Per il Consiglio di Stato viola anche la normativa in materia di protezione dei dati personali l’Ordinanza del Sindaco del Comune di Messina n. 105/2020 che impone la registrazione preventiva a chi intende transitare attraverso lo Stretto
Il Consiglio di Stato – con Adunanza di Sezione del 7.4.2020 – si è espresso sulla richiesta inoltrata dalla Presidenza del Consiglio dei ministri e autorizzata dal Ministro dell’Interno per l’avvio del procedimento di annullamento governativo straordinario, ex art. 138 D.Lgs. 18.8.2000, n. 267, dell’ordinanza del Sindaco del Comune di Messina del 5 aprile 2020, n. 105.
La vicenda origina dalle disposizioni contenute nel richiamato provvedimento sindacale che, tra l’altro, prevede che “chiunque voglia fare ingresso in Sicilia attraverso il Porto di Messina […] è tenuto almeno 48 ore prima dell’orario previsto di partenza, ad accedere al sistema di registrazione on line www.sipassaacondizione.comune.messina.it” e ivi (art.2):
a) registrare i propri dati personali
b) […]
c) autorizzare il Comune di Messina e per esso la Polizia Municipale alla quale è demandata l’attuazione e la vigilanza sulla esecuzione della presente Ordinanza, il trattamento dei propri dati personali in conformità con la normativa vigente
d) indicare le motivazioni dello spostamento specificando tra le ipotesi ammesse alla normativa vigente
e) allegare la documentazione comprovante il ricorrere della motivazione prescelta per lo spostamento
f) indicare la località di destinazione, completa dell’indirizzo dell’immobile e del suo proprietario fornendo ogni utile contatto, ove dichiara di trascorrere il periodo di isolamento fiduciario […]
Il medesimo provvedimento, poi, impone espressamente l’obbligo di registrazione anche ai cittadini che sono in uscita dalla Sicilia attraverso i collegamenti navali del porto di Messina, ordina alla Polizia Municipale di verificare le dichiarazioni trasmesse e accertare la rispondenza dei dati forniti.
Il Consiglio di Stato, oltre a rilevare plurime violazioni di dettami costituzionali e previsioni normative e a evidenziare come l’esorbitanza dai limiti di attribuzione dell’Ente locale costituisca strumento attraverso cui si attua la lesione all’unità dell’ordinamento giuridico, ha anche posto in luce come “7.1. L’ordinanza sindacale in questione viola la disciplina di derivazione comunitaria in materia di protezione di dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, che costituisce senz’altro materia riservata alla potestà legislativa esclusiva statale (cfr. Corte cost., sentenza n. 271 del 2005), nella parte in cui impone, senza alcuna base di legge statale, alle persone di dichiarare e iscrivere, nel sito indicato, una pluralità di dati personali riservati in funzione dell’esercizio di un diritto fondamentale di circolazione costituzionalmente riconosciuto”.
Pare utile evidenziare come, al di là del fatto che si sarebbe apprezzata una maggiore precisione nel richiamo al contesto normativo europeo (Regolamento 2016/679 – GDPR) e nazionale (D.Lgs. 196/2003 – Codice Privacy) di riferimento, il parere espresso abbia ben posto l’accento sugli aspetti di contrarietà alle disposizioni poste a tutela della sfera personale degli individui.
Nel merito del disposto sindacale, suscita dubbi la sussistenza di una legittima base giuridica al trattamento. Non soccorre nessuna delle disposizioni, anche eccezionali e urgenti, che autorizzano il trattamento di dati personali, anche sensibili, nel contesto dell’emergenza pandemica in corso. In egual modo non soccorre nessuna delle previsioni di cui all’art. 6 lett. c) ed e) del GDPR e quelle di cui all’art. 9 par. 2 lett. g), i) e j) del GDPR, essendo tutte previsioni che trovano base sul diritto dell’Unione o degli Stati nazionali e ravvisandosi, nel caso in specie, ragioni che al contrario spingono all’annullamento straordinario dell’Ordinanza in parola per contrarietà all’ordinamento giuridico.
Pure il disposto di cui all’art. 2 lett. c) dell’Ordinanza mostra caratteri chiari di illegittimità. Sorprende – anche in termini concettuali – l’intenzione dell’Ente emittente di fondare la legittimità del trattamento sulla base giuridica di un consenso imposto autoritativamente agli interessati. Val la pena di rilevare che al ricorrere di un interesse pubblico o di ragioni di tutela della salute pubblica connesse all’esercizio dei pubblici poteri di cui è investito il titolare non sarebbe necessario il consenso e che, in caso contrario, il consenso imposto per atto autoritativo sarebbe un consenso non libero e conseguentemente inefficace.
L’Ordinanza posta al parere del Consiglio di Stato pare ponga poca attenzione anche ai limiti posti dai principi cui i trattamenti di dati personali devono in ogni caso ispirarsi. In particolare, essa sembra non considerare affatto il principio di proporzionalità, e quello di minimizzazione e liceità, se ad esempio si considera la scelta dell’Amministrazione locale di estendere le tipologie di dati personali che alimentano il database a informazioni relative a soggetti terzi, o estranee alle finalità dichiarate (ad esempio, nel caso di allegazione, come espressamente suggerito nella “Guida per il Viaggiatore”, del contratto di lavoro e della busta paga dei lavoratori).
Ancora una volta, si constata come anche nelle varie ramificazioni della pubblica amministrazione, la coscienza della centralità della tutela della sfera personale e l’attenzione al diritto dei cittadini (rectius: individui) alla protezione dei dati personali che li riguardano non abbiano concluso il percorso di maturazione.