalità di pubblico interesse, almeno finché si tratta di dati ordinari e non particolari o sensibili, abbandonando definitivamente quel pregiudizio culturale che porta a presumere che tutti i dati personali siano per ciò solo sensibili e di per sé soggetti a un generale divieto di pubblicazione. L’oscuramento ha un senso ed è possibile unicamente nelle ipotesi contemplate dall’art 52 del Codice.
4.3. Mi sembra chiaro, in conclusione, che la normativa in tema di protezione dei dati personali è stata finora applicata in una maniera acritica che ha accomunato il regime del trattamento per finalità di pubblico interesse a quello proprio dell’uso commerciale tra privati; senza tenere conto del fatto che, nel primo caso, il soggetto pubblico è già di per sé tenuto ad agire secondo finalità predeterminate dalla legge e nel rispetto del principio di proporzionalità; nel secondo no. Ed è quindi logico che, in tal caso, la possibilità di trattare il dato personale sia subordinata al previo consenso del soggetto interessato e che il trattamento sia consentito al limitato fine per il quale il consenso è stato prestato.
Se non si considera questo, si arriva a un risultato assolutamente inaccettabile in termini valoriali; perchè significherebbe che l’evoluzione della disciplina (e del bene tutelato), dalla privacy – riservatezza al trattamento dei dati personali, avrebbe avuto unicamente l’effetto di dare un prezzo al diritto alla riservatezza e di renderlo così disponibile per gli usi commerciali del mercato digitale globale della società moderna; e di renderlo per contro indisponibile proprio laddove i rapporti giuridici devono essere invece istituzionalmente regolati sulla base di un principio di trasparenza e non di riservatezza. Laddove cioè il trattamento è necessario per finalità di pubblico interesse o per l’esercizio di funzioni pubbliche.
Questa evoluzione è evidente e bisogna esserne consapevoli.
Per consuetudine, la nascita del diritto alla riservatezza viene fatta risalire storicamente alla pubblicazione sulla Harward Law review 1890 dell’articolo di Warren and Brandeis "The Right to Privacy". La storia è nota. Warren aveva sposato la figlia di un noto senatore e la Evening Gazette di Boston pubblicava continuamente indiscrezioni sulla vita matrimoniale di Warren e di sua moglie.
L’articolo avrebbe teorizzato per primo l’esistenza del diritto alla privacy come “the right to let be alone”; il diritto cioè ad essere lasciati soli, non spiati nell’intimità personale. Lo schema teorizzato è quello del diritto assoluto, della persona. Si vuole garantita la inviolabilità dello spazio privato della persona, dello spazio domestico che deve essere protetto da invasioni altrui.
La logica proprietaria sottesa alla protezione dell’interesse configura il diritto come jus excludendi alios e impiega la tecnica del divieto: il mio spazio non può essere invaso da terzi senza il mio consenso.
Il tema privacy nasce quindi come questione tipicamente di diritto privato, di tutela di un interesse esclusivamente privato, individuale. Se si esce dalla sfera “proprietaria” individuale, l’interesse non risulta più meritevole di protezione.
Il confine con il diritto pubblico è quindi molto netto. Se si entra nella sfera del pubblico, l’interesse tutelato è esattamente opposto ed è quello alla trasparenza e conoscibilità di un’attività amministrativa che il privato chieda venga posta in essere per soddisfare un proprio interesse personale ovvero della quale esso sia destinatario per ragioni di pubblico interesse.
Se si è destinatari di provvedimenti o decisioni (rese d’ufficio o a domande di parte) con cui si esercitano pubbliche funzioni bisogna conoscere l’identità: quando è in gioco l’interesse pubblico, l’impiego di risorse della collettività, il principio democratico impone di conoscere PERCHÉ si fa una cosa e CHI ne è beneficiario o danneggiato.
E l’ingresso nella sfera pubblica può dipendere da due fattori o meglio avvenire in due modi: o perché, per rievocare il caso Warren, “esco di casa” per chiedere qualcosa alla P.A. o per rivolgermi al giudice; oppure perché la P.A. o un giudice entrano nella mia sfera personale perché c’è una norma di legge che attribuisce a tali Autorità questo potere. Così come del resto avviene per qualsiasi altro diritto.
E il “sacrificio” è condizionato nelle modalità dalla finalità (eccesso di potere) e della proporzionalità.
Nel diritto contemporaneo il concetto di privacy si è evoluto ed ha assunto la forma della protezione dei dati personali. Non si tratta di una mera variazione lessicale. Alla diversità del significante si ricollega anche una diversità di significato.
Il concetto non è più lo stesso, non è identico. Anzi.
La tutela sembra assumere come oggetto una vera e propria identità digitale: l’interesse regolato non è più solo quello al controllo della diffusione di notizie o immagini sulla persona, ma al controllo di tutte le informazioni che consentono di identificare la persona fisica (nascita, età, CF, ecc). La nozione poi si allarga e ricomprende qualsiasi uso del dato personale. “Trattamento” è non solo la pubblicazione, ma anche l’acquisizione del dato o il suo trasferimento ad un soggetto terzo. Tutto questo ha come conseguenza che i dati personali divengono oggetto di un bene giuridico autonomo, diverso dallo spazio privato personale che deve essere protetto da invasioni altrui, che diventa così soggetto alle comuni regole sulla circolazione dei beni giuridici.
Se l’evoluzione della privacy da “right to let be alone” a diritto al trattamento dei dati personali è servita a patrimonializzare il diritto di riservatezza per consentirne l’uso da parte dei big data e a riposizionare il nucleo duro della riservatezza solo laddove ve ne sarebbe minor ragione, e cioè nell’ambito pubblico, dove la regola è quella della trasparenza e della conoscibilità, il risultato sarebbe paradossale. Se l’attuazione del GDPR serve a rendere disponibile il diritto da parte di soggetti privati e imprese, che vengono autorizzati all’uso economico dei dati personali in base ad un consenso che risulta prestato secondo formule di rito standardizzate e non negoziabili, e a rendere per converso indisponibile in ambito pubblico anche il trattamento dei dati comuni e ordinari, il risultato appare francamente inaccettabile.
*L’articolo riproduce il testo della relazione al convegno dell’Associazione Italiana Professori Diritto Amministrativo - AIPDA tenuto a Roma il 29 aprile 2022 sul tema “Trattamento dei dati personali e documenti amministrativi: le frontiere della discrezionalità”.