PROTEZIONE DATI PERSONALI E PUBBLICA AMMINISTRAZIONE
di Fabio Francario
(Il presente scritto è destinato ad essere ospitato nel volume a cura di C. Pisani, G. Proia e A. Topo, Privacy e lavoro. La circolazione dei dati personali e i controlli nel rapporto di lavoro, in corso di pubblicazione per la casa editrice Giuffrè W.K.. La Rivista ne anticipa la pubblicazione, ringraziando i curatori)
Sommario: 1.- Premessa; 2.- Il principio di buon andamento e imparzialità dell’azione amministrativa. La conoscenza dell’interesse primario e degli interessi secondari nel procedimento amministrativo; 3.- La necessaria considerazione del diritto alla protezione dei dati personali nell’ambito del procedimento amministrativo; 4.- La normativa privacy, ovvero la “tempesta perfetta” per il decisore pubblico; 5.- Il patologico aggravamento del processo decisionale; 5. 1.- Aggravamento e paralisi procedimentale; 5.2.- I c.d. bonus Covid; 5.3.- Il registro lobbisti e la pubblicazione delle sentenze; 5.4.- Vaccinazioni e green pass; 6.- Il trattamento per finalità di pubblico interesse; 6.1.- Opzioni interpretative; 6.2.- L’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri come base giuridica di per sé valida per il trattamento dei dati comuni o ordinari; 6.3.- Le declinazioni del principio di minimizzazione; 6.4.- Altre indicazioni del GDPR; 7.- Osservazioni conclusive.
1. – Premessa.
In linea generale, può ritenersi pacifico che oggi come oggi la privacy debba essere intesa come contenuto di un diritto individuale non più limitato soltanto ad evitare ingerenze nella propria sfera personale (“right of the individual to be let alone”) [1], ma esteso all’uso e alla circolazione dei propri dati personali; ovvero come un diritto che ha ad oggetto i dati personali e la capacità dispositiva degli stessi[2]. Nel che si concretizzerebbe il bene della vita protetto, con le inevitabili conseguenze anche in tema di patrimonializzazione del relativo interesse[3].
Anche il sistema disegnato dal Regolamento generale sulla protezione dei dati del Parlamento europeo e del Consiglio del 27 aprile 2016 (Regolamento UE 2016/279) ruota intorno ad una concezione della privacy come diritto fondamentale delle persone fisiche alla protezione dei propri dati personali e prevede un insieme di misure e principi volte ad evitare che soggetti terzi possano trattare dati personali acquisiti senza il consenso dell’interessato o per finalità diverse da quelle per le quali esso consenso sia stato prestato o oltre il tempo strettamente necessario. In assenza del consenso dell’interessato il trattamento si assume illecito e va in ogni caso rispettato il principio di minimizzazione del trattamento nei termini indicati dall’art. 5 del GDPR, che impone che i dati possano essere raccolti solo “per finalità determinate” e che siano oggetto di trattamenti “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
Un tale diritto deve essere ovviamente rispettato anche delle amministrazioni pubbliche, ma il GDPR, a partire dalla previsione recata dall’art. 6 lett. e) secondo la quale “l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” è una delle possibili basi giuridiche che consentono di ritenere lecito il trattamento, detta una serie di disposizioni che disciplinano specificamente presupposti e condizioni del trattamento per finalità di pubblico interesse e che dovrebbero differenziare il regime giuridico del trattamento nell’ambito pubblico. Tuttavia, se si guarda all’interpretazione e alla prassi applicativa prevalentemente seguite in materia di data protection, ciò non sembrerebbe essere avvenuto, dal momento che, anche nell’ambito pubblico, l’una e l’altra appaiono pressoché completamente appiattite sulla matrice privatistica che, in assenza del consenso, postula un generale divieto di trattamento anche per i dati comuni o ordinari, e non solo per quelli particolari o sensibili.
Prima ancora di vedere se e quali principi debbano correttamente orientare l’interpretazione in ambito pubblico, la trattazione del tema della disciplina della protezione dei dati personali con riferimento alla Pubblica Amministrazione deve necessariamente muovere da una considerazione preliminare d’ordine generale, e cioè che l’attività della pubblica amministrazione, differentemente da quella dei soggetti privati, è necessariamente improntata al rispetto dei principi fondamentali di legalità dell’azione amministrativa e di buon andamento e imparzialità.
Non si tratta soltanto di principi generali dell’attività che, al pari di diversi altri, devono essere generalmente seguiti dall’amministrazione nello svolgimento della propria attività, ma di veri e propri principi fondamentali che caratterizzano specificamente l’attività amministrativa rispetto a quella tipica dei soggetti privati. Il principio di legalità limita la capacità giuridica della pubblica amministrazione, consentendole di perseguire unicamente le finalità istituzionali che siano state ad essa previamente attribuite dal legislatore[4]. Il principio di buon andamento e imparzialità obbliga la pubblica amministrazione ad adottare le proprie determinazioni non solo nel rispetto del principio del neminem laedere (tanto più che, se legittimamente esercitato, il potere consente il sacrificio delle posizioni giuridiche soggettive che ad esso si contrappongono anche senza o contro la volontà del titolare), quanto soprattutto ad adottare la migliore delle decisioni possibili nel caso concreto.
Le presenti osservazioni si propongono di sottolineare che il GDPR offre molteplici spunti per differenziare significativamente il regime del trattamento in ambito pubblico. L’interpretazione della disciplina sulla protezione dei dati personali in ambito pubblico non può prescindere dalla considerazione della rilevanza che in tale ambito assume il principio di legalità dell’azione amministrativa e l’acritica applicazione della matrice privatistica in ambito pubblico pregiudica gravemente il principio di buon andamento della pubblica amministrazione.
2.-. Il principio di buon andamento e imparzialità dell’azione amministrativa. La conoscenza dell’interesse primario e degli interessi secondari nel procedimento amministrativo
Il principio di buon andamento e imparzialità, già sancito dall’art 97 della Costituzione, travalica ormai, com’è noto, i limiti nazionali ed è affermato anche nella Carta dei diritti fondamentali UE, nell’ambito della quale è declinato dall’art 41 in termini di Diritto fondamentale dell’individuo ad una buona amministrazione (Ogni individuo ha diritto a che le questioni che lo riguardano siano trattate in modo imparziale, equo ed entro un termine ragionevole dalle istituzioni e dagli organi dell’Unione)[5].
Come già detto, impone ai soggetti pubblici di adottare la migliore delle decisioni possibili nel caso concreto. Come si faccia poi a sapere se sia stata presa la migliore delle decisioni possibili è impresa ardua. E’ qualcosa che in realtà si può stabilire soltanto in un secondo momento, verificando ex post se la soluzione adottata funziona veramente; se cioè l’assetto dato ai diversi interessi in gioco si rivela effettivamente congruo oppure no; se il conflitto, reale o potenziale, tra diversi aspiranti ad un medesimo bene della vita sia stato ben amministrato dal decisore pubblico. Giudicando le cose ex post, potendo valutare se e cosa non ha funzionato bene nel caso concreto, si ha gioco facile a dire che un'altra decisione sarebbe stata migliore di quella presa e, assolutizzando il concetto della decisione migliore possibile, si arriverebbe a ritenere ingiusta anche la decisione che sia stata comunque ragionevolmente presa. Per questa ragione, i principi cardine del sistema di giustizia amministrativa annoverano anche quello della insindacabilità del merito, strettamente e propriamente inteso, della decisione amministrativa, limitandone la cognizione diretta da parte del giudice amministrativo nei soli casi eccezionalmente previsti di giurisdizione cd di merito.
Le regole di diritto amministrativo (e con esse il loro giudice naturale) non garantiscono pertanto che venga sicuramente presa, ogni volta, la migliore delle decisioni possibili, ma servono a far sì che il decisore pubblico sia messo nelle condizioni di prendere la migliore delle decisioni possibili; creano le condizioni perché venga presa la migliore delle decisioni possibili.
Per raggiungere questo risultato la scienza amministrativa ha costruito la categoria del procedimento amministrativo, quale momento di sintesi e necessaria convergenza delle diverse regole proprie di una determinata azione amministrativa, finalizzate nel loro insieme a consentire che il decisore pubblico sia messo nelle condizioni di prendere la migliore delle decisioni possibili[6].
Il procedimento serve a garantire la trasparenza del processo decisionale al fine di consentirne ex post il controllo, ma serve appunto anche a creare le condizioni per una buona decisione; ad obbligare il decisore pubblico a conoscere necessariamente della situazione sulla quale è necessario provvedere e a conoscere e contemperare preliminarmente gli interessi coinvolti nella decisione.
Diversamente da quella di un soggetto privato, la decisione del buon amministratore pubblico non può consumarsi istantaneamente, ma deve giungere solo quando si è raggiunta una adeguata conoscenza della realtà sulla quale si deve provvedere e degli interessi che sono coinvolti nella decisione (quale che ne sia il livello di protezione giuridica sul piano sostanziale: diritto soggettivo, interesse legittimo, interesse semplice), che vanno individuati e ponderati.
Nella ricerca della migliore delle decisioni possibili, questo processo di costruzione dell’adeguata conoscenza rischia di essere senza fine, perché, almeno in teoria, può esserci sempre l’esigenza di conoscere qualcosa in più, un interesse in più da considerare e ponderare con gli altri.
Alcuni interessi devono essere necessariamente presi in considerazione perché così vuole la legge.
Ma la serie è aperta, potenzialmente infinita. La partecipazione al procedimento dei diretti interessati è ormai considerata come necessaria stante la previsione dell’obbligo di comunicare l’avvio del procedimento recata dall’art. 7 della l. 241/1990 e smi, ma la medesima legge 241 prevede all’art. 9 anche la possibilità d’intervento nel procedimento di “Qualunque soggetto, portatore di interessi pubblici o privati, nonchè i portatori di interessi diffusi costituiti in associazioni o comitati, cui possa derivare un pregiudizio dal provvedimento”, con conseguente obbligo di valutazione e quindi di motivazione ai sensi dell’art 10 sempre della l. 241/1990. Altrettanto è a dirsi per pareri e atti istruttori in genere che possono essere anch’essi obbligatori e facoltativi
E qui va ancora sottolineato, prima di addentrarci nella specifica realtà del mondo privacy, che le regole del nostro procedimento sono in parte sicuramente schizofreniche, perché per un verso cercano di porre un limite al processo di conoscenza, stabilendo termini teorici abbastanza brevi per la conclusione dei procedimenti fissati di regola in trenta, novanta o centottanta giorni dall’art. 2 l. 241/90 [7] e affermando in via generale il divieto di aggravamento del procedimento (“se non per straordinarie e motivate esigenze imposte dallo svolgimento dell’istruttoria” art. 1 l. 241/90)[8]; per l’altro introducono istituti che inevitabilmente allungano e aggravano il procedimento ed i suoi tempi: garanzie di trasparenza e di motivazione e di partecipazione procedimentale[9]. E’ una linea di tendenza ormai generalizzata, che non sembra destinata ad attenuarsi, ma semmai ad accentuarsi; come dimostrato dalle recenti ormai annuali leggi di semplificazione che spesso e volentieri riducono la semplificazione al puro e semplice accorciamento del tempo di conclusione del procedimento, magari accompagnato dalla previsione della possibilità di sostituzione dell’organo decidente con tempi ancor più ristretti per il nuovo decisore o dal trasferimento della responsabilità della decisione interamente in capo al privato interessato[10].
Insomma, il procedimento amministrativo è la sede in cui devono essere conosciuti e ponderati gli interessi coinvolti nella decisione. Deve (teoricamente) concludersi sempre più in fretta, ma deve, al tempo stesso, farsi carico della necessità di conoscere, valutare e ponderare un numero sempre crescente di interessi prima di assumere la decisione.
3.- La necessaria considerazione del diritto alla protezione dei dati personali nell’ambito del procedimento amministrativo.
La premessa è necessaria per avere un corretto approccio alle problematiche giuridiche dall’impatto della normativa sulla protezione dati personali sulle pubbliche amministrazioni, sulla loro organizzazione e attività. Limitarsi alla sola considerazione del fatto che si è di fronte ad un diritto fondamentale della persona che, in quanto tale, non può essere sacrificato dall’azione amministrativa, sarebbe riduttivo ed errato. Errato, perché tutti i diritti, siano qualificati o meno come fondamentali, vanno parimenti rispettati dalla pubblica amministrazione, fermo restando che possono essere tutti parimenti sacrificati, purchè nel rispetto del principio di legalità. Nessun diritto può cioè essere ingiustamente leso dall’amministrazione senza che vi sia possibilità di reagire al danno iniuria datum[11]; ma tutti possono essere legittimamente sacrificati per ragioni di pubblico interesse[12]. Riduttivo, perché in tal modo non si considera che quello alla protezione dei dati personali dei destinatari dell’azione amministrativa è un interesse che oggi come oggi rappresenta il contenuto di un diritto fondamentale dell’individuo e che deve essere necessariamente considerato e valutato dalla PA prima di provvedere. Considerazione e valutazione s’impongono ormai con carattere necessarietà e di generalità non solo perché, tecnologicamente, l’amministrazione digitale si realizza necessariamente attraverso il ricorso a fonti d’informazione organizzate nella forma di vere e proprie banche dati digitalizzate che ormai implicano il trattamento di dati personali[13], ma anche per la soggezione delle amministrazioni pubbliche all’obbligo di riorganizzare tutti i suoi processi decisionali in chiave privacy; a partire dall’adozione di un registro delle attività di trattamento[14] che, oltre a consumare una prima valutazione circa la necessità e la proporzionalità del trattamento rispetto alle finalità per cui viene effettuato, è destinato a consentire anche una valutazione probabilistica del rischio che il trattamento leda diritti e libertà delle persone fisiche e a predisporre, ove necessario, le adeguate misure organizzative per evitare che ciò accada. Ciò ha impegnato e sta tutt’ora impegnando le risorse e le energie dell’Amministrazione in uno sforzo organizzativo forse senza precedenti per compiere una mappatura di tutti i procedimenti in chiave privacy, evidenziando le situazioni di rischio per gli interessati e auto-vincolandosi al rispetto delle regole di prevenzione conseguentemente predisposte. Il risultato di questo sforzo immane è comunque che, oggi come oggi, l’interesse alla protezione dei dati personali è ormai immanente nei procedimenti amministrativi e non è oggetto di una cognizione soltanto eventuale o occasionale.
L’affermazione per cui l’Amministrazione deve necessariamente prendere in considerazione l’interesse alla protezione dei dati personali e adottare le misure idonee ad assicurarne la protezione va ben chiarita nel suo effettivo significato, volto non già a negare che l’interesse sia contenuto di un diritto individuale che l’ordinamento qualifica fondamentale, ma a sottolineare che, differentemente dai casi in cui la considerazione di un dato interesse è reputata necessaria dal legislatore nel momento in cui questi disegna un determinato procedimento amministrativo, nel caso della privacy ci troviamo invece di fronte ad una previsione generale dell’obbligo di prendere in considerazione tale interesse nei procedimenti amministrativi e, conseguentemente o preliminarmente, nell’organizzazione amministrativa.
In genere, è la normativa specifica propria di una determinata tipologia procedimentale a prevedere di volta in volta quali interessi debbano essere necessariamente presi in considerazione e valutati prima di provvedere, prefigurando l’attività istruttoria che deve essere necessariamente svolta per un dato procedimento. Nel caso della privacy, invece, la necessità della considerazione dell’interesse alla protezione dei dati personali dei soggetti interessati, come interesse antagonista dell’interesse primario per la tutela del quale è stato aperto il procedimento amministrativo, è ormai imposta a prescindere dall’esistenza di una disposizione di legge che sia dettata per quella specifica tipologia procedimentale ed è frutto di una previsione generale. Fosse anche solo al fine di accertare che non vi siano soggetti interessati al trattamento dei dati personali, l’interesse va ormai necessariamente valutato dall’Amministrazione prima di provvedere. Nei confronti della pubblica amministrazione tale diritto gode dunque di una protezione rinforzata rispetto agli altri diritti fondamentali, in quanto obbliga la pubblica amministrazione a valutare preliminarmente, per ogni procedimento, se sussista anche solo il rischio che il diritto possa esser leso dall’azione amministrativa. E’ bene però precisare che ciò non significa anche che tale interesse debba poi essere protetto prevalendo necessariamente sull’interesse primario o condizionando comunque il concreto contenuto della funzione amministrativa esercitata; ma solo che debba appunto esser preso in considerazione, senza alcuna automatica conseguenza sul concreto contenuto o sulla forma della decisione amministrativa, in termini di preclusione del trattamento o anche solo di anonimizzazione del dato personale. Nella generalità dei casi si pone certamente un problema di “minimizzazione” del trattamento, ma si tratta di cosa ben diversa sia da un ipotetico divieto di usare i dati in possesso della PA utili per il perseguimento della finalità di cura del pubblico interesse, che da un obbligo di nascondere sempre e comunque l’identità del destinatario di un’azione amministrativa. E’ quanto ci si accinge a chiarire meglio nei paragrafi successivi.
4.- La normativa privacy, ovvero la “tempesta perfetta” per il decisore pubblico.
La riflessione sulla specificità del trattamento dati in ambito pubblicistico non ha fino ad ora avuto molta attenzione da parte della dottrina amministrativistica. Probabilmente l’appiattimento della ricostruzione teorica sulla matrice privatistica è stato condizionato dal fatto che l’attuazione del GDPR da parte del legislatore nazionale ha visto scomparire dal Codice della privacy le disposizioni sistematicamente recate dal Capo Secondo del Titolo Terzo, specificamente dedicate ai soggetti pubblici (artt. 18 – 22)[15]. Unitamente al condizionamento esercitato dalla circostanza per cui il patrimonio di informazioni e dati personali detenuto dalle pubbliche amministrazioni è senz’altro pari o superiore ai big data che possono essere detenuti da grandi gruppi imprenditoriali, ciò può aver indotto a ritenere del tutto indifferente la natura del soggetto “forte” del rapporto giuridico ed a presumere che presupposti e limiti dell’applicazione del GDPR potessero essere sempre gli stessi, senza considerare che l’azione di un soggetto pubblico o privato risponde a principi informatori profondamente diversi in punto di finalità e proporzionalità dell’agire. Forse si è trattato di una conclusione non meditata e troppo affrettata, data praticamente per scontata, fatta discendere dalle scelte confusamente fatte dal legislatore nazionale nel dare attuazione al GDPR e che avevano visto scomparire le disposizioni precedentemente recate dagli articoli 18 e seguenti del Codice. Forse si è trattato di mera distrazione, accentuata anche dalla mancanza di quegli stimoli che sarebbero potuti derivare dalla giurisprudenza amministrativa dal momento che la giurisdizione sul diritto alla protezione dei dati personali e sui provvedimenti dell’Autorità garante è stata infatti attribuita alla giurisdizione ordinaria e la giurisprudenza amministrativa ha potuto esprimersi nel limitato spazio lasciato aperto al contenzioso nel giudizio per l’accesso agli atti e documenti amministrativi, la volte in cui il diritto alla riservatezza si è contrapposto a quello di accesso[16].
A questa sottovalutazione del problema o mera distrazione da parte della dottrina si è peraltro accompagnata l’oggettiva difficoltà di comprensione e d’interpretazione della normativa dettata in materia di privacy, quasi esemplare (in negativo, s’intende) per disorientare il decisore pubblico. Diversi sono i fattori che concorrono a creare quella che sembra essere la tempesta perfetta in cui viene a trovarsi il decisore pubblico.
Innanzi tutto il Regolamento europeo 679/2016. Il GDPR ha inteso creare un sistema sicuramente raffinato, fondato sulla filosofia della “responsabilizzazione” (accountability)[17]; ma, al di là delle enunciazioni di principio, ciò in ultima analisi significa che non si deve più partire dal precetto normativo, ma dallo scopo ultimo della normativa, ossia la tutela del dato per poi a ritroso arrivare ad individuare le misure da adottare in conformità alle disposizioni del Regolamento. Con buona pace degli Engel criteria che secondo la giurisprudenza CEDU devono essere osservati dai provvedimenti (formalmente o sostanzialmente) sanzionatori[18], ciò significa che non si muove da regole d’azione chiare, certe e predeterminate da osservare, ma dalla costruzione di un sistema di misure da parte del titolare del trattamento che deve essere in grado di assicurare il rispetto del diritto fondamentale dell’individuo alla protezione dei dati personali. Non basta però osservare il sistema auto-responsabilmente creato dal titolare, che non viene previamente validato dall’Autorità garante; quest’ultima ne valuterà infatti validità ed efficacia unicamente ex post, eventualmente sanzionando le condotte tenute nell’osservanza del sistema che, al momento in cui se ne presenterà il caso, verrà ritenuto inadeguato.
Il Regolamento, dunque, non indica le misure da adottare, ma solo i principi da seguire per arrivare al raggiungimento dello scopo ultimo della tutela dei dati personali. E rinvia in ogni caso al legislatore nazionale. E il nostro legislatore nazionale non ha mancato di metterci del suo.
Il GDPR doveva essere attuato entro il 25 maggio 2018, data della sua entrata in vigore, ma le norme di adeguamento vengono emanate solo il 10 agosto 2018, con il dl lgs 101 /2018 (“Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (ue) 2016/679 del parlamento europeo e del consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/47/ce (regolamento generale sulla protezione dati”). Il problema interpretativo non è però determinato dal mancato rispetto dei termini, quanto proprio dal fatto che il d. lgs 101/2018 tutto sembra fare tranne che adeguare la normativa nazionale a quella eurounitaria. A cominciare dal fatto che si presenta già con una duplicità di veste e contenuto: una parte di norme sono nuove e proprie del d lgs 101/2018; altre modificano e integrano il d lgs 30 giugno 2003 n. 196 (Codice in materia di protezione dei dati personali), che non viene interamente abrogato. Alcune parti vengono espressamente abrogate (tra le quali l’intero Titolo Terzo, recante le “Regole generali per il trattamento dei dati”, ivi comprese sia le “Regole per tutti i trattamenti”, che le “Regole ulteriori per i soggetti pubblici”), altre (la gran parte) modificate o integrate. La previgente disciplina recata dal d lgs 196/2003 non viene dunque interamente sostituita e il Codice viene formalmente mantenuto in vita, con il risultato che oggi come oggi non esiste un unico testo leggibile, intellegibile e comprensibile dal quale ricavare il contenuto normativo[19]. E’ sempre necessaria una sfibrante opera d’interpretazione per ricostruire la norma vigente per effetto di un gioco pressochè continuo di rinvii che rende praticamente indispensabile l’impiego di una tavola sinottica[20].
Lo scenario di riferimento è poi contraddistinto anche dai dettami regolatori dell’Autorità garante della protezione dei dati personali, sostanzialmente privi di formulazioni normative chiaramente individuabili e il cui contenuto precettivo deve essere ricavato da quanto esposto in forma per lo più discorsiva in linee guida, FAQ, pareri e altri strumenti latamente riconducibili ad espressione di soft law. In molti casi, tali atti non sono stati peraltro nemmeno aggiornati dopo l’entrata in vigore del GDPR, scaricando sull’interprete la responsabilità della loro lettura aggiornata (è il caso ad esempio delle Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web, adottate con deliberazione n 88 del 2 marzo 2011).
A tutto ciò si accompagna il fatto che la normativa privacy crea in pratica un vero e proprio ordinamento di settore che impiega figure e istituti assolutamente tipici la cui lettura e applicazione richiedono una conoscenza specialistica e non sono certamente agevolate dall’incertezza originata dalla stessa terminologia tecnica impiegata[21],. Nel succedersi dei diversi interventi normativi, il medesimo lemma ha spesso finito per indicare figure con compiti e funzioni diverse da quelle che in precedenza si riconducevano alla medesima figura. Esemplare sotto questo profilo la figura del responsabile del trattamento che, nella quasi ventennale esperienza del codice della privacy del 2003 (sulla cui base si è formata anche la stessa legislazione regionale), ha individuato il soggetto “preposto” al trattamento, articolandosi nelle due figure del responsabile interno ed esterno, (artt. 4 e 29), al di sotto del quale operavano i soggetti autorizzati a compiere le operazioni di trattamento (art 4 e 30 Codice privacy); il nomen viene conservato nell’art 2 quaterdecies del Codice , ma sopravvive in un contesto profondamente diverso per indicare soggetti praticamente terzi rispetto all’organizzazione del titolare del trattamento che debbano effettuare il trattamento “per conto del titolare del trattamento” (art 28 GDPR); ed è doppiata dalla figura del responsabile della protezione dati, concepito anch’esso come organo terzo e indipendente con compiti sostanzialmente di assistenza, consulenza e sorveglianza (artt 37 – 39 GDPR). In pratica, l’unico soggetto responsabile è il titolare del trattamento, al di sotto il quale operano soggetti autorizzati o designati al trattamento. L’attributo di “responsabile” è tuttavia impiegato con riferimento a soggetti diversi dal titolare che hanno anche ruoli e funzioni nell’ambito delle procedure privacy assolutamente diversi.
Insomma, il decisore pubblico si trova a dover impiegare concetti propri di un sistema settoriale fortemente tipizzato e continuamente rimodulati senza nemmeno un appropriato adeguamento del lemmario; deve addossarsi l’onere interpretativo di una normativa non adeguatamente aggiornata e definita a livello nazionale sia dal legislatore che dall’Autorità garante; deve creare un sistema di regole finalizzate ad evitare il rischio di trattamenti illeciti, ma rimane esposto alla potestà sanzionatoria di un soggetto terzo che potrà ritenere non adeguate le misure adottate e, per di più, sindacare le modalità e le stesse finalità perseguite per la cura dell’interesse pubblico nel caso concreto (amplius v. infra, sub par. 6 e 7).
5. Il patologico aggravamento del processo decisionale
5. 1.- Aggravamento e paralisi procedimentale.
La necessità di considerare l’interesse alla protezione dei dati personali nell’ambito dei procedimenti amministrativi potrebbe comunque rappresentare un caso come un altro in cui il legislatore ritiene doveroso “aggravare” il procedimento amministrativo, i tempi e le forme della sua conclusione e di assunzione della decisione amministrativa, al fine appunto di valutare e ponderare tale interesse prima di concludere il processo decisionale. Se così fosse, verrebbe da dire, nulla quaestio. Il discorso potrebbe anche concludersi qui.
Il rischio che si verifichi la “tempesta perfetta” di cui si è appena detto, con il conseguente effetto di paralisi dei processi decisionali, è tuttavia più che concreto. L’esperienza di tutti i giorni dimostra infatti che spesso e volentieri la prassi applicativa delle norme primarie rende la privacy uno strumento che, impiegato indiscriminatamente o fuori luogo, rischia di paralizzare o compromettere seriamente l’efficacia dell’azione e l’efficienza dell’organizzazione amministrativa. Il che deve indurre seriamente a riflettere sull’opportunità di seguire interpretazioni o prassi applicative estremamente rigide nella lettura dei dettami normativi, specie laddove finiscono con il consumare scelte valoriali francamente opinabili e con l’imporre costi sociali inaccettabili.
Qualche esempio concreto può tornare utile.
5.2.- I cd bonus Covid
Esemplare è il caso della sanzione comminata dal GPDP all’INPS per aver male esercitato, in violazione della normativa sulla protezione dei dati personali, la funzione di controllo e vigilanza sull’erogazione del cd bonus Covid [22].
Nel pieno dell’emergenza determinata dalla prima ondata della pandemia Covid19, nel marzo 2020, il dl.l. 18/2020 prevede la concessione di misure indennitarie per sostenere le categorie di lavoratori e professionisti colpite dalle misure del lockdown, erogabili a condizione che i destinatari non fossero già titolari di pensione o iscritti ad altra forma previdenziale obbligatoria o titolari di un rapporto di lavoro dipendente (cd bonus covid). In un primo tempo, al fine di non ritardare e consentire l’immediata erogazione del sostegno economico, l’INPS si limita unicamente a verificare l’esattezza di quanto dichiarato dai richiedenti tramite il riscontro con i dati presenti nella propria banca dati. Successivamente, diffusa dalla stampa la notizia che i bonus sarebbero stati indebitamente erogati anche a diversi parlamentari e amministratori locali, l’INPS ha avviato dei controlli di secondo livello al fine di verificare se il bonus Covid fosse stato effettivamente erogato anche in tali casi. Ricavando il codice fiscale dai dati aperti disponibili sui siti web delle Camere e degli enti locali e territoriali, l’INPS ha poi incrociato il dato così ottenuto con quello indicato dai richiedenti nelle domande, in modo da accertare se tra questi vi fossero effettivamente parlamentari o amministratori pubblici (le cui retribuzioni, è inutile sottolineare, non erano state certamente sospese nel periodo dell’emergenza Covid19). Orbene, a seguito di richieste istruttorie e dell’apertura del procedimento sanzionatorio da parte del GPDP (data e protocollo degli atti di avvio del procedimento dell’Autorità Garante sono inspiegabilmente omissati nel provvedimento sanzionatorio finale), il procedimento di verifica si arresta e non verrà più portato a termine dall’INPS, che verrà peraltro pesantemente sanzionato dall’Autorità Garante con una multa di 300.000 euro. A detta del Garante, sarebbero state compiute attività non indispensabili o non necessarie per lo svolgimento della funzione di vigilanza: il codice fiscale ricavato dalle banche dati aperte non era quello ufficiale e si prestava al rischio di omocodie; l’incrocio dei dati era stato globale e andavano invece espunti i dati di coloro che erano stati già esclusi dal beneficio; al momento di apertura del procedimento di verifica non vi era ancora la certezza che il bonus non fosse dovuto[23]; non erano stati preventivamente calcolati i rischi che il trattamento presentava per i diritti e le libertà degli interessati laddove era invece necessario svolgere una preliminare valutazione d’impatto sulla protezione dei dati. In sostanza, secondo l’Autorità Garante, la funzione ispettiva o di controllo finalizzata ad evitare che le pur sempre limitate risorse non venissero disperse a beneficio di chi non ne aveva diritto, nel pieno dell’emergenza pandemica avrebbe dovuto seguire tutt’altra procedura o forse non avrebbe dovuto nemmeno essere iniziata perché i codici fiscali usati non erano quelli ufficiali rilasciati dal Centro nazionale di elaborazione di dati per l’anagrafe tributaria dell’Agenzia delle Entrate. A detta del Garante, dunque, l’attività posta in essere non era dunque necessaria per la cura dell’interesse pubblico nello specifico del caso concreto e aveva fatto correre un rischio “elevato” al trattamento dei dati personali dei soggetti interessati. Merita sicuramente una chiosa anche il fatto che in realtà non è mai emerso un solo nominativo dei soggetti potenzialmente interessati e che lo stesso Garante dà atto della “impenetrabilità dei dati” trattati dall’INPS, ma nondimeno l’Istituto viene sanzionato perché l’attività di vigilanza posta in essere avrebbe avuto “impatto negativo in termini di immagine pubblica e riprovazione sociale sull’intera categoria composta da deputati e amministratori regionali e locali”.
Il risultato finale è che in questo caso l’Ordinamento ha protetto l’interesse ad evitare il rischio puramente ipotetico che potessero essere resi noti i nominativi di chi aveva illegittimamente percepito sovvenzioni pubbliche, a scapito dell’interesse a che venga efficacemente esercitata la funzione di vigilanza e controllo sull’erogazione dei contributi necessari in un contesto emergenziale. Il risultato, anche ammesso che possa mai discendere da operazioni che possano ritenersi ermeneuticamente corrette, ci sembra in ogni caso inaccettabile sul piano etico e civile, prima ancora che propriamente giuridico, e impone l’apertura di una riflessione critica sulle possibili opzioni interpretative o, se del caso, sulle stesse scelte valoriali effettuate dal legislatore ove l’interpretazione data dal Garante dovesse ritenersi corretta.
Sempre in tema di erogazione di bonus covid, sotto forma di buoni spesa alimentari, può essere parimenti ricordato il caso della sanzione comminata al Comune di Palermo per non aver adottato adeguate misure tecniche e organizzative per attuare in modo efficace la protezione dati. Per coadiuvare i richiedenti a inserire nella piattaforma informativa “Centrale Unica Aiuti Alimentari” la dichiarazione necessaria all’erogazione dei sussidi previsti, il Comune si era avvalso del supporto di soggetti esterni (enti del terzo settore, sindacati, parrocchie - OPT) dislocati strategicamente a coprire l’intero territorio cittadino, fornendo un codice di accesso distinto per ogni OPT, ma senza fornire specifiche credenziali per i singoli operatori da autorizzare presso ciascun OPT per l’accesso alla piattaforma. In questo modo, ogni operatore che si avvicendava nella turnazione del servizio aveva la possibilità di accedere ai dati personali dei richiedenti pur non avendo mai ricevuto una specifica autorizzazione al trattamento dati. Il servizio viene cautelativamente sospeso dal Comune non appena ricevuta dal Garante la notifica della violazione. Per il fatto di aver utilizzato una piattaforma informatica priva delle necessarie misure tecniche e organizzative tali da assicurare un’adeguata tutela dei diritti e delle libertà degli interessati, verrà successivamente comminata una sanzione pecuniaria pari a 40.000 euro, pur prendendo atto della sussistenza della “necessità di provvedere con urgenza per fronteggiare il profondo disagio socioeconomico causato dalla pandemia da Covid 19 avendo il Comune dichiarato che nei mesi di marzo/aprile la chiusura improvvisa e assoluta di tutte le attività aveva messo la popolazione nell’impossibilità di provvedere a se stessa (e che) la situazione rischiava di diventare insostenibile per ripetuti episodi in varie città italiane tra cui Palermo di attacchi ai supermercati ed istigazione alla rivolta per la fame che cominciava a serpeggiare tra la popolazione più colpita” (GPDP, ordinanza ingiunzione n. 140 del 15 aprile 2021).
5.3.- Il registro lobbisti e la pubblicazione delle sentenze
Altro terreno scivoloso è senz’altro quello della trasparenza amministrativa, nel quale il contrasto tra esigenze di conoscibilità e di riservatezza è praticamente frontale.
Al pari del principio di buon andamento e imparzialità[24], anche quello di trasparenza non è un principio generale come un altro, ma è un principio caratterizzante l’attività di diritto amministrativo nel senso che vale a distinguerla da quella tipica dei soggetti di diritto privato. Il principio conforma i canoni fondamentali dell’attività in maniera differente da quelli propri dell’attività retta dal diritto privato, facendo gravare sulla pubblica amministrazione l’obbligo di rendere conoscibili tanto le ragioni per cui assume una determinata decisione (attraverso la motivazione), quanto la decisione stessa una volta presa (attraverso la pubblicità delle medesima). Si tratta di tutt’altra cosa rispetto agli obblighi di correttezza e buona fede che gravano sui soggetti privati nelle trattative, nella formazione e nell’esecuzione del contratto. In linea generale, questi sono obblighi di comportamento che impongono di agire in maniera seria e leale e di non nascondere informazioni che possono fuorviare la formazione della volontà contrattuale altrui[25]. Altro è rendere conoscibile il processo di formazione della volontà propria e della generalità delle proprie determinazioni.
Sotto questo profilo, appaiono esemplari due vicende maturate con riferimento al problema del trattamento sub specie di pubblicazione degli atti per finalità di trasparenza amministrativa.
La prima è quella del registro dei lobbisti[26]. Il Ministro dell’ambiente (oggi della transizione ecologica) pro tempore decida di adottare quello che viene gergalmente definito il registro dei lobbisti; ovvero di rendere pubblica l’agenda degli incontri dei dirigenti ministeriali con i portatori di interessi, al fine di promuovere un maggiore livello di trasparenza nei processi decisionali di competenza. La disposizione viene introdotta nel Codice di comportamento dei dipendenti del Ministero, approvato con apposito decreto ministeriale, prevedendo appunto che l’Agenda pubblica degli incontri con i portatori di interessi venga “pubblicata sul sito web del Ministero, in una sezione dedicata di “Amministrazione trasparente” ed è aggiornata ogni due settimane, entro il termine della settimana successiva a quelle a cui si riferisce la dichiarazione, per i Capi Dipartimento e per i Direttori Generali, e con cadenza mensile, entro il 10 del mese successivo al periodo a cui si riferisce la dichiarazione, per i dirigenti di Divisione. 5. L’Agenda riporta le seguenti informazioni: a) luogo, data, ora e durata dell’incontro; b) soggetto che ha formulato la richiesta; c) oggetto dell’incontro; d) partecipanti all’incontro; e) documentazione consegnata ovvero trasmessa anche successivamente”. Dunque, il Ministro pro tempore, così come il suo successore, così come già fatto dalla Camera dei deputati e dal Senato della repubblica, come previsto dal diverse leggi o statuti regionali o come fatto di recente anche dalla Commissione e dal Parlamento europeo con l’Accordo interistituzionale siglato lo scorso mese di maggio, ritengono che risponda a finalità di pubblico interesse rendere pubblici gli incontri con i soggetti portatori d’interesse che vengono ricevuti in ragione dell’ufficio pubblico rivestito. Ritengono dunque la misura utile e necessaria per garantire un più elevato livello di trasparenza dei processi decisionali e ne fanno oggetto di una norma che viene resa pubblica e inserita nel Codice di comportamento del personale approvato con decreto ministeriale.
Avviene però che il Garante apra un procedimento sanzionatorio anche in tal caso, contestando la liceità del trattamento e la violazione del principio di minimizzazione in quanto la diffusione dei dati non sarebbe necessaria per le finalità perseguite[27].
Ora, si potrà anche effettivamente dubitare che l’atto a contenuto normativo rappresentato dal decreto ministeriale che approva il Codice di comportamento possa rappresentare una valida base giuridica ai sensi dell’art 6 del GDPR, specie ove questa venga interpretata restrittivamente[28]. Rimane il fatto che è l’essenza stessa della normazione sulla trasparenza amministrativa a rimanere vulnerata in tal caso.
Se nel caso del registro lobbisti può anche mettersi in dubbio che vi sia una base legale del trattamento sotto forma di pubblicazione, nessun dubbio può invece sussistere al riguardo nel caso della pubblicazione delle decisioni giurisdizionali, che si propone come una seconda vicenda emblematica
L’art. 52, comma primo, del vigente Codice della privacy dispone chiaramente che l’indicazione delle generalità e dei dati identificativi dell’interessato riportati sulla sentenza o provvedimento può essere oscurata solo se espressamente richiesto dalla parte interessata e purché sussista un legittimo motivo, ovvero anche d’ufficio se necessario per tutelare diritti o dignità degli interessati: “l’interessato può chiedere per motivi legittimi, con richiesta depositata nella cancelleria o segreteria dell’ufficio che procede prima che sia definito il relativo grado di giudizio, che sia apposta a cura della medesima cancelleria o segreteria, sull’originale della sentenza o del provvedimento, un’annotazione volta a precludere, in caso di riproduzione della sentenza o provvedimento in qualsiasi forma, l’indicazione delle generalità e dei dati identificativi dell’interessato riportati sulla sentenza o provvedimento”. Il comma 5 del medesimo articolo dispone poi che in ogni caso, a prescindere dalla suddetta annotazione, va omessa l’indicazione di “generalità, altri dati identificativi o altri dati anche relativi a terzi dai quali può desumersi anche indirettamente l’identità di minori, oppure delle parti nei procedimenti in materia di rapporti di famiglia e di stato delle persone” e relativamente alle persone offese da atti di violenza sessuale; e il successivo comma 7 chiarisce che “fuori dei casi indicati dal presente articolo è ammessa la diffusione in ogni forma del contenuto anche integrale di sentenze e altri provvedimenti giurisdizionali”. Nessun dubbio può quindi esservi sul fatto che il trattamento dati sotto forma di pubblicazione abbia una chiara base legale; sul fatto che la regola generale è che le decisioni vanno pubblicate senza oscurare i dati personali, sul fatto che l’oscuramento dei dati “dai quali può desumersi anche indirettamente l’identità” è possibile solo nell’ipotesi dei dati particolari o sensibili riguardanti l’identità di minori o rapporti di famiglia o di stato delle persone.
Nonostante il chiaro disposto della norma primaria di legge[29], si è tuttavia ampiamente diffusa nella prassi l’interpretazione volta a generalizzare per tutti i dati personali il regime che è invece previsto per i soli dati cd “sensibili”, con l’effetto di oscurare senza motivo non solo i dati identificativi delle persone, ma sempre più spesso gli stessi dati identificativi dei provvedimenti giurisdizionali e a volte persino dell’organo giudicante[30].
Questo oscuramento pregiudica e compromette in maniera arbitraria e del tutto ingiustificata l’interesse alla piena conoscenza delle decisioni giurisdizionali tanto degli operatori e degli studiosi del diritto, quanto della collettività di per sé considerata. Il fatto è di una gravità inaudita, se solo si considera che l’effetto di rendere non intellegibili tanto la decisione in quanto tale, quanto il caso al quale essa si riferisce, elimina la possibilità di controllo democratico da parte della società civile su una delle forme fondamentali di esercizio della sovranità popolare[31].
Merita di essere segnalato al riguardo che questa distorta prassi interpretativa della normativa sulla protezione dei dati personali è stata di recente stigmatizzata dall’Associazione Italiana dei Professori di Diritto Amministrativo, che ha pubblicato anche un vero e proprio appello per sollecitare l’adozione delle iniziative più opportune volte a far cessare quanto prima la sopra descritta prassi contra legem e a rimuoverne gli effetti, atteso il pregiudizio che tale prassi arreca alla piena conoscenza e conoscibilità del dato giudiziario con la sua sottrazione al controllo democratico della collettività e alla piena utilizzazione da parte di studiosi ed operatori del diritto[32].
Due vicende emblematiche dunque in cui l’interesse alla protezione dei dati personali compromette e vanifica la quintessenza del principio di trasparenza, sottraendo alla possibilità di controllo democratico o anche degli stessi operatori del settore la comprensibilità e conoscibilità della formazione delle decisioni pubbliche e dei contenuti delle medesime.
5.4.- Vaccinazioni e green pass.
E’ notoria la periodica denuncia da parte degli operatori sanitari e degli amministratori del fatto che l’applicazione delle norme sulla privacy ha fortemente ostacolato l’efficienza dell’azione di contrasto dell’evento pandemico[33].
Ci si può limitare a ricordare sotto questo profilo i tratti salienti della vicenda dell’introduzione e dell’uso dei certificati verdi (cd green pass)[34].
Nelle more dell’adozione di una normativa europea volta a disciplinare l’uso del green pass, che interverrà solo nel mese di giugno 2021 con l’entrata in vigore del Regolamento UE 2021/953, il decreto legge 22 aprile 2021 n. 52 dispone misure urgenti per contenere e contrastare l’emergenza epidemiologica da Covid 19 con riferimento agli spostamenti sul territorio nazionale, alle modalità di svolgimento degli spettacoli aperti al pubblico, eventi sportivi, fiere e congressi prevedendo l’introduzione dello strumento delle certificazioni verdi o green pass. Il 23 aprile 2021 il Garante adotta un provvedimento di avvertimento rivolto ai soggetti coinvolti nell’attuazione del decreto legge, nel quale afferma di ritenere che esso “non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi”. Tra le principali ragioni addotte, il fatto che il trattamento dei dati personali non appare proporzionato rispetto all’obbiettivo di interesse pubblico perseguito perché non sono specificate le finalità per le quali possono essere utilizzate le certificazioni e il fatto che i dati riportati nella certificazione consentirebbero alle persone preposte ai controlli di conoscere se il possessore è un soggetto vaccinato, guarito o se ha fatto semplicemente un test negativo. I rilievi, si badi, non sono rivolti nei confronti di un atto amministrativo, ma verso un atto avente forza e valore di legge che nondimeno si ritiene non rappresenti una valida base giuridica per il trattamento perché questo è ritenuto sproporzionato rispetto all’interesse pubblico perseguito.
L’avvertimento è puntualmente ripetuto nei confronti dell’ordinanza n. 17 del 6 maggio 2021 adottata dal Presidente della Regione Campania in attuazione delle disposizioni del dl 52/2021 e delle "Linee guida per la ripresa delle attività economiche e sociali", approvate 28 aprile 2021 dalla Conferenza delle Regioni e delle Province autonome, che aveva esteso l’impiego della certificazione verde “per assicurare l’accoglienza sicura e la promozione della fruizione in sicurezza dei diversi servizi - turistici, alberghieri, di wedding, trasporti, spettacoli, etc.– anche attraverso facilitazioni all’accesso dei servizi e/o deroghe alle misure di sicurezza più restrittive, relative al contingentamento delle presenze e al distanziamento interpersonale”.
Stessa sorte, sempre per lo stesse motivazioni, tocca alla Provincia autonoma di Bolzano che, alla luce di quanto disposto dal decreto-legge 22 aprile 2021, n. 52, con ordinanze del 23 aprile 2021 e del 21 maggio 2021 aveva previsto l’introduzione della certificazione verde “quale misura di sanità pubblica per il contenimento della diffusione del virus Sars CoV-2, al fine di garantire la ripresa graduale delle attività economiche e sociali e “in attesa di eventuali disposizioni emanate a livello centrale” come misura necessaria per svolgere l’ attività di ristorazione al chiuso; per l’accesso alle strutture ricettive; per le attività addestrative e corsi di formazione dei Vigili del fuoco, sia volontari che permanenti, di tutti i collaboratori e soci attivi componenti delle organizzazioni di volontariato facenti parte delle strutture operative della protezione civile provinciale; per l’accesso ai locali delle attività commerciali; in particolare le persone in grado di esibire una certificazione verde possono utilizzare mascherine chirurgiche in luogo delle mascherine FFP2; per l’accesso a spettacoli al chiuso in sale teatrali, sale da concerto, sale cinematografiche e in altri luoghi accessibili al pubblico; per l’accesso a fiere, convegni e congressi che si svolgono al chiuso; per l’accesso a esibizioni, spettacoli di cori e bande che si svolgono al chiuso; per l’accesso a musei al chiuso; per l’accesso a feste al chiuso conseguenti a cerimonie; per l’accesso a sale giochi, sale scommesse, sale bingo e casinò al chiuso; attività al chiuso di palestre, centri fitness e centri sportivi; per l’utilizzo di docce e spogliatoi siti in locali al chiuso; per l’attività dei centri benessere e dei centri termali (Cfr Provvedimento di limitazione definitiva in merito ai trattamenti previsti dalla Provincia autonoma di Bolzano in tema di certificazione verde per Covid 19, n. 244 del 18 giugno 2021).
Sempre sul presupposto che il decreto legge non costituisse una valida base giuridica per l’introduzione e l’utilizzo delle certificazioni verdi a livello nazionale, con provvedimento del n. 224 del 3 giugno 2021 l’Autorità Garante ritiene di dover intervenire “urgentemente per tutelare i diritti e le libertà degli interessati”, inibendo l’utilizzo dell’App Mitiga Italia finalizzato ad attestare il possesso delle condizioni oggetto anche delle certificazioni verdi Covid-19 ai fini della partecipazione ad eventi sportivi e ad altre manifestazioni pubbliche, già impiegata in occasione dell’evento calcistico “Finale Coppa Italia TIM Vision 2020/2021” svoltosi il 19 maggio 2021 al fine di consentire l’accesso al Mapei Stadium di Reggio Emilia.
Anche il parere favorevole che viene successivamente reso sul DPCM di attuazione della piattaforma nazionale DCG per l’emissione, il rilascio e la verifica del Green Pass del 9 giugno 2021, viene reso “a condizione che in sede di conversione in legge del d.l. n. 52/2021 … siano specificamente definite le finalità del trattamento e sia introdotta una riserva di legge statale per l’utilizzo delle certificazioni per attestare l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare …”. Nelle motivazioni del parere, il Garante precisa che “le certificazioni attestanti l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare non possano essere ritenute una condizione necessaria per consentire l’accesso a luoghi o servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici se non nei limiti in cui ciò è previsto da una norma di rango primario, nell’ambito dell’adozione delle misure di sanità pubblica necessarie per il contenimento del virus SARS-CoV-2”; che come “misura di sanità pubblica richiesta per accedere ad alcune tipologie di eventi/luoghi” può essere ritenuta proporzionata “solo qualora sia prevista la presenza di un numero di partecipanti superiore a una soglia determinata, da individuare anche in funzione della tipologia di attività svolta” e che non può operare “per quelle attività che comportano l’accesso a luoghi in cui si svolgono attività quotidiane (es. ristoranti, luoghi di lavoro, negozi, ecc.) o a quelli legati all’esercizio di diritti e libertà fondamentali (es. diritto di riunione, libertà di culto, ecc.)”.
In sede di conversione del dl 52/2021, con l’inserimento del comma 10 bis nell’art 9, il legislatore ha poi effettivamente ritenuto di circoscrivere l’uso delle certificazioni verdi “esclusivamente ai fini di cui agli articoli 2, comma 1, 2-bis, comma 1, 2-quater, 5, 8-bis, comma 2, e 9-bis del presente decreto, nonche' all'articolo 1-bis del decreto-legge 1° aprile 2021, n. 44, convertito, con modificazioni, dalla legge 28 maggio 2021, n.76”, ma ciò non esime dall’osservare che, prima che il legislatore avesse consumato una tale opzione, viene ritenuto illecito il trattamento contemplato da un atto avente forza e valore di legge e da atti a contenuto normativo adottati sulla base del primo. Il giudice del bilanciamento, tra l’in
![Riflessioni sulla necessità o meno di una nuova riforma dell’abuso d’ufficio[1] di Fabio Francario](/foto/2749.jpeg)
