Il Decreto Legge 30 aprile 2020, n. 28, recante "Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l'introduzione del sistema di allerta Covid-19" (c.d. “Decreto Giustizia”), convertito, con modificazioni, dalla legge 25 giugno 2020, n. 70, ha rivoluzionato la fonte normativa delle regole tecniche del Processo Amministrativo Telematico (“PAT”).
L’art. 4 del Decreto Giustizia ha infatti stabilito che “le regole tecnico-operative per la sperimentazione e la graduale applicazione degli aggiornamenti del processo amministrativo telematico” saranno disciplinate tramite Decreto del Presidente del Consiglio di Stato e non più tramite Decreto del Presidente del Consiglio dei Ministri.
In applicazione di detto articolo (i) in data 22 maggio 2020 è stato pubblicato il Decreto del Presidente del Consiglio di Stato n. 134 (il “DPCS”) e (ii) è stato abrogato il DPCM 40/2016, prima base normativa per le regole del PAT.
L’impulso di tale modifica di fonte regolatoria è sorto – dato il noto periodo emergenziale da COVID-19 – dall’esigenza di regolare velocemente, affidandone il compito ad un organo “interno” della Giustizia amministrativa, lo svolgimento delle nuove udienze da remoto del processo amministrativo.
Data l’evidente esposizione all’utilizzo e allo scambio di dati personali per la celebrazione di tali udienze, il Consiglio di Stato, prima della pubblicazione in Gazzetta del DPCS, ha richiesto il parere dell’Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’”Autorità”).
Il parere dell’Autorità garante per la protezione dei dati personali
Con il parere n. 88 del 19 maggio 2020 (il “Parere”) l’Autorità garante per la protezione dei dati personali (“Garante Privacy”) ha espresso parere favorevole sullo schema del DPCS recante le regole tecnico-operative di cui all’art. 4 del D.L. 28/2020, pur fornendo importanti osservazioni.
Sul sistema Microsoft Teams
In primis, il Garante Privacy ha trattato della piattaforma prescelta per lo svolgimento delle udienze, ovvero Microsoft Teams. Tale programma utilizza un sistema di cloud, per cui il Garante Privacy ritiene che potrebbe sussistere il rischio di un’applicazione unilaterale del Clarifying Lawful Overseas Use of Data Act (“Cloud Act”) – approvato dal Congresso degli Stati Uniti nel marzo 2018 – cui Microsoft sarebbe soggetta. A parere del Garante, infatti, “tale applicazione non potrebbe essere esclusa a priori, per il solo fatto di essere” – come ben noto – “contraria al diritto europeo, in assenza di un accordo specifico con gli Stati Uniti per l’accesso transfrontaliero alle prove elettroniche a fini di cooperazione giudiziaria in materia penale”. Si ricorda, infatti, che in forza di quanto previsto dal Cloud Act le autorità, le forze dell’ordine e le agenzie di intelligence degli Stati Uniti d’America possono acquisire dati informatici dagli operatori di servizi di comunicazione elettronica o dai provider di servizi per l’elaborazione in remoto (più comunemente noti come servizi di cloud computing) a prescindere dal luogo dove questi dati si trovano e, pertanto, anche se si trovano all’interno di server localizzati al fuori degli Stati Uniti (ma risultino sottoposti alla giurisdizione degli Stati Uniti oppure siano società europee che hanno una filiale negli Stati Uniti o che operano nel mercato americano).
Senza entrare nel merito del dibattito tuttora in corso sull’implementazione del Cloud Act, secondo il giudizio dell’Autorità, e stando a quanto riferito dal Consiglio di Stato, detto rischio risulterebbe tuttavia attenuato, in primo luogo, poiché l’informazione veicolata dagli indirizzi è, nel caso del dominio della Giustizia amministrativa, correlata all’identità delle parti coinvolte nell’udienza pubblica che verrebbe registrata nei log dei sistemi di autenticazione Microsoft e poi conservata per finalità e per tempi previsti nelle privacy policy aziendali. In secondo luogo, dato che il DPCS esclude lo scambio di messaggi in chat, nonché la registrazione delle udienze – e, così, la realizzazione di un trattamento di dati personali illecito – il provider delle videoconferenze non acquisirebbe alcun dato personale al di fuori dei “metadati” della videoconferenza (identificativi per l’autenticazione coincidenti con gli indirizzi email, indirizzi IP delle postazioni connesse, data e ora della connessione).
Poste tali osservazioni, il Garante Privacy condivide, nell’attuale contesto emergenziale, l’utilizzo del sistema Microsoft Teams, pur formulando un’importante raccomandazione per il futuro. Il Garante Privacy ritiene infatti che, una volta cessato il periodo emergenziale, e dunque tornati a un sistema di “normalità”, debba essere adottata una piattaforma “interna”, gestita direttamente dagli organi di Giustizia amministrativa o, se amministrata da terzi, sotto lo stesso controllo di detti organi. Le ragioni di tale auspicio nascono proprio in ragione dei possibili citati rischi derivanti dal ricorso a soluzioni cloud. L’utilizzo di una piattaforma interna e, quindi, la disponibilità di software open source di affidabilità e accuratezza del tutto comparabili ai migliori prodotti industriali, offre infatti il “vantaggio di prestarsi a ‘implementazioni’ di tipo on premises (quindi su datacenter e reti della Giustizia amministrativa) o comunque su infrastrutture gestite anche collettivamente da o con altre amministrazioni pubbliche, evitando in radice flussi transfrontalieri interni od esterni all’Unione europea, comunque implicati dal ricorso a soluzioni ‘cloud’ quali quella di Microsoft Teams”.
Sull’informativa sul trattamento dei dati personali
Con riferimento all’informativa sul trattamento dei dati personali, il Garante Privacy suggerisce che la stessa debba essere fornita agli interessati precedentemente all’avviso di avvenuto deposito dell’istanza di discussione da remoto al fine di consentire alle parti una consapevole valutazione, anche sotto il profilo della protezione dati, in ordine alla scelta sull’opportunità di presentare o meno opposizione (l’art. 4 del D.L. 28/2020 prevede infatti che le controparti possano presentare opposizione alla discussione da remoto). Il Garante Privacy ritiene infatti che la previsione del consenso di cui all’art. 2, comma 7, dello schema del DPCS, quale presupposto di liceità del trattamento dei dati “suscita qualche perplessità”, in quanto “la volontarietà della scelta di una particolare modalità per la celebrazione dell’udienza (il processo da remoto) non deve essere sovrapposta con i presupposti di liceità del trattamento che, nel caso di specie, sono rinvenibili negli artt. 6, par. 1, lett. e), 9, par. 2, lett. g), e 10 del Regolamento UE 679/2016” .
Sul divieto di registrazione delle udienze
Il Garante Privacy suggerisce di integrare la dichiarazione di cui all’art. 2, comma 8 del Decreto Giustizia prevedendo espressamente l’impegno ad evitare anche le registrazioni, con ogni strumento, delle udienze, nonché della camera di consiglio da remoto tenuta dai soli magistrati per la decisione degli affari. L’Autorità ha infatti affermato che una registrazione delle udienze costituirebbe un illecito trattamento di dati personali.
Si segnale che tale indicazione è stata recepita dal DPCS n. 134/2020.
Sul regime di accesso al fascicolo informatico e di consultazione dei dati identificativi delle questioni pendenti
Il Garante Privacy si è da ultimo soffermato su alcune previsioni contenute negli art. 17 e 18 dell’Allegato 1 allo schema di decreto (allegato che ha sostanzialmente recepito quanto già disposto dall’abrogato DPCM 40/2016).
Il Garante Privacy ha ritenuto certamente condivisibile l’anonimizzazione dei dati identificativi delle questioni pendenti ai fini dell’accesso da parte dei soggetti non dotati di specifica legittimazione. Ciò in ragione del bilanciamento tra diritto alla riservatezza delle parti private della controversia ed esigenze di informazione giuridica, nonché in senso più lato di pubblicità dell’attività giurisdizionale.
Con riferimento all’accesso alle c.d. copie “uso studio” dei provvedimenti giudiziari – di cui è inibita l’indicizzazione esterna – l’Autorità ritiene che il richiamo alle cautele previste dal D.lgs. 196/2003 come modificato dal D.lgs. 10 agosto 2018, n. 101 (“Codice Privacy”) andrebbe inteso nell’interpretazione sistematico-adeguatrice emergente dalla giurisprudenza di legittimità. Sul punto il Garante Privacy ha ricordato come la Corte di Cassazione (Sez. I, 20 maggio 2016, n. 10510), ha ritenuto di includere nei casi di anonimizzazione obbligatoria dei provvedimenti giurisdizionali anche quelli inerenti dati sulla salute (in ragione del divieto assoluto di divulgazione prima previsto dall’art. 22, comma 8, del D.lgs. 196/2003 ed ora esteso, dall’art. 2-septies, comma 8, del Codice Privacy vigente anche ai dati genetici e biometrici).