Quali sono le modifiche del decreto legge 139 del 8 ottobre 2021 al Codice in materia di protezione dei dati personali?
Che implicazioni avranno?
Saranno suscettibili di limitare la tutela del diritto alla privacy?

In data 8 ottobre 2021 è stato pubblicato in Gazzetta Ufficiale il decreto legge n° 139.

In apparente assenza di specifiche ragioni di necessità ed urgenza sotto questo frangente, all’art. 9 sono state inserite in via definitiva e non temporanea (salvo eventuali emendamenti in sede di conversione) radicali modifiche al decreto legislativo 196/2003 recante il Codice in materia di protezione dei dati personali, più comunemente noto come codice della Privacy.

Si vedranno, ora, nel dettaglio le implicazioni pratiche di tali modifiche.

Indice

  1. Qual è il quadro normativo generale in cui si inserisce il diritto alla privacy e protezione dei dati personali?
  2. Quali sono i sistemi previsti per garantire l’effettività del diritto alla Privacy?
  3. Cosa prevedeva il codice in materia di protezione dei dati personali prima della modifica di cui al decreto legge 139/2021?
  4. Quali sono le modifiche apportate dal decreto legge capienze?
  5. Quali sono i presupposti di liceità del trattamento stabilito con atto della Pubblica Amministrazione?
  6. Quali sono le implicazioni pratiche del decreto legge 139/2021?
  7. Conclusioni.

1. Qual è il quadro normativo generale in cui si inserisce il diritto alla privacy e protezione dei dati personali?

Come già precisato, soprattutto in tema di dati relativi la salute, in questo articolo a cui si rimanda, si ricorda qui in estrema sintesi che la regolamentazione interna del diritto alla privacy deve conformarsi a quanto prescritto nel regolamento UE 679/2016.

Giova, altresì, ribadire che “la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale”.

Lo specifica lo stesso regolamento EU 679/2016 al considerando (1) che richiama a sostegno dell’assunto l’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione Europea e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea («TFUE»).

D’altra parte, già tempo prima Corte Costituzionale 38/1973 aveva incluso il diritto alla riservatezza nel trattamento dei dati personali tra i diritti inviolabili di cui all’art. 2 Costituzione.

È innegabile, infatti, che il diritto alla protezione dei propri dati personali sia strettamente correlato alla tutela della libertà personale in riferimento al contrasto di ogni controllo illegittimo e ingerenza altrui.

Libertà personale, infatti, implica non solo tutela contro ogni costrizione fisica, bensì anche tutela della libertà di autodeterminazione individuale, cioè di agire secondo scelte autonome.

In tal senso il diritto alla privacy può essere considerato una estensione del diritto alla libertà personale.

Per approfondimenti al riguardo si richiama quanto efficacemente specificato in questo articolo anche in riferimento alle origini storiche dell’istituto giuridico in esame.

2. Quali sono i sistemi previsti per garantire l’effettività del diritto alla Privacy?

Alla luce delle su esposte considerazioni, ricomprendendo il diritto alla riservatezza dei dati personali nella più ampia sfera della libertà personale sarà agevole estendere i principi della riserva assoluta di legge e la riserva di giurisdizione di cui all’art. 13 Costituzione.

Correlativamente, l’art. 15 Costituzione prevede lo stesso tipo di garanzie per il diritto alla libertà e segretezza di ogni forma di comunicazione e corrispondenza che può essere inteso come un precursore del diritto alla riservatezza nel trattamento dei dati personali.

Alla luce di quanto sopra si considerano sussistenti due forme di garanzia costituzionale del diritto in esame, nel senso che esso può essere compresso solo a seguito di:

  • Riserva assoluta di legge (cioè tramite legge ordinaria dello Stato emanata ai sensi degli artt. 70 e 72 Costituzione;
  • Riserva di giurisdizione (cioè tramite provvedimento motivato dell’autorità giudiziaria consentito nei soli casi e modi previsti da una legge ordinaria).

3. Cosa prevedeva il codice in materia di protezione dei dati personali prima della modifica di cui al decreto legge 139/2021?

In coerenza con quanto sopra, infatti, l’originaria formulazione dell’art. 2 ter, comma 1, decreto legislativo 196/2003 prevedeva come unica base giuridica del trattamento dei dati personali una norma di legge o, nei soli casi previsti dalla legge, di regolamento.

Il Decreto legislativo 196/2003, pertanto, rimaneva aderente al dettato costituzionale poiché riconfermava il principio della riserva di legge di cui agli artt. 13 e 15 Costituzione.

Il trattamento dei dati personali era consentito solo ed esclusivamente ai soggetti, nei casi e con i modi previsti da una legge dello Stato o, in presenza sempre di una legge quadro che ne definisse i confini, da un regolamento.

In un regime così delineato, solo tramite l’esercizio della funzione legislativa ordinaria veniva svolta a priori una valutazione sull’interesse pubblico sotteso alla necessità del trattamento dei dati personali.

Inoltre, sempre tramite la legge ordinaria del Parlamento (quale organo pluralista comprensivo anche delle minoranze) veniva fatta, a monte, una valutazione sul bilanciamento degli interessi e, soprattutto, dei diritti coinvolti.

4. Quali sono le modifiche apportate dal decreto legge capienze?

L’art. 9 del decreto legge 139/2021 ha modificato proprio il decreto legislativo 196/2003 inserendo all’art. 2 ter un ulteriore comma 1bis.

Nello specifico, esso ha previsto che per tutte le amministrazioni pubbliche e i soggetti ad esse equiparati (di cui ne offre puntuale e ampia indicazione) il trattamento dei dati personali “è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad esse attribuiti”.

La norma prosegue precisando: “La finalità del trattamento, se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall’amministrazione, dalla società a controllo pubblico, in coerenza al compito svolto o al potere esercitato”.

Ciò significa che, attualmente, il trattamento di qualsiasi tipo di dati personali (compresi i dati giudiziari o sanitari) è ora ammesso nei seguenti casi:

  • Dai soggetti, nei casi e nei modi previsti da una legge dello Stato;
  • In presenza di una legge-quadro dello Stato che lo consenta, nei casi e nei modi previsti da un regolamento;
  • Per atto motivato di una Pubblica Amministrazione o di una società a controllo pubblico.

5. Quali sono i presupposti di liceità del trattamento stabilito con atto della Pubblica Amministrazione?

Sulla base di queste disposizioni, Il trattamento dei dati personali è da ritenersi sempre lecito in presenza di un atto motivato della Pubblica Amministrazione o della società a controllo pubblico sulla base:

  • Della sussistenza di un pubblico interesse;
  • Dell’espletamento di un pubblico potere o funzione suoi propri.

Nel primo caso, la valutazione circa la natura e la sussistenza del pubblico interesse (da intendersi in senso generale) sarà demandata sempre all’arbitrio dell’Amministrazione o della società agente.

A tal proposito si richiama questo articolo per potersi fare una minima idea sulla mutevolezza e vastità del concetto di “interesse pubblico” giacché legato ai cambiamenti della compagine sociale dello Stato.

Ecco perché tali valutazioni, attraverso il principio della riserva di legge, rientravano in origine e opportunamente nella potestà del legislatore ordinario (cioè il Parlamento in quanto soggetto pluralista portatore di tutti gli interessi della collettività).

Nel secondo caso si deve ritenere sempre consentito il trattamento di qualsivoglia dato personale purché strumentale al tipo di attività che svolge il soggetto pubblico che agisce.

Qui non si rinviene, invece, per nulla alcuna valutazione circa la sussistenza o meno di un interesse pubblico generale, poiché il riferimento è alle sole funzioni e poteri particolari attribuiti al singolo soggetto pubblico agente.

6. Quali sono le implicazioni pratiche del decreto legge 139/2021?

L’art. 9 del decreto legge 139/2021 non fa distinzioni in ordine alla tipologia dei dati trattabili.

È da ritenersi, pertanto, sempre consentito il trattamento di qualsiasi dato, compresi i dati sanitari, giudiziari e qualsiasi dato sensibile in genere.

Come si può ben capire, a seguito della modifica di cui sopra qualsiasi Pubblica Amministrazione o società a controllo pubblico come, ad esempio, la SOGEI, può trattare in qualsiasi momento qualsiasi tipo di dato, autolegittimandosi con un proprio atto motivato sulla base di esigenze di pubblico interesse o per l’esercizio di pubblici poteri e funzioni.

La liceità del trattamento può, in astratto, essere contestata solo:

– in assoluta assenza di motivazione dell’atto che ha disposto il trattamento;

– in caso di eccesso di potere o, addirittura, usurpazione di pubblici poteri o funzioni.

In riferimento al primo punto si precisa, infatti, che per il principio di separazione dei poteri, l’autorità giudiziaria non può sindacare nel merito la valutazione effettuata dall’Amministrazione pubblica in quanto espressione del potere esecutivo.

Il giudice può, soltanto, valutare la sussistenza o meno della motivazione quale presupposto di legittimità dell’atto amministrativo che ha costituito la base giuridica del trattamento.

Il secondo caso si verifica, invece, quanto la motivazione sussiste ma riguarda poteri sovrabbondanti rispetto alle competenze attribuite all’Amministrazione, oppure è basata su poteri e funzioni non appartenenti all’Ente che ha disposto il trattamento.

7. Conclusioni.

La modifica dell’art. 9 decreto legge 139/2021, come si è visto, apre la strada a un controllo ed utilizzo generalizzato dei dati personali di qualsiasi natura da parte delle Pubbliche Amministrazioni e delle società a controllo pubblico.

Non sono, tuttavia, state modificate o abrogate le norme del decreto legislativo 196/2003 che riguardano limitazioni specifiche come, ad esempio, le norme in ordine al trattamento dei dati sulla salute e, segnatamente, l’art. 75 che conferma le disposizioni di cui al regolamento UE 679/2016, art. 9, par. 2, lett. h) e i) e par.3.

In astratto, pertanto, non può considerarsi giuridicamente praticabile un trattamento generalizzato in riferimento ai dati sulla salute.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *