Nel Decreto Capienza in vigore dal 9 ottobre 2021 si legge che:
“Il trattamento dei dati personali da parte di un’amministrazione pubblica (…) è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti.
La finalità del trattamento, se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall’amministrazione, dalla società a controllo pubblico o dall’organismo di diritto pubblico in coerenza al compito svolto o al potere esercitato”.
Oltre a rafforzare la spinta all’uso del Green Pass, questo decreto scavalca dunque il Garante della Privacy, che non potrà più svolgere controlli preventivi e al quale vengono concessi solo 30 giorni per dare pareri preventivi.
Oltre a ciò, il decreto apre la strada all’uso incrociato da parte della PA di diverse banche dati, utilissimo per la lotta all’evasione fiscale.
DECRETO CAPIENZA ESAGERATO?
In un comunicato, Palazzo Chigi ha spiegato che queste misure sono “in coerenza con il quadro europeo” e che consistono in “alcune semplificazioni alla disciplina prevista dal decreto legislativo 196/2003 del trattamento dei dati con finalità di interesse pubblico”.
Modifiche in materia di privacy sono contemplate dal GDPR (Regolamento UE 2016/679), che all’art. 6.3 indica che agli stati è concesso di fissare regole proprie sui trattamenti, quando questi sono necessari ad adempiere a obblighi legali, svolgere compiti di interesse pubblico o l’esercizio di pubblici poteri.
Il Regolamento impone però dei limiti: le modifiche devono perseguire un obiettivo di interesse pubblico e devono essere ad esso proporzionate.
COSA È CAMBIATO
Sebbene la situazione precedente fosse restrittiva e impedisse una costruttiva circolazione dei dati tra le pubbliche amministrazioni, il Decreto Capienza sembra andare all’estremo opposto.
L’avv. Luca Bolognini, Presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati, spiega così la situazione:
«Ora sembra essere stato introdotto un “liberi tutti” per le comunicazioni di dati personali comuni tra soggetti pubblici e per la loro diffusione all’esterno, nei limiti dell’adempimento di compiti di pubblico interesse o dell’esercizio di pubblici poteri.
Prima, cioè, per legittimare la comunicazione o la diffusione di dati personali comuni, non sensibili o giudiziari, da parte di soggetti pubblici (e assimilati) serviva una norma di legge o di regolamento previsto da legge, o in alternativa un’istanza al Garante con 45 giorni di tempo per ottenere un rigetto o per maturare il silenzio-assenso. In questo istante, post Decreto Capienze, no. Per capirci, potremmo perfino tornare alla pubblicazione sul web dei redditi degli italiani, a certe condizioni.»
Anche casi come quelli dell’App Io o del Green Pass, per le quali il Garante ha chiesto correzioni a favore di una maggiore tutela dei dati personali, oggi non sarebbero più possibili.
Il decreto abroga poi anche il comma 5 dell’art. 132 Codice Privacy, che prevedeva che il trattamento e la conservazione di dati personali derivanti dai tabulati telefonici, raccolti per l’accertamento e la repressione di reati, fosse svolto nel rispetto delle tutele indicate dal Garante Privacy.
I contenuti del decreto preoccupano molti esperti della privacy. L’avv. Luca Bolognini ritiene opportuno fare delle correzioni con la conversione in legge per permettere la comunicazione di dati tra soggetti pubblici senza l’autorizzazione del Garante e o ulteriori basi normative di legge o di regolamento solo in casi specifici e critici per il PNRR.
Vuoi rendere il tuo studio o la tua azienda in regola con il GDPR? Scopri la i servizi Privacy di Servicematica.
——–
LEGGI ANCHE:
GDPR e trattamento dati personali: privacy by default e privacy by design
Riforma fiscale 2021: tutte le novità
