Dati personali, atti amministrativi generali e la novella del 2021

Gli atti amministrativi generali assumibili dalle autorità competenti per i trattamenti di dati personali attinenti alle attività di accertamento e prevenzione di reati o di salvaguardia della pubblica sicurezza.  

Molte sono state le perplessità emerse a seguito della riforma del Codice nazionale sul trattamento dei dati personali introdotta dalla L. n. 205 in vigore dall’8 dicembre 2021 che, come noto, con integrazioni e modifiche, ha operato la conversione del DL n. 139/2021 (al tempo pubblicato in assenza del preventivo vaglio del Garante nazionale nonostante il significativo impatto che lo stesso ha comportato rispetto ai diritti e alle libertà fondamentali degli interessati di cui innumerevoli possibili conseguenti trattamenti di dati personali).

Una conversione in legge che, piuttosto inaspettatamente, ha pure riguardato la normativa nazionale di recepimento della direttiva UE 2016/680, meglio nota (ancorché non appropriatamente) come “Direttiva di Polizia” (o, in acronimo, DPDPG): ossia il Dlgs n. 51/2018.

Infatti, nel silenzio degli organi centrali, in assenza di coerenti indicazioni rinvenibili nei lavori parlamentari, nonché omessa ogni considerazione rispetto alle segnalazioni di disponibilità a fornire indicazioni pervenute dall’autorità di controllo, il Parlamento ha apportato graficamente piccole ma  significative modifiche al Dlgs di recepimento n. 51/2018, colà lasciando di nuovo all’interprete (DPO o RPD delle autorità competenti italiane) il compito di tentare di tratteggiarne un quadro applicativo per quanto possibile coerente rispetto alla normativa euro-unitaria.

Ciò che ha colto maggiormente di sorpresa gli studiosi della materia è stato l’operato allargamento  della base giuridica normativa del trattamento dei dati personali anche avuto riguardo l’ambito oggettivo e soggettivo di applicazione del citato Dlgs n. 51/2018.

Il trattamento è oggi lecito, prevede il nuovo articolo 5 del citato Decreto, «se è necessario per l’esecuzione di un compito di un’autorità competente per le finalità di cui all’articolo 1, comma 2 [id est: accertamento, indagine, prevenzione e tutela della pubblica sicurezza], e si basa sul diritto dell’Unione europea o su disposizioni di legge o di Regolamento o [ecco la novità] su atti amministrativi generali che individuano i dati personali e le finalità del trattamento».

E autorità competente per l’attuazione delle finalità di prevenzione, indagine, accertamento e perseguimento dei reati (ad esempio stradali), ovvero per la tutela della sicurezza pubblica, può essere considerato ognuno dei circa ottomila comuni esistenti in Italia.

La Corte di Giustizia UE, il c.d. WP ex art. 29 di cui alla abrogata Direttiva UE 1995/46 e le autorità Garanti degli stati membri, hanno da tempo fornito indicazioni univoche circa il fatto che anche le amministrazioni comunali, al pari di molte altre autorità che non esercitano prioritariamente funzioni di polizia, rispetto al trattamento di certi dati personali, ad esempio gestiti dalle polizie locali o da parte di altri servizi sociali o comunque essenziali per la cittadinanza, sarebbero da considerarsi autorità competenti tenute all’applicazione della citata DPDPG e, quindi, non solo della normativa in tema di trattamento dei dati personali che potremmo definire ordinario.

Attualmente, quindi, mediante l’assunzione di un provvedimento amministrativo generale, non  unanimemente qualificabile – assente ogni ponderazione su ciò che dovrebbe intendersi per base giuridica proveniente da una legge da intendersi in senso europeistico, salvo i limiti costituzionali previsti da ogni Stato dell’Unione –  le autorità competenti in materia di prevenzione, indagine ed accertamento di reati, ovvero preposte alla salvaguardia della sicurezza pubblica, potrebbero crearsi la propria base giuridica normativa non solo per un qualsiasi trattamento ordinario di dati personali, bensì anche rispetto ai ridette più delicati trattamenti e finalità.

Sicché, qualche amministratore, attraverso l’assunzione di atti amministrativi innovativi, potrebbe pensare addirittura di utilizzare il riconoscimento facciale mediante dispositivi di video-audio ripresa che, sebbene già messi “al bando” sino a fine dicembre 2023, esigenze particolari, quali appunto quelle di indagine o accertamento di reati, sarebbero tranquillamente in grado di “riabilitare” previo ottenimento del parere del Garante (che, al momento, si potrebbe presumere, o auspicare,  dover essere sempre negativo, salvo imprevedibili eccezioni).

In effetti con l’art. 9, co. 9, 10 e 11, del citato D.L. n. 139/2021 convertito, è stato introdotto un divieto generale rivolto sia alle autorità pubbliche che ai soggetti privati di utilizzare, in luoghi pubblici o aperti al pubblico, impianti di videosorveglianza caratterizzati da «sistemi di riconoscimento facciale operanti attraverso l’uso dei dati».

Il nostro Legislatore, però, ha previsto un’importante eccezione resa operativa dal comma 12 dello stesso articolo: il divieto, difatti, non troverebbe applicazione proprio in relazione a quei trattamenti effettuati dalle autorità competenti a fini di prevenzione e repressione dei reati o di esecuzione di sanzioni penali di cui al DL n. 51/2018 in presenza di un parere favorevole del Garante ex art. 24, co. 1, lett. b) dello stesso Decreto, ossia rilasciato in c.d. fase di “consultazione preventiva” che la norma, del resto, già prevedeva, imponendone l’acquisizione, anche per il caso di trattamento di dati biometrici che, invero, le tecnologie di riconoscimento facciale da video-ripresa implicitamente coinvolgono (l’esito del riconoscimento facciale è, difatti, sempre un dato personale biometrico che, quindi, andrebbe ricondotto alle categorie particolari di dati personali ex art. 9 del GDPR e 7 ex Dlgs n. 51/2018).

Quest’ultimo prerequisito, tuttavia, non è necessario solo in caso di «trattamenti effettuati dall’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali nonché di quelle giudiziarie del pubblico ministero» ma anche rispetto ad altre circostanze. Autorità giudiziarie che, dunque, per determinati compiti, potranno impiegare i sistemi di riconoscimento facciale indipendentemente da una preventiva consultazione del Garante seguita da parere favorevole.

Ebbene, esposta in modo sintetico e parziale l’introdotta novella, qui tralasciando il criticabile utilizzo della decretazione d’urgenza massiva ed eterogena, nonché la discutibile tecnica redazionale da cui essa muove – e che pare ormai inesorabilmente caratterizzare lo stile del nostro Legislatore – sono (“forse”) i seguenti aspetti che le autorità competenti dovrebbero considerare bene prima di creare basi giuridiche normative su cui poggiare nuovi trattamenti di dati personali.

Occorre andare con ordine.

È noto che sensi dell’art. 36, paragrafo 4, del GDPR «gli Stati membri consultano l’autorità di controllo durante l’elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento» (consultazione che, tuttavia, per il D.L. n. 139/2021 non risulta essere intercorsa).

Alcuni sostengono al detto proposito che, essendo il decreto-legge un atto assunto dal Governo lo stesso non sarebbe incluso nella previsione del citato art. 36 paragrafo 4 del Regolamento generale anche se, in ultima analisi, pure il decreto-legge dovrebbe essere immediatamente sottoposto al parlamento in forma di proposta di legge finalizzata alla sua conversione.

E pure a voler dare peso a tale citata tesi (non proprio in linea con l’interpretazione estensiva da assicurassi agli interessati) la necessaria consultazione preventiva dell’Autorità garante è prevista anche dal Dlgs. n. 51/2018 all’art. 24, comma 2 ove la norma prevede che «il Garante è consultato nel corso dell’esame di un progetto di legge o di uno schema di decreto legislativo ovvero di uno schema di regolamento o decreto non avente carattere regolamentare, suscettibile di rilevare ai fini della garanzia del diritto alla protezione dei dati personali».

Al suddetto riguardo andrebbe anche, per scrupolo, considerata priva di fondamento la singolare tesi secondo cui il D.L. n. 139/2021 e la successiva legge di conversione dello stesso avrebbero abrogato implicitamente il Dlgs. n. 51/2018. Invero, il Dlgs 51/2018, costituisce (pedissequa) applicazione di una norma sovranazionale europea (ossia la citata Direttiva n. 680/2016) che, difatti, all’art. 28 prevede l’obbligo esplicito, ed ineliminabile, della consultazione preventiva dell’Autorità garante di controllo.

Perciò, il D.L. n. 139/2021 e la L. di conversione n. 205/2021 non essendo stati resi oggetto di consultazione preventiva del Garante, né ai sensi dell’art. 36, paragrafo 4 del GDPR, né ai sensi dell’art. 24, comma 2, del Dlgs. n. 51/2018, sarebbero in primo luogo da considerarsi potenzialmente incostituzionali se non altro ed almeno sotto i profili (di non scarsa importanza) appena sinteticamente illustrati.

Oltretutto, anche ove si volesse prescindere da tale primo aspetto, ci si dovrebbe interrogare a fondo circa la portata giuridica da attribuirsi alla locuzione «atto amministrativo generale» di cui alla principale innovazione apportata dalla novella in commento e che, come visto, ha impattato significativamente sulle prerogative delle autorità competenti.

V’è innanzitutto da evidenziare che ove si cercasse di qualificare tale locuzione («atto amministrativo generale») alla luce delle sole categorie giuridiche nazionali (ad esempio cimentandosi ad operare delle distinzioni accademiche tra atto generale o normativo, astrattezza e generalità, necessità o non necessità di motivazione, etc.) si potrebbe commettere un grave errore di valutazione.

Invero, così come ad esempio previsto rispettivamente dai considerando n. 41 del GDPR e n. 33 della DPDPG, per misura legislativa che individui una base giuridica di trattamento in materia di dati personali, non occorre un atto legislativo che provenga da un parlamento nazionale, bensì, più semplicemente, una qualsiasi misura assumibile da parte di qualunque autorità o istituzione a patto che sia sempre conoscibile e chiara nella propria prevedibile applicazione per le persone a cui la stessa dovrebbe riferirsi nella sua possibile portata normativa e, gioco-forza, regolamentare.

Orbene, in dichiarata applicazione del paragrafo 3, art. 6 del GDPR e, specularmente, del primo comma dell’art. 5 del Dlgs n. 51/2018, il Legislatore, con la novella in commento, ha perciò – più o meno consapevolmente – dato applicazione ad entrambe le disposizioni in parola nella parte in cui le stesse prevedono che il trattamento si debba basare o sul diritto euro unitario, ovvero su disposizione di legge nazionale o di regolamento che individuano i dati personali e le finalità del trattamento.

L’attuazione di tali prescrizioni, tuttavia, potrebbe ritenersi singolare poiché la L. n. 205/2021, in tale necessitato (se non unico) paradigma interpretativo, non può che costituire una sorta di delega legislativa generica operata a favore delle amministrazioni e autorità competenti le quali, attraverso gli atti amministrativi generali che le stesse assumerebbero in modo conoscibile e chiaro (e pertanto valevole ad assurgere il rango di misura legislativa per il diritto UE), l’attuerebbero nel caso concreto, ivi specificando esse le condizioni generali di trattamento, le tipologie di dati oggetto dello stesso, gli interessati, i soggetti cui potrebbero essere comunicati i dati e così via.

Acciocché, in definitiva, sarebbero gli atti amministrativi generali a rappresentare in concreto le (“delegate”) norme legittimanti il trattamento e, come tali, in quanto suscettibili di rilevare ai fini delle garanzie del diritto alla protezione dei dati personali, da doversi sottoporre preventivamente al vaglio del Garante sia, in taluni casi, ai sensi dell’art. 36 del GDPR, sia, in tal altri, ai sensi dell’art. 24 del Dlgs n. 51/2018.

Si potrebbe perciò concludere consigliando prudenza alle autorità competenti, nonché di guardarsi bene dall’innovare con disinvoltura, ovvero mediante la creazione di nuove basi giuridiche di trattamento di dati personali prescindendo dal vaglio preventivo del Garante nazionale.

(Lorenzo TAMOS)