Il primo dicembre 2021 è stato approvato, con fiducia, il DDL di conversione in legge del DL 139/2021, (“DL Capienze). Il testo votato è identico a quello approvato dal Senato il 18 novembre.
Quello che era nato come un decreto per disposizioni urgenti per l’accesso alle attività culturali, sportive e ricreative” è ben presto – e inspiegabilmente – diventato un pacchetto di riforme del Codice Privacy.
Il legislatore ha infatti ritenuto ragionevole introdurre ben 37 modifiche al Codice Privacy, una quantità seconda forse solo al D.lgs. 101 che nel 2018 ha coordinato il Codice Privacy alla nuova normativa europea (GDPR).
Nonostante le eccezioni da noi (Privacy Network) sollevate in sede di audizione presso la Commissione Affari Costituzionali del Senato, come anche dal Presidente del Garante Privacy, il Senato ha addirittura scelto di andare oltre a quanto originariamente previsto dal testo del Decreto legge, con una serie di modifiche ulteriori approvate anche dalla Camera.
Indice degli argomenti
DL Capienze: gli impatti privacy
Possiamo affermare che il testo convertito in legge del DL 139 sia la peggiore norma privacy mai pubblicata in Italia.
Da questa normativa ne esce depotenziato il Garante a fronte di enormi poteri riconosciuti alle PA.
Le pubbliche amministrazioni da oggi potranno trattare i dati dei cittadini anche senza bisogno di una legge. Sarà sufficiente un atto amministrativo generale. Le stesse amministrazioni che negli ultimi anni hanno dato prova di una bassissima cultura privacy. Ministeri senza DPO; software che inviano dati dei cittadini ad aziende straniere per motivi di marketing; gravi incidenti e violazioni di dati; sistemi di riconoscimento facciale illegittimi. Sono solo alcuni dei numerosi casi di pressapochismo delle Pubbliche Amministrazioni, le stesse che ora potranno decidere in autonomia di creare delle basi giuridiche ad hoc per raccogliere e trattare ogni tipo di dato.
Il Senato è andato anche oltre rispetto al testo originale, creando una vera e propria corsia preferenziale per tutti gli apparati statali, anche nel trattamento di dati relativi alla salute. Oggi ogni ente pubblico ha quindi facoltà di trattare, comunicare e diffondere dati personali semplicemente sulla base Come se questo non bastasse
Non solo, gli stessi poteri sono stati estesi anche alle forze armate, che potranno ora trattare dati dei cittadini italiani sugli stessi presupposti, per fini di sicurezza nazionale e difesa (che in questo periodo può voler dire tutto).
Cosa cambia per il riconoscimento facciale
A poco, poi, vale la tanto decantata moratoria relativa al riconoscimento facciale. Il motivo? Leggetelo voi stessi.
L’articolo 9 comma 9 introduce la citata sospensione di tre anni, affermando:
[…] l’installazione e l’utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale operanti attraverso l’uso dei dati biometrici di cui all’articolo 4, numero 14), del citato regolamento (UE) 2016/679 in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di soggetti privati, sono sospese fino all’entrata in vigore di una disciplina legislativa della materia e comunque non oltre il 31 dicembre 2023.
Perfetto, se non fosse che il comma 12 poi affermi:
I commi 9, 10 e 11 non si applicano ai trattamenti effettuati dalle autorità competenti a fini di prevenzione e repressione dei reati o di esecuzione di sanzioni penali […]
Volendo tradurre, significa che la moratoria non riguarda i sistemi di riconoscimento facciale finalizzati alla prevenzione e repressione dei reati, immaginiamo, da parte della PA. Anzi, peggio. La moratoria limita l’obbligatorietà della consultazione preventiva al Garante per i trattamenti di riconoscimento facciale effettuati dall’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali e di quelle giudiziarie del pubblico ministero.
Questo obbligo, ora sospeso dalla moratoria, è invece previsto dall’articolo 24 del D.lgs. 51/2018, che in Italia ha dato attuazione alla Direttiva 2016/680 (la sorellina minore del GDPR, che si applica al trattamento di dati ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali).
Considerando che le critiche maggiori e il principale utilizzo di tali sistemi abbiano ad oggetto proprio i trattamenti per fini di prevenzione e repressione di (presunti) reati, si capisce che tale moratoria ha davvero un’incidenza estremamente ridotta. La moratoria si applica quindi solo a limitate ipotesi, come l’uso di sistemi di riconoscimento facciale in luoghi pubblici o aperti al pubblico (es. teatri).
Vale la pena notare che la moratoria precisa che questo divieto sarà in vigore fino al 2023, o fino all’entrata in vigore di una legge specifica in merito. Una condizione necessaria già prevista dal GDPR stesso, pena l’illiceità del trattamento.
A cosa è servita, quindi, questa moratoria?
C’è di più. Questa normativa potrebbe anche essere interpretata in modo tale da rendere lecito il riconoscimento facciale. Visto che la moratoria fa espressamente salve alcune attività, significa che da oggi è lecito usare sistemi di riconoscimento facciale per finalità di prevenzione e repressione dei reati proprio sulla base dell’autorizzazione implicita data con questa norma?
Per capirci, hanno fatto molto scalpore gli interventi del Garante Privacy con cui è stato dichiarato illegittimo l’utilizzo di sistemi di riconoscimento facciale da parte del Comune di Como, come anche l’intervento che ha dichiarato illegittimo il SARI Real Time. Ecco, con questa nuova normativa potrebbe essere paradossalmente possibile che questi sistemi siano invece ritenuti leciti. Magari poi sarà il Garante Privacy a contestare l’uso di questi sistemi, ma è innegabile sottolineare che oggi per la prima volta abbiamo una norma di legge che implicitamente ammette la liceità dell’uso di questi sistemi per la prevenzione e repressione di reati.
Ridotte le tutele delle persone e il potere del Garante
È facile, quindi, intuire che viene ridotto fortemente il campo di tutela delle persone, unitamente al potere dell’Autorità Garante. C’è quindi davvero poco da festeggiare.
Ricorrendo a un detto popolare potremmo dire che “si stava meglio quando si stava peggio”. Già, perché prima, ciò che ha permesso al Garante di delegittimare i sistemi come quello di Como e il SARI è stato un vuoto normativo, oggi colmato (male) dal Dl 139 e dai suoi emendamenti in sede di conversione.
Nella decisione relativa al comune di Como leggiamo un passaggio fondamentale:
RITENUTO pertanto che la suddetta raccolta di dati biometrici – funzionale in particolare all’identificazione dei soggetti interessati nei soli casi nei quali emergano specifiche esigenze investigative, segnatamente ai sensi dell’art. 349 c.p.p. – possa effettuarsi solo in presenza di un’idonea previsione normativa ai sensi dell’art. 7 d.lgs. n. 51/2018, che al momento non pare rinvenibile;
La lettera della norma è molto chiara. Il trattamento dei dati biometrici era prima possibile solo in presenza di una norma; norma che non esistendo, di fatto, ha concesso al Garante il potere di delegittimare tali trattamenti.
È quindi proprio il vuoto normativo che ha contenuto in Italia il dilagare delle telecamere di riconoscimento facciale.
Conclusioni
Non siamo affatto soddisfatti dal testo approvato dal Parlamento, che non solo non tiene di conto delle eccezioni sollevate in sede di audizione presso la Corte Affari Costituzionali, ma anzi peggiora la situazione iniziale. La stessa moratoria soffre di gravi ed evidenti problemi, che potrebbero addirittura peggiorare la situazione italiana sul piano del riconoscimento facciale. Una sconfitta per noi che fin dall’inizio supportiamo la campagna europea Reclaim Your Face per chiedere il divieto definitivo e totale di ogni sistema di identificazione biometrica nei luoghi pubblici.
