Home

La base giuridica per l’esecuzione di un compito di interesse pubblico

26 Aprile 2023

Il GDPR prevede quale base giuridica per il trattamento dei dati personali quella relativa alla necessità della esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. L'Autore analizza tale base giuridica, in collegamento con la disciplina di adeguamento nazionale prevista all'interno del Codice privacy e indicando altresì alcuni provvedimenti di interesse adottati dall'Autorità di controllo.

Il quadro normativo

Il Regolamento (UE) 2016/679 prevede, tra le basi giuridiche che rendono lecito il trattamento di dati personali, la necessità della “esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. e) GDPR). I titolari del trattamento che intendono utilizzare tale base giuridica debbono essere in grado di dimostrare (in regime di accountability – cfr. art. 3, par. 2, GDPR) quali siano le norme poste alla base della loro azione.

Poiché per la Pubblica Amministrazione e gli enti che operano nel pubblico interesse la base normativa sostituisce ed esaurisce il presupposto del consenso, tali titolari non possono utilizzare quest'ultimo per legittimare i trattamenti posti in essere.

L'art. 6, par. 3 GDPR esplicita due condizioni già contenute nel paragrafo 1: la base dell'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri deve essere stabilita dal diritto dell'Unione o dal diritto dello Stato membro, cui è soggetto il titolare del trattamento. Quanto a quest'ultima ipotesi, il contenuto delle disposizione specifiche nazionali sul trattamento dei dati possono riguardare: “le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto”.

In riferimento al trattamento di categorie particolari di dati personali (art. 9 GDPR) e dati relativi a condanne penali e reati (art. 10 GDPR), nella “Nota del Presidente del Garante al Presidente del Consiglio dei Ministri, al Presidente della Conferenza delle regioni e delle province autonome e al Presidente dell'ANCI, in tema di trattamenti di categorie particolari di dati personali per motivi di interesse pubblico rilevante” del 27 novembre 2018 (doc. web n. 9065601) viene chiarito che “solo enti titolari - in base a disposizioni di legge - di potestà regolamentare avente carattere normativo (con esclusione, quindi, dei soggetti titolari di potestà regolamentare a rilevanza meramente interna), potranno continuare a individuare, con tale fonte, trattamenti di particolari categorie di dati personali e di dati relativi a condanne penali e reati. Per i soggetti sprovvisti di potestà regolamentare in senso proprio, invece, sarà l'amministrazione di riferimento, titolare dei poteri di vigilanza, indirizzo e controllo sugli stessi, a disciplinare, con proprio regolamento, il trattamento di particolari categorie di dati personali e di dati relativi a condanne penali e reati”.

Quali le differenze rispetto alla disciplina previgente?

Rispetto al testo della previgente Direttiva 95/46/CE (art. 7, lett. e), nel testo attuale non viene riprodotta l'ipotesi in cui ad essere investito di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri fosse un soggetto “terzo a cui vengono comunicati i dati”.

Rispetto al Codice Privacy ante novella apportata dal d.lgs. 101/2018, nel testo attuale non viene fatta alcuna distinzione tra le Pubbliche Amministrazioni ed enti pubblici istituzionali e enti pubblici economici, questi ultimi essendo assimilati agli enti privati.

La determinazione del soggetto titolare del trattamento

Le condizioni di liceità riguardano il trattamento e non il soggetto che lo realizza; per cui anche un soggetto privato, che tuttavia svolga attività nell'interesse pubblico, sarà assoggettato alla medesima base giuridica dell'ente pubblico istituzionale.

Un'indicazione può essere rinvenuta nel Considerando 45, che precisa come “dovrebbe altresì spettare al diritto dell'Unione o degli Stati membri stabilire se il titolare del trattamento che esegue un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri debba essere una pubblica autorità o altra persona fisica o giuridica di diritto pubblico o, qualora sia nel pubblico interesse, anche per finalità inerenti alla salute, quali la sanità pubblica e la protezione sociale e la gestione dei servizi di assistenza sanitaria, di diritto privato, quale un'associazione professionale”.

Cosa si intende per “Pubblica Amministrazione”?

La definizione di cosa, in Italia, debba intendersi per “Pubblica Amministrazione” è un compito di non facile soluzione. In via generale, e senza pretesa di esaustività, il richiamo di maggiore interesse è costituito dal d.lgs. 165/2001, il quale all'art. 1, comma 2, include nel concetto “tutte le amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunità montane, e loro consorzi e associazioni, le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli enti del Servizio sanitario nazionale l'Agenzia per la rappresentanza negoziale delle pubbliche amministrazioni (ARAN) e le Agenzie di cui al decreto legislativo 30 luglio 1999, n. 300”.

Occorre che sia comunque garantita la proporzionalità del trattamento, come previsto dall'art. 6, par. 3, lett. b), GDPR, a mente del quale “il diritto dell'Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all'obiettivo legittimo perseguito”.

La disciplina prevista dal codice privacy

Il Considerando 41 GDPR, che potremmo considerare alla stregua di una “interpretazione autentica” del testo normativo vero e proprio, chiarisce che “qualora il […] regolamento faccia riferimento a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l'adozione di un atto legislativo da parte di un parlamento, fatte salve le prescrizioni dell'ordinamento costituzionale dello Stato membro interessato. Tuttavia, tale base giuridica o misura legislativa dovrebbe essere chiara e precisa, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità della giurisprudenza della Corte di giustizia dell'Unione europea (la “Corte di giustizia”) e della Corte europea dei diritti dell'uomo”.

In questo panorama, il d.lgs. 101/2018 ha introdotto all'interno del “Codice in materia di protezione dei dati personali” recante diposizioni per l'adeguamento dell'ordinamento nazionale al GDPR (d.lgs. 196/2003), l'art. 2-ter, successivamente modificato dal d.l. 139/2021, convertito con modificazioni dalla l. 205/2021, con il quale il legislatore nazionale ha previsto che la base giuridica per il trattamento di dati personali effettuato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri è costituita “da una norma di legge o di regolamento o da atti amministrativi generali”.

Il medesimo trattamento è anche consentito “se necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri” attributi a un'amministrazione pubblica e agli altri soggetti individuati dal comma 1-bis.

L'art. 2-ter Codice privacy fornisce successivamente le definizioni di “comunicazione” e “diffusione” (le stesse non si rinvengono all'interno del GDPR): con la prima, si intende “il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dell'Unione europea, dal responsabile o dal suo rappresentante nel territorio dell'Unione europea, dalle persone autorizzate, ai sensi dell'articolo 2-quaterdecies, al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione”; con la seconda, “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”.

Ciò posto, il comma 2 concerne la comunicazione fra titolari che effettuano trattamenti di dati personali c.d. “comuni” (con esclusione, quindi, di quelli disciplinati agli artt. 9 e 10 GDPR) per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri: tale comunicazione è ammessa – per le medesime finalità – qualora prevista da una norma di legge o di regolamento o da atti amministrativi generali, ovvero qualora comunque necessaria per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri.

Ai sensi del comma 3, anche la diffusione e la comunicazione di dati personali a soggetti che intendono trattarli per altre finalità sono ammesse alle stesse condizioni. Tuttavia, unicamente qualora le stesse siano necessarie per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri, ne deve essere data notizia al Garante almeno dieci giorni prima dell'inizio della comunicazione o diffusione.

Inoltre, in forza della previsione contenuta all'art. 2-quater Codice privacy, il Garante promuove l'adozione di regole deontologiche per tali trattamenti, verificandone la conformità alle disposizioni vigenti e impegnandosi a contribuire a garantirne la diffusione. Tali regole assurgono a veri e propri parametri integrativi della legittimità del trattamento, il quanto il rispetto delle disposizioni ivi contenute “costituisce condizione essenziale per la liceità e la correttezza del trattamento dei dati personali”.

Interventi dell'Autorità Garante per la protezione dei dati personali

Di seguito si propone una breve rassegna di provvedimenti adottati in materia dal Garante per la protezione dei dati personali; ciascuno risente del quadro normativo applicabile ratione temporis:

  • Comunicazione 16 gennaio 2019, doc. web n. 9084551: la raccolta generalizzata di dati personali relativi a tutto il personale infermieristico operante sul proprio territorio di competenze non è compresa tra le funzioni istituzionali degli Ordini delle professioni infermieristiche.
  • Provvedimento 5 marzo 2020, n. 43, doc. web n. 9304455: in materia di comunicazioni di dati personali tra diverse Pubbliche Amministrazioni, aventi ad oggetto categorie particolari di dati personali, il trattamento è ammesso solo qualora sia presente una base giuridica costituita dalla sussistenza di motivi di interesse pubblico rilevante.
  • Provvedimento 26 marzo 2020, n. 64, doc. web n. 9300784: nell'erogazione della didattica in modalità on-line da parte di scuole e università, non è necessario acquisire il consenso al trattamento dei dati funzionali allo svolgimento della predetta attività in quanto il trattamento è necessario per l'esecuzione di un compito di interesse pubblico.
  • Provvedimento 17 dicembre 2020, n. 275, doc. web n. 9519360: la comunicazione di dati personali è ammessa quanto necessaria per lo svolgimento di un compito di interesse pubblico o lo svolgimento di funzioni istituzionali e può essere iniziata qualora sia decorso il termine di 45 giorni dalla comunicazione al Garante, senza che lo stesso abbia predisposto una diversa determinazione delle misure da adottarsi a garanzia degli interessati.
  • Provvedimento 11 febbraio 2021, n. 54, doc. web n. 9556625: un decreto direttoriale del MISE non possiede i requisiti necessari per essere considerato un'idonea base giuridica per la diffusione dei dati personali da parte di soggetti pubblici, poiché non riconducibile alla nozione di “norma di legge o, nei casi previsti dalla legge, di regolamento”.

In conclusione

L'applicazione della base giuridica in esame per legittimare il trattamento deve essere interpretata restrittivamente, sì che il compito di interesse pubblico o connesso all'esercizio di pubblici poteri deve essere individuato caso per caso.

Ai fini dell'individuazione della base giuridica del trattamento dei dati per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri non è possibile ricorrere al consenso dell'interessato.

La base giuridica per il trattamento di dati personali effettuato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri è costituita “da una norma di legge o di regolamento o da atti amministrativi generali”; il trattamento è anche consentito se necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri attribuiti a un'amministrazione pubblica.

Alle medesime condizioni è ammessa la comunicazione fra titolari che effettuano trattamenti di dati personali c.d. “comuni” per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri.

Guida all’approfondimento

- R. D' Orazio, G. Finocchiaro, O. Pollicino, G. Resta (a cura di), Codice della privacy e data protection, Giuffrè 2021

- P. Perri, G.Ziccardi (a cura di), Dizionario Legal Tech, Giuffrè 2020

- L. Bolognini, E. Pelino (diretto da), Codice della disciplina privacy, Giuffrè 2019

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario
Interventi dell'Autorità Garante per la protezione dei dati personali