NEWS

Il potere autoritativo nel trattamento dei dati personali

Con la novella legislativa decreto legge 8 ottobre 2021, n. 139, il Governo sembra aver introdotto una nuova forma di "potere autoritativo" all'interno della disciplina sul trattamento dei dati personali.

il Governo sembra aver introdotto una nuova forma di "potere autoritativo" all'interno della disciplina sul trattamento dei dati personali.

Invero, all'art. 9 del D.L. citato, ex multis, viene espressamente previsto che al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) All'articolo 2-ter: 1) dopo il comma 1 è inserito il seguente:

"1-bis. Il trattamento dei dati personali da parte di un'amministrazione pubblica di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, ivi comprese le Autorità indipendenti e le amministrazioni inserite nell'elenco di cui all'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, nonché da parte di una società a controllo pubblico statale di cui all'articolo 16 del decreto legislativo 19 agosto 2016, n. 175, con esclusione per le società pubbliche dei trattamenti correlati ad attività svolte in regime di libero mercato, e' sempre consentito se necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri a essa attribuiti. La finalità del trattamento, se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall'amministrazione, dalla società a controllo pubblico in coerenza al compito svolto o al potere esercitato, assicurando adeguata pubblicità all'identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano".

Mettendo da parte la questione sulla modifica dei poteri attribuiti all'Autorità Garante, già oggetto di molti e recenti contributi, si percepisce che - accanto al principio notoriamente riconosciuto secondo cui la Pubblica Amministrazione, quivi intesa in senso lato (abbracciando anche le società a partecipazione pubblica), agisce secondo espressa previsione di legge (c.d. "principio di legalità") - si affaccia una nuova "procedimentalizzazione" amministrativa in merito alla determinazione della finalità adottata dalla Pubblica Amministrazione in seno al trattamento dei dati personali.

Il principio di legalità era stato sinora saggiamente adottato dall'Autorità Garante (cfr. da ultimo Ordinanza di ingiunzione nei confronti di Ministero dello Sviluppo Economico 11 febbraio 2021 [9556625]) secondo cui per poter individuare la base giuridica per il trattamento dei dati personali («nei casi previsti dalla legge») [, un'] interpretazione letterale di tale inciso consente di rilevare come il legislatore non abbia in alcun modo circoscritto neanche il riferimento alla previa individuazione del trattamento di dati personali in una norma di rango primario. […] In altri termini, affinché una norma di regolamento possa costituire idonea base giuridica, deve ritenersi sufficiente che la legge individui anche solo indirettamente – e dunque per il tramite di norme attuative delle quali disponga l'adozione – il trattamento di dati personali, avendo la fonte primaria solo il ruolo di fonte di legittimazione dell'esercizio del potere normativo da parte dell'amministrazione».

Tuttavia, il GDPR prevede che il trattamento dei dati personali effettuato da soggetti pubblici è lecito se necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e).

Il considerando n. 41 del RGPD indica che laddove il predetto regolamento europeo «faccia riferimento a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l'adozione di un atto legislativo da parte di un parlamento, fatte salve le prescrizioni dell'ordinamento costituzionale dello Stato membro interessato.

[L'importante è che] tale base giuridica o misura legislativa [sia] chiara e precisa, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità della giurisprudenza della Corte di giustizia dell'Unione europea (la «Corte di giustizia») e della Corte europea dei diritti dell'uomo».

Il considerando n. 41 non va quindi interpretato in maniera isolata e decontestualizzata, come sembrerebbe fare l'Amministrazione ingiunta, ma in maniera sistematica e in combinato disposto con le altre disposizioni vigenti applicabili al caso di specie quali l'art. 6, par. 2, del RGPD e l'art. 2-ter, commi 1 e 3, del Codice.

In tale quadro e in quella sede (cfr. provvedimento citato), la base normativa richiamata dal Ministero dello Sviluppo Economico per giustificare la diffusione dei dati personali oggetto di contestazione e contenuta nel Decreto Direttoriale del XX non costituiva un idoneo presupposto normativo per la diffusione di dati personali, ai sensi dell'art. 2-ter, commi 1 e 3, del Codice.

(Nella foto: l'Avv. Valentino Vescio di Martirano)

Ciò in quanto, adottando un criterio sostanziale, la natura del decreto direttoriale citato appare riconducibile più alla categoria dell'"atto amministrativo generale" (che a quella del "regolamento", inteso come atto normativo a contenuto generale e astratto).

Infatti, il regolamento ha capacità innovativa mentre l'atto amministrativo generale è esercizio di una mera potestà autoritativa della P.A. in grado di identificare i destinatari dell'atto successivamente (per un approfondimento, Giovanni Cocozza, Riflessioni sul controllo giurisdizionale nei confronti dei regolamenti e degli atti amministrativi generali, federalismi.it, 27 novembre 2017).

Orbene, fatta questa dovuta premessa del panorama precedente all'innesto normativo in commento, con il nuovo comma 1-bis dell'art. 2-ter del Codice sembra che ciascuna amministrazione, autoritativamente, possa imprimere la proprie "idea" di base giuridica ancorché non prevista espressamente da una legge o da un regolamento.

Sicché, ora, si apre un nuovo scenario.

A ben vedere, però, l'art. 9 sottolinea che è la finalità a poter essere decisa in autonomia, senza fare espressa menzione di una specifica previsione normativa, e non la "base giuridica" stessa.

Tuttavia, come noto, la finalità si determina in base, appunto, alla base giuridica che in questa sede sembra avere i connotati di una base giuridica "in bianco", in grado di essere dilatata in base alle esigenze proprie di ciascuna amministrazione, dal che conseguirebbe il potere autoritativo dell'amministrazione.

All'uopo giova osservare che presupposto per superare la normale base giuridica del trattamento del "consenso dell'interessato" è che la base giuridica prevista dall'articolo 6, paragrafo 3, lettera b), del GDPR sia costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, comma 1, del Codice Privacy).

Superato il perimetro normativo, allora, dovrebbe rivivere il diritto dell'interessato a manifestare il suo consenso al trattamento dei dati personali da parte dei soggetti pubblici (art. 6, par. 1, lett. c ed e; considerando n. 43, del GDPR; art. 2-ter, comma 1, del Codice, nonché previgente art. 18, del Codice Privacy).

Mentre, ora, tale passaggio verrebbe pretermesso a piè pari da un'autonoma valutazione del Titolare del Trattamento nella veste soggettiva di Pubblica Amministrazione.

Insomma, la Pubblica Amministrazione, all'infuori di uno specifico dettato normativo, si atteggerebbe non più a soggetto di pari rango nella normale interlocuzione con il soggetto interessato (art. 1, comma 1-bis, Legge 241/1990) ma ad una entità che autoritariamente imprime una sua finalità al trattamento dei dati senza una precisa base giuridica.

Legato a tale circostanza vi sarebbe anche il tema della giurisdizione.

Se infatti, sinora, nessuno ha mai dubitato sulla posizione dell'interessato come prevalentemente di diritto soggettivo (Cass. civ. Sez. Unite, 14/04/2011, n. 8487; Consiglio di Stato sez. VI, 22/06/2020, n.3980), da oggi si potrebbe sostenere che la posizione in parola potrebbe creare un certo "affievolimento" sull'effettività di tutela dell'interessato medesimo, scoprendo il fianco ad un conflitto giurisdizionale, posto che alla determinazione della finalità l'interessato non avrebbe piena ed effettiva tutela giurisdizionale avanti al giudice ordinario.

di Valentino Vescio di Martirano (Fonte: Il Sole 24 Ore)

Note Autore

Valentino Vescio di Martirano Valentino Vescio di Martirano

Avvocato, Data protection expert. General Counsel Compliance & Privacy-M&A- ICT & Cybersecurity

Prev Green Pass nei luoghi di lavoro, importante disporre di un piano organizzativo
Next Il Dpo deve condurre le proprie indagini nel rispetto del principio di minimizzazione

Privacy Day Forum 2023: il trailer della giornata

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy