La “privacy” è un’estensione del “diritto alla riservatezza”, inteso come diritto alla protezione della propria sfera privata e dei dati personali. Il termine “privacy” ricomprende tutti gli elementi che definiscono l’identità individuale. La rilevanza del diritto alla protezione dei propri dati personali si ravvisa già nel codice civile che nell’art.2050 annovera il trattamento dei dati personali tra le attività pericolose.
In Italia la normativa sulla privacy è stata positivizzata dapprima nella Legge 675/1996 e successivamente nel D.Lgs. 196/2003, il cd. Codice della privacy.
Nel tempo l’esigenza di una maggiore semplicità e certezza giuridica, oltre allo sviluppo velocissimo delle nuove tecnologie, hanno spinto l’Unione europea ad adottare un regolamento che potesse rispondere alle varie necessità: il Regolamento Ue 2016/679, il GDPR (General Data Protection Regulation), che si pone a protezione delle persone fisiche prevedendo una disciplina per il trattamento dei loro dati.
Il GDPR, dal 25 maggio 2018, è applicabile in tutti gli Stati membri. Inoltre, anche le imprese fuori dall’Ue, che interscambiano servizi con di Stati membri, devono adeguarsi alle nuove regole per evitare pesanti sanzioni.
La normativa italiana si è adeguata alle disposizioni del GDPR attraverso il D.lgs. 101/2018.
Il Garante per la protezione dei dati personali, in quanto Autorità prevista dall’art. 2 bis del Codice della privacy, vigila sulla conforme applicazione del regolamento e agevola la libera circolazione dei dati personali all’interno dell’Unione.
A norma del GDPR, chi gestisce i dati personali all’interno di ogni tipo di organizzazione è responsabile (accountability) del loro trattamento; pertanto risulta necessario rendere informati e consapevoli i cittadini, interessati al trattamento.
Sono vari i principi a cui devono attenersi coloro che si occupano del trattamento di dati: il trattamento deve essere lecito e trasparente, deve essere progettata sin dall’inizio l’attività che il titolare deve svolgere, così da trattare soltanto i dati necessari e solo per un preciso periodo di tempo, oltre che per determinate finalità. Nello specifico, le finalità, secondo quanto previsto dall’art. 2ter del D.Lgs. 101/2018, devono essere individuate unicamente in una norma di legge o di regolamento.
Sempre sulla base di tali disposizioni, aggiornate al 2018, in assenza della norma che indica la base giuridica del trattamento, è consentito procedere alla diffusione o comunicazioni di dati personali esclusivamente per motivi di interesse pubblico o per l’esecuzione di un compito connesso con l’esercizio di poteri.
Tuttavia, l’emergenza sanitaria da Covid 19, in questi anni, ha aperto la disciplina italiana sulla privacy a delle deroghe, pur nel rispetto della normativa europea: con il Decreto Cura Italia, si è giunti all’attribuzione di poteri speciali temporanei ad alcuni soggetti, come il Ministero della Salute e la Protezione civile, per il trattamento dei dati personali, anche “sensibili”.
Il GDPR, infatti, prevede nell’art. 9 la possibilità eccezionale di trattare la tipologia di dati appena menzionata “per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero”.
Il Governo e il Garante Privacy hanno cercato in questi anni di controbilanciare nel migliore dei modi il diritto alla salute e il diritto alla riservatezza.
Ad oggi, tuttavia, ciò che sembrava essere una parantesi temporanea si è rivelato un cambiamento definitivo: con il “Decreto Capienze”, n. 139 del 2021, convertito con modifiche dalla legge n. 205 del 2021, non è più previsto che sia una legge a determinare le finalità del trattamento ma è la stessa Pubblica Amministrazione a poter decidere di trattare i dati delle persone fisiche, per motivi di interesse pubblico, nonostante la finalità non sia espressamente prevista da una legge. Così recita l’art. 9 del nuovo decreto, annoverando tra i vari dati a cui si rivolge anche quelli appartenenti a categorie particolari.
In altri termini, seppure il trattamento e le sue finalità non siano indicate da una legge o regolamento, sarà un trattamento ugualmente ritenuto lecito laddove la Pubblica Amministrazione, con un atto amministrativo generale, indichi il motivo per il quale ritiene necessario procedere al trattamento.
Inoltre, il “Decreto Capienze” è intervenuto ad abrogare l’art. 2 quinquiesdecies del Codice Privacy e quindi ad eliminare l’obbligo di consultare preventivamente il Garante in caso di trattamenti ad alto rischio.
Ne derivano un forte indebolimento dei poteri autoritativi e di controllo dell’Autorità garante per la protezione dei dati e un considerevole rischio di incorrere in trattamenti diversificati a seconda dell’ente pubblico titolare.
Milena Adani
