NEWS

Dlgs 101/2018, per trattare i dati personali le p.a. si devono basare sempre su leggi o regolamenti

La privacy per le p.a. è diventata un gran pasticciaccio. Il nuovo codice della privacy ha spinto gli enti pubblici in una strettoia: per trattare i dati (quelli diversi da quelli sensibili, genetici e biometrici), secondo il dlgs 101/2018, le pubbliche amministrazioni devono basarsi, sempre e solo, su una norma di legge o di regolamento. Nella vecchia versione del codice della privacy (n. 196/2003), invece, per i trattamenti dei dati diversi da quelli sensibili, e al di fuori di comunicazioni e diffusioni, non era necessaria una specifica norma di legge o di regolamento, essendo sufficiente che l'attività rientrasse nelle funzioni istituzionali.


Il problema è che non sempre c'è una norma specifica di legge o di regolamento per ogni singola attività amministrativa: molte volte è l'amministrazione stessa, usando, com'è normale che sia, la sua discrezionalità amministrativa, a individuare (con delibere, determinazioni, provvedimenti interni ecc.) le attività concrete, mediante le quali realizzare una funzione istituzionale, tesa al perseguimento di un interesse pubblico. C'è, allora, un astratto rischio di paralisi dell'attività amministrativa? Per come sono state scritte le disposizioni, ci si potrebbe porre anche questo problema. Peraltro, si può tentare di indicare interpretazioni idonee a rimediare a un problema, creato dal legislatore, che mette gli interpreti tutti (dal Garante della privacy alle singole pubbliche amministrazioni) di fronte a un rebus.

Il vecchio codice della privacy (si veda la tabella), per i trattamenti interni di dati diversi da quelli sensibili e giudiziari (articolo 19, comma 1), si accontentava del richiamo alle funzioni istituzionali, da soli sufficienti a basare la liceità del trattamento; il nuovo codice (articolo 2-ter) richiede, invece, una legge o un regolamento (solo se previsto dalla legge) e questo «esclusivamente». È un fatto che la p.a. svolge quotidianamente trattamenti di dati personali (diversi da quelli «sensibili») nell'ambito delle funzioni istituzionali, talvolta con e talaltra senza una disciplina puntuale e analitica dell'attività secondo i profili della normativa sulla privacy. Altrimenti detto, non sempre c'è una legge o un regolamento che espliciti chi è il titolare del trattamento o il responsabile del trattamento o che specifichi le misure di sicurezza o le modalità di comunicazione/diffusione dei dati e così via.

Il vecchio codice della privacy era consapevole di ciò e aveva creato un sistema così articolato: per i trattamenti, interni all'ente, di dati diversi da quelli sensibili bastava il riferimento alle funzioni istituzionali (anche senza una espressa norma di legge, articolo 19, comma 1); per le comunicazioni di dati (diversi da quelli sensibili) da una p.a. ad altra p.a. ci voleva una norma di legge o di regolamento e, in mancanza, occorreva una preventiva segnalazione al Garante (articoli 19, comma 2, e 39); per la comunicazione di dati a un soggetto privato o per la diffusione (per esempio pubblicazione su un sito web) occorreva necessariamente una norma di legge o di regolamento (articolo 19, comma 3); per il trattamento dei dati sensibili ci voleva una norma di legge dichiarativa di un interesse pubblico rilevante e, poi, una legge o un regolamento descrittivi di tipi di dati utilizzabili e delle operazioni di trattamento effettuabili (articolo 20).

In sostanza c'era un crescendo di limiti e condizioni, a seconda del tipo dei dati e dei trattamenti.

Il dlgs 101/2018 ha abrogato gli articoli 18, 19, 20 e 39 del vecchio codice della privacy e ha innestato, nello stesso codice, gli articoli 2-ter e 2-sexies. Mentre per i dati ex «sensibili» sia la vecchia formulazione (articolo 20) sia la nuova formulazione del codice della privacy (articolo 2-sexies) pretendono una espressa norma di legge e di regolamento e anche l'indicazione espressa di tipi di dati utilizzabili e di categorie di operazioni, si coglie una forte differenza nella disciplina testuale del trattamento dei dati diversi dagli ex «sensibili» (di questi ci si occupa in questo approfondimento). L'articolo 2-ter, comma 1, scrive, infatti, che per trattare i dati (diversi da quelli «sensibili», che nel frattempo non si chiamano più così, ma si chiamano «categorie particolari di dati»), la p.a. deve avere alla base «esclusivamente» una norma di legge o una norma di regolamento (se previsto dalla legge).

Pare, conseguentemente, che ci sia una brusca restrizione. Dunque, stando alla lettera, non basterebbe più il riferimento alle funzioni istituzionali, in quanto l'articolo 18, comma 1, è stato abrogato. Ci vuole necessariamente, sembra, una legge o un regolamento (adottato su rinvio legislativo). Ci si chiede che cosa occorra fare, allora, quando manca la legge o il regolamento, e anche, quando non si sia sicuri che ci sia una norma di legge o di regolamento, tale da disciplinare dettagliatamente il singolo trattamento.

L'unica alternativa parrebbe essere di chiedere il consenso al cittadino. Non a caso, si potrebbe aggiungere, è stato abrogato l'articolo 18 del vecchio codice, che, al comma 4, vietava alle p.a. di raccogliere il consenso (salvo per la sanità pubblica, che, nell'impianto del vecchio codice, doveva raccoglierlo). Seguendo questo ragionamento, allora, avremmo funzioni istituzionali (da gestire per conseguire interessi pubblici), per i quali non c'è una norma di legge o di regolamento descrittiva, in maniera analitica, del trattamento, il quale diventerebbe lecito, da un punto di vista privacy, solo con il consenso del cittadino. La conseguenza sarebbe, dunque, che un interesse pubblico sarebbe subordinato al consenso individuale del cittadino (cioè all'interesse privato). Non si ritiene che questo esito sia accettabile: il mancato consenso renderebbe non utilizzabili i dati (articolo 2-decies del nuovo codice) e si trasformerebbe in un vero e proprio veto al perseguimento delle funzioni istituzionali.

Tanto per complicare ulteriormente le cose, non mancano contraddizioni interne allo stesso articolo 2-ter: questo nuovo articolo, infatti, disciplina anche l'ipotesi della comunicazione dei dati dalla p.a. ad altri soggetti che operano per pubblico interesse; nel fare ciò tratta anche il caso in cui manca una norma di legge o di regolamento, che preveda tale comunicazione e, in questo caso, ammette il trattamento, anche se solo dopo che si sia data notizia al garante e il garante non abbia sollevato obiezioni. In sostanza abbiamo una deroga alla regola della necessità di una norma di legge o di regolamento e il trattamento è ammesso (seppur previa procedura che coinvolge l'autorità di controllo).

Si tratta di una ipotesi di trattamento di dati da parte di una p.a. per funzioni istituzionali, senza una norma di legge o di regolamento, che, nonostante ciò, può essere iniziato (decorsi 45 giorni da un avviso al Garante). Ci si domanda, allora, perché per i trattamenti diversi dalla comunicazione, la lettera del nuovo codice pretenda «esclusivamente», cioè «senza eccezioni», una norma di legge o di regolamento. E si consideri poi che, sulla carta, una comunicazione (cioè un trattamento esterno) è potenzialmente più pericolosa di un trattamento interno.

Per risolvere il dilemma non è risolutiva nemmeno la relazione allo schema del decreto legislativo, divenuto dlgs 101/2018, che, laconicamente, si limita a dire che l'articolo 2-ter è «una riformulazione dell'articolo 19 del previgente codice in materia di protezione dei dati personali, il cui ambito di applicazione soggettivo viene esteso al fine di adeguarsi all'impostazione adottata dal regolamento». Sembrerebbe, a tutto concedere, che la riformulazione consista nella sola estensione soggettiva della norma sulla base giuridica alternativa al consenso (ai soggetti privati che operano nel pubblico interesse) e non nella restrizione oggettiva della base giuridica normativa.

Da un punto di vista sistematico si consideri, poi, che è stato eliminato il consenso quale base giuridica per il settore sanitario: a questo punto si nota, non senza perplessità, che un organismo sanitario pubblico, che tratta dati delicatissimi, non deve più chiedere il consenso e, invece, dovrebbe chiederlo un ente locale o un'amministrazione regionale, quando un determinato trattamento di dati comuni (per esempio i soli dati anagrafici) sia prevista, sempre ad esempio, da una deliberazione di consiglio o di giunta (che non sono atti regolamentari).

In attesa di orientamenti ufficiali, si ritiene che la possibile via di uscita da questo ginepraio passi attraverso la valorizzazione delle norme generali sul procedimento e sulla documentazione amministrativa: in particolare si deve considerare la legge 241/1990 (soprattutto l'articolo 3) e il dpr 445/2000 (articolo 43). Una volta che c'è la finalità (cioè la funzione istituzionale) scritta in una legge (vedasi i «considerando» 41 e 45 e l'articolo 6, paragrafo del regolamento Ue 2016/679), le norme generali sull'attività e sui procedimenti amministrativi sono da ritenersi la base giuridica sempre sufficiente per il trattamento interno dei dati diversi da quelli appartenenti alle cosiddette particolari categorie. A ciò deve affiancarsi la predisposizione da parte di ciascun ente pubblico di misure organizzative e tecniche e di sicurezza, ma senza alcuna necessità di andare a chiedere un consenso, visto che si tratta di compiti istituzionali.

Fonte: Italia Oggi Sette del 12 novembre 2018 - Articolo di Antonio Ciccia Messina

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: [email protected] 

Prev Il ruolo di dirigente non esclude la punibilità per accesso abusivo a sistema informatico
Next Stop alle cassette postali intasate dalla pubblicità indesiderata

TV9, il presidente di Federprivacy alla trasmissione 9X5

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy