Lo strumento del decreto legge sembra esercitare un fascino irresistibile su ogni governo. Una sorta di attrazione magnetica a cui nessuno riesce a resistere. Neanche il governo dei migliori. Poco importa se, rinchiuso fra le pagine della Costituzione, c’è un articolo (il 77) che subordina il ricorso a questo strumento alla sussistenza di casi straordinari di necessità e urgenza. Forse si tratta di un requisito obsoleto o forse ormai tutto è diventato straordinario, necessario e urgente.

Fatto sta che le problematiche legate all’utilizzo così massiccio dei dl rimangono. Al di là dell’effetto di sostanziale svilimento della funzione legislativa del parlamento, una delle questioni principali riguarda la possibilità di inserire in un decreto la regolamentazione delle materie più disparate. In questo modo diventa più complicato il lavoro del parlamento in sede di ratifica, e spesso la questione di fiducia posta dal governo impedisce completamente al parlamento di toccare palla. Di certo, un governo che ricorre abbondantemente a questo strumento è un governo che vuole essere protagonista e agire indisturbato sbarazzandosi delle zavorre costituite da altre istituzioni che però servirebbero a bilanciarne i poteri in un’ottica di garanzia della democrazia e dei cittadini.

L’esempio più recente è rappresentato dal cosiddetto decreto Capienza, in vigore dal 9 Ottobre 2021. Questo decreto si occupa di disposizioni urgenti per l’accesso ai teatri, cinema, concerti, musei, competizioni sportive e discoteche, ma anche di fondi per l’asilo a cittadini afghani, esame di avvocato, revenge porn e protezione dei dati personali.

Proprio le disposizioni in tema di privacy hanno fatto sollevare il sopracciglio a molti osservatori. Le modifiche, che vengono presentate dal Consiglio dei Ministri come “semplificazioni”, incidono fortemente sul Codice in materia di protezione dei dati personali di cui al d. lgs. 30 Giugno 2003 n. 196 e vanno a cambiare gli equilibri istituzionali in materia di privacy, a discapito del Garante per la protezione dei dati personali e a tutto vantaggio del governo e delle amministrazioni pubbliche.

Questo sostanziale colpo di frusta del governo sul Garante privacy si attua in 4 direzioni: ampliamento dei presupposti per il trattamento di dati con finalità di interesse pubblico da parte della PA; limitazione della possibilità di consultazione preventiva del Garante privacy; conservazione dei dati di traffico su tabulati telefonici e telematici e limitazione dei poteri del garante sulle riforme del PNRR.

Per quanto riguarda le condizioni che legittimano il trattamento di dati con finalità di pubblico interesse, il regolamento europeo sulla protezione dei dati personali (GDPR) prescrive che l’esecuzione di un compito di interesse pubblico o l’esercizio di pubblici poteri giustifichi il trattamento di dati personali. Tuttavia, l’art. 9, comma 1, lett. a) del decreto Capienza, introduce nell’art. 2 ter del Codice privacy il comma 1 bis. La nuova norma, prevede che se la finalità non è espressamente prevista dalla legge, la PA può indicarla con un suo atto amministrativo. A questo punto la pubblica amministrazione effettuerebbe il trattamento dei dati personali sulla base di una finalità di pubblico interesse che essa stessa si è intestata.

Un altro smacco al Garante privacy è ordito dall’art. 9, comma 1, lettera b) del dl Capienza che abroga l’art. 2 quinquesdecies del Codice privacy recante disposizioni in materia di trattamento privacy con rischi elevati per l’esecuzione di un compito di interesse pubblico. In questo modo, viene tolta al Garante la possibilità di intervenire preventivamente, in caso di gravi rischi per i cittadini derivanti dal trattamento di dati personali per fini di interesse pubblico, con provvedimenti di carattere generale adottati d’ufficio, prescrivendo misure e accorgimenti che l’amministrazione titolare dei dati sarebbe stata tenuta ad adottare a garanzia dell’interessato. Con l’abrogazione di questa norma il titolare del trattamento svolto per l’esecuzione di un compito di interesse pubblico, non deve più consultare in via preventiva l’Autorità di controllo nei casi in cui la valutazione d’impatto sulla protezione dei dati indica che il trattamento presenta un rischio elevato ai sensi dell’art. 35 del regolamento UE.

L’art. 9, comma 1, lett. c) va ad abrogare il comma 5 dell’art. 132 del Codice privacy ai sensi del quale la conservazione dei tabulati telefonici per le finalità di accertamento e repressione dei reati avrebbe dovuto rispettare le misure prescritte dal Garante a garanzia dell’interessato volte al rispetto dei requisiti di qualità, sicurezza e protezione dei dati in rete ma anche riguardanti la periodica distruzione dei dati.

Un aspetto fondamentale è il ridimensionamento della possibilità del Garante di fornire pareri sulle riforme, progetti e misure per l’attuazione del PNRR. L’art. 9 comma 3 del dl Capienze, prevede che detti pareri debbano essere resi nel termine non prorogabile di 30 giorni dalla richiesta. In caso di decorso infruttuoso del termine, il governo potrebbe procedere ugualmente. È evidente che si tratti di materie di grande complessità data anche la spinta verso la digitalizzazione del paese che difficilmente potranno risultare adeguatamente commentabili in 30 giorni. Basti pensare al fatto che il PNRR è un piano da 248 miliardi di euro che si articola in moltissimi progetti complessi e che prevede la possibilità di avvalersi di intelligenza artificiale, machine learning e text mining al fine della valutazione del rischio fiscale.

Gli aspetti di questo intervento che lasciano più perplessi nel merito, riguardano la possibilità di diffusione dei dati da parte della PA, la riduzione delle garanzie rispetto alla conservazione di dati personali e la forte riduzione dei poteri del Garante. Ma è evidente che il senso di queste disposizioni sia di evitare ulteriori ostacoli da parte del Garante privacy all’azione di governo.

In effetti, il Garante era già intervenuto varie volte sulla scorta dell’ormai abrogato art. 2 quinquiesdecies, per richiamare il Governo al rispetto dei principi in tema di protezione di dati personali individuando ogni volta delle prescrizioni che andavano rispettate. Questo è avvenuto, ad esempio, in ordine alla fatturazione elettronica, all’app Immuni e all’app Io. A questo punto un simile intervento da parte del Governo può essere interpretato come una ripicca finalizzata a sbarazzarsi di un’autorità che spesso ha messo i bastoni fra le ruote all’azione governativa. Insomma, il governo aggirando la funzione legislativa del parlamento e svuotando i poteri del Garante privacy avrebbe agito come un giocatore di calcio che si intesta le prerogative dell’allenatore e ruba il fischietto all’arbitro.

Ma il governo non può pretendere di intestarsi poteri che non gli spettano e agire indisturbato, in piena solitudine, nel perseguimento dei propri fini. Al contrario, le istituzioni vivono in un delicatissimo equilibrio di pesi e contrappesi funzionali alla tutela dei cittadini. E più si interviene su questioni strettamente attinenti ai diritti fondamentali degli individui, più bisognerebbe mostrarsi rispettosi di queste garanzie.

Edoardo Fornaro