Meno poteri al Garante se la privacy si allinea al regolamento europeo

Meno vincoli sulla privacy. Le regole sulla tutela dei dati personali, nate 25 anni fa e sottoposte a vari lifting nel corso di questo quarto di secolo, stanno per subire un ulteriore rimaneggiamento. Questa volta la direzione sembra essere soprattutto una: eliminare alcuni obblighi. Obiettivo che passa anche attraverso un ridimensionamento dei poteri del Garante: si riduce lo spazio di intervento attraverso i pareri, gli si leva la possibilità di indicare con un provvedimento le cautele da seguire in caso di uso massiccio dei dati, gli si impongono tempi più stretti (da 45 a 30 giorni) per dire la propria sugli atti riconducibili al Pnrr, si smorzano gli effetti penali dei suoi interventi.

Soprattutto, però, si dà più mano libera al trattamento dei dati personali, in particolare da parte della pubblica amministrazione: se ora occorre una legge o un regolamento che lo autorizzi, da domani basterà un atto amministrativo; e quando c’è l’interesse pubblico, si potrà fare a meno anche di quello.

Il pacchetto di novità è contenuto nel decreto legge Capienze (Dl 139/21 di inizio ottobre), che interviene anche su altri fronti della galassia privacy: c’è l’adeguamento di retribuzioni e piante organiche del Garante e pure un giro di vite nella lotta al revenge porn. Le misure più corpose sono, tuttavia, quelle che si propongono di snellire gli adempimenti sull’uso dei dati. Anche se – va detto – l’attuale formulazione è comunque meno “radicale” rispetto a quella iniziale: prima del passaggio in Senato, infatti, il testo non faceva neppure riferimento all’atto amministrativo quale base legale per il trattamento dei dati (che quindi risultava sempre consentito).

Lo scopo dichiarato del decreto – adesso alla Camera – è di allineare il Codice della privacy al regolamento europeo (il cosiddetto Gdpr). Ci sono ambiti, infatti, in cui l’Europa lascia decidere il legislatore nazionale. Per quanto riguarda il trattamento dei dati, la nostra normativa ha da sempre sposato una linea più rigorosa, imponendo che sia «esclusivamente» una legge o un regolamento a dire come vanno usate le informazioni personali. Il Gdpr elenca invece una serie di condizioni, non così stringenti, perché il trattamento sia lecito: tra queste, l’esecuzione di un compito di interesse pubblico. Non è dunque obbligatorio che esista un atto legislativo ad hoc.

Da questa prospettiva, pertanto, non si può dire che ci sia un ridimensionamento della privacy e dei poteri del Garante. Ci sono, però, episodi di questi anni che possono indurre a una diversa lettura, anche perché una certa insofferenza, non sempre ingiustificata, ha spesso accompagnato le regole sulla riservatezza.

La principale contesa è nel campo del Fisco. I (troppi) vincoli della privacy – ha sottolineato in più occasioni il direttore dell’agenzia delle Entrate, Ernesto Maria Ruffini – frenano il contrasto all’evasione. E frenano, in particolare, il proficuo sfruttamento di quella miniera di dati che nasce dalla fatturazione elettronica e che potrebbe arricchirsi ulteriormente se l’obbligo di e-fattura venisse esteso agli 1,5 milioni di partite Iva in regime forfettario.

Ma, ora che il Dl 139 – da convertire in legge entro il 7 dicembre – si appresta a “liberare” la pubblica amministrazione dal necessario e continuo intervento del legislatore, si spiana la strada all’incrocio delle banche dati. Intanto, sta per finire il lungo confronto con il Garante sulle modalità di attuazione del collegato fiscale alla legge di Bilancio 2020 (articolo 14, Dl 124/2019), che ha previsto termini più ampi per la memorizzazione delle fatture elettroniche (8 anni) e la possibilità di usare dati anche non strettamente fiscali. Un confronto che riguarda la gestione delle e-fatture relative sia alle operazioni commerciali (B2B), sia a quelle – più “delicate” – con i consumatori finali (B2C).

Il vaglio sullo schema di provvedimento del direttore dell’Agenzia, inviato nel 2020, dovrebbe quindi chiudersi a breve: procedure di conservazione e cancellazione dei dati saranno individuate con un parere definitivo che l’Authority si augura di riuscire a dare «prima delle ferie natalizie». Il 31 dicembre, d’altra parte, scade il periodo transitorio per la memorizzazione delle fatture elettroniche e il termine per aderire al servizio di consultazione e acquisizione di quei documenti.

È invece ancora in corso l’istruttoria sullo schema di decreto del Mef relativo all’«anonimetro» annunciato dalla legge di Bilancio 2020. Cioè la possibilità di pseudoanonimizzare i dati presenti nell’anagrafe tributaria per individuare criteri di rischio evasione e «far emergere posizioni da sottoporre a controllo».