Il Decreto Legge n. 139/2021 impatta sui diritti fondamentali dei cittadini ma è INCOSTITUZIONALE
Dal 9 ottobre 2021 è in vigore l’ennesimo Decreto Legge governativo. E’ il D.L. n. 139/2021 che disciplina in via di ritenuta “straordinaria urgenza” una eterogenea pluralità di tematiche: l’accesso alle attività culturali, sportive e ricreative; l’organizzazione delle pubbliche amministrazioni; l’ufficio centrale per il referendum presso la Corte di Cassazione; gli esami di Stato per l’esercizio della professione forense; la tutela della minoranza linguistica slovena nella regione del Friuli Venezia Giulia; le disposizioni in materia di protezione dei dati personali.
Tale Decreto va osservato da due angoli visuali egualmente significativi rispetto alla tenuta dell’ordinamento giuridico italiano ed euro-unitario: i) l’impatto che ha prodotto sulla normativa nazionale in tema di trattamento e protezione dei dati personali e, quindi, sui diritti e le libertà fondamentali dei cittadini interessati; ii) la legittimità dell’utilizzo del “Decreto Legge” da valutarsi alla luce delle modifiche operate in tema di protezione e trattamento dei dati personali.
Dalla valutazione ragionata e coordinata di questi due aspetti emerge (in modo piuttosto evidente) l’illegittimità (alias: l’incostituzionalità) del Decreto in commento.
Ebbene, in disparte le severe critiche che si potrebbero sollevare rispetto all’utilizzo sempre più snaturato del decreto legge, nonché all’opinabile usanza di “infarcirlo” di materie eterogenee tra loro, è necessario, in primo luogo, soffermarsi sull’impatto che esso ha avuto sulla normativa in materia di protezione dei dati personali attraverso le modifiche che il governo ha apportato al c.d. “Codice Privacy” nazionale, il D.lgs. n. 196/2003. Codice nazionale che, insieme alla regolamentazione europea, è anche finalizzato a contenere il più che potenziale potere pervasivo o debordante dei governi nazionali e delle istituzioni pubbliche rispetto alla sfera privata dei cittadini la quale – va ricordato – è il presupposto essenziale della residuale libertà individuale già compressa dall’invadenza tecnologica dell’era digitale prima e della c.d. A.I. (intelligenza articficiale) oggi.
Le norme del citato D.lgs n. 196/2003 impattate dal Decreto Legge governativo potrebbero suddividersi in due gruppi: i) da una parte quelle rese oggetto di modificazioni o aggiunte (l’art. 2-ter e l’art. 144-bis) e, dall’altra, ii) quelle abrogate o soppresse (l’art. 132, co. 5, l’art. 2-quinquiesdecies, l’art. 137, co. 2 lettera a).
Autorevoli cultori della materia si sono da subito cimentati a commentare l’atto governativo con particolare riguardo al nuovo potere attribuito alle istituzioni di autodefinire quando poter trattare e comunicare (o diffondere) dati personali pure ove manchi una specifica norma che lo consenta. Ciò non era previsto nella versione originaria dell’art. 2-ter del Codice che, difatti, nel caso di mancanza della base normativa autorizzante tale trattamento, prevedeva l’obbligo di rivolgersi al Garante della protezione dei dati personali per ottenerne il parere preventivo, ovvero, ove lo stesso non si fosse espresso entro 45 gg dalla richiesta, beneficiare del c.d. silenzio assenso e procedere alla comunicazione dei dati.
Brucianti critiche ha ricevuto anche il comma 3 dell’art. 9 del medesimo Decreto poiché con esso si prevede che i pareri del Garante da richiedersi riguardo a riforme, misure e progetti attinenti al PNRR (piano nazionale di ripresa e resilienza), al Piano nazionale degli investimenti e al Piano nazionale integrato per l’energia elettrica e il clima 2030 (implicanti decine di miliardi di euro), sia da esprimere nel termine non prorogabile di soli 30 giorni a pena di resa procedibilità di tali progetti e riforme, ove tale parere non giunga nei termini previsti.
Alcuni hanno perciò parlato di stravolgimento del Codice nazionale e di allargamento senza confini delle possibilità di auto-determinazione di trattamento dati da parte delle istituzioni, talaltre di segnali a preludio di una rivoluzione insanabile in tema di riservatezza a danno dei cittadini, ovvero, per contro, di un semplice ed innocuo ritorno al passato accompagnato da una certa dose di malizia governativa intesa a comprimere (troppo) i tempi di risposta del Garante rispetto ad ingenti quantità di denaro poiché da spendere senza incorrere in “inutili attese”.
Tutte considerazioni che, seppur non prive di valide argomentazioni, non indagano il problema radicale che caratterizza il D.L. n. 139/2021 minandone la legittimità alla luce e a partire dalla sentenza n. 28 del 2010, con cui la Corte costituzionale dichiara incostituzionali le norme interne confliggenti con norme euro-unitarie (anche) non direttamente applicabili, sul presupposto che le norme europee «sono cogenti e sovraordinate alle leggi ordinarie nell’ordinamento italiano per il tramite degli artt. 11 e 117, comma 1, Cost.». Ma prima di entrare nel cuore di tale grave aspetto, sembra opportuno soffermarsi sul mezzo legislativo utilizzato dal Governo per modificare il Codice nazionale a favore del potenziale avvio di decine di migliaia di trattamenti di dati personali ex novo.
Il decreto legge, per sua natura, ha carattere provvisorio e, quindi, sebbene si possa “scommettere” a favore di una conversione in legge entro 60 giorni dalla sua emanazione, comporta sempre il rischio, piccolo ma significativo, che ciò non accada. Sicché, in tale ultimo caso, ove non venisse assunta una legge c.d. “sanante” (ex art. 77, ult. Co. Cost.) degli effetti dallo stesso prodotti, i trattamenti di dati avviati sulla scorta delle modifiche operate dal Decreto n. 139 del 2021 potrebbero considerarsi illeciti ex tunc o, comunque, dovrebbero essere interrotti restando i dati personali coinvolti dagli stessi inutilizzabili (qui in disparte quanto previsto dall’opinabile art. 160bis del medesimo Dlgs 196/2003).
Si tratta però di una prima problematica che potrebbe riguardare le istituzioni e non i cittadini interessati dalle modifiche del Codice nazionale e, dunque, non è questo l’aspetto più preoccupante.
L’aspetto delicato emerge invece dall’analisi delle abrogazioni operate in particolare su due norme del Codice: essendo soppressioni che permettono di comprendere la vera motivazione per cui il D.L. n. 139/2021 dovrebbe considerarsi radicalmente illegittimo/incostituzionale.
La prima norma abrogata dal Decreto è l’art. 2-quinquiesdecies del Dlgs. 196/2003. Essa recitava:
«Con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati ai sensi dell’articolo 35 del Regolamento, il Garante può, sulla base di quanto disposto dall’articolo 36, paragrafo 5, del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio, prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare».
Tale norma, in verità, era nata già “male” poiché l’art. 36, paragrafo 5 del Regolamento UE che la stessa evoca, non si è mai riferito alla possibilità del Garante di assumere provvedimenti generali che indichino come procedere rispetto a quei trattamenti che presentano un rischio elevato. Il detto paragrafo, difatti, si riferisce al diritto degli Stati membri di prescrivere che i titolari del trattamento consultino il Garante, ottenendone l’autorizzazione preliminare, in relazione a trattamenti che perseguono una finalità di interesse pubblico, tra cui quelle attinenti alla protezione sociale e alla sanità pubblica: pertanto non è nel confronto delle due norme indicate (pre e post abrogazione) che emerge il vero problema, bensì, come vedremo, nell’abrogazione stessa.
La seconda norma abrogata è il comma 5 dell’art. 132 del Codice nazionale riguardante i trattamenti di dati telefonici e telematici attinenti ad eventuali accertamenti di polizia. Anche in questo caso è stata eliminata il comma della norma che prevedeva la possibilità del Garante, sempre mediante l’assunzione di provvedimenti di carattere generale, di prescrivere modalità tecniche ed accorgimenti di conservazione e distruzione dei dati trattati volti a garantire una adeguata protezione degli stessi e delle libertà fondamentali dei cittadini coinvolti.
Orbene, queste due abrogazioni danno piena evidenza dell’intercorso impattato significativo sui diritti e le libertà degli interessati (i cittadini) anche in ragione del fatto che le norme in questione riguardavano trattamenti basati sull’utilizzo di tecnologie e procedure potenzialmente innovative, pure tenuto conto del delicato contesto e delle finalità di quegli specifici trattamenti: ad esempio ed appunto, i possibili accertamenti di polizia sui dati personali di traffico telefonico e telematico.
Da ciò muove l’incostituzionalità del Decreto Legge. Scopriamola.
Ai sensi dell’art. 36, paragrafo 4, del Regolamento n. 679/2016 «gli Stati membri consultano l’autorità di controllo durante l’elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento». Consultazione che, però, da quanto è dato sapere, per il D.L. n. 139/2021 non risulta essere intercorsa.
Al proposito alcuni sostengono che, essendo il decreto legge un atto avente forza di legge assunto dal Governo (Consiglio dei Ministri), non sarebbe incluso nella previsione dell’anzidetto art. 36 paragrafo 4 del Regolamento UE direttamente applicabile negli stati membri. Il ché non è affatto scontato dato che, in ultima analisi, anche il decreto legge è immediatamente sottoposto al parlamento in forma di proposta di legge finalizzata alla sua conversione.
Ma pure a voler dare peso a tale tesi (non in linea con l’interpretazione estensiva che al GDPR andrebbe sempre data in funzione protettiva degli interessati) il Regolamento n. 679/2016 non è la sola norma che prevede la necessaria consultazione preventiva dell’Autorità garante: deve infatti essere preso in considerazione anche il Dlgs. n. 51/2018 che in Italia ha recepito la Direttiva UE n. 680/216 (impropriamente detta “di Polizia” perché non limitata ai trattamenti c.d. di polizia).
La ragione è “semplice”: diverse modifiche operate dal D.L. n. 139/2021 si inscrivono nell’ambito di applicazione del Dlgs. n. 51/2018, il quale disciplina il trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali. E a tal proposito, come visto, il modificato art. 132 del Dlgs. n. 196/2003, riguarda proprio il trattamento di dati relativi al traffico telefonico per finalità di accertamento e repressione dei reati. Da tale constatazione, quindi, “non si può scappare”!
In particolare rileva l’art. 24, comma 2, del Dlgs. n. 51/2018, il quale prevede appunto che «il Garante è consultato nel corso dell’esame di un progetto di legge o di uno schema di decreto legislativo ovvero di uno schema di regolamento o decreto non avente carattere regolamentare, suscettibile di rilevare ai fini della garanzia del diritto alla protezione dei dati personali». Consultazione che, tuttavia, non pare proprio essere intercorsa rispetto al Decreto in commento ciò comportandone la conseguente illegittimità.
Né sembra essere sostenibile la singolare tesi (lanciabile in modalità di “rete elastica di sicurezza” e in soccorso al Decreto) secondo cui il medesimo D.L. n. 139/2021 abbia abrogato implicitamente il Dlgs. n. 51/2018 essendo le due normative sullo stesso livello e, quindi, dovendo prevalere quella successiva. Il Dlgs 51/2018, difatti e per contro, è applicazione di una norma sovranazionale europea, la citata Direttiva n. 680/2016, che, difatti, all’art. 28 prevede l’obbligo esplicito ed ineliminabile da parte del Governo dello stato membro della consultazione preventiva dell’Autorità garante di controllo.
Perciò, il D.L. n. 139/2021 non essendo stato reso oggetto di doverosa consultazione preventiva del Garante, né ai sensi dell’art. 36, paragrafo 4, del Regolamento n. 679/2016, né ai sensi dell’art. 24, comma 2, del Dlgs. n. 51/2018 è da considerarsi senza dubbio incostituzionale se non altro ed almeno sotto i profili (di non scarsa importanza) appena sinteticamente illustrati.
Avv. Lorenzo TAMOS)
