Privacy modello Ue: meno poteri al Garante nella difesa dei dati

Meno vincoli sulla privacy. Le regole sulla tutela dei dati personali, nate 25 anni fa e sottoposte a vari lifting nel corso di questo quarto di secolo, stanno per subire un ulteriore rimaneggiamento. Questa volta la direzione sembra essere soprattutto una: eliminare alcuni obblighi. Obiettivo che passa anche attraverso un ridimensionamento dei poteri del Garante: si riduce lo spazio di intervento attraverso i pareri, gli si leva la possibilità di indicare con un provvedimento le cautele da seguire in caso di uso massiccio dei dati, gli si impongono tempi più stretti (da 45 a 30 giorni) per dire la propria sugli atti riconducibili al Pnrr, si smorzano gli effetti penali dei suoi interventi.

Soprattutto, però, si dà più mano libera al trattamento dei dati personali, in particolare da parte della pubblica amministrazione: se ora occorre una legge o un regolamento che lo autorizzi, da domani basterà un atto amministrativo; e quando c’è l’interesse pubblico, si potrà fare a meno anche di quello.

Il Dl Capienze
Il pacchetto di novità è contenuto nel decreto legge Capienze (Dl 139/21 di inizio ottobre), che interviene anche su altri fronti della galassia privacy: c’è l’adeguamento di retribuzioni e piante organiche del Garante e pure un giro di vite nella lotta al revenge porn. Le misure più corpose sono, tuttavia, quelle che si propongono di snellire gli adempimenti sull’uso dei dati. Anche se – va detto – l’attuale formulazione è comunque meno “radicale” rispetto a quella iniziale: prima del passaggio in Senato, infatti, il testo non faceva neppure riferimento all’atto amministrativo quale base legale per il trattamento dei dati (che quindi risultava sempre consentito).

Lo scopo dichiarato del decreto – adesso alla Camera – è di allineare il Codice della privacy al regolamento europeo (il cosiddetto Gdpr). Ci sono ambiti, infatti, in cui l’Europa lascia decidere il legislatore nazionale. Per quanto riguarda il trattamento dei dati, la nostra normativa ha da sempre sposato una linea più rigorosa, imponendo che sia «esclusivamente» una legge o un regolamento a dire come vanno usate le informazioni personali. Il Gdpr elenca invece una serie di condizioni, non così stringenti, perché il trattamento sia lecito: tra queste, l’esecuzione di un compito di interesse pubblico. Non è dunque obbligatorio che esista un atto legislativo ad hoc.

Da questa prospettiva, pertanto, non si può dire che ci sia un ridimensionamento della privacy e dei poteri del Garante. Ci sono, però, episodi di questi anni che possono indurre a una diversa lettura, anche perché una certa insofferenza, non sempre ingiustificata, ha spesso accompagnato le regole sulla riservatezza.

La principale contesa è nel campo del Fisco. I (troppi) vincoli della privacy – ha sottolineato in più occasioni il direttore dell’agenzia delle Entrate, Ernesto Maria Ruffini – frenano il contrasto all’evasione. E frenano, in particolare, il proficuo sfruttamento di quella miniera di dati che nasce dalla fatturazione elettronica e che potrebbe arricchirsi ulteriormente se l’obbligo di e-fattura venisse esteso agli 1,5 milioni di partite Iva in regime forfettario (si veda Il Sole 24 Ore del 18 novembre).

Ma, ora che il Dl 139 – da convertire in legge entro il 7 dicembre – si appresta a “liberare” la pubblica amministrazione dal necessario e continuo intervento del legislatore, si spiana la strada all’incrocio delle banche dati. Intanto, sta per finire il lungo confronto con il Garante sulle modalità di attuazione del collegato fiscale alla legge di Bilancio 2020 (articolo 14, Dl 124/2019), che ha previsto termini più ampi per la memorizzazione delle fatture elettroniche (8 anni) e la possibilità di usare dati anche non strettamente fiscali. Un confronto che riguarda la gestione delle e-fatture relative sia alle operazioni commerciali (B2B), sia a quelle – più “delicate” – con i consumatori finali (B2C).

Il vaglio sullo schema di provvedimento del direttore dell’Agenzia, inviato nel 2020, dovrebbe quindi chiudersi a breve: procedure di conservazione e cancellazione dei dati saranno individuate con un parere definitivo che l’Authority si augura di riuscire a dare «prima delle ferie natalizie». Il 31 dicembre, d’altra parte, scade il periodo transitorio per la memorizzazione delle fatture elettroniche e il termine per aderire al servizio di consultazione e acquisizione di quei documenti.

È invece ancora in corso l’istruttoria sullo schema di decreto del Mef relativo all’«anonimetro» annunciato dalla legge di Bilancio 2020. Cioè la possibilità di pseudoanonimizzare i dati presenti nell’anagrafe tributaria per individuare criteri di rischio evasione e «far emergere posizioni da sottoporre a controllo».

COME CAMBIA L’AUTHORITY

Come è ora...

Serve una legge
Il trattamento di dati personali effettuato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri può avvenire solo se indicato da una legge o, quando è previsto da una legge, quell'indicazione può arrivare da un regolamento

Il parere del Garante
Legge o regolamento anche per la comunicazione di dati personali per finalità di interesse pubblico. In mancanza, informazione preventiva al Garante, che ha 45 giorni per sollevare obiezioni. Legge o regolamento anche per la comunicazione e diffusione di dati verso soggetti che li intendono trattare per finalità diverse dall'interesse pubblico

La tutela dei dati sensibili
Trattamento di dati particolari (salute, sesso, ecc.) per rilevanti motivi di interesse pubblico solo se c'è una legge o un regolamento che devono indicare una serie di condizioni. Se un trattamento di interesse pubblico presenta rischi elevati, il Garante può predisporre un provvedimento di carattere generale con cui prescrivere misure a garanzia degli interessati

I termini per il parere
L'obbligo di consultazione preventiva per l'elaborazione di atti legislativi o regolamentari che prevedono trattamenti di dati personali comporta che il parere del Garante sia reso entro 45 giorni dalla ricezione della richiesta. Decorso il termine, l'amministrazione può procedere indipendentemente dall'acquisizione di questo parere

I dati del Sistema sanitario
Il ministero della Salute è autorizzato al trattamento dei dati personali (anche sulla salute degli assistiti), raccolti nei sistemi del Ssn, per sviluppare metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione. L'attuazione è demandata a un decreto di natura regolamentare del ministro della Salute (previo parere del Garante)

Violazione dei provvedimenti
Chiunque non osservi i provvedimenti con cui il Garante impone una limitazione provvisoria o definitiva o un divieto al trattamento di dati commette reato ed è punito con la reclusione da tre mesi a due anni. L'azione penale scatta d'ufficio

La notifica per i procedimenti
Quando il Garante avvia un procedimento per adottare provvedimenti e sanzioni deve notificare al titolare o al responsabile del trattamento le presunte violazioni, salvo che questa previa notifica non sia incompatibile con natura e finalità del provvedimento da adottare

...e come sarà

Basta un atto amministrativo
Sarà sufficiente anche un atto amministrativo e questo pure per i trattamenti effettuati per finalità di difesa e sicurezza nazionale. Se il trattamento è effettuato da una pubblica amministrazione per adempiere a un interesse pubblico si può fare a meno di qualsiasi “autorizzazione”

Niente più parere
In entrambi i casi vale anche un atto amministrativo, che non serve se ad agire è una pubblica amministrazione per un compito di interesse pubblico. Nel caso di comunicazione viene meno la preventiva comunicazione al Garante. Nel caso di comunicazione e diffusione, il Garante deve essere informato dieci giorni prima

Garante senza provvedimento
Per il trattamento dei dati particolari (ex dati sensibili) può bastare anche la previsione contenuta in un atto amministrativo. Invece, per quanto riguarda il trattamento che, effettuato per adempiere a un compito di interesse pubblico, presenta rischi, viene meno la possibilità del Garante di intervenire con un provvedimento

Tempi ridotti per il Pnrr
Viene ridotto a 30 giorni il termine per i pareri del Garante su atti riconducibili al Piano nazionale di ripresa e resilienza (Pnrr), al Piano nazionale per gli investimenti complementari e al Piano nazionale integrato per l'energia e il clima 2030 (Pniec). Scaduti i 30 giorni dalla richiesta, si può procedere indipendentemente dall'acquisizione del parere

Interconnessione con altre Pa
Il Dm attuativo diventa di natura non regolamentare (fermo il parere del Garante). E il ministero è autorizzato a trattare anche i dati personali non relativi alla salute (anche per attuare la missione “Salute” M6 del Pnrr). Interazione autorizzata tra sistemi informativi del Ssn e quelli di altre Pa che raccolgono dati non relativi alla salute, individuati dal Dm

Querela della persona offesa
La punibilità con la reclusione si può applicare a due condizioni: che ci sia un «concreto nocumento» a uno o più soggetti interessati al trattamento; e che uno di tali soggetti (persona offesa) sporga una querela

Omessa notifica da motivare
La notifica può essere omessa solo se il Garante accerta che le presunte violazioni hanno già arrecato e continuano ad arrecare un effettivo, concreto, attuale e rilevante pregiudizio ai soggetti interessati, che vanno indicati nel provvedimento, motivando le ragioni dell'omessa notifica. In caso contrario, il giudice accerta l'inefficacia del provvedimento