Il Decreto Capienze ha apportato numerose modifiche al codice privacy.
In questo articolo, ci focalizzeremo sull’introduzione dell’atto amministrativo generale quale base giuridica dei trattamenti di dati personali svolti dalle Pubbliche Amministrazioni, spiegando anche cosa debba intendersi appunto per “atto amministrativo generale”.
Quelle che hanno interessato gli articoli 2 ter e 2 sexies del Codice privacy sono le modifiche più significative che il Decreto capienze – o meglio, la Legge di conversione 205/2021 – ha apportato al Codice stesso.
Le norme, introdotte nel 2018 con l’entrata in vigore del Regolamento UE 2016/679 (GDPR), si inserivano nello spazio normativo che il Regolamento lasciava si singoli Stati membri per integrare – secondo il diritto proprio di ciascuno Stato – le norme a fondamento dei trattamenti di dati personali effettuati per compiti o motivi di interesse pubblico.
Questa possibilità la si rinviene, in particolare, all’art. 6, 3 comma, lett. b) GDPR dedicato ai dati personali “comuni”, e all’art. 9, comma 2, lett. g) GDPR dedicato ai dati personali particolari.
| GDPR | CODICE PRIVACY | |
| DATI PERSONALI COMUNI | Art. 6, par. 3, lett. b) | Art. 2 ter |
| DATI PERSONALI PARTICOLARI | Art. 9, par. 2, lett. g) | Art. 2 sexies |
Prima dell’emanazione della Legge 205/2021, per entrambe le norme era previsto che la base giuridica fosse “costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento”. Aggiungeva l’art. 2 sexies che, per i dati particolari, dovevano essere specificati “i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.
Oggi entrambi i testi sono, almeno in parte, cambiati.
Per quanto riguarda i dati personali comuni, oggi l’art. 2 ter prevede che la base giuridica per il loro trattamento possa essere costituita, indistintamente “da una norma di legge o di regolamento o da atti amministrativi generali”.
Anche all’art. 2 sexies, dedicato ai dati personali particolari, è stato investito da una novella simile. Oggi, infatti, è previsto che “i trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali” i quali, prosegue la disposizione, devono specificare “i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.
Una differenza di formulazione, rispetto al 2 ter, che si spiega per la tipologia di dati personali considerati e che è (quasi) perfettamente in linea con quanto prescritto dall’art. 9, par. 2, lett. g), che prevede che il diritto dello Stato membro, nell’individuazione delle basi giuridiche per i dati particolari, debba essere “proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.”
La novità, introdotta solo in sede di conversione, è chiara: viene introdotta la nuova base giuridica dell’atto amministrativo generale.
Per comprendere la portata delle novelle, di fronte anche alle tante perplessità della dottrina, appare imprescindibile chiedersi: cosa si intende con “atto amministrativo generale”?
Un atto amministrativo generale è un provvedimento amministrativo espressione di una potestà amministrativa di natura gestionale, ed è rivolto alla cura concreta d’interessi pubblici, esaurendo la loro efficacia con l’adozione degli atti amministrativi applicativi.
Si colloca in una categoria intermedia tra l’atto normativo, che possiede i caratteri della generalità e dell’astrattezza, e l’atto amministrativo, che è destinato ad esplicare i propri effetti durante un periodo più specifico.
Si differenzia dai regolamenti, che sono espressione di una potestà amministrava secondaria rispetto alla potestà legislativa, e disciplinano in astratto tipi di rapporti giuridici mediante una regolazione attuativa o integrativa della legge, ma ugualmente innovativa rispetto all’ordinamento giuridico esistente, con precetti che presentano appunto i caratteri della generalità e dell’astrattezza, intesi essenzialmente come ripetibilità nel tempo dell’applicazione delle norme e non determinabilità dei soggetti cui si riferiscono.
Mentre i regolamenti svolgono una funzione costitutiva dell’ordinamento, dettando norme destinate a valere semper et ad semper – finché non si verifica l’abrogazione – gli atti amministrativi generali esauriscono la loro efficacia con le singole applicazioni dei medesimi.
Nonostante non siano qualificati fonti del diritto, gli atti amministrativi generali presentano gli stessi caratteri tipici e le stesse garanzie:
- devono essere pubblicati;
- la loro ignoranza è inescusabile e vale per essi il principio iuri novit curia;
- vanno interpretati secondo i principi stabiliti dalle preleggi;
- non possono essere derogati da atti puntuali e la loro violazione dà luogo a illegittimità per violazione di legge;
- nel caso di loro violazione o erronea applicazione è ammesso il ricorso in cassazione per violazione di legge;
- sono sottratti all’obbligo di motivazione e ai loro procedimenti non si applicano le norme sulla partecipazione degli interessati;
- sono soggetti al regime del provvedimento espresso, ma non sono autonomamente impugnabili davanti al giudice amministrativo, in quanto non ledono immediatamente l’interesse dei privati; quindi, possono essere impugnati unitamente ai relativi atti applicativi.
Con l’introduzione degli atti amministrativi generali come fonti di individuazione degli interessi pubblici, il Legislatore sembra aver sfruttato a pieno gli spazi che il Regolamento dedica agli Stati membri, nella parte in cui consente loro di determinare in modo specifico l’ambito di applicazione delle basi giuridiche “obbligo di legge” e “interesse pubblico” (art. 6 lett. c ed e).
Tale scelta normativa è stata oggetto di pesanti critiche volte a sottolineare la potenziale arbitrarietà delle scelte delle P.A. in tema di protezione dei dati personali.
Tuttavia, non dimentichiamo che sempre l’azione della PA, come ci ricorda l’art. 1 della Legge 241/1990, deve perseguire “i fini determinati dalla legge ed è retta da criteri di economicità, di efficacia, di imparzialità, di pubblicità e di trasparenza, secondo le modalità previste dalla presente legge e dalle altre disposizioni che disciplinano singoli procedimenti, nonché dai princípi dell’ordinamento comunitario.” Principi a cui la P.A. dovrà attenersi anche in sede di adozione di atti amministrativi generali che riguardano trattamenti di dati personali.
