protezione dei dati e pnrr

Cosa cambia per le PA dopo la modifica del Codice Privacy

In vista dell’attuazione delle riforme previste dal Piano Nazionale di Ripresa e Resilienza, sono state apportate modifiche al Codice Privacy atte a semplificare le azioni di conformità alla normativa in materia di protezione dei dati personali da parte delle PA. Il reale portato innovativo e i limiti delle norme

16 Feb 2022
Silvio Noce

Avvocato esperto di privacy e amministrazione digitale

Manuel Ottaviano

Dirigente amministrativo presso l'Istituto Ortopedico Rizzoli

Le riforme pianificate dal Piano Nazionale di Ripresa e Resilienza incidono significativamente sul trattamento dei dati personali, pertanto, le pubbliche amministrazioni dovranno disciplinare tali trattamenti.

Allo scopo di accelerare l’implementazione di tali riforme il Legislatore è intervenuto sul Codice privacy con il chiaro intento di definire percorsi di semplificazioni per le PA nelle azioni di conformità alla normativa in materia di protezione dei dati personali, con effetti che certamente possono ripercuotersi sull’implementazione delle misure e delle riforme previste nel PNRR.

Decreto Capienze, niente privacy siamo PA: ecco perché il nuovo testo spaventa gli esperti

L’“ampliamento” della base giuridica

La modifica intervenuta con il D.L. n. 139/2021 (cosiddetto decreto “capienze” ndr)- convertito con modificazioni dalla Legge del 3 dicembre 2021 n. 205 – sul “Codice in materia di protezione dei dati personali” D.Lgs. 30 giugno 2003, n. 196 (di seguito il Codice Privacy o Codice) ha inciso sull’art. 2-ter e sul 2-sexies della norma.

WEBINAR
26 Maggio 2022 - 12:00
Sicurezza IT e identità digitali: come essere pronti ai nuovi trend in azienda
Dematerializzazione
Marketing

La novella, intervenuta sul comma 1, dell’art. 2-ter, del Codice Privacy, prevede che anche gli atti amministrativi generali possano costituire idonea base giuridica per i trattamenti necessari a:

  • “adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (ai sensi dell’art. 6, par. 1, lett. c) del GDPR);
  • “l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (ai sensi dell’art. 6, par. 1, lett. e) del GDPR).

La riforma ha destato molto interesse tra gli addetti ai lavori, poiché, mentre per un verso ha arricchito la base giuridica, inserendo il riferimento agli atti amministrativi generali, per altro ha espunto dall’art. 2-ter, comma 1, alcuni limiti, eliminando le parole “esclusivamente” e “nei casi previsti dalla legge”.

Infatti, proprio il riferimento esclusivo ai casi previsti dalla legge si è rivelato nel tempo foriero di ambiguità e imprecisioni e gli approdi dottrinali, della giurisprudenza amministrativa e di legittimità, non sono stati sempre coincidenti, anzi.

Pertanto, non v’è dubbio che l’intervento del legislatore rappresenti oggi un elemento di forte semplificazione.

La riforma, inoltre, deve la propria rilevanza al fatto che gli atti amministrativi generali assumono ora la condizione di idonea base giuridica anche per i trattamenti di dati di natura particolare, atteso che, la locuzione “atti amministrativi generali” è introdotta anche al primo comma, dell’art. 2-sexies, ovvero per i trattamenti di categorie particolari di dati personali.

L’atto amministrativo generale

Come sopra accennato, relativamente all’applicazione del Codice, numerosi sono stati i dubbi della dottrina e della giurisprudenza, sia amministrativa che di legittimità. Oggi, a fronte dell’intervento del Legislatore, l’ampliamento del perimetro delle basi giuridiche sembra riproporre quei medesimi elementi di ambiguità e imprecisione.

Infatti, l’atto amministrativo generale non è sempre agevolmente ascrivibile ad una determinata categoria. Esso si colloca, in un’area intermedia tra l’atto normativo, che possiede i caratteri della generalità e dell’astrattezza, e l’atto amministrativo che è destinato ad esplicare i propri effetti su un perimetro più specifico. Dunque, l’atto amministrativo generale non possiede il requisito dell’astrattezza, proprio dell’atto normativo e non ha la capacità di incidere su soggetti determinati o determinabili a priori.

Volendo, pertanto, tracciare le caratteristiche distintive dell’atto amministrativo generale, la legge 7 agosto 1990, n. 241 detta, per esclusione, alcuni elementi chiave. Ai sensi della legge, gli atti amministrativi generali sono esclusi dall’obbligo della motivazione e sono ad essi inapplicabili le norme sulla partecipazione al procedimento o sul diritto di accesso. In positivo, la richiamata Legge 241/90, relativamente alla disciplina della Segnalazione Certificata di Inizio Attività (SCIA), afferma che gli atti amministrativi di contenuto generale possono al pari della Legge individuare requisiti e presupposti necessari per l’esercizio di determinate attività.

Si tratta, dunque, di atti con i quali le Pubbliche Amministrazioni stabiliscono criteri generali per la propria azione.

Alcuni esempi di atto amministrativo generale sono sicuramente il bando di gara o concorso e gli atti a contenuto generale, che dettano requisiti e presupposti con i quali viene resa nota l’esistenza di una procedura e se ne regola lo svolgimento.

Alla luce di tali argomentazioni, quindi, l’atto amministrativo è generale in funzione del proprio contenuto, seppure difficilmente ascrivibile a una categoria prestabilita.

Numerose sono state nel tempo le osservazioni formulate da autorevole dottrina. Tra queste va sottolineato l’approdo secondo il quale gli atti amministrativi generali non hanno carattere innovativo dell’ordinamento.

Sul punto Aldo M. Sandulli osservava che “oltre al carattere dell’innovatività, ai meri atti amministrativi generali manca però -sempre per definizione- anche il carattere dell’astrattezza. Ciò non inerisce alla loro essenza di fatti non destinati ad integrare l’ordinamento e non rappresenta perciò l’essenziale elemento di differenziazione rispetto ai fatti che invece sono a ciò destinati: bensì inerisce alla circostanza che si tratta di atti volti a risolvere in concreto specifici problemi, la cui disciplina in astratto è già posta dall’ordinamento”. E ancora “Non sono per contro ascrivibili alla categoria in generale [di atti amministrativi generali] tutte le disposizioni rivolte alla generalità e destinate a regolare in astratto, per il futuro, una serie indefinita di fattispecie”. Lo stesso autore osservava che costituiscono atti amministrativi generali gli ordini di apertura e chiusura della caccia, bandi di concorso e di gara, gli ordini di censimento ecc., ovvero “tutti atti che, pur rivolgendosi a una generalità di soggetti istituzionalmente non individuati a priori dall’Amministrazione, sono volti a risolvere, in relazione ai singoli casi già concretamente puntualizzati e, non in astratto, determinate esigenze pubbliche”.

Risulta chiaro, e non v’è motivo di dubitarne, che alla luce di ciò la disciplina dei trattamenti di dati personali a mezzo di atti amministrativi generali assume alcuni limiti, propri dello strumento formale utilizzato. In sostanza, essi rivestono un carattere residuale, riservato ai soli casi di apporti di disciplina specifici ad un quadro di regolazione già composito e strutturato.

Ad esempio, sarebbe irricevibile, nel caso di trattamenti di dati personali di natura particolare, istituire registri di patologia di rilevante interesse regionale con un atto amministrativo generale.

La consultazione preventiva del Garante

La riforma ha una forte portata innovativa anche relativamente ad altri aspetti di tipo procedurale. L’art. 36, par. 4, del GDPR, infatti, prevede il dovere per il legislatore di consultare l’autorità di controllo durante l’elaborazione di una proposta di atto legislativo o di una misura regolamentare basata su di esso.

La nuova formulazione del Codice Privacy, che introduce il nuovo comma 5-bis, dell’art. 154, relega tale potere consultivo dell’autorità esclusivamente ai casi in cui la legge o il regolamento in corso di adozione disciplinino espressamente le modalità del trattamento descrivendo effettivamente le operazioni compiute.

Alla luce di tale intervento di modifica e di quanto sopra esposto, è lecito attendersi, pertanto, tre diversi scenari:

  • Relativamente all’adozione di un atto legislativo che non disciplina puntualmente il trattamento, definendone, ad esempio, esclusivamente finalità e motivi di rilevante interesse pubblico, la consultazione dell’autorità Garante non sarà necessaria. È plausibile ritenere che in tali casi lo schema di lavoro preferito dal Legislatore, coinciderà con l’approvazione di una norma generale con rinvio della disciplina in materia di protezione dei dati personali ad un atto di natura regolamentare o atto amministrativo generale, con considerevoli effetti positivi in ordine ai tempi per l’approvazione di tali norme di legge. Tale impostazione coincide, tra l’altro, con la proposta di “Codice di condotta per la produzione normativa con impatti privacy” che le Regioni e le Province Autonome hanno sottoposto all’approvazione del Garante per la protezione dei dati personali.
  • Circa gli atti legislativi (siano essi leggi o regolamenti) che disciplinano espressamente il trattamento di dati personali, sarà invece necessario consultare l’Autorità. Tale disposizione porta la ratio della consultazione preventiva del Garante su di un piano di tutela sostanziale, posto che la disciplina specifica e puntuale delle attività che comportano trattamenti di dati personali sono suscettibili di produrre effetti negativi sugli interessati.
  • Nel caso in cui un Ente pubblico intenda disciplinare trattamenti, che contemplano dati personali comuni o dati di natura particolare, con un atto amministrativo generale, la consultazione dell’autorità Garante non sarà necessaria.

Tale ultima ipotesi ha un impatto potenzialmente clamoroso, posto che viene già avvertita dagli enti e dagli addetti ai lavori come la via di fuga perfetta.

A torto, a nostro avviso.

In prima battuta, perché rimane fermo l’obbligo di consultazione preventiva del Garante, in tutti i casi in cui la valutazione d’impatto sulla protezione dei dati, indichi che il trattamento presenterebbe un rischio elevato.

Per di più, optare per l’atto amministrativo generale, e non per una legge o un regolamento, è esercizio dell’accountability dell’ente pubblico titolare del trattamento, ovvero del dirigente competente che assume, per conto dell’Ente, la responsabilità di definire la disciplina del trattamento di dati personali a mezzo di un atto amministrativo generale, esonerato ex lege dalla consultazione preventiva ex art. 36, par. 4, del GDPR. Si ribadisce, infine, quanto già riportato antea, ovvero che la disciplina di trattamenti a mezzo di atti amministrativi generali deve avere una portata residuale, utilizzando tali atti per i soli casi di apporti di disciplina specifici ad un quadro di regolazione già composito e strutturato.

La quarta opzione?

Come abbiamo avuto modo di rappresentare ampiamente nel presente scritto, il riformato art. 2-ter, comma 1 del Codice sancisce ora che il trattamento dei dati, per lo svolgimento di un compito di legge, cui è soggetto il titolare, o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, può trovare la propria base giuridica oltre che nelle leggi e regolamenti anche negli atti amministrativi generali.

Oltre a ciò, il D.L. n. 139/2021 introduce anche il nuovo comma 1-bis, all’art. 2-ter, affermando che il trattamento è consentito se necessario per l’“adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad esse attribuiti”.

È lecito chiedersi se tale previsione corrisponda ad un’ulteriore “base giuridica” e se il legislatore abbia inteso affermare che, per tali trattamenti, non sia necessario né la legge, né il regolamento, né l’atto amministrativo generale.

Infatti, il legislatore, allo scopo di evitare pregiudizi effettivi e concreti alla tutela dei diritti e delle libertà degli interessati, rinvia al rispetto delle condizioni di liceità del trattamento con un secco richiamo all’art. 6 del GDPR.

L’intervento del legislatore, sul punto, ha spiccati connotati “ermetici”.

In sintesi:

  • l’art. 6, par. 3, del GDPR dispone che la base su cui si fondano i trattamenti effettuati per interesse pubblico o per l’esercizio di pubblici poteri deve essere costituita dal diritto dello Stato membro;
  • l’art. 2-ter, comma 1, del Codice dispone che la base giuridica prevista dal punto precedente è costituita da una norma di legge o di regolamento o da atti amministrativi generali;
  • viene tenuta distinta da tale trittico l’ipotesi prevista dall’art 2-ter, comma 1-bis, del Codice Privacy, la quale prevede che il trattamento è consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri;
  • lo stesso comma 1-bis, tuttavia, prescrive che le disposizioni di tale norma sono esercitate nel rispetto dell’articolo 6 del Regolamento, che tuttavia, come riferito ai punti a) e b) del presente elenco, impongono la presenza di una base giuridica costituita da una norma di legge o di regolamento o da atti amministrativi generali.

Una lettura rigorosa della lettera della norma porta, quindi, a ritenere che lo svolgimento di un compito di legge o di un compito di interesse pubblico non può risolvere autonomamente la condizione di liceità richiesta dall’art. 6, par. 3, del GDPR. Pertanto, la “quarta opzione” del comma 1-bis potrà essere legittimamente percorsa solo in presenza di un già compiuto quadro di regolazione del trattamento. Quadro all’interno del quale si renda necessario disciplinare un’ulteriore appendice di trattamento, a condizione che tale appendice risulti, sulla base di un’analisi rigorosa e sempre formalizzata, assolutamente coerente con il quadro istituzionale di riferimento e con l’esercizio di un interesse pubblico (o di un pubblico potere) che da tale quadro discenda direttamente.

Ciò detto, si ritiene che lo sforzo regolatorio del Legislatore, probabilmente, in questo caso è destinato a determinare effetti poco significativi per gli enti pubblici, a maggior ragione sottolineando che tale disposizione non riguarda i dati particolari o giudiziari (di cui agli artt. 9 e 10 del GDPR).

Comunicazione e diffusione

Infine, il D.L. n. 139/2021 ha apportato anche modifiche alla disciplina delle operazioni di comunicazione e diffusione di dati personali, dalla disciplina previgente ammesse esclusivamente se previste da norma di legge o di regolamento.

Anche in tal caso, la modifica normativa ha ampliato la base giuridica.

Pertanto, la comunicazione di dati non particolari e non riferiti a condanne penali e reati, effettuata per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, è ammessa se:

  • prevista da una norma di legge o di regolamento, o da un atto amministrativo generale;
  • necessaria per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad esse attribuiti, con i limiti già rappresentati nel paragrafo che precede e che qui debbono intendersi richiamati.

Per quel che concerne, invece, la diffusione di dati personali e la comunicazione di dati, trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalità, essa è ammessa se:

  • prevista da una norma di legge o di regolamento, o da un atto amministrativo generale;
  • necessaria per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad esse attribuiti, con i limiti già rappresentati nel paragrafo che precede e che qui debbono intendersi richiamati.

Tuttavia, proprio in ragione del livello di criticità intrinseco in tali operazioni di trattamento, la norma impone l’invio di una preventiva (10 gg prima) notizia al Garante. È plausibile, che tale debito informativo attenuerà fortemente gli impatti attesi dalla modifica normativa.

Conclusioni

Nei paragrafi che precedono si è tentato di esplicitare qual è il reale portato innovativo delle norme e quali siano i limiti che, a parere di chi scrive, esse incontrano. Se ne può dedurre che complessivamente, la riforma determinerà delle occasioni positive delle quali si avvantaggerà anche l’attività ordinaria svolta dalla Pubblica Amministrazione.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 3