Privacy e lotta all’evasione, le modifiche al decreto non limitano l’incrocio dei dati: “Se c’è interesse pubblico non servirà più una legge”
Durante il passaggio in Senato per la conversione, l'articolo 9 del decreto Capienze è stato riscritto. Ma non in senso restrittivo. Giorgio Resta, docente di diritto privato comparato all’Università Roma 3: "Alle amministrazioni sarà sufficiente un atto amministrativo. E il Garante dovrà essere avvertito almeno dieci giorni prima dell'inizio del trattamento solo nel caso in cui la diffusione e comunicazione dei dati abbia finalità diverse dall'interesse pubblico"
Per la pubblica amministrazione, agenzie fiscali comprese, sarà più semplice utilizzare tutti i dati a sua disposizione incrociandoli e mettendoli al servizio di finalità di interesse pubblico come la lotta all’evasione. Finora ostacolata dai tanti paletti posti dal Garante della privacy anche sulla scorta di un recepimento restrittivo della legislazione europea in materia. Il punto di equilibrio individuato dal governo Draghi nel decreto Capienze, che ha modificato il Codice del 2003, non viene spostato dalle modifiche approvate durante il passaggio al Senato per la conversione in legge. Nonostante alcune forze politiche abbiano rivendicato di aver aumentato le tutele per i cittadini. “E’ vero che è stata introdotta una novità importante, ma va anch’essa nella direzione di rendere più facile e rapido il trattamento dei dati”, spiega Giorgio Resta, docente di diritto privato comparato all’Università Roma tre ed esperto di legislazione sulla privacy. “Del resto tutte le necessarie garanzie erano già assicurate dalla prima versione del testo, perché i presupposti di legittimità del trattamento, quali la proporzionalità e la minimizzazione, nonché i controlli del Garante, rimangono sempre e comunque applicabili”.
L’emendamento del relatore Luigi Augussori (Lega), che riscrive interamente l’articolo 9 ed è stato approvato a Palazzo Madama, prevede che quando il trattamento dei dati è necessario per svolgere un compito “nel pubblico interesse” o “per l’esercizio di pubblici poteri” le amministrazioni possono procedere anche sulla scorta di un atto amministrativo generale. “Finora invece”, commenta Resta, “erano necessari una norma di legge o un regolamento: una richiesta troppo rigida, contenuta nel nostro Codice sulla protezione dei dati personali ma non prevista dal Gdpr“, il testo normativo europeo sulla materia. “La modifica quindi amplia il perimetro delle basi giuridiche che rendono lecito il trattamento”. Via libera quindi, anche con un semplice decreto dirigenziale del direttore delle Entrate, alla possibilità di utilizzare tutte le informazioni a disposizione sui contribuenti con l’obiettivo di contrastare un fenomeno che continua a sottrarre alle casse dello Stato un centinaio di miliardi l’anno nonostante i progressi fatti grazie a fatturazione elettronica e split paynment.
Il Garante privacy, che incassa l’ampliamento del suo organico da 162 a 20o unità, dovrà essere avvertito almeno dieci giorni prima dell’inizio “solo nel caso in cui la diffusione e comunicazione dei dati abbia finalità diverse dall’interesse pubblico generale”, continua l’esperto. “Per esempio gli scopi commerciali nell’elaborazione di servizi a valore aggiunto”. L’autorità non sarà invece chiamata in causa preventivamente quando la condivisione di dati diversi da quelli cosiddetti “sensibili” sia tra due amministrazioni che possono invocare il pubblico interesse: si pensi all’Agenzia delle Entrate, all’Inps e agli altri enti che custodiscono una enorme mole di informazioni utili sia per i controlli sia per fornire servizi più efficienti ai cittadini. Resta fermo il fatto che potrà svolgere controlli ex post. Così come continuerà a fornire pareri su riforme, misure e progetti del Recovery plan, anche se dovrà farlo entro 30 giorni dalla richiesta (oggi sono 45) e oltre quel termine l’amministrazione potrà procedere senza attendere oltre.
“La logica di fondo dell’intervento”, che dunque è passata indenne dal passaggio al Senato (ora il testo è passato alla Camera), per Resta “va nella direzione indicata dal pacchetto digitale proposto dalla Commissione europea, che cerca da un lato di stimolare una maggiore utilizzazione dei dati in mano privata e pubblica per incrementare l’innovazione soprattutto nel campo dell’intelligenza artificiale, e dall’altro di rimediare all’asimmetria per cui ci sono grandi soggetti monopolistici che hanno il controllo su enormi masse di dati mentre il settore pubblico non può utilizzare quelli che ha a disposizione per attività di interesse generale, per offrire servizi personalizzati o per esigenze scientifiche perché è soggetto a norme spesso più restrittive”. La modifiche al Codice “tolgono l’alibi spesso invocato per non innovare e non usare tutte le tecnologie per rendere interoperabili le banche dati, pur all’interno di un quadro di garanzie, e smettere, per esempio, di chiedere al cittadino certificati e documenti che altre amministrazioni già possiedono“. Per poi festeggiare il solo fatto che i certificati siano scaricabili online.