L’agevolazione introdotta dalla l. numero 205/2021 che ha convertito il D.L. numero 139/2021 potrebbe riguardare anche la videosorveglianza comunale. Ma la prudenza è d’obbligo in attesa di indicazioni centrali.
Molte sono le perplessità che emergono da una prima lettura dell’affrettata riforma del Codice nazionale sul trattamento dei dati personali introdotta dalla l. numero 205 in vigore dall’8 dicembre 2021 la quale, con integrazioni e modifiche, ha operato la conversione del DL numero 139/2021 già pubblicato in assenza del preventivo vaglio del Garante nazionale nonostante il significativo impatto che lo stesso ha comportato rispetto ai diritti e alle libertà fondamentali degli interessati. Una conversione in legge che, piuttosto inaspettatamente, ha pure riguardato la normativa nazionale di recepimento della direttiva UE 2016/680, meglio nota come “ Direttiva di Polizia ” o, in acronimo, DPDPG ossia il d.lgs. numero 51/2018. Infatti, nel silenzio degli organi centrali, in assenza di coerenti indicazioni rinvenibili negli sbrigativi e superficiali lavori parlamentari, nonché omessa ogni considerazione rispetto alle segnalazioni di disponibilità a fornire indicazioni pervenute dall’autorità di controllo, il Parlamento ha apportato graficamente piccole ma assai significative modifiche anche al decreto di recepimento della DPDPG, il d.lgs numero 51/2018, colà lasciando di nuovo all’interprete DPO o RPD delle autorità competenti italiane il compito di tentare di tratteggiarne un quadro applicativo per quanto possibile coerente rispetto alla normativa euro-unitaria missione che si presenta ardua e per nulla scontata negli esiti finali complessivi ed a cui la stessa potrebbe dare luogo. Attendersi una congerie di soluzioni applicative differenziate e frammentate su tutto il territorio nazionale potrebbe, difatti, considerarsi una previsione per niente azzardata. Ciò che ha colto maggiormente di sorpresa gli studiosi della materia è stato l’operato allargamento in possibili modalità “fai da te” della base giuridica normativa del trattamento dei dati personali anche avuto riguardo l’ambito oggettivo e soggettivo di applicazione del citato Dlgs numero 51/2018. Il trattamento è oggi lecito, prevede il nuovo articolo 5 del citato Decreto, « se è necessario per l’esecuzione di un compito di un’autorità competente per le finalità di cui all’articolo 1, comma 2 [id est accertamento, indagine, prevenzione e tutela della pubblica sicurezza] , e si basa sul diritto dell’Unione europea o su disposizioni di legge o di Regolamento o [ecco la novità] su atti amministrativi generali che individuano i dati personali e le finalità del trattamento ». E autorità competente per l’attuazione delle finalità di prevenzione, indagine, accertamento e perseguimento dei reati ad esempio stradali , ovvero per la tutela della sicurezza pubblica, può essere considerato anche ognuno dei circa ottomila comuni esistenti in Italia. La Corte di Giustizia UE, il c.d. WP ex articolo 29 di cui alla abrogata Direttiva UE 1995/46, le stesse autorità Garanti degli stati membri, hanno da tempo fornito indicazioni univoche circa il fatto che anche le amministrazioni comunali, al pari di molte altre autorità che non esercitano prioritariamente funzioni di polizia, rispetto al trattamento di certi dati personali, ad esempio gestiti dalle polizie locali o da parte dei servizi sociali o comunque essenziali per la cittadinanza, da considerarsi autorità competenti tenute all’applicazione della citata DPDPG e, quindi, non solo della normativa in tema di trattamento dei dati personali che, di converso, potremmo definire ordinario. Attualmente, quindi, mediante l’assunzione di un provvedimento amministrativo generale, non meglio qualificato, né unanimemente qualificabile – resa assente ogni ponderazione su ciò che dovrebbe intendersi per base giuridica proveniente da una legge da intendersi in senso europeistico, salvo i limiti costituzionali previsti da ogni Stato dell’Unione – anche le autorità competenti in materia di prevenzione, indagine ed accertamento di reati, ovvero preposte alla salvaguardia della sicurezza pubblica, potrebbero ipotizzare di crearsi la propria base giuridica normativa non solo per un qualsiasi trattamento ordinario di dati personali, bensì anche rispetto alle suddette più delicate finalità. Sicché, qualche amministratore coraggioso o “temerario” potrebbe, attraverso l’assunzione di atti amministrativi innovativi, pensare addirittura di “riesumare” il riconoscimento facciale mediante dispositivi di video-audio ripresa che, sebbene messi “al bando” sino a fine dicembre 2023, esigenze particolari, quali appunto quelle di indagine o accertamento di reati, potrebbero tranquillamente “riabilitare” previo ottenimento del parere del Garante che, al momento, si potrebbe presumere, o auspicare, dover essere sempre negativo, salvo imprevedibili eccezioni . In effetti con l’articolo 9, co. 9, 10 e 11, del citato D.L. numero 139/2021 convertito, è stato introdotto un divieto generale rivolto sia alle autorità pubbliche che ai soggetti privati di utilizzare, in luoghi pubblici o aperti al pubblico, impianti di videosorveglianza caratterizzati da «sistemi di riconoscimento facciale operanti attraverso l’uso dei dati ». Il nostro Legislatore, però, ha previsto un’importante eccezione resa operativa dal comma 12 dello stesso articolo il divieto, difatti, non troverebbe applicazione proprio in relazione a quei trattamenti effettuati dalle autorità competenti a fini di prevenzione e repressione dei reati o di esecuzione di sanzioni penali di cui al D.L. numero 51/2018 in presenza di un parere favorevole del Garante ex articolo 24, co. 1, lett. b dello stesso Decreto, ossia rilasciato in c.d. fase di “consultazione preventiva” che la norma, del resto, già prevedeva, imponendone l’acquisizione, anche per il caso di trattamento di dati biometrici che, invero, le tecnologie di riconoscimento facciale da video-ripresa impongono di trattare l’esito del riconoscimento facciale è, difatti, sempre un dato personale biometrico che, quindi, andrebbe ricondotto alle categorie particolari di dati personali ex articolo 9 del GDPR e 7 ex d.lgs. numero 51/2018. Quest’ultimo prerequisito non è necessario solo in caso di « trattamenti effettuati dall’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali nonché di quelle giudiziarie del pubblico ministero ». Autorità che, dunque, per determinati compiti, potrà impiegare i sistemi di riconoscimento facciale indipendentemente da una preventiva consultazione del Garante seguita da parere favorevole. Ebbene, esposta in modo sintetico e parziale l’introdotta novella, qui tralasciando il criticabile utilizzo della decretazione d’urgenza massiva ed eterogena, nonché la discutibile tecnica redazionale da cui essa muove – e che pare ormai inesorabilmente caratterizzare il nostro Legislatore – sono i seguenti aspetti che le autorità competenti dovrebbero considerare molto bene prima di creare basi giuridiche normative su cui poggiare nuovi trattamenti di dati personali. Occorre andare con ordine. È noto che ai sensi dell’articolo 36, paragrafo 4, del GDPR « gli Stati membri consultano l’autorità di controllo durante l’elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento ». Consultazione che, tuttavia, per il D.L. numero 139/2021 non risulta essere intercorsa. Alcuni sostengono al detto proposito che, essendo il decreto-legge un atto assunto dal Governo lo stesso non sarebbe incluso nella previsione del citato articolo 36 paragrafo 4 del Regolamento generale anche se, in ultima analisi, pure il decreto-legge dovrebbe essere immediatamente sottoposto al parlamento in forma di proposta di legge finalizzata alla sua conversione. E pure a voler dare peso a tale tesi non proprio in linea con l’interpretazione estensiva da assicurassi agli interessati la necessaria consultazione preventiva dell’Autorità garante è prevista anche dal Dlgs. numero 51/2018 all’articolo 24, comma 2 ove la norma prevede che « il Garante è consultato nel corso dell’esame di un progetto di legge o di uno schema di decreto legislativo ovvero di uno schema di regolamento o decreto non avente carattere regolamentare, suscettibile di rilevare ai fini della garanzia del diritto alla protezione dei dati personali ». Al suddetto riguardo andrebbe anche, per scrupolo, esclusa da ogni fondamento la singolare tesi secondo cui il D.L. numero 139/2021 e la successiva legge di conversione dello stesso avrebbero abrogato implicitamente il d.lgs. numero 51/2018. Il d.lgs. numero 51/2018, difatti, costituisce pedissequa applicazione di una norma sovranazionale europea, la citata Direttiva numero 680/2016, che, difatti, all’articolo 28 prevede l’obbligo esplicito, ed ineliminabile, della consultazione preventiva dell’Autorità garante di controllo. Perciò, il D.L. numero 139/2021 e la legge di conversione numero 205/2021 non essendo stati resi oggetto di consultazione preventiva del Garante, né ai sensi dell’articolo 36, paragrafo 4 del GDPR, né ai sensi dell’articolo 24, comma 2, del d.lgs. numero 51/2018, sarebbero in primo luogo da considerarsi potenzialmente incostituzionali se non altro ed almeno sotto i profili di non scarsa importanza appena assai sinteticamente illustrati. Oltretutto, anche ove si volesse prescindere da tale primo aspetto, ci si dovrebbe interrogare a fondo circa la portata giuridica da attribuirsi alla locuzione « atto amministrativo generale » di cui alla principale innovazione apportata dalla novella in commento e che, come visto, ha impattato significativamente sulle prerogative delle autorità competenti. V’è innanzitutto da evidenziare che ove si cercasse di qualificare tale locuzione « atto amministrativo generale » alla luce delle sole categorie giuridiche nazionali ad esempio cimentandosi ad operare delle distinzioni accademiche tra atto generale o normativo, astrattezza e generalità, necessità o non necessità di motivazione, etc. si potrebbe commettere un grave errore di valutazione. Invero, così come ad esempio previsto rispettivamente dai considerando numero 41 del GDPR e numero 33 della DPDPG, per misura legislativa che individui una base giuridica di trattamento in materia di dati personali, non occorre un atto legislativo che provenga da un parlamento nazionale, bensì, più semplicemente, una qualsiasi misura assumibile da parte di qualunque autorità o istituzione a patto che sia sempre conoscibile e chiara nella propria prevedibile applicazione per le persone a cui la stessa dovrebbe riferirsi nella sua possibile portata normativa e, gioco-forza, regolamentare. Orbene, in dichiarata applicazione del paragrafo 3, articolo 6 del GDPR e, specularmente, del primo comma dell’articolo 5 del d.lgs. numero 51/2018, il Legislatore, con la novella in commento, ha perciò – più o meno consapevolmente – dato applicazione ad entrambe le disposizioni in parola nella parte in cui le stesse prevedono che il trattamento si debba basare o sul diritto euro unitario, ovvero su disposizione di legge nazionale o di regolamento che individuano i dati personali e le finalità del trattamento. L’attuazione di tali prescrizioni, tuttavia, potrebbe ritenersi singolare poiché la L. numero 205/2021, in tale necessitato se non unico paradigma interpretativo, non può che costituire una sorta di delega legislativa generica operata a favore delle amministrazioni e autorità competenti le quali, attraverso gli atti amministrativi generali che le stesse assumerebbero in modo conoscibile e chiaro e pertanto valevole ad assurgere il rango di misura legislativa per il diritto UE , l’attuerebbero nel caso concreto, ivi specificando esse le condizioni generali di trattamento, le tipologie di dati oggetto dello stesso, gli interessati, i soggetti cui potrebbero essere comunicati i dati e così via. Acciocché, in definitiva, sarebbero gli atti amministrativi generali a rappresentare in concreto le “delegate” norme legittimanti il trattamento e, come tali, in quanto suscettibili di rilevare ai fini delle garanzie del diritto alla protezione dei dati personali, da doversi sottoporre preventivamente al vaglio del Garante sia, in taluni casi, ai sensi dell’articolo 36 del GDPR, sia, in tal altri, ai sensi dell’articolo 24 del d.lgs numero 51/2018. Si potrebbe perciò concludere consigliando iniziale prudenza alle autorità competenti, nonché di guardarsi bene dall’innovare con disinvoltura, ovvero mediante la creazione di nuove basi giuridiche di trattamento di dati personali prescindendo dal vaglio preventivo del Garante nazionale.