Decreto capienze. Allarmismi e criticità. È necessario fare un minimo di chiarezza perché questo decreto contiene modifiche importanti lato privacy, ma gli occhi di tutti in questi giorni erano sul Green Pass. I titoli che stiamo sentendo sono un inno alla confusione. Da un lato abbiamo chi parla di terremoto. Dall’altro abbiamo personaggi del calibro di Luca Bolognini che offre un punto di vista meno allarmistico, sebbene non neghi i limiti della norma così com’è concepita al momento.
Ma fermi tutti. Facciamo un passo indietro e vediamo che cos’è il Decreto Capienze e come mai impatta tanto sulla privacy.
Il Decreto Capienze
Si tratta come da soprannome del Decreto-legge 8 ottobre 2021, n. 139 recante “Disposizioni urgenti per l’accesso alle attività culturali, sportive e ricreative, nonché per l’organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali”, in sostanza la legge che da OGGI consente la riapertura dei locali da ballo e gestisce la capienza massima consentita in una serie di situazioni.
All’interno del decreto è stata introdotta una modifica al Codice Privacy come novellato dal Decreto Legislativo 101 del 2018.
Le modifiche al Codice
L’articolo 9 del Decreto Capienze è il punto sul quale si sta avvitando tutta la discussione. In estrema sintesi viene introdotto nel Codice Privacy (che – lo ricordiamo a rischio di essere noiosi – non è la legge primaria in tema privacy e Data Protection, bensì una legge attuativa del GDPR) un sistema per cui non c’è necessità di una norma di legge a fare da base giuridica al trattamento dei dati da parte delle PA. Questo è richiesto dal Considerando 45 del GDPR
È opportuno che il trattamento effettuato in conformità a un obbligo legale al quale il titolare
del trattamento è soggetto o necessario per l’esecuzione di un compito svolto nel pubblico
interesse o per l’esercizio di pubblici poteri sia basato sul diritto dell’Unione o di uno Stato
membro.
In ottica di semplificazione, l’articolo 9 della norma che stiamo analizzando afferma che
Il trattamento dei dati personali da parte di un’amministrazione pubblica [omissis] è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti
Nella sostanza da oggi gli enti pubblici come definiti dal Decreto potranno passarsi dati personali senza che una legge ne configuri il perimetro, sarà sufficiente che sia necessario per l’esecuzione di un compito di interesse pubblico.
L’insostenibile indeterminatezza
Questo approccio, secondo alcuni, creerebbe un corto circuito tra una norma nazionale e il GDPR. Si parla per questo di incostituzionalità della norma in quanto in aperta violazione della norma di livello superiore, quella europea.
Questo tema è molto serio, non tanto perché crei gravissimi danni alla gestione della privacy (avevamo un approccio iper garantista), qui ha molto senso quanto sostenuto da Luca Bolognini presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei dati, quando afferma che
un miglioramento del decreto è doveroso. Limitando lo “scopo” delle novità introdotte
Il tema qui in primo piano è l’attenzione che, proprio in un momento in cui i paesi dell’est Europa rifiutano la supremazia delle leggi dell’Unione, un paese fondatore come l’Italia non può commettere errori così grossolani nella gestione tra l’altro di una normativa così importante.
Altro? Come no, mettiamoci il carico da 11
Certamente sì. viene abrogato dall’articolo 9 comma 3 lettera b) del Decreto l’articolo 2-quinqiuesdecies del Codice Privacy che affermava
Con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati ai sensi dell’articolo 35 del Regolamento, il Garante può, sulla base di quanto disposto dall’articolo 36, paragrafo 5, del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio, prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto
ad adottare.
Ad esempio, il provvedimento con il quale il Garante nel 2018 metteva i puntini sulle “i” circa il trattamento dei dati personali così come lo aveva concepito l’Agenzia delle Entrate in merito alla fatturazione elettronica non sarà più possibile. Quel provvedimento fu cruciale per evitare grossi rischi nella gestione dei dati personali (ad esempio l’Agenzia si era arrogata il diritto di accumulare dati particolari non di sua pertinenza.
Che conclusioni trarre
Sicuramente va annotata l’ormai cronica incapacità di costruire leggi che non ne contraddicano altre in modo così smaccato. Quasi che il legislatore denotasse un’incapacità di approfondimento. Produciamo insomma troppe leggi (malattia tipicamente italiana), ma scarsamente comprensibili e spesso in aperta contraddizione tra loro o con leggi europee. Forse se ne facessero meno, ma scritte meglio potrebbe essere di aiuto.
Il problema esiste ed è serio. Ma come in ogni problema basta cercare una soluzione adeguata per porre un rimedio a una legge scritta senza il necessario approfondimento.
Quello che mi sento di escludere è una sorta di complotto ai danni della privacy o dell’Autorità Garante, primo perché sarebbe un atto palesemente incostituzionale in quanto l’Autorità è un soggetto richiesto da una legge di più alto livello rispetto alle leggi nazionali, il GDPR appunto. Secondo, perché un danno alla sua autorità è un danno al paese che non può essere perpetrato dal governo. Quindi placherei i complottisti. Stiamo a vedere se accade qualcosa e in che termini.