Privacy e conversione del DL Capienze: luci ed ombre

27 December 2021 – 10:30

Mi ero già occupato, per Tech Economy 2030, della mini-riforma del Codice della Privacy, quasi occultata nell’articolo 9 del Decreto Legge 8 ottobre 2021, n. 139, denominato DL Capienze (perché la prima parte del testo riguarda la capienza di luoghi pubblici).

Questa riforma modifica(va) pesantemente diversi articoli, riducendo i poteri del Garante e ampliando la possibilità, soprattutto per le pubbliche amministrazioni, di trattare, comunicare e diffondere dati personali.

Le modifiche sono state molto criticate, anche dallo stesso Presidente dell’Autorità Garante, sentito in audizione alla Prima Commissione al Senato, e, in sede di conversione, con la L. 205/2021, le norme sono state molto rimaneggiate, inserendo, tra l’altro, una moratoria (parziale) sull’uso della biometria per finalità di ricognizione facciale.

È necessario quindi esaminare le principali novità, e verificare se tutte le criticità segnalate siano state risolte, senza pretesa di toccare tutte le modifiche effettuate, che riguardano tantissimi aspetti.

La “liberalizzazione” del trattamento di dati comuni da parte degli enti pubblici e delle società a controllo pubblico, dopo la legge di conversione

L’articolo 9 del DL Capienze, nella sua versione successiva alla legge di conversione, conferma la volontà del Legislatore di modificare la base legale per il trattamento di dati comuni da parte delle amministrazioni pubbliche e delle società a controllo pubblico statale (o, nel caso di gestori di servizio pubblico, anche locale), eccettuati in questi ultimi casi i trattamenti correlati ad attività svolte in regime di libero mercato.

L’articolo 9 del DL Capienze, nella sua versione successiva alla legge di conversione, conferma la volontà del Legislatore di modificare la base legale per il trattamento di dati comuni da parte delle amministrazioni pubbliche e delle società a controllo pubblico statale

Chiariamo cosa si intenda per base legale, anche alla luce delle norme europee, contenute nel Regolamento generale sulla protezione dei dati personali 2016/679 (GDPR).

Come avevamo già precisato nel precedente commento, l’articolo 6 del GDPR prevede che sia lecito trattare dati personali soltanto in presenza di una specifica base legale, tra cui ritroviamo (art. 6, par. 1, lett. e) il trattamento “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”. La stessa norma dà la facoltà, ai legislatori nazionali, di introdurre disposizioni più specifiche, “determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto”.

In base a questa norma, è stato introdotto l’articolo 2-ter del codice della privacy, stabilendo (nella sua versione originaria), che il trattamento per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri sia lecito solo ove previsto “esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento”.

In altre parole, prima del DL Capienze, si potevano trattare dati per compiti di interesse pubblico soltanto laddove questo trattamento fosse previsto da una norma di legge.

Cosa cambia dopo la legge di conversione

La legge di conversione conferma una evidente estensione della possibilità di trattare dati personali per compiti di interesse pubblico, o connessi all’esercizio di pubblici poteri.

Il trattamento adesso infatti è lecito quando sia previsto da legge, da regolamento, o anche (ed è questo il cambiamento più rilevante) da “atti amministrativi generali”.

Il trattamento adesso infatti è lecito quando sia previsto da legge, da regolamento, o anche (ed è questo il cambiamento più rilevante) da "atti amministrativi generali".

Il che vuol dire, in estrema sintesi, che ogni singolo ente potrebbe, in astratto, emanare un atto amministrativo generale (ad esempio un regolamento) che, al di fuori delle ipotesi normativamente previste, specifichi quando l’ente (anche al di fuori di una norma di legge) possa trattare dati personali.

Le modifiche non si limitano a questo: la legge di conversione, infatti, non sopprime ma si limita a modificare una delle norme più criticate del DL 139/2021: il comma 1-bis dell’art. 2-ter del codice della privacy, il quale reintroduce una differenziazione tra gli enti pubblici e gli altri soggetti che esercitano compiti di interesse pubblico.

La norma infatti stabilisce che il trattamento di dati personali da parte di enti pubblici e società a controllo pubblico sia “anche” consentito in quanto “necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri”.

A parte la circostanza che la norma usa termini diversi rispetto al GDPR (“pubblico interesse”, anziché “interesse pubblico”), la conseguenza è che, in buona sostanza, i dati personali potranno essere trattati se sia necessario per un compito di interesse pubblico, rispettando quanto previsto dal GDPR e dal Codice della Privacy.

I grossi cambiamenti sono però legati alle ipotesi di comunicazione e soprattutto di diffusione di dati personali.

Comunicazione e diffusione di dati personali (comuni) continuano ad essere possibili anche in assenza di una specifica norma

L’articolo 2-ter del Codice della Privacy prevedeva che le comunicazioni di dati personali potessero essere effettuate solo in presenza di una norma di legge (o nei casi previsti dalla legge, di regolamento) e in assenza di essa era necessario effettuare una comunicazione al Garante, dopo di che maturava un silenzio-assenso, decorsi 45 giorni.

La diffusione di dati personali, come la pubblicazione di un atto sul sito istituzionale, era invece possibile solo in presenza di una norma di legge oppure di un regolamento nei casi previsti dalla legge.

L’articolo 2-ter, nella sua attuale revisione, invece, consente sia la comunicazione che soprattutto la diffusione, se prevista da norma di legge o regolamento, ma anche se individuata da un atto amministrativo generale, o anche solo “se necessaria ai sensi del comma 1-bis”, e dunque se sia necessaria per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri.

Per quanto riguarda la diffusione, la norma prevede che “in tale ultimo caso, ne viene data notizia al Garante almeno dieci giorni prima dell’inizio della comunicazione o diffusione”.

In pratica, si potranno effettuare comunicazioni o diffusione di dati personali sia dotandosi preventivamente di un “atto amministrativo generale”, che individui le singole ipotesi, sia invece laddove sia semplicemente necessario per compiti di interesse pubblico (ma in quest’ultimo caso occorre appunto effettuare una comunicazione al Garante e attendere il decorso di 10 giorni).

Questo scardina chiaramente l’attuale sistema, e rende di fatto imprevedibili le ipotesi di comunicazione e diffusione di dati personali.

E la legge di conversione addirittura amplia le possibilità di comunicazione e diffusione in assenza di una norma di legge, pur dimenticandosi peraltro di coordinare questa modifica con l’art. 7-bis del D.lgs 33/2013, il cosiddetto Decreto trasparenza, il quale continua a prevedere, quale condizione per la diffusione di dati personali, l’esistenza di una norma di legge.

Rischiamo una vera e propria balcanizzazione delle pubblicazioni online, in cui ogni ente pubblico (o società partecipata) decide in autonomia, comunicando o diffondendo dati personali.

Questo è un punto davvero problematico, che rischia di portare a diffusioni indiscriminate (e illecite) di dati personali, qualora delle amministrazioni ritengano che la pubblicazione in albo online (o peggio ancora in amministrazione trasparente), pur non prevista da legge, sia comunque necessaria. E l’obbligo di previa comunicazione al Garante sembra applicarsi ai soli casi in cui l’obbligo non sia previsto da atti amministrativi generali.

Rischiamo una vera e propria balcanizzazione delle pubblicazioni online, in cui ogni ente pubblico (o società partecipata) decide in autonomia, comunicando o diffondendo dati personali. E l’esperienza insegna che sia pressoché impossibile rimuovere dei dati dalla rete, una volta che vengano diffusi, come è stato segnalato anche da Stefano Quintarelli in sede di audizione informale alla Commissione Giustizia del Senato.

Gli “atti amministrativi generali” vengono infine individuati anche come presupposto per i trattamenti effettuati per fini di sicurezza nazionale e difesa, previsti dall’art. 58 del Codice della Privacy, e per quelli effettuati per finalità di prevenzione e repressione dei reati, ai sensi del D.lgs 51/2018.

I trattamenti di dati particolari saranno possibili se previsti da atti amministrativi generali, anche in assenza di una norma di legge

La legge di conversione introduce un’altra rilevantissima modifica.

In precedenza, infatti, i dati particolari (dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale) potevano essere trattati, per motivi di interesse pubblico rilevante, soltanto nei casi previsti da una norma di legge (o, nei casi previsti dalla legge, di regolamento).

Anche qui si opera un significativo ampliamento: non sarà più necessaria una legge, ma sarà sufficiente un "atto amministrativo generale", ancora una volta rischiando di introdurre differenze (anche profonde) nei trattamenti da ente a ente (magari in presenza di situazioni analoghe).

Anche qui si opera un significativo ampliamento: non sarà più necessaria una legge, ma sarà sufficiente un “atto amministrativo generale”, ancora una volta rischiando di introdurre differenze (anche profonde) nei trattamenti da ente a ente (magari in presenza di situazioni analoghe).

Per fortuna, viene mantenuta la necessità (anche perché altrimenti si sarebbe incorsi in una marcata violazione dell’art. 9 del GDPR) che l’atto amministrativo generale (come anche la legge) debba specificare in dettaglio i trattamenti, e individuare le misure “appropriate e specifiche” per tutelare i diritti fondamentali e gli interessi.

Non viene però modificato l’art. 2 septies, comma 8, e quindi continua ad essere tassativamente vietata la diffusione dei dati relativi alla salute, genetici e biometrici (e quindi evitiamo che quale ente creativo decida, con “atto amministrativo generale” di diffondere una lista magari anche geolocalizzata dei soggetti positivi al COVID…).

Confermata (e estesa) la riduzione dei poteri del Garante

Si conferma, anche nella legge di conversione, l’abrogazione dell’articolo 2-quinquiesdecies (e le corrispondenti norme transitorie del D.lgs 101/2018), che prevedeva come il Garante potesse prescrivere misure e accorgimenti, obbligatori per il titolare, a garanzia dell’interessato, con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati ai sensi dell’articolo 35 del GPDR, sulla base di quanto disposto dall’articolo 36, paragrafo 5, del GDPR e con provvedimenti di carattere generale adottati d’ufficio.

Il Garante perde definitivamente alcuni dei suoi poteri, e in particolare la possibilità (importante) di emanare provvedimenti generali, che avrebbero potuto indirizzare i titolari nei trattamenti ad alto rischio, svolti per compiti di interesse pubblico.

Il Garante perde definitivamente alcuni dei suoi poteri, e in particolare la possibilità (importante) di emanare provvedimenti generali, che avrebbero potuto indirizzare i titolari nei trattamenti ad alto rischio, svolti per compiti di interesse pubblico

Vengono fortemente circoscritti anche i casi in cui il Garante sia chiamato a emettere pareri su proposte legislative o regolamentari (pareri che peraltro non sono mai stati vincolanti, o condizionanti la validità degli atti normativi stessi): si prevede infatti che il parere debba essere richiesto soltanto laddove le norme disciplinino espressamente le modalità del trattamento, o nei casi in cui autorizzino il trattamento di dati da parte di soggetti privati, senza che ci sia un rinvio a una fonte sottordinata (come un regolamento), per la disciplina delle modalità del trattamento stesso. Il parere può essere posticipato alla fase dell’esame parlamentare, quando il Presidente del Consiglio dichiari che vi siano ragioni d’urgenza che non consentono la consultazione preventiva, “e comunque nei casi di adozione di decreti legge”.

I pareri con riguardo a misure relative al PNRR devono poi essere resi nel termine non prorogabile di trenta giorni, decorsi i quali si può procedere.

In questo quadro di evidente depotenziamento, c’è però il contentino dell’aumento del ruolo organico del Garante, stabilito nel limite di duecento unità a decorrere dal primo gennaio 2022.

Salve le misure di sicurezza per la conservazione dei dati di traffico telefonico e telematico

Nel DL Capienze si prevedeva l’eliminazione della norma che prevedeva come il trattamento dei dati di traffico telefonico e telematico ai sensi dell’art. 132 Codice privacy (per finalità di prevenzione e repressione dei reati) venisse effettuato nel rispetto delle misure e degli accorgimenti a garanzia dell’interessato prescritti dal Garante, volti ad assicurare la qualità, sicurezza e protezione dei dati in rete, e a indicare le modalità tecniche per la periodica distruzione dei dati, decorso il periodo di conservazione.

Il legislatore, per fortuna, ha evitato questi rischi, salvando in sede di conversione l'esistenza delle misure di garanzia, e prevedendo che vengano adottate dal Garante con un provvedimento di carattere generale.

In conseguenza di questa eliminazione, sarebbero stati i provider, in autonomia, a decidere quali misure di sicurezza adottare, con evidentissimi rischi, dato che i tabulati telefonici e telematici sono assai utilizzati nei processi penali, e la stessa Corte europea di Giustizia ha più volte sottolineato che la conservazione dei dati di traffico sia un trattamento particolarmente rischioso.

Chi vi scrive, in sede di audizione informale alla Commissione Giustizia del Senato, in rappresentanze del Centro Hermes per la trasparenza e i diritti umani digitali, aveva sottolineato le forti criticità di questa (inspiegabile) abrogazione.

Il legislatore, per fortuna, ha evitato questi rischi, salvando in sede di conversione l’esistenza delle misure di garanzia, e prevedendo che vengano adottate dal Garante con un provvedimento di carattere generale.

I nuovi compiti del Garante in tema di revenge porn e gli obblighi delle piattaforme digitali e dei fornitori di servizi di condivisione di contenuti audiovisivi

Il DL, come abbiamo visto nel primo commento, disciplina un nuovo istituto, questa volta ampliativo dei compiti del Garante.

Viene infatti introdotto l’articolo 144-bis del Codice della Privacy che dispone – sulla falsariga di quanto già previsto per il cyberbullismo, dalla Legge 71/2017- la possibilità per chiunque (compresi i minori ultraquattordicenni o i soggetti esercenti la responsabilità genitoriale) di richiedere l’intervento del Garante, mediante segnalazione o reclamo, quando si abbia fondato motivo di ritenere che vengano poste in essere condotte di revenge porn. Il Garante deve provvedere entro quarantotto ore.

Nella legge di conversione si è previsto che la diffusione debba avvenire su "piattaforme digitali" (che non vengono specificamente definite), le quali hanno l'obbligo di conservare per dodici mesi i materiali oggetto della segnalazione, ai fini probatori.

Nella legge di conversione si è previsto che la diffusione debba avvenire su “piattaforme digitali” (che non vengono specificamente definite), le quali hanno l’obbligo di conservare per dodici mesi i materiali oggetto della segnalazione, ai fini probatori.

È stato poi introdotto uno specifico obbligo a carico dei “fornitori di servizi di condivisione di contenuti audiovisivi, ovunque stabiliti, che erogano servizi accessibili in Italia”.

I fornitori di tali servizi (anche se la norma non ne dà una definizione specifica) dovranno indicare al Garante o pubblicare sul loro sito un recapito a cui possono essere comunicati i provvedimenti relativi al revenge porn. Quest’obbligo (pesantemente sanzionato, in quanto viene richiamata la sanzione prevista dall’art. 83, paragrafo 4 del GDPR, vale a dire fino a dieci milioni di euro o al 2 per cento del fatturato consolidato di gruppo), in fase di prima attuazione, deve essere adempiuto entro sei mesi dall’entrata in vigore della legge di conversione.

La moratoria per i sistemi di videosorveglianza con sistemi di riconoscimento facciale

I sistemi di videosorveglianza in area pubblica, se abbinati alla ricognizione facciale mediante tecniche biometriche, presentano rischi enormi per i diritti e le libertà fondamentali, come sottolineato anche nella campagna Reclaim your face, organizzata da svariate associazione, tra cui l’Associazione Hermes.

Anche il Parlamento europeo, nel contesto di una risoluzione sull’intelligenza artificiale nel diritto penale e il suo utilizzo da parte delle autorità di polizia e giudiziarie in ambito penale, approvata il 6 ottobre 2021, ha chiesto un divieto permanente dell’utilizzo dei sistemi di analisi e/o riconoscimento automatici negli spazi pubblici di altre caratteristiche umane quali l’andatura, le impronte digitali, il DNA, la voce e altri segnali biometrici e comportamentali, e una moratoria sulla diffusione dei sistemi di riconoscimento facciale per le attività di contrasto con funzione di identificazione, salvo circoscritte eccezioni.

In Italia, era stato presentato dal Senatore Filippo Sensi una proposta di moratoria, che è stata fatta confluire nella legge di conversione del DL capienze.

La moratoria prevede la sospensione dell'installazione e utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale attraverso dati biometrici, in luogo pubblico o aperto al pubblico, fino a che non vi sarà un'espressa disciplina, e non oltre il 31 dicembre 2023, e riguarda sia i soggetti pubblici che i privati.

La moratoria prevede la sospensione dell’installazione e utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale attraverso dati biometrici, in luogo pubblico o aperto al pubblico, fino a che non vi sarà un’espressa disciplina, e non oltre il 31 dicembre 2023, e riguarda sia i soggetti pubblici che i privati.

C’è però un’eccezione: infatti questi trattamenti possono essere comunque effettuati per finalità di prevenzione e repressione dei reati, previo parere favorevole del Garante. Il parere non è necessario se i trattamenti sono effettuati dall’autorità giudiziaria, o dal pubblico ministero.

Questa moratoria, anche se animata da ottimi propositi, e utile a alimentare il dibattito pubblico sui rischi della sorveglianza di massa, sulle possibili discriminazioni e limitazioni dei diritti fondamentali, rischia, attraverso questa eccezione, di provocare paradossalmente l’effetto opposto: occorre quindi prestare la massima attenzione all’utilizzo di queste tecnologie, anche da parte dell’autorità giudiziaria.

Conclusioni: qualche luce e molte ombre

Questa rilevante riforma del Codice della Privacy, che è stata per di più ampliata in sede di conversione, dovrà essere messa alla prova nelle sue implicazioni pratiche.

Iniziamo dalle note positive: il mantenimento delle salvaguardie per la conservazione dei tabulati telefonici e telematici è certamente importante, come è rilevante che sia esplicitata una moratoria sui sistemi di videosorveglianza dotati di ricognizione facciale, ed anche l’introduzione di uno strumento (in teoria snello e veloce) per contrastare condotte di revenge porn, anche in assenza di un procedimento penale, è un passo avanti nella tutela dei diritti.

Ma la “liberalizzazione” dei trattamenti dei dati personali per compiti di interesse pubblico, per i quali basta un atto amministrativo generale, o anche solo la sua necessità per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri, in assenza di qualsiasi norma specifica, rischia di introdurre enormi margini di incertezza.

Il fatto che ogni ente pubblico (o società partecipata) possa decidere in sostanziale autonomia quali dati trattare, a chi comunicarli, e soprattutto se diffonderli o meno, potrebbe portare a discipline differenziate, con effetti non del tutto prevedibili.

La circostanza che i dati personali dei cittadini siano soggetti a regimi differenziati a seconda dell’ente (territoriale o non territoriale) che li tratta provocherà ulteriore confusione, e soprattutto serissimi rischi per i diritti e le libertà fondamentali.

Non possiamo mai sottovalutare infatti le conseguenze di una diffusione illecita di dati personali, magari riguardanti decine di migliaia di cittadini, conseguenze che possono essere irrimediabili, anche quando i dati possano sembrare irrilevanti.

Questi dati, interconnessi con altri, possono ad esempio far scoprire i nostri movimenti, o la nostra capacità reddituale, oppure far inferire dati sulla nostra salute. E, una volta che sono diffusi, non sapremo mai se, come e da chi possano essere utilizzati.

In conclusione, dobbiamo porci una domanda: è davvero sostenibile rischiare di sacrificare i diritti dei cittadini, e di incidere sulle loro libertà fondamentali, per la “sburocratizzazione” dei trattamenti per compiti di interesse pubblico?

