Privacy a rischio con il decreto Capienze: quale sarà l’impatto sul GDPR?

Pubblicato sulla Gazzetta Ufficiale numero 241 dell’8 ottobre 2021 il decreto Capienze introduce, tra i numerosi articoli presenti, anche delle sostanziali modifiche in materia di tutela dei dati personali con una serie di norme che depotenziano i poteri del Garante e aggiungono ampio potere al trattamento dei dati personali da parte della PA.

Per prima cosa è meglio chiarire due punti riguardanti il testo a seguire: non si tratta di una valutazione politica e nemmeno di una valutazione sulle soluzione adottate, dato che ci vorranno mesi per verificare l’effettivo impatto reale di queste modifiche. Chiariti questi punti è altrettanto importante mettere in evidenza come questa soluzione abbia virtualmente messo l’Italia in una situazione scomoda mettendo in allarme gli esperti in materia. Bisogna poi considerare che questa potrebbe diventare una situazione problematica a livello europeo dato che alcune delle soluzione adottate sono in contrasto con il GDPR.

Effettivamente cosa cambia in questo controverso decreto approvato dal Consiglio dei ministri? Il testo introduce alcune disposizioni in materia di privacy e protezione dei dati personali e gli elementi sotto accusa riguardano principalmente il trattamento dei dati da parte delle Pubbliche Amministrazioni e delle società a controllo pubblico. Secondo il testo il trattamento dei dati personali dei cittadini da parte di queste entità è consentito “se necessario per l’adempimento di un compito svolto nel pubblico interesse”. Questo è il passaggio chiave del testo ed è quello aspramente criticato dagli esperti di diritto della privacy che mettono in risalto il conflitto con la normativa europea secondo cui l’interesse pubblico deve essere definito da una norma di legge e il trattamento dei dati definito con atti legislativi.

La diatriba in questi giorni è stata feroce, da una parte gli esperti e la maggioranza di governo giustificano questa misura come fondamentale se si vuole completare il passaggio a una pubblica amministrazione interamente digitalizzata. Il testo viene infatti considerato come essenziale per poter creare nuovi servizi per i cittadini senza dover sottostare a particolari vincoli. Dall’altra parte i paladini della privacy sono fortemente contrari al fatto che la pubblica amministrazione possa trattare e comunicare dati anche senza una specifica norma di legge. Una soluzione che, oltre a limitare fortemente i poteri del Garante, viene definita come pericolosa perché troppo vaga e bollata da più parti come incostituzionale per l’aperta violazione del GDPR che a livello gerarchico è superiore alle norme nazionali.

Altro elemento criticato dell’impianto è quello relativo all’abrogazione del potere di controllo preventivo del Garante per i trattamenti dati con rischio elevato per i diritti e le libertà fondamentali. Situazione che, secondo gli esperti, non consentirà l’intervento sull’attività della pubblica amministrazione per calmierare e prescrivere misure a garanzia dei diritti dei cittadini nel caso di trattamenti dei dati di interesse pubblico come per esempio l’elaborazione automatizzata di particolari informazioni (ma da più voci si cita anche il trattamento di dati sanitari e biometrici). Come ultimo affondo il decreto abroga anche l’articolo che prevedeva che il trattamento e la conservazione dei dati personali relativi ai tabulati telefonici per finalità di accertamento venisse effettuato con gli accorgimenti prescritti dal Garante.

Le ultime norme del decreto in materia di privacy richiedono anche una velocizzazione nei pareri del Garante (limite massimo di 30 giorni) in merito ai progetti del PNRR (piano nazionale di ripresa e resilienza). Situazione difficile da gestire vista l’entità e la quantità dei progetti contemplati dal piano. Secondo le nuove norme, decorso il termine, il governo potrà comunque procedere se il parere non è stato consegnato nei tempi previsti. Unico elemento a dare più potere al Garante è il rafforzamento della competenza al fine di prevenire la diffusione di materiale multimediale (foto e video) sessualmente espliciti. L’opinione espressa da più parti, non senza polemiche, è che queste norme siano state attuate per ridurre pesantemente l’autorità indipendente del Garante in materia di protezione dei dati.

Ci sono numerose incognite in questa situazione a partire da come verrà gestita la completa digitalizzazione delle PA, quali misure di sicurezza verranno adottate per la protezione effettiva dei dati, visti i recenti casi di ransomware che hanno messo in crisi svariati obiettivi della pubblica amministrazione. Infine, quale sarà l’impatto di queste norme e come reagirà L’Europa della GDPR? Una situazione non particolarmente rosea che, alle difficoltà di gestione già presenti fra gli stati extra-europei che non adottano il regolamento, vede affiancarsi il testo del decreto italiano in contrasto con la normativa. Resta anche da valutare le pozioni che potranno adottare le aziende europee che collaborano con la nostra pubblica amministrazione. Non ci resta che attendere per scoprire quali saranno i futuri sviluppi con la speranza che tutto possa risolversi nel migliore dei modi.