Privacy: meno poteri al Garante nella difesa dei dati
Il decreto legge Capienze, in via di conversione, allinea la normativa nazionale al GDPR: più libertà nell’uso delle informazioni personali.
Meno vincoli sulla privacy. Le regole sulla tutela dei dati personali, nate 25 anni fa e sottoposte a vari lifting nel corso di questo quarto di secolo, stanno per subire un ulteriore rimaneggiamento. Questa volta la direzione sembra essere soprattutto una: eliminare alcuni obblighi. Obiettivo che passa anche attraverso un ridimensionamento dei poteri del Garante: si riduce lo spazio di intervento attraverso i pareri, gli si leva la possibilità di indicare con un provvedimento le cautele da seguire in caso di uso massiccio dei dati, gli si impongono tempi più stretti (da 45 a 30 giorni) per dire la propria sugli atti riconducibili al Pnrr, si smorzano gli effetti penali dei suoi interventi.
Soprattutto, però, si dà più mano libera al trattamento dei dati personali, in particolare da parte della pubblica amministrazione: se ora occorre una legge o un regolamento che lo autorizzi, da domani basterà un atto amministrativo; e quando c’è l’interesse pubblico, si potrà fare a meno anche di quello.
Il pacchetto di novità è contenuto nel decreto legge Capienze (Dl 139/21 di inizio ottobre), che interviene anche su altri fronti della galassia privacy, ma le misure più corpose sono proprio quelle che si propongono di snellire gli adempimenti sull’uso dei dati.
Lo scopo dichiarato del decreto – adesso alla Camera – è di allineare il Codice della Privacy al regolamento europeo (il cosiddetto GDPR). Ci sono ambiti, infatti, in cui l’Europa lascia decidere il legislatore nazionale. Per quanto riguarda il trattamento dei dati, la nostra normativa ha da sempre sposato una linea più rigorosa, imponendo che sia «esclusivamente» una legge o un regolamento a dire come vanno usate le informazioni personali. Il GDPR elenca invece una serie di condizioni che fanno sì che il trattamento sia lecito: tra queste, l’esecuzione di un compito di interesse pubblico.
Non è dunque obbligatorio che esista un atto legislativo ad hoc.
Non si può dire che ci sia un “vero” ridimensionamento della privacy e dei poteri del Garante. Ci sono, però, episodi di questi anni che possono indurre a una diversa lettura, anche perché una certa insofferenza, non sempre ingiustificata, ha spesso accompagnato le regole sulla riservatezza.
La principale contesa è nel campo del Fisco. I troppi vincoli della privacy – ha sottolineato in più occasioni il direttore dell’agenzia delle Entrate, Ernesto Maria Ruffini – frenano il contrasto all’evasione.
Ma, ora che il Dl 139 si appresta a “liberare” la pubblica amministrazione dal necessario e continuo intervento del legislatore, si spiana la strada all’incrocio delle banche dati.
Dovrebbe chiudersi a breve il vaglio sullo schema di provvedimento del direttore dell’Agenzia, inviato nel 2020: procedure di conservazione e cancellazione dei dati saranno individuate con un parere definitivo che l’Authority si augura di riuscire a dare «prima delle ferie natalizie».
È invece ancora in corso l’istruttoria sullo schema di decreto del MEF relativo all’«anonimetro» annunciato dalla legge di Bilancio 2020. Cioè la possibilità di pseudo-anonimizzare i dati presenti nell’anagrafe tributaria per individuare criteri di rischio evasione e «far emergere posizioni da sottoporre a controllo».
Il trattamento di dati personali effettuato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri può avvenire solo se indicato da una legge o, quando è previsto da una legge, quell'indicazione può arrivare da un regolamento.
Legge o regolamento anche per la comunicazione di dati personali per finalità di interesse pubblico.
In mancanza, informazione preventiva al Garante, che ha 45 giorni per sollevare obiezioni.
Legge o regolamento anche per la comunicazione e diffusione di dati verso soggetti che li intendono trattare per finalità diverse dall'interesse pubblico
Trattamento di dati sensibili (salute, sesso, ecc.) per rilevanti motivi di interesse pubblico solo se c'è una legge o un regolamento che devono indicare una serie di condizioni. Se un trattamento di interesse pubblico presenta rischi elevati, il Garante può predisporre un provvedimento di carattere generale con cui prescrivere misure a garanzia degli interessati.
L'obbligo di consultazione preventiva per l'elaborazione di atti legislativi o regolamentari che prevedono trattamenti di dati personali comporta che il parere del Garante sia reso entro 45 giorni dalla ricezione della richiesta.
Decorso il termine, l'amministrazione può procedere indipendentemente dall'acquisizione di questo parere.
Il ministero della Salute è autorizzato al trattamento dei dati personali (anche sulla salute degli assistiti), raccolti nei sistemi del Servizio Sanitario Nazionale, per sviluppare metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione.
L'attuazione è demandata a un decreto di natura regolamentare del ministro della Salute (previo parere del Garante).
Chiunque non osservi i provvedimenti con cui il Garante impone una limitazione provvisoria o definitiva o un divieto al trattamento di dati commette reato ed è punito con la reclusione da tre mesi a due anni.
L'azione penale scatta d'ufficio.
Quando il Garante avvia un procedimento per adottare provvedimenti e sanzioni deve notificare al titolare o al responsabile del trattamento le presunte violazioni, salvo che questa previa notifica non sia incompatibile con natura e finalità del provvedimento da adottare.
Sarà sufficiente anche un atto amministrativo e questo pure per i trattamenti effettuati per finalità di difesa e sicurezza nazionale.
Se il trattamento è effettuato da una pubblica amministrazione per adempiere a un interesse pubblico si può fare a meno di qualsiasi “autorizzazione”.
In entrambi i casi vale anche un atto amministrativo, che non serve se ad agire è una pubblica amministrazione per un compito di interesse pubblico.
Nel caso di comunicazione viene meno la preventiva comunicazione al Garante.
Nel caso di comunicazione e diffusione, il Garante deve essere informato dieci giorni prima
Per il trattamento dei dati particolari (ex dati sensibili) può bastare anche la previsione contenuta in un atto amministrativo. Invece, per quanto riguarda il trattamento che, effettuato per adempiere a un compito di interesse pubblico, presenta rischi, viene meno la possibilità del Garante di intervenire con un provvedimento.
Viene ridotto a 30 giorni il termine per i pareri del Garante su atti riconducibili al PNRR piano nazionale di ripresa e resilienza, al Piano nazionale per gli investimenti complementari e al Piano nazionale integrato per l'energia e il clima 2030 (PNIEC).
Scaduti i 30 giorni dalla richiesta, si può procedere indipendentemente dall'acquisizione del parere.
Il DM attuativo diventa di natura non regolamentare (fermo il parere del Garante). E il ministero è autorizzato a trattare anche i dati personali non relativi alla salute (anche per attuare la missione “Salute” M6 del PNRR). Interazione autorizzata tra sistemi informativi del SSN e quelli di altre PA che raccolgono dati non relativi alla salute, individuati dal DM,
Querela della persona offesa
La punibilità con la reclusione si può applicare a due condizioni: che ci sia un “danno concreto” a uno o più soggetti interessati al trattamento; e che uno di tali soggetti (persona offesa) sporga una querela.
Omessa notifica da motivare
La notifica può essere omessa solo se il Garante accerta che le presunte violazioni hanno già arrecato e continuano ad arrecare un effettivo, concreto, attuale e rilevante pregiudizio ai soggetti interessati, che vanno indicati nel provvedimento, motivando le ragioni dell'omessa notifica.
In caso contrario, il giudice accerta l'inefficacia del provvedimento.
Fonte: Il Sole 24 Ore