di Antonio Ciccia Messina
P.a. con più responsabilità privacy. Se per i trattamenti di loro competenza non c’è una legge ad hoc, spetta a loro mettere nero su bianco come trattano dati.Insomma, la mancanza di una legge specifica descrittiva dei singoli trattamenti non blocca le amministrazioni, ma ci vuole pur sempre una precisa disciplina. Una disciplina che potrà essere data anche da atti amministrativi generali o dei singoli enti. Tradotto: tutte le amministrazioni devono darsi da fare e verificare tutti i loro trattamenti e le relative basi giuridiche. E devono avere regolamenti per i dati sensibili e particolari. Inoltre, tutte le p.a. devono fare una valutazione di impatto privacy nei casi di rischio rilevante per le persone.
Sono gli effetti degli emendamenti proposti dal relatore del ddl di conversione del decreto legge 139/2021, il cui articolo 9 modifica l’articolo 2-ter del Codice della privacy (d.lgs. 196/2003).
Il provvedimento, ora all’esame della commissione affari costituzionali del senato, è atteso in aula il 16 novembre 2021.L’articolo 9, tra l’altro, è quello che ha alimentato un animato dibattito, in relazione alla possibilità che possa ispirare condotte lassiste delle p.a. se svincolate da tassative norme di legge.
Peraltro, si deve constatare che le modifiche previste, comprese quelle dell’emendamento citato, sono un sostanziale ripristino delle norme del Codice della privacy vigenti dal 1996 al 2018.
D’altra parte sarebbe impraticabile avere una legge ad hoc per ogni trattamento effettuato da ciascuno dei numerosi enti pubblici italiani.La mediazione svolta dall’emendamento in esame comporta che l’interesse e il potere pubblico giustificano il trattamento, senza necessità di una legge per tutto.Ma questo non significa porte spalancate a trattamenti sotto controllo.Se alla base dei trattamenti di una p.a. non c’è una legge specifica, ci vuole, comunque, un regolamento o un atto amministrativo generale, oppure la necessità per il pubblico interesse e il pubblico potere.
Traducendo tutto ciò in concreto, le singole p.a. devono censire i trattamenti e, nel caso, in cui per gli stessi non vi sia una legge o regolamento o atto amministrativo generale, devono con propri atti precisare finalità e modalità dei trattamenti stessi.
Può essere che in molti casi questo implichi, per l’importanza della materia, l’adozione di atti regolamentari dei singoli enti.Tutto ciò deriva dal fatto che le p.a. sono tenute, a pena di sanzioni amministrative, a dimostrare la liceità e correttezza dei trattamenti (articolo 5 regolamento Ue sulla privacy 2016/679, Gdpr).
Pertanto, abbiamo, certo, il ripristino di un ampio spazio di manovra, ma con la contropartita della necessità di esatta disciplina di come si trattano i dati. Un ampio spazio di manovra c’è anche per le comunicazioni di dati tra p.a.: l’emendamento elimina la necessità di un avviso preventivo al Garante. Questa notizia, preventiva al Garante, viene, invece, introdotta per la diffusione di dati o comunicazioni a privati da parte delle p.a., se a monte manca una norma ad hoc: il Garante avrà 10 giorni per esaminare la notizia e dare prescrizioni.Anche per i dati sensibili e particolari (articolo 2-sexies del Codice della privacy) c’è un ripristino alla situazione anteriore al 2018: l’emendamento svincola anche qui dalla necessità di una legge specifica per ogni singolo trattamento, ma prevede che per questi dati ci voglia comunque un regolamento rafforzato (sostanzialmente negli stessi termini dell’articolo 22 del Codice della privacy abrogato nel 2018). Peraltro si tratta di una presa d’atto legislativa di una linea di lettura indicata dal Garante della privacy con una nota del 27/11/2018, in cui si metteva in evidenza che la formulazione originaria dell’articolo 2-sexies citato rischiava di irrigidire eccessivamente l’attività delle p.a. Occorre, quindi, che le p.a. tutte riprendano in mano i vecchi regolamenti sui dati sensibili, già adottati in base al citato articolo 22, e li aggiornino tenendo conto del Gdpr.Un emendamento riguarda i dati sanitari trattati dalle autorità sanitarie pubbliche: per tali dati, se privi di elementi identificativi diretti, si prevede un decreto del ministro della salute, previo parere del Garante.Altro fronte è quello dell’atto di valutazione di impatto privacy, che il Gdpr impone quando i trattamenti sono a rischio rilevante. L’emendamento conferma l’abrogazione del potere generalizzato del Garante di intervenire d’ufficio in qualunque materia con una autorizzazione (art. 2-quinquiesdecie del Codice), limitandolo solo ad alcune ipotesi specifiche.
Il senso dell’intervento è di nuovo un maggiore carico per le PA: per i trattamenti a rischio rilevante, devono applicare il Gdpr e fare sempre una valutazione di impatto, senza poter attendere una autorizzazione del Garante.
Fonte: