In nome della lotta all’evasione fiscale (e non solo) le PA potranno scambiarsi dati personali senza comunicazione preventiva al Garante.
Il d.l. 8 ottobre 2021, n. 139, c.d. Decreto Capienze, oltre ad introdurre l’obbligo del Green pass e a disporre l’allentamento delle restrizioni agli accessi per cinema, teatri e discoteche, porta con sé importanti novità in materia di privacy.
L’art. 9 del decreto in parola introduce alcune modifiche al Codice privacy (d.lgs. 196/2003, modificato dal d.lgs 101/18).
Tali modifiche riguardano l’art. 2-ter, al quale viene aggiunto il nuovo comma 1-bis in cui si stabilisce che: “Il trattamento di dati personali da parte di una amministrazione pubblica è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad essa attribuiti”. Dalla lettura del testo si evince che la PA avrà sempre la possibilità di effettuare trattamenti di dati personali laddove sussistano fini di interesse pubblico.
Ma non solo.
Il comma 1-bis prevede anche che, qualora non espressamente previsto da una norma di legge o di regolamento, la finalità del trattamento è indicata dalla amministrazione, dalla società a controllo pubblico o dall’organismo di diritto pubblico in coerenza al compito svolto o al potere esercitato.
Questo significa che, anche se la finalità del trattamento non è normativamente prevista, la PA potrà individuarla autonomamente attraverso un atto amministrativo ed effettuare, sulla base di tale atto, il conseguente trattamento dei dati personali degli Interessati. Sarà, tuttavia, obbligatorio per gli enti di cui sopra indicare esplicitamente, all’interno dei loro regolamenti o atti di organizzazione, la finalità dei trattamenti da essi effettuati.
Inoltre, l’art. 9, co. 1 lett. b) del decreto 139/21, abrogando l’art. 2-quinquiesdecies del Codice privacy, elimina la facoltà del Garante di intervenire con la prescrizione di misure e accorgimenti vincolanti in caso di trattamenti ad alto rischio e di sanzionare la PA in caso di violazione della norma.
Per capire la portata di queste scelte basta pensare al fatto che, in materia di Green pass, nel caso in cui il verificatore, designato dal Titolare del trattamento (PA) al controllo del regolare possesso della Certificazione verde da parte dei lavoratori, venga a conoscenza di dati personali comprendenti lo stato vaccinale del singolo lavoratore, il Garante può intervenire e bloccare tale illegittimo trattamento. Con l’introduzione delle modifiche previste all’art. 9 del Decreto Capienza, tale intervento a tutela dei diritti e delle libertà degli Interessati non sarà più possibile.
Inoltre, viene eliminato l’obbligo della comunicazione preventiva al Garante nel caso in cui le pubbliche amministrazioni intendano scambiarsi tra loro dati personali per finalità istituzionali (e il correlato obbligo di attendere 45 giorni per la approvazione da parte dell’Autorità prima di procedere alla scambio).
Infine, il Decreto prevede l’abrogazione dell’art. 132, co. 5 del Codice della privacy. Sarà, dunque, consentita la conservazione dei dati personali contenuti nei tabulati telematici-telefonici al fine di accertare e reprimere fattispecie criminose, senza la necessità che tale conservazione avvenga nel rispetto delle misure e degli accorgimenti prescritti dal Garante per la protezione dei dati personali a garanzia dei diritti e delle libertà degli Interessati.
Lo scopo dichiarato di tali interventi è l’agevolazione della lotta all’evasione fiscale, sicuramente un grosso problema. Tuttavia, non si può fare a meno di osservare che all’interno dell’anagrafe tributaria sono contenuti milioni di dati sensibili la cui utilità per la repressione dell’evasione è ancora tutta da dimostrare e il cui trattamento, tuttavia, sembra essere ora stata sdoganato tout court.