Il decreto capienze in vigore dal 9 ottobre ha innovato profondamente il settore del trattamento dei dati ad opera delle pubbliche amministrazioni, delineando uno scenario nel quale gli interessi sottesi alle finalità pubbliche prevalgono nettamente sulle esigenze dei singoli in materia di corretto trattamento dei dati personali.
L’intervento normativo, che delinea un forte scenario discrezionale da parte delle PA nel trattamento dei dati è stato fortemente voluto dalle agenzie fiscali e da alcune forze politiche, ed ha tutta l’aria di una norma adottata principalmente per consentire il trattamento dei dati ad opera delle amministrazioni pubbliche, lo scambio di dati tra pubbliche e amministrazioni e tra queste ultime e soggetti terzi in grado di elaborare tali dati e di limitare in maniera considerevole i poteri del garante privacy, lasciando alle stesse pubbliche amministrazioni di stabilire anche in via amministrativa le finalità del trattamento, e quindi la stessa base giuridica su cui si fonda il trattamento.
Indice degli argomenti
Decreto capienze e privacy, i riferimenti normativi
Da un punto di vista strettamente normativo l’intervento appare formalmente corretto per due ordini di motivi: il primo è la presenza nel plesso normativo comunitario direttamente applicabile nel nostro paese, ovvero il GDPR dell’art 6.3 che consente margini di manovra ai singoli Stati membri, per fissare regole specifiche in materia di basi giuridiche e condizioni di liceità per trattamenti necessari ad adempiere a obblighi legali o per svolgere compiti di interesse pubblico o, ancora, per l’esercizio di pubblici poteri.
Raccolta dati tramite registrazioni audio degli smartphone, indaga il Garante: i punti critici
Il secondo attiene alla presenza nel codice della privacy previgente degli articoli 18 e 19, che, non riprodotti nell’attuale formulazione, già consentivano il trattamento dei dati nell’ambito dei poteri pubblici nell’ambito dei poteri istituzionalmente attribuiti agli enti, al di là dunque delle disposizioni di legge o di regolamento. Del trattamento però e non certo della diffusione e/o comunicazione di tali dati, che costituisce invece il cuore della norma del decreto capienze.
L’impatto sulla PA
Se però allarghiamo il campo visuale all’intera disciplina in materia di trattamento dei dati personali e alle conseguenze (o le mancate conseguenze) dell’agire della pubblica amministrazione, ci accorgiamo che la musica cambia. Innanzitutto va ricordato che il decreto legislativo 101 del 2018, che ha attuato il GDPR nel nostro ordinamento già aveva sottratto alla tutela penale della privacy (ovvero l’art 167 del Codice Privacy) i comportamenti dei funzionari pubblici attraverso una mancata riproposizione delle fattispecie penali (come invece aveva fatto il codice previgente) che riguardano i trattamenti effettuati da soggetti pubblici.
Le conseguenze pratiche del combinato disposto dell’attuale articolo 167 privacy con il decreto capienze sono che qualsiasi dipendente, diversamente da qualsiasi privato cittadini, è di fatto escluso dal novero dei soggetti in grado di compiere il reato di trattamento illecito di dati. D’altro lato qualsiasi comportamento illegittimo in tema di trattamento di dati sia compiuto in sede pubblica potrà sempre essere recuperato ex post, magari con un provvedimento amministrativo dello stesso soggetto che ha operato il trattamento o la comunicazione, e che ne stabilisce le finalità e quindi una base giuridica. Ulteriori conseguenze si appalesano anche in relazione al novellato art 323 del codice penale, in materia di abuso d’ufficio.
Il confine con l’abuso d’ufficio
Come è noto l’abuso d’ufficio è il delitto che commette il pubblico ufficiale o l’incaricato di pubblico servizio nello svolgimento delle funzioni o del servizio, in violazione di specifiche regole di condotta espressamente previste dalla legge o da atti aventi forza di legge e dalle quali non residuino margini di discrezionalità.
Paradossalmente la discrezionalità concessa alle pubbliche amministrazioni in materia di trattamento e comunicazione di dati fa sì che un qualsiasi pubblico dipendente che compie atti riconducibili all’abuso d’ufficio, qualora tali atti si sostanzino in un abuso del trattamento dei dati personali, potranno diventare non punibili in virtù dell’uso della discrezionalità concessa dal decreto capienze, quando qualsiasi altro comportamento non legato ai dati potrà essere punito.
Privacy e decreto capienze, il nodo critico
La pecca della norma sulla discrezionalità della PA è quindi quella di allargare in maniera sproporzionata la tutela dei pubblici poteri in materia di trattamento e comunicazione dei dati, non fornendo al contempo, come pure l’art 6.3 del GDPR suggerisce un campo di azione e prescrizioni specifiche in grado di eliminare il ricorso sproporzionato ai trattamenti (e alle comunicazioni) in ambito pubblico.
Per salvaguardare i princìpi di legalità insiti nel nostro ordinamento sarebbe inoltre stato opportuno predeterminare i casi nei quali l’attività dell’amministrazione si potesse considerare discrezionale, senza lasciare totalmente libera la pubblica amministrazione di valutare le finalità del trattamento.
Le residue disposizioni in materia di poteri del garante, che pure non appaiono in diretta violazione del GDPR, completano la sensazione di un sistema pubblico di trattamento dei dati chiuso in se stesso e dai poteri illimitati e appaiono più il frutto di una dinamica istituzionale imperfetta che nei mesi passati ha caratterizzato il rapporto tra Governo e Authority guidata da Pasquale Stanzione.
