Decreto Capienze, la privacy sottomessa al pubblico interesse: cosa cambia e cosa si rischia - Cyber Security 360

l'analisi

Decreto Capienze, la privacy sottomessa al pubblico interesse: cosa cambia e cosa si rischia

Il decreto di fatto rafforza il potere del Governo riducendo quello del Garante e così le tutele di diritti e libertà dei cittadini. La cosa più grave: via al potere di intervento del Garante in caso di gravi rischi in trattamenti pubblici di dati

08 Ott 2021
Nicoletta Pisanu

Giornalista

I poteri del Garante privacy fortemente ridotti nei confronti dello Stato e della PA. Idem per le garanzie dei cittadini. È lo scenario che si presenta nello schema di decreto Capienze, già approvato e in via di pubblicazione in Gazzetta Ufficiale. 

Grande preoccupazione in queste ore da parte di esperti privacy per la svolta anti-garantista dell’Italia.

In particolare il Garante non potrà più intervenire in via preventiva su trattamenti a rischio da parte della PA, la quale d’altro canto avrà sempre la possibilità di trattare i dati per fini di interesse pubblico senza bisogno di una norma primaria – indicati dalla stessa amministrazione in caso non siano già previsti dalla legge. Semplificazioni che però fanno temere briglie completamente sciolte: il Decreto Capienze approvato dal Consiglio dei ministri giovedì 7 ottobre 2021 indica che il trattamento dei dati da parte delle PA è sempre consentito per finalità pubbliche.

Nello specifico, “in coerenza con il quadro europeo, alcune semplificazioni alla disciplina prevista dal decreto legislativo 196/2003 del trattamento dei dati con finalità di interesse pubblico”, come si legge nella comunicazione ufficiale del Governo al riguardo. Il trattamento dei dati dunque sarà consentito a enti e autorità per motivi di pubblico interesse, una situazione che impone una riflessione sul rapporto tra tale ambito e la privacy degli interessati.

Privacy, cosa dice il DL Capienze

Il Decreto, approvato all’unanimità dal Consiglio dei ministri, prevede un allentamento delle restrizioni imposte a luoghi come cinema, teatri e discoteche, disponendo l’impiego di Green pass e mascherine oltre a stabilire le percentuali di affluenza consentite. Nel testo però c’è una parte interessante dal punto di vista della privacy, cioè l’articolo 9 del decreto legge.

Terremoto privacy nel decreto Capienze, PA senza freni: ecco gli impatti

Tre sono i punti fondamentali da sottolineare:

  • Viene sempre concesso alle PA il trattamento dei dati comuni (come quelli anagrafici) per fini pubblici
  • La finalità del trattamento, se non prevista da norme di legge, viene indicata dalle PA
  • Il Garante non potrà più svolgere controlli preventivi per i trattamenti ad alto rischio di dati particolari, come quelli sanitari. 

Vediamole nel dettaglio.

Trattamento dati sempre consentito per interesse pubblico

Questo riporta che il trattamento dei dati personali, purché comuni è “sempre consentito”, si legge nel testo, “se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti” da parte di:

  • un’amministrazione pubblica
  • autorità indipendenti
  • amministrazioni inserite nell’elenco di cui all’articolo 1, comma 3 della legge 31 dicembre 2009 numero 196
  • società a controllo pubblico
  • organismi di diritto pubblico

La finalità del trattamento

L’articolo 9 del decreto legge indica inoltre che la finalità del trattamento, “se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall’amministrazione, dalla società a controllo pubblico o dall’organismo di diritto pubblico in coerenza al compito svolto o al potere esercitato”. 

Dunque, se una finalità non è prevista dalla legge, la PA con un atto amministrativo potrà indicarla e svolgere il trattamento che ritiene necessario.  

Finora è stata necessaria una norma per nuovi trattamenti, si veda quelli di App Io, Immuni, Green pass eccetera.

Stop agli interventi preventivi del Garante privacy

Ciò che più allarma gli esperti è che il Garante privacy, secondo le nuove disposizioni, non potrà più svolgere controlli preventivi nel caso di trattamenti di dati ad alto rischio. Il decreto capienze infatti abroga l’articolo 2 quinquiesdecies del Codice Privacy. Si pensi a casi quello dell’App Io o del Green pass, su cui l’autorità Garante aveva espresso il proprio parere chiedendo correzioni alla luce della normativa privacy, espressa innanzitutto dal GDPR: con la nuova norma non si potrà più presentare una situazione simile.

Questa condizione presenta scenari di rischio per la tutela delle libertà e dei diritti degli interessati. 

“La cosa più grave del decreto è aver tolto al Garante la possibilità di dare autorizzazioni specifiche per trattamenti, da parte della PA e per fini pubblici, che prevedono rischi elevati”, spiega Franco Pizzetti, ex Garante Privacy, professore emerito di diritto costituzionale all’Università di Torino.

Ad esempio se il verificatore del green pass può venire a conoscenza dei dati sanitari su vaccinazione, in base a una norma, il Garante poteva bloccarla. Così ha fatto. E ora non potrà più.

Si tratta di un potere non presente nel GDPR ma è stato dato dal legislatore italiano in fase di recepimento del regolamento. “Un potere utile, da usare con cautela”, dice Pizzetti.

L’Agenzia delle Entrate e il ministro all’innovazione Vittorio Colao si sono lamentati in passato per questo potere, considerandolo d’ostacolo alla lotta a reati, all’evasione o all’innovazione.

Evidentemente, alcuni provvedimenti dati ex post avevano creato al Governo problemi di attuazione.

Di contro il Garante ha comunicato di averlo esercitato perché non era stato ascoltato prima della pubblicazione della norma. “Sarebbe stato meglio dare al Garante un potere ex-ante maggiore”, dice Pizzetti.

Meno tempo al Garante privacy

E l’attuale decreto di tempo ne dà pure meno, al Garante, per dare un parere preventivo: solo 30 giorni. Poco per fare una istruttoria utile al parere nei casi più complessi.

Meno garanzie su tabulati telematici-telefonici

Il decreto abroga anche il comma 5 dell’art. 132 Codice Privacy. Questo articolo prevedeva che il trattamento e la conservazione di dati personali (tabulati telefonici) per le finalità di accertamento e repressione dei reati venisse effettuato nel rispetto delle misure e degli accorgimenti a garanzia delle persone prescritti dal Garante Privacy.

Una tutela vista sempre come fumo negli occhi da forze dell’ordine e intelligence. Ora il Governo li ha ascoltati. 

Il sacrificio della privacy

“Il decreto di fatto rafforza il potere del Governo riducendo quello del Garante su un punto però pensato a tutela di diritti e libertà dei cittadini”, dice Pizzetti.

“Con questa piccola modifica del nostro Codice Privacy, il Governo sembra determinato a vanificare l’intero impianto di Garanzia creato dalle norme europee, in nome dell’efficienza e della semplificazione della Pubblica Amministrazione”, aggiunge l’avvocato Carlo Blengino.

“Sembra non ricordare il Governo che non c’è un solo diritto fondamentale che non generi attrito e inefficienza rispetto a finalità anche encomiabili dallo Stato perseguite: i diritti fondamentali son scritti nelle costituzioni proprio per quello, per limitare e render un po’ meno efficiente il potere dei sovrani, chiunque essi siano”.

“A voler concedere la buona fede, è evidente che i nostri governanti e i molti tecnici impegnati nella digitalizzazione del paese non abbiano chiaro quanti diritti della persona dipendono dal rispetto rigoroso del diritto fondamentale alla protezione dei dati nell’attuale società digitale”, continua Blengino.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5