Una lettura pop delle novità privacy del Decreto capienze
Il decreto-capienze (decreto legge 8 ottobre 2021, n. 139), oltre alle previsioni sull’accesso alle attività culturali, sportive e ricreative, contiene importanti novità che riguardano la disciplina dei dati personali.
Tra queste ultime, quella che ha destato maggiori perplessità riguarda la possibilità, per gli enti pubblici, di effettuare un trattamento anche in assenza di una norma di legge quale base giuridica. Per essere più chiari, l’art. 9 del decreto stabilisce che il trattamento, da parte delle PA, “è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti“. Laddove la finalità del trattamento non sia prevista da una norma di legge, “è indicata dall’amministrazione, dalla società a controllo pubblico in coerenza al compito svolto o al potere esercitato, assicurando adeguata pubblicità all’identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano”.
Proviamo a chiarire meglio e a sbrogliare questo tecnicismo. Fino ad oggi, per il trattamento dei dati personali da parte di un’amministrazione pubblica era necessario che vi fosse una legge che legittimasse tale trattamento; da domani, laddove il testo del decreto dovesse essere confermato senza modifiche, potrebbe non essere più così.
Provo a riassumere quali sono gli aspetti che meritano attenzione in sede di conversione in legge.
È indiscutibile che la Pubblica amministrazione abbia bisogno di un alleggerimento burocratico, soprattutto per quanto riguarda l’analisi dei dati per finalità di ricerca e per finalità statistica (cui si applicano, però, anche norme ulteriori). Consentire l’incrocio delle diverse banche dati è un obiettivo cui dovrebbe tendere la PA nell’ottica di una maggiore efficienza.Dovremmo poi ricordarci che, istituzionalmente, la PA agisce nell’interesse dei cittadini (regola a cui sfuggono però le società a controllo pubblico, che, a parere di chi scrive, andrebbero escluse in sede di modifica legislativa). Partendo da queste premesse, ragioniamo però sui punti dolenti del decreto.
La norma ricalca un’analoga disposizione legislativa tedesca. Da comparatista, non posso non ricordare, innanzi tutto a me stesso, che l’imitazione giuridica deve tener conto non solo del dato formale (il testo della norma), ma anche di elementi extragiuridici, che incidono sulla selezione delle opzioni legislative.
In materia di protezione dei dati personali, la PA italiana è davvero efficientecome quella tedesca? Da anni si lamenta un’endemica mancanza di risorse e l’assegnazione delle funzioni privacy, in seno alle amministrazioni, a soggetti privi delle competenze adeguate (a partire dal ruolo di DPO, spesso assegnato a dipendenti che non hanno l’esperienza che pure sarebbe richiesta dal GDPR). Un modello siffatto può funzionare con le amministrazioni centrali, che probabilmente possono sostenere investimenti adeguati. Il più grande Comune italiano, nel 2018, pubblicò un bando per l’assegnazione della funzione di DPO. Qual era il compenso annuale? 15.000 euro, una cifra obiettivamente inadeguata per un incarico simile.
In Germania, ogni Land ha la sua autorità per la protezione dei dati personali. In totale, ci sono più di 1.000 dipendenti. In Italia, sono circa 130. Davvero un numero così esiguo può controllare, ex post, la fondatezza delle determinazioni assunte dalle singole amministrazioni (e qui, come nel gioco dell’oca, tocca tornare al punto 3)?
La circostanza che il Garante possa intervenire solo ex post è censurabile. È davvero efficiente un rimedio che intervenga quando il male si sta già propagando? Gli esempi dal recente passato sono numerosi. Pensiamo ai Comuni che distribuivano, anni fa, sacchetti trasparenti e identificati per mezzo di codici per la raccolta differenziata, consentendo così ai vicini di casa di sapere da quali patologie erano affetti gli altri condomini. Raramente la soluzione migliore è quella di chiudere i recinti quando i buoi sono già scappati.
Continua su Corriere delle comunicazioni