Trattamento e scambio dei dati tra pubbliche amministrazioni alla luce del nuovo GDPR
Il GDPR – Regolamento Ue 2016/679 – entrato in vigore nel maggio dello scorso anno ha introdotto drastiche ed interessanti novità che vedono quali protagonisti i soggetti coinvolti nell’acquisizione e trattamento dei dati tra cui rientra senza dubbio alcuno la pubblica amministrazione.
Infatti, nell’omnicomprensivo principio di “buona amministrazione[1]” rientra la necessità di porre in essere lo scambio di dati tra le pubbliche amministrazioni il quale al fine di implementare – in tempi snelli – l’elemento informativo, si traduce in collaborazione ed efficienza delle stesse.
In tal senso, al fine di infittire la rete di informazioni l’art. 50 del Codice delle amministrazioni digitali sancisce che i dati trattati da una p.a. sono resi accessibili e fruibili dalle altre amministrazioni “quando l’utilizzazione del dato sia necessaria per lo svolgimento dei compiti istituzionali per l’amministrazione richiedente”.
Tuttavia, è opportuno precisare che secondo la normativa previgente in materia di privacy la legittimità del “trattamento” dei dati non poteva prescindere dal consenso informato dell’interessato[2] seppur, lo si comprenderà bene, richiedere un consenso informato “generico” in quanto compiuto su un trattamento che non si conosce ancora risultava insensato oltre che farraginoso [3] tanto che il d. lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” ha abrogato la disposizione contenuta all’art. 23 del d. lgs. 196/2003.
Così, il principio del consenso si trovava ad assumere vesti differenti e quasi ridimensionate quando il trattamento dei dati personali era stato posto in essere da una pubblica amministrazione. E sulla scia della necessità di tutelare il diritto alla riservatezza dei dati che, in quanto correlati ai cittadini, possono con certezza definirsi dati personali erano state individuate regole particolarmente pregnanti dal d.lgs. 196/2003 (artt. da 18 a 22) – ormai abrogate – e dal Regolamento UE 2016/679.
A titolo esemplificativo si consideri che l’art. 18 del d.lgs. 196/2003 – il quale disciplinava il trattamento dei dati personali da parte della Pubblica Amministrazione – prevedeva che qualunque trattamento di dati personali da parte di soggetti pubblici fosse consentito “soltanto per lo svolgimento delle funzioni istituzionali”; la ratio di siffatta disposizione riposava evidentemente nella volontà di evitare abusi nel trattamento di tali dati da parte di coloro che esercitino una pubblica funzione. Inoltre, l’art. 19, comma 2 prevedeva che la comunicazione tra pubbliche amministrazioni possa avvenire solo a seguito di una specifica “norma di legge o di regolamento” che autorizzasse questa specifica tipologia di trattamento; il limite, in considerazione della elevata potenzialità lesiva, può essere superato solo nel caso di comunicazione al Garante previsto dall’art. 39.
Avendo invece riguardo al recente Regolamento Ue si segnala che sono previste una serie di ipotesi di deroga al principio del consenso ai fini del trattamento, tra cui spicca: (1) la necessità di “adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure (2) la necessità di eseguire “un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (lett. e)[4].
In siffatto ambito il legislatore europeo lascia una non trascurabile autonomia agli Stati membri di prevedere la possibilità di “introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del regolamento […] atte a garantire un trattamento lecito e corretto dei dati” (cfr. art. 6 par. 2 Reg. UE 2016/679).
Nel contesto così delineato ove l’esigenza di collaborazione delle pubbliche amministrazioni conduce ad alla necessità di condividere dati e base dati non può non farsi menzione dello svilupparsi – in modalità ormai incontrollata – dei big data, il cui fenomeno è definibile quale “high volume, high velocity, and/or high variety information assets that require new forms of processing to enable enhanced decision making, insight discovery and process optimization[5]”, ovvero insieme di dati enorme, talmente grande da rendere obsolete le tradizionali tecnologie di conservazione ed elaborazione dei dati, le quali non riescono più ad archiviarli e ad analizzarli in maniera tradizionale.
I menzionati big data vengono utilizzati dalle amministrazioni pubbliche per diverse finalità tra cui funzioni di controllo, di regolazione ed al fine di migliorare l’efficienza e l’efficacia dei servizi pubblici, in particolare nelle aree urbane. Questi dati, la cui crescita è esponenziale, impongono la riflessione sulla atteggiamento che le pubbliche amministrazioni assumono riguardo a questi ed alle modalità del loro trattamento soprattutto ove si considerino le difficoltà – analizzate – delle amministrazioni a raccogliere e conservare dati. Tra le sfide che i big data pongono alle amministrazioni vi è il miglioramento tecnologico e la necessità di un approccio modellato sulle caratteristiche di queste basi dati alla razionalizzazione, fusione e integrazioni degli stessi.
A tal riguardo, i big data sono stati opportunamente considerati dall’art. 60 del Cad, come modificato dal d.lgs. 30 dicembre 2010, n. 235 e, successivamente, dall’ art. 46, comma 1, lett. a), D.Lgs. 26 agosto 2016, n. 179, il quale individua talune basi di dati di interesse nazionale[6]; in tal modo, il segnale lanciato dal legislatore deve leggersi come un tentativo di sistematizzare e razionalizzare la parte più consistente del patrimonio informativo pubblico al fine di agevolare l’utilizzo dei dati e delle informazioni che sono contenute all’interno delle banche dati nazionali da parte di tutte le amministrazioni[7].
[1] Principio sancito dall’art. 97 Cost.
[2] Art. 23 d.lgs. n. 196/2003 e art. 6 c. 1 lett. A) Regolamento n. 2016/679.
[3] In tal senso G. De minico, Le libertà fondamentali in tempo di ordinario terrorismo, in Federalismi.it, 20 maggio 2015, p. 9.
[4] Art. 6, par. 1 lettere c) ed e) Reg. 2016/679.
[5] Cfr. M.A. beyer, D. Laney, The importance of big data: a definition, Stamford, Gartner Retrieved, 21 June 2012.
[6] Le basi di interesse nazionale individuate dall’art. 60 Cad sono:
a) repertorio nazionale dei dati territoriali;
b) anagrafe nazionale della popolazione residente;
c) banca dati nazionale dei contratti pubblici di cui all’articolo 62-bis;
d) casellario giudiziale;
e) registro delle imprese;
f) gli archivi automatizzati in materia di immigrazione e di asilo di cui all’articolo 2, comma 2, del decreto del Presidente della Repubblica 27 luglio 2004, n. 242;
f-bis) Anagrafe nazionale degli assistiti (ANA);
f-ter) anagrafe delle aziende agricole di cui all’articolo 1, comma 1, del regolamento di cui al decreto del Presidente della Repubblica 1° dicembre 1999, n. 503.
[7] M. Falcone, Big data e pubbliche amministrazioni: nuove prospettive per la funzione conoscitiva pubblica, in Rivista Trimestrale di Diritto Pubblico, fasc.3, 1 settembre 2017, pag. 601.
Per una disamina esaustiva sulle novità introdotte in tema di privacy dal GDPR si rinvia a:
S. CEDROLA, Data breach e GDPR (parte I): gli obblighi di notifica all’autorità, 18 aprile 2018, in Ius in itinere;
S. CEDROLA, La disciplina delle sanzioni previste dal GDPR, 5 marzo 2018, in Ius in itinere;
A. AMIRANDA, La selezione a DPO di un Ente pubblico non può essere condizionata al possesso di qualifiche informatiche, 19 ottobre 2019, in Ius in itinere.
Rossella Santonicola, nasce a Napoli nel 1994, é studentessa di giurisprudenza dell’ateneo federiciano attualmente iscritta al suo ultimo anno.
Conseguita la maturità classica, ad indirizzo linguistico a Nocera inferiore (provincia di Salerno), città dove vive fin dalla nascita, segue poi la sua passione per lo studio del diritto.
L’ammirazione per il diritto e per le lingue e culture europee la portano a studiare per un semestre diritto e Amministrazione delle Imprese all’Università cattolica di Pamplona (Spagna), grazie alla vincita di una borsa del progetto europeo ‘Erasmus’. Questa esperienza le apre nuovi orizzonti fino a farle sviluppare propensione per le materie che riguardano la Pubblica Amministrazione e la comparazione tra ordinamenti giuridici, che la conduce ad uno studio critico e ragionato del diritto.
A conclusione del suo percorso universitario è attualmente impegnata a scrivere la tesi in diritto amministrativo comparato dal titolo “La prevenzione e il contrasto della corruzione. Prospettive di diritto comparato tra Italia e Francia”.
Da sempre amante della lettura, nel tempo libero si dedica a classici e romanzi. Ama viaggiare, scoprire posti nuovi, conoscere nuove culture e relazionarsi con persone sempre diverse.
email: rossella.santonicola@iusinitinere.it