In questi giorni il Parlamento è impegnato nella conversione in legge del “Decreto Capienze” (DL 139/2021), con il quale il Governo ha apportato un cambiamento radicale al modo in cui la condizione di liceità dell’interesse pubblico si applica al trattamento di dati da parte della Pubblica Amministrazione.
Cosa ci preoccupa del decreto Capienze e la privacy
In poche parole, attraverso questo decreto si è deciso che la Pubblica Amministrazione potrà trattare, comunicare e diffondere (anche a terzi) dati dei cittadini italiani senza bisogno di una legge specifica (di rango primario o secondario).
Questo approccio è stato fin da subito molto criticato dagli esperti e da rilevanti organizzazioni nel campo della privacy e dei diritti digitali, come Privacy Network, che ha partecipato ad una specifica audizione in Commissione Affari Costituzionali del Senato proprio per affrontare il tema.
Non sembra tuttavia che il Senato abbia ben recepito i consigli e le raccomandazioni, andando invece anche oltre rispetto a quanto inizialmente previsto dal Decreto Capienze, con alcuni emendamenti che vanno a coprire ambiti non interessati dal decreto.
Tra le novità, ce ne sono alcune che finora non hanno ricevuto molta attenzione, ma che meritano invece un approfondimento, per le importanti implicazioni che queste avranno per tutti i cittadini italiani.
Terremoto privacy nel decreto Capienze, PA senza freni: ecco gli impatti
- La prima novità è che la logica dell’ampliamento dei poteri della Pubblica Amministrazione riservato all’art. 2-ter del Codice Privacy è stato esteso anche all’art. 2-sexies. Questo significa che, se il testo dovesse passare così come è stato proposto, la Pubblica Amministrazione potrebbe trattare sia dati comuni che dati particolari (cioè sensibili, come quelli sanitari, biometrici, genetici, ecc.) senza bisogno di una specifica disposizione di legge. Sarebbe infatti sufficiente anche un semplice atto amministrativo generale per trattare, comunicare o diffondere questi dati.
- A questo deve aggiungersi il comma 1-bis, che prevede un “nulla osta” generale di trattare dati relativi alla salute per il Ministero della Salute, l’Agenzia nazionale per i servizi sanitari regionali, l’Agenzia italiana del farmaco, l’Istituto nazionale per la promozione della salute delle popolazioni migranti e per le Regioni. L’unico limite a questo nulla osta è l’eliminazione di “elementi identificativi diretti” dai dataset, che configura quindi un trattamento pseudonimizzato di dati.
Decreto Capienze, tutti gli aspetti privacy tra fronti critici e opportunità: cosa cambia
- Lo stesso può dirsi anche per la modifica all’art. 58, che applica le stesse estensioni anche ai trattamenti di dati personali per fini di sicurezza nazionale o difesa. Senza entrare nel merito, è sufficiente dire che il trattamento di dati personali da parte delle Forze Armate o dell’intelligence, semplicemente sulla base di un atto amministrativo generale (che ricordo, non è una fonte di legge), è molto preoccupante.
- Di tutt’altro tipo sono invece le novità che riguardano l’articolo 170 del Codice Privacy, che disciplina il regime sanzionatorio in caso di inottemperanza dei provvedimenti del Garante Privacy, che configura un illecito penale.
Il testo originario dell’articolo 17 prevede che “Chiunque, essendovi tenuto, non osserva il provvedimento […], è punito con la reclusione da tre mesi a due anni”. L’emendamento cambia invece il testo in questo modo: “Chiunque non osservando il provvedimento adottato dal Garante […] arreca un concreto nocumento a uno o più soggetti interessati al trattamento, è punito a querela della persona offesa con la reclusione da tre mesi a due anni.
Gli impatti pratici del Capienze sulla privacy
Queste modifiche, per quanto possano sembrare di poco conto, in quanto non snaturano il senso della disposizione, hanno però effetti molto rilevanti sul piano pratico.
Prima di tutto, l’illecito penale è adesso perseguibile a querela della persona offesa, e non d’ufficio. Una differenza di non poco conto, considerando che il diritto di presentare querela decade dopo tre mesi. Un termine difficilmente compatibile con il fatto che le conseguenze di un trattamento illecito di dati (in violazione di un provvedimento del Garante) possono impiegare anche molto tempo per palesarsi.
È indubbio che già questo elemento sia potenzialmente in grado di creare una zona grigia di impunità per inottemperanza di un provvedimento del Garante per tutti quei casi in cui non sia mai stata presentata una querela entro i termini.
Secondariamente, il legislatore, specificando che l’inosservanza del provvedimento è punibile se arreca un danno concreto a uno o più soggetti interessati, sembra aver trasformato l’illecito da un reato di pericolo a un reato di danno. In altri termini, un reato in cui l’offesa deve concretizzarsi in una lesione effettiva del bene giuridico tutelato, e non invece in una messa in pericolo (che sarà poi accertato dal giudice). Purtroppo, dimostrare l’esistenza di un danno concreto nell’ambito del trattamento di dati è davvero molto difficile, quasi una probatio diabolica. La complessità riguarda tre aspetti: determinare la tipologia di danno, determinare il quantum, e infine determinare il nesso causale tra il fatto (trattamento illecito di dati) e l’evento dannoso. Insomma, un onere probatorio non indifferente, che potrebbe svuotare di significato tutto l’articolo 170 del Codice Privacy.
Se il Decreto Capienze sembrava un maldestro tentativo del governo di semplificare l’attività della Pubblica Amministrazione (a discapito delle tutele per i cittadini), gli emendamenti proposti dal Senato in sede di conversione sembrano invece seguire una precisa logica, che nonostante tutte le critiche e raccomandazioni ricevute procede ancora più forte nella stessa direzione: semplificazione, ampliamento di poteri, e riduzione dei margini di tutela in caso di violazione di legge, anche dal punto di vista penale. Tutto a discapito delle garanzie per i diritti dei cittadini, che di giorno in giorno si assottigliano sempre di più.
La sensazione è che il legislatore voglia a tutti i costi differenziare il modo in cui la normativa privacy (sia europea che nazionale) si applica alla Pubblica Amministrazione rispetto ai privati. Un pregio del GDPR era invece aver assoggettato agli stessi principi chiunque trattasse dati delle persone: Pubblica Amministrazione, PMI, e grandi corporazioni. Ora invece la Pubblica Amministrazione sembra aver preso una corsia privilegiata. Questo creerà non poche distorsioni, sia dal punto di vista delle tutele per i cittadini, che per le aziende che hanno a che fare con il pubblico, che dovranno tener conto di una normativa che viaggia a due velocità.
C’è ancora tempo per rimediare, ma temo che questi emendamenti passeranno così come sono anche alla Camera.
