Liceità del trattamento
L’art. 6 del Regolamento (UE) 679/2016 relativo alla protezione dei dati personali delle persone fisiche (GDPR) disciplina le ipotesi legittimanti al trattamento dei dati “comuni” selezionando gli interessi giuridici meritevoli; “Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”.
L’art. 6, par. 1, lett. e) individua uno specifico presupposto che legittima il trattamento stesso nella necessità del trattamento per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. Tale ipotesi costituisce, nell’ambito della protezione dei dati personali, una specificazione del principio di legalità dell’azione amministrativa.
Al fine dell’applicazione della norma in questione, è quindi, determinante la valutazione della sussistenza, caso per caso, del nesso funzionale tra il bilanciamento e lo svolgimento del “compito di interesse pubblico” o “l’esercizio di pubblici poteri”. Con riferimento alle funzioni tipiche dei soggetti pubblici possono non esservi dubbi mentre delle perplessità potrebbero, invece, manifestarsi in relazione ad attività “collaterali” benché connesse con l’esercizio del potere pubblico ma che non siano realmente espressione di questo.
L’art. 6, par. 3 del GDPR precisa che: “La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:
a) dal diritto dell’Unione; o
b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito”.
A ulteriore precisazione del perimetro della base giuridica, il d.lgs. 101 del 10 agosto 2018 recante “disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679” ha introdotto nel Codice della Privacy (d.lgs. 30 giugno 2003, n. 196) l’Art. 2-ter “Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri”.
La norma in questione stabilisce che: “1.La base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento”.
Alla luce di quanto precede, quindi, la base giuridica per il trattamento eseguito dalle autorità pubbliche è la necessità di eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento ove tale base sia contenuta in una norma di legge, o nei casi previsti dalla legge, di regolamento.
Il tema della “base giuridica” sulla quale le autorità pubbliche possono basare il trattamento dei dati è stato, poi, innovato dal c.d. “Decreto Capienze”. Il D.L. 8 ottobre 2021, n. 139 recante “Disposizioni urgenti per l’accesso alle attività culturali, sportive e ricreative, nonché per l’organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali” ha trattato il rapporto tra il trattamento dei dati personali dei cittadini e le finalità di interesse pubblico.
L’articolo 9, comma 1, lett. a) del D.L. n. 139/2021 aggiunge all’articolo 2-ter del Codice della Privacy un nuovo comma 1-bis, ai sensi del quale il trattamento da parte di un’autorità pubblica “è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti”. Nello specifico, tali autorità sono quelle di cui all’art. 1, comma 2, del D.Lgs. 30 marzo 2001, n. 165, le Autorità indipendenti, le amministrazioni inserite nell’elenco annuale dall’Istituto nazionale di statistica (ISTAT) di cui all’articolo 1, comma 3, della L. 31 dicembre 2009, n. 196, e le società a controllo pubblico statale ai sensi dell’art. 16 del D. Lgs. 19 agosto 2016, n. 175. Inoltre, il D.L. prevede che se la finalità del trattamento non è espressamente prevista da una norma di legge o di regolamento, questa verrà decisa ed indicata dall’amministrazione “in coerenza al compito svolto o al potere esercitato”.
Gli unici paletti previsti dall’art. 9, comma 1, lett. a) consistono nell’obbligo di dare un’adeguata pubblicità all’identità del titolare del trattamento e alle finalità, e fornire ogni altra informazione necessaria per assicurare un trattamento corretto e trasparente dei dati degli interessati, e il rispetto dei loro diritti di ottenere la conferma e la comunicazione di un trattamento che li riguardi.
In conclusione, è possibile affermare che, seppure le Autorità pubbliche non possano “auto” attribuirsi la base giuridica (l’art. 6 espressamente esclude il perseguendo del “legittimo interesse” per le Autorità pubbliche), l’attuale assetto attribuisce alle autorità pubbliche un perimetro molto esteso. Nell’ambito di tale perimetro, con una formulazione estremamente puntuale si chiarisce che: il trattamento da parte di un’autorità pubblica “è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti”. Lo sforzo per le autorità sarà, quindi, quello di individuare quei (pochi) ambiti esclusi dalla norma per i quali si rende necessaria una diversa base giuridica.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.