La base giuridica dell’interesse pubblico o connesso all’esercizio di poteri pubblici è diventata nei suoi risvolti operativi, una tematica fonte di non pochi rischi per gli interessati. A fronte delle modifiche legislative introdotte dal Decreto Capienze, il pericolo è quanto mai concreto sul piano applicativo e realizza contrasti più o meno evidenti con i principi fondamentali del GDPR.
La scelta del legislatore italiano di specificare che il trattamento di dati personali svolto da un’amministrazione pubblica o da una società a controllo pubblico “è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti” (così, il novellato art. 2-ter comma 1-bis d.lgs. 196/03) può sembrare ridondante in quanto ribadisce quanto già specificato all’interno del GDPR. Insomma: il criterio di necessità deve essere un filtro e sul piano attuativo si deve concretare in un passaggio da affrontare sin dalla fase di progettazione delle modalità di trattamento. Eppure, quel sempre consentito sembra ammiccare a chi riduce la valutazione di necessità ad una mera formula di stile in cui si valuta come necessario ciò che viene fatto e non viene fatto ciò che è valutato come necessario.
Il cuore del problema però si ha nel momento in cui la finalità del trattamento non è più soggetta ad una stretta riserva di legge, ma è previsto che “se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall’amministrazione, dalla società a controllo pubblico in coerenza al compito svolto o al potere esercitato”. Non rassicura l’indicazione per cui debba essere assicurata “adeguata pubblicità all’identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano” in quanto sono adempimenti già dovuti in forza del GDPR, mentre quanto è stabilito dalla novella è una deroga. E in quanto deroga avrebbe dovuto prevedere più particolari e dettagliate tutele per garantire quell’equilibrio con la protezione dei diritti e delle libertà dell’interessato.
Alcuni esempi. Inserire un esplicito rafforzamento dell’applicazione (e in forza dell’art. 24 GDPR di un’adeguata dimostrabilità) del principio di proporzionalità. Richiamare e declinare i criteri indicati dall’art. 6.3 GDPR come parametro di controllo di liceità. Prevedere in ogni caso lo svolgimento di una valutazione d’impatto.
Spunti che purtroppo non sono stati colti con l’occasione, e che hanno lasciato alcuni margini di incertezza operativa collegati alle attività di trattamento svolte all’interno del settore pubblico. Le situazioni di incertezza generano dei rischi che vanno a ricadere prima di tutto sugli interessati.
