Il Decreto Legge 139/2021 e le modifiche al Codice Privacy

L'art. 9 del decreto legge 8 ottobre 2021 n. 139 (Disposizioni urgenti per l'accesso alle attività culturali, sportive e ricreative, nonché per l'organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali) pubblicato in pari data sulla gazzetta ufficiale n. 241, ha innovato in maniera sostanziale l'ambito dei trattamenti in ambito pubblico modificando il Codice Privacy ed in particolare l'art. 2 ter.

Al predetto articolo è stato inserito il comma 1bis che consente ai soggetti pubblici (ivi comprese le società-strumento pubbliche ed altri organismi pubblici) la possibilità di operare un trattamento di dati personali "se necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri a essa attribuiti. La finalità del trattamento, se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall'amministrazione, dalla società a controllo pubblico in coerenza al compito svolto o al potere esercitato, assicurando adeguata pubblicità all'identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano".

Il comma 1bis inizia invero con l'infelice formula che "il trattamento è sempre consentito" ma il richiamo successivo alle finalità espressamente previste dalla legge, da un regolamento o da uno specifico atto amministrativo rimette il fuoco sul perimetro comunitario stabilito dal Regolamento europeo 2016/679 comunemente detto GDPR.

Saranno in molti a sollevarsi contro la norma (Autorità in testa) nei prossimi giorni sbandierando la morte della privacy o l'effetto Grande Fratello di orwelliana memoria.

La nuova disposizione non suborna alcun principio ma va ricondotta nel perimetro di adattamento della norma che è riconosciuto allo Stato Membro dell'Unione dallo stesso Regolamento. Insomma, l'apparente strappo operato dal Governo tale non è se ricondotto ad una corretta esegesi delle modifiche apportate al Codice seppur temporaneamente sino alla effettiva conversione del decreto legge.

In primis non v'è dubbio che i trattamenti di dati personali possano essere legittimamente iniziati dagli organismi pubblici solo se perseguiti nell'ambito di quanto stabilito dai principi generali sanciti dal Capo II del Regolamento e cioè per perseguire finalità di interesse generale nell'ambito dei compiti istituzionali a tali organismi conferiti dall'ordinamento giuridico. Gli art. 5, 6 e 9 determinano con precisione i limiti entro cui l'interesse pubblico può trovare attuazione in un corretto bilanciamento con il diritto alla riservatezza dei cittadini.

In particolare, l'art. 6 al terzo comma stabilisce che la finalità del trattamento è determinata sulla base del diritto dell'Unione e/o dello Stato membro ed è necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Ma la norma non impone una "riserva di legge" in maniera così ampia come stabilito dal testo del previgente Codice Privacy. Infatti l'art. 6 continua specificando che la "base giuridica potrebbe contenere disposizioni specifiche per adeguare l'applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto". Da notare il condizionale "potrebbe" che di fatto dà ampio margine di intervento al legislatore nazionale di specificare la portata della riserva di legge. In tal senso è anche da leggere l'ultimo inciso del periodo qui riportato dove espressamente si dice "il diritto dell'Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all'obiettivo legittimo perseguito".

Tale situazione non muta neppure laddove il trattamento abbia ad oggetto dati particolari in quanto il 2 comma dell'art. 9 espressamente richiama una serie di situazioni in cui i trattamenti in ambito pubblico sono legittimamente perseguiti anche tramite una disposizione normativa che si limiti ad individuare le sole finalità. Si pensi in particolare alle lettere e), g) i) ed f) del secondo comma dell'articolo qui richiamato.

Tirando le somme i l nuovo art. 2 ter non può essere interpretato come una liberalizzazione dei trattamenti e/o della condivisione dei dati personali in ambito pubblico. Infatti in accordo col GDPR è garantita la riserva di legge in merito alle finalità ed all'interesse pubblico perseguito mentre è fatto obbligo all'organismo pubblico titolare, laddove la riserva di legge non operi in maniera ampia, di perseguire il trattamento "assicurando adeguata pubblicità all'identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano".

Qui forse la nuova disposizione introdotta al comma 1 bis merita di essere integrata giacché "ogni altra informazione necessaria" non può che essere letta, nel senso di indicare nell'atto amministrativo posto a base del trattamento quanto disposto dai Principi di cui al Capo II del GDPR e cioè: a) le condizioni generali relative alla liceità del trattamento da parte del titolare; b) le tipologie di dati oggetto del trattamento; c) gli interessati; d) i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; e) le limitazioni della finalità, f) i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto.

La normativa da poco introdotta, seppur infelice nel testo adottato in alcuni passaggi, è da ritenersi pienamente valida ed efficace perché in linea con il dettato comunitario e con i poteri di adattamento che il Regolamento attribuisce allo Stato Membro in sede di attuazione.

*a cura dell'avv. Luca Tufarelli, partner e founder dello Studio Legale Ristuccia Tufarelli & Partners.