Decreto Capienze e privacy. Sarah Yacoubi: "Senza rigorosa regolamentazione si rischia pericolosa intrusione nei dati dei cittadini"

di SARAH YACOUBI*

 

"La privacy in Italia non sarà più la stessa con il decreto Capienze. Il provvedimento approvato dal governo e in via di pubblicazione in Gazzetta Ufficiale, cambierà di molto la privacy in Italia. Un intervento pesante: toglie potere al Garante Privacy, aumenta quello del governo e delle amministrazioni, riducendo le garanzie per i cittadini. In realtà, quello che viene definito semplificazione, rischia di svuotare la privacy. Il decreto  è intervenuto anche su aspetti di tutela dei dati personali andando a modificare il Codice della privacy e i poteri del Garante. Dal Fischio alla scuola fino ai contribuenti e per milioni di studenti la privacy non è affatto garantita. 

 

Quello che cambia, in sostanza, è che, da un lato, qualsiasi trattamento dei dati da parte di una Pubblica amministrazione – scuole quindi incluse – è permesso, anche se la finalità non è prevista dalla Legge, purché “nel pubblico interesse” e “in coerenza al compito svolto o al potere esercitato”, senza dover raccogliere il preventivo consenso da parte degli interessati (studenti e docenti) e, dall’altro lato, che il Garante non è più chiamato a svolgere verifiche preliminare nel caso di trattamenti "nel pubblico interesse” che presentano rischi elevati per la privacy degli interessati.

 

Ma è evidente che dall’inizio della pandemia governo e Garante privacy hanno sempre dovuto dialogare in modo serrato per trovare la quadratura giuridica che garantisse il giusto bilanciamento tra tutti gli interessi e diritti in gioco: quello alla salute, quello alla protezione dei dati, quello al lavoro, il tutto cercando di facilitare una gestione non eccessivamente gravosa per pubblico e privato.

Forse complice la difficile gestione di questo delicato equilibrio, il governo ha varato con l’ultimo decreto alcune misure che lasciano ampio spazio alla pubblica amministrazione nel trattamento dei dati personali dei cittadini per motivi di interesse pubblico e l’esercizio dei pubblici poteri. Da precisare però che tali cambiamenti non saranno limitati al momento d’emergenza pandemica ma saranno definitivi.

 

Con l’articolo 9 del decreto infatti si stabilisce che “il trattamento dei dati personali da parte di un’amministrazione pubblica  ivi comprese le Autorità indipendenti e le amministrazioni, nonché da parte di una società a controllo pubblico  o di un organismo di diritto pubblico, è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti. La finalità del trattamento, se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall’amministrazione, dalla società a controllo pubblico o dall’organismo di diritto pubblico in coerenza al compito svolto o al potere esercitato". Dunque libero accesso ai dati personali dei cittadini in nome dell'interesse pubblico. Per non parlare del Fisco.

 

La finestra di tempo concessa al Garante per esprimere un parere sulla regolarità delle ispezioni effettuate infatti è stata ridotta. La PA e le sue partecipate avranno un accesso agevolato ai dati personali dei cittadini qualora sia riconosciuta la finalità del pubblico interesse rispetto a quella del corretto trattamento dei dati stessi. Tuttavia oggi,  assistiamo ad uno sbilanciamento d’influenza non da poco che mira a colpire i poteri interdittivi del Garante. Poteri preventivi indeboliti già da tempo ma che, nel corso degli ultimi 10 anni, erano stati cruciali per esercitare delle misure di accertamento. Viene quindi da chiedersi: il Fisco è davvero in grado di mettere in atto una simile manovra o vi è una violazione delle norme esistenti rispetto alla sua area di competenza? Sappiamo che nel caso dei dati giudiziari il Fisco non ha bisogno del consenso dell’interessato. Ciò si verifica insomma quando si ha a che fare con:i provvedimenti penali di condanna definitivi; la liberazione condizionale; il divieto od obbligo di soggiorno; le misure alternative alla detenzione. L’acquisizione di questi dati da parte dell’Agenzia delle Entrate ovviamente è pur sempre limitata ai fini del procedimento di accertamento fiscale, ma non tutti sanno però che anche ai fini della funzione di verifica il Fisco non è obbligato a richiedere il consenso dell'interessato. Per tale ragione si giustifica un libero accesso, attraverso un’anagrafe tributaria, ai conti correnti, ai conti deposito, ai titoli e alle carte di credito dei cittadini Italiani. La libertà d’azione dell’ente quindi è giustificata dalla legge, ma non per questo una riflessione critica sul nuovo decreto ha minor ragion d’essere. 

 

Se non viene rigorosamente regolamentato l’accesso da parte delle pubbliche autorità e delle pubbliche amministrazioni ai dati personali dei cittadini, l’esercizio dei pubblici poteri per finalità di pubblico interesse assume inevitabilmente forme pervasive di intrusione nella vita privata e di sorveglianza.

L’attenzione del Governo sui temi di privacy è una notizia positiva, ma così la norma è troppo ampia e si rischia un effetto boomerang. È fondamentale in sede di conversione del Decreto definire meglio il perimetro di questi trattamenti, in coerenza con il Gdpr e con il ruolo del Garante.

 

*Privacy Consultant, Data Protection Officer