Audizione del Garante per la protezione dei dati personali - Conversione in legge del decreto-legge 8 ottobre 2021, n. 139, recante disposizioni urgenti per l'accesso alle attività culturali, sportive e ricreative, nonché per l'organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali

Senato della Repubblica - 1a Commissione Affari Costituzionali

(2 novembre 2021)

Ringrazio la Commissione per l’occasione di confronto offertami, su di una disposizione – quella dell’art. 9 del decreto-legge – che apporta modifiche significative alla disciplina di protezione dei dati personali.

Entrerò subito nel merito, ma vorrei prima sottolineare come l’intervento sulla disciplina di un diritto fondamentale, con vincoli di diritto europeo particolarmente stringenti, necessiti di una riflessione puntuale, per evitare che riforme di sistema, tali da incidere in misura significativa sulla garanzia di tale diritto, esprimano valutazioni contingenti.

Il fine, complessivamente sotteso alla riforma, di semplificazione del quadro normativo e delle relative regole procedurali va perseguito, infatti, con lungimiranza, in modo tale da non comprimere indebitamente l’effettività del diritto alla protezione dei dati personali. Quest’obiettivo ben può essere raggiunto con alcune mirate modifiche al decreto-legge, auspicabilmente accompagnate da alcune misure organizzative necessarie a dotare l’Autorità dei presupposti per svolgere al meglio il suo ruolo. Ruolo che si misura, costantemente, con l’esigenza di garanzia dell’effettività di un diritto, come quello alla protezione dei dati personali, che significativamente la Carta di Nizza, nella sua articolata tassonomia, inscrive nell’alveo della “libertà”.

Questo è il parametro ultimo cui vanno riferite le modifiche introdotte alla disciplina (pre)vigente dal decreto-legge, coniugando l’esigenza di semplificazione procedurale (in particolare rispetto ai trattamenti svolti in ambito pubblico) con la necessità di garantire l’effettività del diritto alla protezione dei dati personali.

Nel merito delle questioni sottese agli specifici interventi a mio avviso necessari per evitare il rischio che le disposizioni del decreto-legge travalichino l’indicato obiettivo di semplificazione della disciplina della materia e si traducano in sostanziali flessioni del livello di protezione che, in futuro, saremo in grado di garantire ai cittadini relativamente ai trattamenti posti in essere da soggetti pubblici e per il perseguimento di finalità di pubblico interesse, è opportuno avanzare alcune osservazioni.

Il fine perseguito dal Governo attraverso il decreto-legge è adeguare l’ordinamento interno, nel doveroso rispetto di quello europeo, alle esigenze di celerità caratteristiche della fase storica che stiamo vivendo, così da consentire il raggiungimento degli ambiziosi obiettivi del PNRR, fra l’altro in termini di trasformazione digitale del Paese. Non si può però trascurare il rischio che, sebbene mossi da intenti condivisi e condivisibili, si finisca, quasi si trattasse di un effetto collaterale non voluto e non calcolato, con il comprimere il diritto alla privacy di milioni di cittadini, in disaccordo con il diritto europeo.

È in questa prospettiva e solo in questa prospettiva che vi rappresento l’opportunità che nel convertire in legge il decreto siano almeno adottati i pochi correttivi che ora indico.

La più rilevante delle modifiche introdotte con il Decreto è quella dell’articolo 2-ter (art. 9, c.1, lett. a) del decreto-legge, volta a escludere, sostanzialmente, la necessità di una disposizione legislativa o regolamentare ma nei soli casi previsti dalla legge, per il trattamento di dati comuni a fini di pubblico interesse.

Al riguardo esprimo una considerazione di metodo e una di merito.

Quanto al metodo, non si comprende la scelta di introdurre un nuovo comma 1-bis anziché intervenire sul comma 1 che detta, appunto, le basi giuridiche legittimanti i trattamenti di dati personali da parte dei soggetti pubblici per il perseguimento di finalità di pubblico interesse.

Quanto al merito – se l’obiettivo perseguito è quello di semplificare e delegificare l’attività prodromica all’avvio di trattamenti da parte di soggetti pubblici per il perseguimento di finalità di pubblico interesse – è difficile comprendere la scelta di non limitare l’intervento a una modifica chirurgica del comma 1 dell’articolo 2-ter, semplicemente ampliando l’elenco delle possibili basi giuridiche di un trattamento ai regolamenti e, eventualmente, agli atti amministrativi generali.

Un simile intervento, oltre a risultare compatibile con la disciplina europea della materia, non avrebbe appesantito – e non appesantirebbe se operato in sede di conversione in legge del decreto – gli oneri dei soggetti pubblici eventuali titolari dei trattamenti, giacché imporrebbe loro, semplicemente, l’adozione di un atto amministrativo di portata generale attraverso il quale identificare le caratteristiche del trattamento che si ritiene necessario intraprendere per il perseguimento delle finalità istituzionali loro attribuite dalla legge.

E con riferimento agli atti amministrativi generali, sarebbe stato, peraltro, probabilmente utile identificare nel Presidente del Consiglio dei Ministri il titolare del potere, di indirizzare e disciplinare i trattamenti di dati personali necessari a consentire alle diverse articolazioni dell’Amministrazione il perseguimento delle proprie finalità istituzionali: ciò avrebbe garantito uniformità di disciplina, un livello adeguato dell’istruttoria prodromica all’emanazione dell’atto e una conseguentemente solida motivazione.

Se, dunque, il fine perseguito era quello di ampliare il novero delle fonti legittimanti i trattamenti svolti a fini di interesse pubblico delegificando e così semplificando l’attività amministrativa prodromica all’avvio di un trattamento, la descritta soluzione avrebbe consentito – e consentirebbe ora in sede di conversione - di coniugare l’esigenza di flessibilizzazione della disciplina con i requisiti di determinatezza e di prevedibilità (dell’applicazione) della base giuridica richiesti dal C 41 Reg. 2016/679 e confermate dalle conclusioni dell’Avvocato generale presentate alla CGUE il 2 settembre nell’ambito della causa  C 175/20.

Tale soluzione consentirebbe anche di rispettare il vincolo di determinatezza, esplicitazione, legittimità e compatibilità delle finalità, che devono essere inscritte nella base giuridica, sancito dagli artt.. 5, par. 1, lett. b), e 6, p.4, del Regolamento, affermato anche dalla Cgue in sent. 14 settembre 2010, Sanoma Uitgevers c. Paesi Bassi, ricorso n. 38224/03, cons. 81-82, nonché nei precedenti ivi citati.

Ma anche laddove l’intenzione del Governo, attraverso l’intervento in commento, sia quella di andare di là da tale impostazione e di prevedere che il semplice perseguimento di un interesse pubblico è di per sé sufficiente a costituire base giuridica del trattamento, egualmente, la corretta collocazione della disposizione avrebbe dovuto essere il comma 1 dell’art. 2-ter. Questo avrebbe potuto prevedere chiaramente che la base giuridica di un trattamento da parte di un soggetto pubblico per il perseguimento delle proprie finalità istituzionale può essere la legge, un regolamento, un atto amministrativo generale o la semplice strumentalità del trattamento alle sue finalità istituzionali.

Mi sia, peraltro, consentito segnalare che, in tale ultima evenienza – a mio avviso non strettamente strumentale al perseguimento delle dichiarate finalità di semplificazione -, la compatibilità con l’ordinamento europeo dei trattamenti di dati personali avviati da un soggetto pubblico sulla base di tale disposizione risulterà, inesorabilmente, da accertare caso per caso giacché, l’ordinamento europeo, esige sempre e comunque – quale che sia l’impostazione del diritto nazionale in fatto di fonte giuridica legittimante il trattamento – che il trattamento, nella sua finalità e nelle sue modalità, sia trasparente, prevedibile, noto ai cittadini.

E tale requisito, ovviamente, non appare sempre facilmente integrabile in assenza anche di un semplice atto amministrativo generale che disponga e disciplini il trattamento.

Ciò più che semplificare l’attività amministrativa minaccia di introdurre nel sistema elementi di incertezza giuridica.

Al riguardo, la stessa soluzione tedesca cui allude la Relazione illustrativa del decreto-legge non è, del resto, molto diversa da quella qui sopra rappresentata come possibile misura correttiva dell’intervento. L’art. 3 della Datenschutzanpassungsgesetz (Trattamento dei dati personali da parte dei soggetti pubblici) - pur autorizzando i soggetti pubblici a trattare dati personali necessari ad adempiere il compito o il potere di cui il titolare è investito - non ha autonoma funzione legittimante, ma necessita di integrazione mediante le norme di settore che di volta in volta prevedono il trattamento

In ogni caso, la previsione di cui al primo periodo del comma 1-bis appare di difficile interpretazione (e per questo meritevole di soppressione), giacché, pur non derogando all’esigenza di tipizzazione normativa di cui al comma 1, sancisce una generale legittimazione dei trattamenti (ritenuti) necessari a fini di pubblico interesse. Si ingenera, in tal modo, il dubbio della sufficienza della (ritenuta) necessità del trattamento ai fini dell’espletamento del compito d’interesse pubblico o dell’esercizio del pubblico potere, anche in assenza di previsione normativa e dell’adempimento dei diversi e numerosi obblighi imposti, anche ai soggetti pubblici, dalla disciplina europea.

E’ dunque opportuno sopprimere il periodo, o quantomeno circoscrivere la portata dell’affermazione della generale legittimità del trattamento, riferendola al solo profilo della base giuridica.

A tal fine, può essere utile l’inserimento di una clausola di salvaguardia rispetto ad ogni altro obbligo previsto dal Regolamento e dal Codice. In tal modo, infatti, si chiarirebbe che la generale legittimità del trattamento affermata dal primo periodo del comma 1-bis non pregiudica la valutazione inerente ogni altro aspetto (segnatamente: trasparenza, proporzionalità, sicurezza, minimizzazione) del trattamento stesso.

Mi sia, da ultimo, sul punto, consentito di osservare che nel “modello tedesco” al quale il Governo, nella relazione di accompagnamento al decreto, dichiara di aver ispirato il proprio intervento di riforma, la protezione dei dati personali anche da parte dei soggetti pubblici è garantita da un Garante federale che può contare su 270 risorse umane e su una serie di garanti locali – uno per ogni Land – che complessivamente contano ulteriori 800 risorse per un costo complessivo del sistema di protezione dei dati personali di circa 100 milioni di euro all’anno.

In Italia, come è noto, allo stato, la protezione dei dati personali è svolta da un unico Garante nazionale che può contare su un organico di 162 risorse e un budget complessivo di poco più di 30 milioni di euro.

In tale contesto, laddove si intenda effettivamente ispirare la disciplina nazionale in materia di protezione dei dati personali al modello tedesco – peraltro, come si è evidenziato, in maniera almeno imperfetta – sarebbe opportuno intervenire anche sul rafforzamento delle risorse dell’Autorità chiamata a garantire la protezione dei dati personali: appare evidente che, in difetto, la moltiplicazione dei trattamenti da parte di soggetti pubblici in assenza di qualsivoglia base giuridica legittimante il trattamento renderebbe arduo, se non impossibile, escludere una significativa flessione del complessivo livello di protezione dei dati personali.

Ulteriore modifica, egualmente rilevante, è quella relativa ai commi 2 e 3 dello stesso articolo 2-ter del Codice attraverso la quale, nella sostanza, si intenderebbe legittimare il lungo elenco di soggetti pubblici di cui al nuovo comma 1-bis a scambiarsi dati personali, a comunicarli a soggetti terzi, anche privati e a diffonderli al pubblico egualmente in assenza di qualsivoglia norma di legge o regolamento nonché in assenza, persino, di una preventiva autorizzazione – peraltro nella semplice modalità del silenzio-assenso – del Garante come previsto sino all’approvazione del decreto legge.

La comunicazione e la diffusione dei dati personali costituiscono, come è noto, due delle operazioni di trattamento suscettibili di pregiudicare in maniera più rilevante i diritti dell’interessato, in quanto idonee a far perdere a quest’ultimo il controllo sui propri dati personali.

In questo contesto, in sede di conversione del decreto, qualora non si ritenga di accogliere il suggerimento che precede in relazione all’opportunità di limitarsi a prevedere che la base giuridica di un trattamento posto in essere da un soggetto pubblico debba essere una legge, un regolamento o, almeno, un atto amministrativo generale, si dovrà, almeno, re-introdurre, l’obbligo di una preventiva comunicazione, da parte del soggetto pubblico prossimo titolare del trattamento al Garante, dell’intenzione di procedere alla comunicazione o diffusione dei dati con un preavviso che consenta al Garante di verificare la compatibilità dell’iniziativa con la disciplina europea della materia.

Gli altri interventi sulla disciplina di protezione dei dati personali introdotti con il decreto appaiono egualmente significativi, ma di minore impatto anche se, in taluni casi, risultano non adeguati a garantire il raggiungimento delle finalità dichiarate.

In questa prospettiva, ad esempio, la modifica di cui al comma 3 dell’articolo 9 - volta a ridurre il termine per l’espressione del parere del Garante riguardo a riforme, misure e progetti del Piano nazionale di ripresa e resilienza, del Piano nazionale per gli investimenti complementari e del Piano nazionale integrato per l'energia e il clima 2030, decorso il quale si può procedere in assenza di pronuncia dell’Autorità- si comprende in ragione dell’esigenza di accelerazione di tali specifiche procedure, ma non fa che positivizzare una prassi ormai consolidata, secondo la quale - a fronte di una dichiarazione di particolare urgenza del parere - il Garante comprime i propri termini procedimentali, al fine di esercitare la funzione consultiva in tempi congrui rispetto alle esigenze rappresentate e ben al di sotto del nuovo termine di 30 giorni.

Diversa è la questione inerente la soppressione dell’istituto, di cui all’abrogato art. 2-quinquiesdecies, delle prescrizioni generali su trattamenti per fini di interesse pubblico, a rischio elevato (art. 9, c. 1, lett.b).

La norma, infatti, paradossalmente, aveva una funzione essenzialmente semplificatoria, legittimando il Garante all’adozione di provvedimenti prescrittivi di carattere generale in luogo, tra l’altro, di (una serie di) provvedimenti di carattere individuale da rendersi in sede di consultazione preventiva, dovuta in caso di rischio persistente a seguito di valutazione d’impatto.

La norma è stata sinora applicata in sede di consultazione preventiva su trattamenti peculiari (ad esempio quello relativo al sistema di allerta nazionale correlato all’app Immuni, ovvero alla conservazione della fatturazione elettronica). Tuttavia, la stessa disposizione è stata anche richiamata in alcune proposte legislative (ad esempio in materia di videosorveglianza negli asili e nelle strutture di cura) con riferimento a plurimi trattamenti, svolti a fini di interesse pubblico e con rischi elevati, rispetto ai quali il Garante avrebbe potuto adottare prescrizioni-tipo su modelli generali, senza necessità di valutare i singoli trattamenti.

L’abrogazione della norma comporta, quindi, la necessità per il Garante di svolgere consultazioni preventive individualizzate pur su trattamenti a rischio elevato svolti a fini di interesse pubblico sulla base di caratteristiche analoghe.

L’efficacia semplificatoria dell’abrogazione è, dunque, dubbia, nella misura in cui non incide (né potrebbe incidere) sull’obbligo di consultazione preventiva in caso di trattamenti a rischio elevato ma, anzi, impone valutazioni individualizzate anche laddove esse potrebbero essere condotte su modelli-tipo o, comunque, con provvedimenti ad efficacia generale.

L’abrogazione dell’istituto ha, poi, un effetto ablativo importante rispetto alla conservazione dei tabulati a fini di giustizia, in ordine alla quale il Garante poteva adottare, nei confronti degli operatori interessati, provvedimenti prescrittivi di carattere generale.

Per questo, si dovrebbe contenere l’impatto derivante dalla soppressione dell’intera disposizione che legittima il Garante alla prescrizione, con provvedimenti ex art. 2-quinquiesdecies, di misure di sicurezza per l’integrità e la riservatezza dei tabulati conservati a fini di giustizia, rilevanti anche secondo una consolidata giurisprudenza della Cgue.

A tal fine, pertanto, ripristinando la disposizione abrogata, si dovrebbe sostituire il riferimento all’art. 2-quinquiesdecies con un richiamo alla facoltà del Garante di adottare prescrizioni, in materia, con provvedimento di carattere generale.

Naturalmente, tutte le innovazioni introdotte dal decreto-legge (dalla tutela avverso condotte prodromiche al revenge porn alle maggiori esigenze di controllo connesse al nuovo regime di trattamento in ambito pubblico, fino alla riduzione del termine per l’espressione dei pareri) presuppongono una struttura amministrativa dell’Autorità adeguata (sotto il profilo quantitativo e qualitativo) alle funzioni assegnatele.

Ancorché racchiusa in un unico articolo all’interno di un provvedimento d’urgenza dal contenuto diverso, la riforma della disciplina di protezione dati introdotta è tutt’altro che marginale e merita, quindi, grande attenzione. Sullo sfondo vi è la garanzia di un diritto fondamentale, quale quello alla protezione dei dati, che costituisce sempre più un generale presupposto, tanto di libertà della persona, quanto di democrazia.

Non posso, dunque, che ringraziare la Commissione per la preziosa occasione di confronto offertaci e per l’attenzione che, sono certo, riserverà alle esigenze rappresentate.