VERBALIZZAZIONE E PRIVACY di M.Mancini
L’ACCERTAMENTO DELLE VIOLAZIONI AMMINISTRATIVE SENZA RISPETTO DELLA PRIVACYdi Massimiliano #Mancini(1)
Abstract: Il mancato rispetto delle norme sulla privacy nell’accertamento delle violazioni amministrative pregiudica la validità dell’accertamento ed espone l’ente alle gravi sanzioni previste dal DGPR.
Keywords: #AccertamentoViolazioniAmministrative #Privacy #DGPR #PoliziaGiudiziaria #OrdineSicurezzaPubblica #PubblicaSicurezza #PoliziaAmministrativa #PoliziaStradale #TrattamentoDatiPersonali #DPO #DataProtectionOfficer #RPD #ResponsabileProtezioneDati #InformativaPrivacy #DirittoOblio #CancellazioneDatiPersonali #MassimilianoMancini #EspertiUPLI #UPLI #UnionePoliziaLocaleItaliana
(1) Segretario Generale UPLI, già comandante dirigente di Polizia Locale e Provinciale, DPO/RPD e consulente privacy in enti pubblici e aziende private.
Premessa
La patologia dell’atto amministrativo è un’espressione che utilizza un termine medico in ambito giuridico per indicare, nel caso di specie del diritto amministrativo, le difformità dell’atto rispetto al paradigma normativo di riferimento che possono determinare, a seconda dei casi e della gravità, conseguenze che vanno dalla irregolarità sanabile sino alla nullità assoluta.
Sino alla riforma introdotta dalla legge 11 febbraio 2005 n.15, Modifiche ed integrazioni alla legge 7 agosto 1990, n. 241, concernenti norme generali sull’azione amministrativa[a], si riteneva che l’atto amministrativo non potesse mai essere nullo ma al massimo annullabile con accertamento giudiziale nei casi di incompetenza, eccesso di potere e violazione di legge.
Tralasciando le questioni sulle due fattispecie e l’approfondimento della differenziazione tra nullità e annullabilità dell’atto amministrativo, in questa sede ci si vuole concentrare sulla validità dell’atto amministrativo e, nel caso specifico, del verbale di accertamento delle violazioni amministrative ai sensi della disciplina generale della Legge 24 novembre 1981 n.689, Modifiche al sistema penale,
e della disciplina speciale prevista dagli art.195-205 del Decreto Legislativo 30 aprile 1992 n. 285, Nuovo codice della strada, nei casi in cui sia violata la vigente normativa sulla privacy.
Contemporaneamente si vuole riflettere sulla sopravvivenza dell’intero procedimento di accertamento dell’infrazione amministrativa, nei casi in cui esso non sia conforme agli obblighi previsti dalle norme europee in materia di tutela dei dati personali, e subordinatamente, laddove si ritenga che le violazioni lo vizino, se vi siano possibilità per interventi in sanatoria.
Le condizioni di nullità e annullabilità di un atto amministrativo
L’istituto della nullità del provvedimento amministrativo è disciplinato dall’art.21-septies della legge 241/1990, introdotto dalla citata Legge 15/2005, che stabilisce come criteri per verificarsi[b]:
- Difetto assoluto di attribuzione.
- Violazione o elusione del giudicato.
- Altri casi in cui la legge ne preveda espressamente la nullità.
La tassatività dei casi indicati e la chiara formulazione della fattispecie rende la violazione di norme di legge non sufficiente a far scaturire le conseguenze di quest’articolo.
L’art.21-octies della legge 241/1990, introdotto dalla già citata Legge 15/2005, ha ribadito il quadro normativo consolidato (art.22 del Regio Decreto 17 agosto 1907 n.638, art.5 del Regio Decreto 30 dicembre 1923 n.2840, art.26 Regio Decreto 26 giugno 1924 n.1054, art.2 Legge 6 dicembre 1971 n.1034) dei tradizionali vizi che da sempre determinano le condizioni di annullabilità dell’atto amministrativo e precisamente[c]:
- Violazione di legge.
- Eccesso di potere.
- Altri casi espressamente previsti dalla legge.
Considerato che il Regolamento UE 2016/679 approvato dal Parlamento Europeo e dal Consiglio il 27 aprile 2016, Regolamento Generale sulla Protezione dei Dati, noto anche con la denominazione anglosassone Data General Protection Regulation, da cui l’acronimo DGPR, non esclude dalla sua applicazione l’attività amministrativa svolta delle forze di polizia[d] e previste come tali dalle leggi nazionali (DGPR art.1 c.2)[e], il mancato rispetto di tutte le norme, le procedure, formali e sostanziali, e degli adempimenti previsti in materia di privacy da parte dei corpi e organi di polizia costituisce indiscutibilmente uno dei casi di violazione di legge previsti come condizione di annullabilità dell’atto amministrativo.
Le attività di polizia soggette alle norme sulla privacy
Il Regolamento UE 2016/679, tutela i dati personali delle persone fisiche (DGPR art.1 c.1) [f] soggetti a trattamento, così come definiti dalla stessa normativa (DGPR art.1 c.2)[g], com’è il procedimento amministrativo di accertamento delle violazioni amministrative che richiede la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento, la modifica, l’estrazione, la consultazione, l’uso la comunicazione mediante trasmissione, la cancellazione o la distruzione dei dati personali del trasgressore e dell’obbligato in solido.
Tutte queste attività rendono obbligatorio il rispetto integrale di tutte le disposizioni in materia di privacy sin dal verbale di accertamento di accertamento della violazione amministrativa elevato, ad esempio, nei casi di:
- violazione alle norme del Codice della strada;
- violazione alle norme in materia commerciale;
- violazione alle norme amministrative in materia urbanistica/edilizia;
- violazione alle norme amministrative in materia ambientale;
- violazione alle norme amministrative in materia ittica/venatoria.
A ben vedere tutte le attività di polizia sono ricomprese nel campo di applicazione delle norme sulla privacy previste dal DGPR Regolamento UE 2016/679 esclude dall’applicazione della normativa sulla privacy solo alcune delle attività svolte delle forze di polizia (DGPR art.1 c.2)[h] e tassativamente previste e tra esse non rientra alcuna delle attività di accertamento delle violazioni amministrative, essendo escluso solamente le attività e i procedimenti di:
- polizia giudiziaria (DGPR art.1 c.2 lettera d);
- Interpol svolta al di fuori dell’Unione europea (DGPR art.1 c.2 lettera a).
- pubblica sicurezza pubblica (DGPR art.1 c.2 lettera d).
Le norme del DGPR sono in vigore nel nostro ordinamento sin dal 24/05/2016 poiché i Regolamenti europei sono un atto normativo che entra immediatamente in vigore negli Stati membri, senza alcun bisogno di atti di recepimento o di leggi di conversione da parte degli organi legislativi nazionali, come stabilisce l’art.288 del Testo sul Funzionamento dell’Unione Europea[i].
Inoltre non sono ammesse deroghe o eccezioni da parte delle norme nazionali, poiché la normativa Europea e specificatamente i Regolamenti europei godono di una supremazia rispetto tutte le norme nazionali sia per la limitazione di sovranità dello Stato, e quindi del suo potere legislativo, prevista dall’art.11[j] della Costituzione e anche per il divieto esplicito di contrasto alla normativa comunitaria espressamente previsto a carico di tutti di organi legislativi dall’art.117 c.1[k] e 5[l] della stessa Costituzione.
L’accertamento delle violazione amministrativa non conforme alla privacy
Il DGPR non distingue tra violazioni formali e violazioni sostanziali, poiché prevede un sistema di valori e un procedimento di trattamento dei dati personali che, sin dal primo momento e sino a tutte le ultime fasi del trattamento dei dati personali deve essere preventivamente previsto e costantemente rispettato in ogni momento, secondo i principi di privacy by default (GDPR art.25 c.1)[m] e privacy by design (GDPR art.25 c.2)[n].
Il procedimento amministrativo, quindi, per essere conforme alle norme sulla privacy deve aver messo in atto preventivamente tutti i requisiti di legge come ad esempio, nel caso dell’accertamento delle violazioni amministrative:
- definizione delle privacy policy, privacy by design per tutti i procedimenti amministrativi, a cominciare da quello di accertamento delle violazioni amministrative;
- sistemi informatici e modalità di gestione cartacea strutturati in modo da garantire la massima sicurezza;
- nomina del DPO, dei responsabili del trattamento, degli autorizzati al trattamento, adeguatamente e costantemente formati;
- registri del trattamento e dei data breach, presenti e aggiornati;
- valutazione d’impatto, nei casi previsti;
- consegna dell’informativa sulla privacy al soggetto sanzionato prima di raccogliere i dati (ad es. prima dell’identificazione e della verifica dei documenti), essa deve essere precisa, aggiornata e tassativa;
- verificare che i dati personali siano immediatamente cancellati quando ne venga meno il presupposto di legge (ad es. quando è eseguito il pagamento in misura ridotta).
Laddove tutti i requisiti imposti dalla normativa sulla privacy non siano rispettati il procedimento è impugnabile sin dal verbale di accertamento della violazione amministrativa per violazione di legge, come si è detto in precedenza e per quelle previsioni normative che si sono indicate.
Tuttavia non è detto che l’atto sia necessariamente annullato, poiché lo stesso art.21-octies della legge 241/1990[o]consente la sopravvivenza dell’atto laddove l’amministrazione dimostri specificatamente (non limitandosi semplicemente a dichiararlo) che il provvedimento, pur in violazione delle norme sul procedimento o sulla forma degli atti qualora, per la natura vincolata del provvedimento sia palese che il suo contenuto dispositivo non avrebbe potuto essere diverso da quello in concreto adottato.
La sopravvivenza del procedimento di accertamento non è comunque rassicurante per l’amministrazione da cui dipendono gli operatori di polizia, poiché non esclude anzi non può evitare né l’applicazione delle sanzioni previste dal DGPR né l’azione risarcitoria civile del soggetto i cui dati sono stati trattati in violazione delle norme sulla privacy.
Conclusione, le conseguenze delle violazioni alle norme sulla privacy
Le sanzioni previste dal DGPR sono molto pesanti e colpiscono anche le minime violazioni a questi obblighi, infatti l’art.83 del DGPR prevede sanzioni che possono arrivare a 10.000.000 € per le violazioni più lievi (GDPR art.83 c.4)sino a 20.000.000€ per le violazioni più gravi (GDPR art.83 c.5)[q].
L’attuale impianto sanzionatorio sinora è stato di basso impatto solo per il limitato numero di controlli a carico degli enti pubblici e per le denunce ancora pressoché inesistenti, dovuto probabilmente al fatto che la conoscenza della normativa sulla privacy e l’influenza sulla vita dei cittadini e delle istituzioni ha operato una rivoluzione di portata ancora non avvertita nella sua interezza.
Fermo restando che è eticamente inaccettabile che la pubblica amministrazione e in particolare le forze di polizia violino deliberatamente le norme che essi stessi sono preposti a far rispettare come compito d’istituto e come missione della propria istituzione, ancor peggio se la scelta sia conseguenza di una valutazione sull’allocazione delle risorse economiche di bilancio, poiché nessun fine nell’attività di polizia è nobile al punto da giustificare il più lieve mezzo illegale per raggiungerlo.
Si deve prendere atto che la cultura generale sulla privacy si sta evolvendo verso una sempre maggior conoscenza e competenza e che la situazione contingente in cui si trova un soggetto sanzionato può facilmente indurre a passare dalla posizione di trasgressore a quella di parte lesa e da quella di debitore a quella di creditore.
In questo contesto normativo il rischio è così elevato da sconsigliare qualsiasi attività al di fuori del rispetto delle norme sulla privacy, poiché le sanzioni sono in grado non solo di avere conseguenze gravissime sui bilanci degli enti coinvolti, che nel caso dei comuni più piccoli possono avere conseguenze tragiche, al punto da poter determinare persino il dissesto finanziario.
Sul piano personale si immagini quali conseguenze potrebbero avere una sanzione elevata all’ente di appartenenza per violazione delle norme sulla privacy, che sarebbero conseguentemente oggetto di valutazione da parte della Corte dei Conti ai fini del danno erariale e del risarcimento personale.
[a] Legge 11 febbraio 2005 n.15, art.14: «1. Dopo l’articolo 21 della legge 7 agosto 1990 n. 241 è inserito il seguente capo: “CAPO IV-bis EFFICACIA ED INVALIDITÀ DEL PROVVEDIMENTO AMMINISTRATIVO. REVOCA E RECESSO…omissis.. ».
[b] Legge 7 agosto 1990, n.241, art.21-septies (Nullità del provvedimento) «1. È nullo il provvedimento amministrativo che manca degli elementi essenziali che è viziato da difetto assoluto di attribuzione che è stato adottato in violazione o elusione del giudicato nonché negli altri casi espressamente previsti dalla legge».
[c] Legge 7 agosto 1990, n.241, art.21-octies (Annullabilità del provvedimento) «1. È annullabile il provvedimento amministrativo adottato in violazione di legge o viziato da eccesso di potere o da incompetenza.».
[d] Si veda al proposito: M.Mancini, L’applicazione della disciplina sulla privacy all’attività di polizia.
Su https://www.unionepolizialocaleitaliana.it/2020-3/.
[e] Regolamento UE 2016/679 art.1 c.2: « 2. Il presente regolamento non si applica ai trattamenti di dati personali: a) effettuati per autorità che non rientrano nell’ambito di applicazione del diritto dell’Unione; b) effettuati dagli Stati membri nell’esercizio di autorità che rientrano nell’ambito di applicazione del titolo V capo 2 TUE; c) effettuati da una persona fisica per l’esercizio di autorità a carattere esclusivamente personale o domestico; d) effettuati dalle autorità competenti a fini di prevenzione indagine accertamento o perseguimento di reati o esecuzione di sanzioni penali incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.»
[f] Regolamento UE 2016/679 art.4 c.1: «1. «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato») si considera identificabile la persona fisica che può essere identificata direttamente o indirettamente con particolare riferimento a un identificativo come il nome un numero di identificazione dati relativi all’ubicazione un identificativo online o a uno o più elementi caratteristici della sua identità fisica fisiologica genetica psichica economica culturale o sociale;»
[g] Regolamento UE 2016/679 art.4 c.2: « 2. «trattamento»: qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali come la raccolta la registrazione l’organizzazione la strutturazione la conservazione l’adattamento o la modifica l’estrazione la consultazione l’uso la comunicazione mediante trasmissione diffusione o qualsiasi altra forma di messa a disposizione il raffronto o l’interconnessione la limitazione la cancellazione o la distruzione;»
[h] Regolamento UE 2016/679 art.1 c.2: « 2. Il presente regolamento non si applica ai trattamenti di dati personali: a) effettuati per autorità che non rientrano nell’ambito di applicazione del diritto dell’Unione; b) effettuati dagli Stati membri nell’esercizio di autorità che rientrano nell’ambito di applicazione del titolo V capo 2 TUE; c) effettuati da una persona fisica per l’esercizio di autorità a carattere esclusivamente personale o domestico; d) effettuati dalle autorità competenti a fini di prevenzione indagine accertamento o perseguimento di reati o esecuzione di sanzioni penali incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.»
[i] L’art.288 del TFUE: «Per esercitare le competenze dell’Unione le istituzioni adottano regolamenti direttive decisioni raccomandazioni e pareri. Il regolamento ha portata generale. Esso è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri. La direttiva vincola lo Stato membro cui è rivolta per quanto riguarda il risultato da raggiungere salva restando la competenza degli organi nazionali in merito alla forma e ai mezzi. La decisione è obbligatoria in tutti i suoi elementi. Se designa i destinatari è obbligatoria soltanto nei confronti di questi. Le raccomandazioni e i pareri non sono vincolanti.»
[j] Costituzione art.11: «L’Italia ripudia la guerra come strumento di offesa alla libertà degli altri popoli e come mezzo di risoluzione delle controversie internazionali; consente in condizioni di parità con gli altri Stati alle limitazioni di sovranità necessarie ad un ordinamento che assicuri la pace e la giustizia fra le Nazioni; promuove e favorisce le organizzazioni internazionali rivolte a tale scopo.»
[k] Costituzione art.117 c.1: «La potestà legislativa è esercitata dallo Stato e dalle Regioni nel rispetto della Costituzione nonché dei vincoli derivanti dall’ordinamento comunitario e dagli obblighi internazionali.»
[l] Costituzione art.117 c.5: «Le Regioni e le Province autonome di Trento e di Bolzano, nelle materie di loro competenza, partecipano alle decisioni dirette alla formazione degli atti normativi comunitari e provvedono all’attuazione e all’esecuzione degli accordi internazionali e degli atti dell’Unione europea, nel rispetto delle norme di procedura stabilite da legge dello Stato, che disciplina le modalità di esercizio del potere sostitutivo in caso di inadempienza.»
[m] Regolamento UE 2016/679 art.25 c.1: « 1. Tenendo conto dello stato dell’arte e dei costi di attuazione nonché della natura dell’ambito di applicazione del contesto e delle finalità del trattamento come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate quali la pseudonimizzazione volte ad attuare in modo efficace i principi di protezione dei dati quali la minimizzazione e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.»
[n] Regolamento UE 2016/679 art.25 c.2: « 2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati per impostazione predefinita solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti la portata del trattamento il periodo di conservazione e l’accessibilità. In particolare dette misure garantiscono che per impostazione predefinita non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.»
[o] Legge 7 agosto 1990, n.241, art.21-octies (Annullabilità del provvedimento) «2. Non è annullabile il provvedimento adottato in violazione di norme sul procedimento o sulla forma degli atti qualora per la natura vincolata del provvedimento sia palese che il suo contenuto dispositivo non avrebbe potuto essere diverso da quello in concreto adottato. Il provvedimento amministrativo non è comunque annullabile per mancata comunicazione dell’avvio del procedimento qualora l’amministrazione dimostri in giudizio che il contenuto del provvedimento non avrebbe potuto essere diverso da quello in concreto adottato.».
Regolamento UE 2016/679 art.83 c.4: « 4.In conformità del paragrafo 2 la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10.000.000 EUR o per le imprese fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente se superiore: a)gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43; b)gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43; c)gli obblighi dell’organismo di controllo a norma dell’articolo 41 paragrafo 45.»
[q] Regolamento UE 2016/679 art.83 c.5: « 5.In conformità del paragrafo 2 la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 EUR o per le imprese fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente se superiore: a)i principi di base del trattamento comprese le condizioni relative al consenso a norma degli articoli 5 6 7 e 9; b)i diritti degli interessati a norma degli articoli da 12 a 22; c)i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49; d)qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX e) l’inosservanza di un ordine di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58 paragrafo 2 o il negato accesso in violazione dell’articolo 58, paragrafo 1.»
PER SCARICARE I DOCUMENTI CLICCARE SUI SEGUENTI LINK:
M.Mancini-Verbalizzazione e Privacy
GLI ALTRI ARTICOLI DELLO STESSO AUTORE:
LA PRIVACY NELLE RIPRESE FOTO E VIDEO di M.Mancini
LA PRIVACY NELL’ATTIVITA’ DI POLIZIA di M.Mancini
MODULI UTILIZZABILI:
MODELLO VERBALE PER VIOLAZIONI CDS (modulo personalizzabile) di M.Mancini
MODELLO REGISTRO CONTROLLI SU STRADA COVID (modulo personalizzabile) di M.Caponigro.
MODELLO VERBALE PER ACCERTAMENTO VIOLAZIONI COVID (modulo personalizzabile) di M.Mancini
Recommended Posts
UPLI AL G7 SULLA SICUREZZA [CON VIDEO]
Ottobre 07, 2024
ESTINZIONE DEI REATI AMBIENTALI
Settembre 16, 2024
Facebook Comments