Ultime notizie
Se Stefano Rodotà tornasse in vita resterebbe senza parole……………
Anna Armone, Esperta in scienza dell'amministrazione scolastica
Con il decreto Capienze il legislatore ha messo in atto un’operazione gravissima di demolizione di uno dei baluardi più solidi a protezione dei dati del cittadino a fronte del trattamento dei suoi dati personali da parte di una Pubblica Amministrazione.
Il testo normativo modificato, di cui parliamo, è il Codice della Privacy, il d.lgs. 196/2003 come modificato e integrato dal d.lgs. 101/2018.
Per comprendere l’intervento riformatore davvero poco accorto, razionale e consapevole, dobbiamo ricostruire l’iter di adeguamento del Codice al Regolamento UE 689/2016.
Il d.lgs. 101/2018 è stato redatto nell’esercizio della delega conferita al Governo dagli articoli 1 e 13 della l. 163/2017 recante “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea” ed è stato finalizzato all’adeguamento del quadro normativo nazionale alle disposizioni del Regolamento UE. La maggior parte delle disposizioni del Codice è stata abrogata espressamente in quanto incompatibili con quelle contenute nel Regolamento che sono per la maggior parte immediatamente applicabili e che costituiscono il regime primario interno in materia di protezione dei dati personali. Un’altra parte del Codice è stata modificata in relazione a disposizioni del Regolamento non direttamente applicabili e che lasciavano spazio all’intervento del legislatore nazionale degli Stati membri.
L’articolo modificato dal d.lgs. 101/2018 che ci interessa in relazione al decreto Capienze è l’art. 2-ter il quale stabilisce che per quanto riguarda i trattamenti effettuati per “l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri” la base giuridica per i trattamenti aventi ad oggetto dati personali “comuni” sia da rinvenirsi esclusivamente in una norma di legge o di regolamento. L’articolo si presenta come una riformulazione del vecchio articolo 19 del Codice, il cui ambito di applicazione soggettiva viene, però modificato per adeguarlo all’impostazione del Regolamento. L’articolo si applica, dunque, ai soggetti che trattano i dati personali per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, a prescindere dalla loro natura soggettiva.
Ebbene, l’intervento riformatore di questo articolo si giustifica, secondo il legislatore, “nell’ottica di semplificare il quadro[normativo in materia di trattamento di dati personali] e valorizzare le attività e i compiti di interesse pubblico svolti dalle pubbliche amministrazioni, oltre che nell’adozione e attuazione delle riforme e misure previste dal PNRR”. Con le modifiche si interviene sull’art. 2-ter chiarendo la base giuridica e la liceità del trattamento operato dalle amministrazioni pubbliche, consistente nell’espletamento di compiti di interesse pubblico e per finalità esclusive di pubblico interesse.
Uno dei documenti di accompagnamento al decreto Capienze riporta un - chiaramente errato -ragionamento giuridico giustificatore della riforma. Ricorda, la relazione, che l’art. 6, par. 1, lett. E) del Regolamento prevede che, ove il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, la base giuridica – che rende lecito il trattamento – è costituita “dal diritto dell’Unione o dello Stato membro”. Continua, la relazione, riportando la previsione del par. 3 dello stesso art. 6, il quale nello specificare la base giuridica, prevede alternativamente al “diritto dell’Unione o dello Stato membro”, la finalità “necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.
Peccato che il legislatore del decreto Capienza non abbia – volutamente ritengo – citato il comma 2 dell’art. 6 del Regolamento Ue il quale riconosce agli Stati membri uno spazio di discrezionalità nel prevedere la possibilità di mantenere o introdurre disposizioni più specifiche con riguardo ai trattamenti necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.
Inoltre, all’art. 6.3 consente margini di manovra ai singoli Stati membri, per fissare regole specifiche in materia di basi giuridiche e condizioni di liceità per trattamenti necessari ad adempiere a obblighi legali o per svolgere compiti di interesse pubblico o, ancora, per l’esercizio di pubblici poteri. Ma la stessa previsione del GDPR impone anche che il diritto interno degli Stati membri persegua un obiettivo di interesse pubblico e sia proporzionato all’obiettivo legittimo perseguito.
Di conseguenza, ora non serve più una legge o un regolamento che autorizzi un trattamento di dati personali: è sufficiente la decisione discrezionale di una pubblica amministrazione. Come dice il decreto Capienze, il trattamento “è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di poteri pubblici”. Va, inoltre, assicurata “adeguata pubblicità all’identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano”.
Oggi, come conseguenza del decreto, verrebbero meno tutte le garanzie per il cittadino che vedrebbe i propri dati in balia di qualsiasi soggetto pubblico in nome di un generico “interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare.
Ma il ragionamento, purtroppo,investe tutti i trattamenti, compresa la comunicazione e la diffusione da parte delle Pubbliche amministrazioni. Nella diffusione rientra la pubblicazione su profili social, su siti web, testate giornalistiche e televisive.
Oltre alla modifica dell’art. 2-ter, il legislatore del decreto Capienze, nell’ottica dell’allineamento della disciplina interna al regolamento, ha abrogato l’art. 2 -quinquiesdecies del Codice. Per giustificare tale abrogazione vengono richiamati gli articoli 35 e 36 del Regolamento UE che non prevede procedimenti d’ufficio da parte dell’autorità di controllo, ma rimette al titolare del trattamento l’obbligo di procedere alla valutazione di impatto sulla protezione dei dati (DPIA), nei casi previsti, e prevede la successiva consultazione dell’autorità di controllo solo nei casi in cui l’esito della valutazione abbia evidenziato la sussistenza di un rischio elevato che imponga l’adozione di misure volte ad attenuare il rischio. L’art. 35 consente all’autorità di controllo di redigere e rendere pubblico “…un elenco delle tipologie di trattamento soggetti al requisitodi una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo I”. Di conseguenza, il Garante ha redatto l’elenco delle dodici tipologie di procedimento sottoposte a necessaria e preliminare valutazione d’impatto (DPIA).L’abrogazione dell’art. 2-quinquiesdecies consente di esercitare diversamente la facoltà prevista dall’art. 36.
Ed infine al comma 3 dell’art. 9 del decreto-legge Capienze, al fine di accelerare le attività di realizzazione del PNRR, si riduce da quarantacinque a trenta giorni il termine per il parere che il Garante deve rendere sulle attività di trattamento.
Il come
Ma, entrando nel merito dell’applicazione della riforma, con quali modalità le Amministrazioni determineranno la necessità per il raggiungimento dell’interesse pubblico o l’esercizio dei pubblici poteri? Il “liberi tutti” che emerge dal decreto Capienze deve fare i conti con i principi del Regolamento UE, innanzitutto quello della necessarietà e proporzionalità. E tale valutazione dove e come va esternata e in quale forma o atto?
A rispondere a queste domande dovrà pensarci innanzitutto il Garante, che, benché privato di alcune prerogative importanti, rimane il soggetto che presidia la corretta applicazione della Privacy nel trattamento dei dati personali. Ma dovranno anche prendere delle decisioni in merito i vertici delle Amministrazioni pubbliche. Non potrà essere il singolo dirigente della struttura a decidere o meno se quel trattamento è strumentale alle finalità perseguite o sia necessario all’esercizio dei poteri allo stesso attribuito. Se la norma fosse interpretata in tal senso non ci sarebbero più limiti a qualsiasi trattamento di dati da parte delle Pubbliche amministrazioni. Il singolo dirigente della struttura, che agisce in nome del titolare, dovrebbe agire secondo il principio di responsabilizzazione alla luce dei criteri sanciti dal Regolamento UE.
Nella scuola
Se ci soffermiamo sul caos che già oggi esiste nel mondo scolastico relativamente al trattamento dei dati personali, non possiamo che presagire ulteriori derive. L’uso più incontrollato e indiscriminato di trattamento di dati personali è rappresentato dalla diffusione sui siti web delle scuole delle immagini (riconoscibili) degli studenti.
Più volte sono stati fatti tentativi per superare i limiti della diffusione delle immagini degl.i studenti.
in sede di audizioni per l'approvazione del d.lgs. 101/2019 di adeguamento del Codice al Regolamento UE, correttamente l'ANP ha testualmente richiesto che " In ragione delle numerose richieste che arrivano dalle scuole, legate all’uso sempre più frequente di nuove tecnologie e alla necessità di documentare per strette finalità istituzionali le attività svolte a scuola anche attraverso l’uso di foto e video, ANP chiede un’integrazione dell’art. 96 del D. Lgs. 196/2003, così come riformato dallo schema di decreto in discussione, affinché previa adeguata informativa agli interessati e nel rispetto del principio di minimizzazione dei trattamenti, con rigorosa selezione da parte della scuola, sia chiaramente consentito alle scuole l’uso di foto ed immagini anche attraverso forme di pubblicazione sul sito istituzionale". Tale richiesta non è stata accolta e l’art. 96 del codice si presenta nella forma originaria[1].
La confusione è massima. Il perseguimento delle finalità istituzionali non è mai stato alternativo all’espressa previsione di legge o regolamento. L’art. 19 del previgente Codice già prevedeva che “ Il trattamento da parte di un soggetto pubblico riguardante dati diversi da quelli sensibili e giudiziari è consentito, fermo restando quanto previsto dall'articolo 18, comma 2, anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente”.
Ma ancora più sconclusionato è il richiamo alla possibilità di pubblicazione sul sito web o sui social dell’istituzione scolastica attraverso la comunicazione ai genitori della presa in carico dei social da parte del dirigente scolastico. L’organizzazione gestionale di un social da parte di un soggetto pubblico richiede una struttura di responsabilità relativa alla gestione del sito. L’uso dei social da parte delle Pubbliche amministrazioni rientra indubbiamente tra le attività di informazione e comunicazione istituzionali di cui alla l. 150/2000, che all’art. 1 prevede che tali attività siano finalizzate a promuovere l’immagine dell’ente, conferendo conoscenza e visibilità a tutte le attività dell’amministrazione, favorire l’accesso ai servizi ecc.
Ma per la scuola, ad oggi, non è prevista l’applicazione della l. 150 che viene attuata attraverso l’istituzione di un ufficio apposito, con personale iscritto all’ordine dei giornalisti (come avviene per il Ministero dell’istruzione).
La sete di apparire, la vanità di dirigenti, docenti, studenti, nessuno escluso, porta a dimenticare l'obiettivo primario del legislatore europeo, ma ancora di più, del nostro legislatore, la protezione dell'individuo. Come ha scritto Nicoletta Tomba "Tutto ciò che di una persona viene raccontato su internet, anche, o soprattutto, tramite immagini, rimane fissato in un presente perenne che accatasta, in una dimensione di contemporaneità infinita, un mix dissonante di informazioni, relative a età diverse e a contesti differenti - sia formali che informali – mettendo così in scena, o meglio in rete, una rappresentazione sincronica della sua vita, etichettando sommariamente ciò che appare"[2]
L'immagine messa in rete, senza alcuna protezione si disperde in un tempo senza tempo. Ma si dimenticano anche i principi fondamentali della pertinenza, necessarietà e non eccedenza del trattamento che oggi trovano nella privacy by design la loro declinazione.
Possiamo ancora sperare in una correzione del Decreto Capienze in legge di conversione, in modo da circoscrivere solo casi specifici e “mission critical” per il PNRR nei quali ammettere la comunicazione di dati tra soggetti pubblici senza previa autorizzazione del Garante e senza ulteriori basi normative di legge o di regolamento. Per i restanti casi di comunicazione e diffusione, si dovrebbe ragionevolmente tornare alla necessità di una norma di legge o di regolamento oppure, in alternativa, all’autorizzazione con silenzio assenso da parte del Garante per la protezione dei dati personali. Non fare questa correzione chirurgica renderebbe palese e ingiustificata la sproporzione – in ottica europea – della novità normativa introdotta con il Decreto Capienze.
[1]Art. 96
Trattamento di dati relativi a studenti (1)
1. Al fine di agevolare l'orientamento, la formazione e l'inserimento professionale, anche all'estero, le istituzioni del sistema nazionale di istruzione, i centri di formazione professionale regionale, le scuole private non paritarie nonché le istituzioni di alta formazione artistica e coreutica e le università statali o non statali legalmente riconosciute su richiesta degli interessati, possono comunicare o diffondere, anche a privati e per via telematica, dati relativi agli esiti formativi, intermedi e finali, degli studenti e altri dati personali diversi da quelli di cui agli articoli 9 e 10 del Regolamento, pertinenti in relazione alle predette finalità e indicati nelle informazioni rese agli interessati ai sensi dell'articolo 13 del Regolamento. I dati possono essere successivamente trattati esclusivamente per le predette finalità.
[2]Nicoletta Tomba, Fotogrammi, quanto pesano le immagini nella nostra vita, in Scienza dell’Amministrazione scolastica, n. 2/2018