Pandemie Sars-Cov-2 e disciplina del Golden power

di Lucio Scudiero e Francesca Ferrari -

La pandemia di Sars-Cov-2 ha arricchito il puzzle normativo di disciplina del cosiddetto golden power, estendendone il campo di applicazione a settori prima non coperti. A lavori in corso – è atteso infatti un D.p.c.m. finora descritto in bozza dalla stampa – è utile un rapido excursus sulla disciplina in commento.

Per golden power (potere speciale) si intende la facoltà dello Stato, esercitabile verso talune società operanti in settori specifici, di dettare specifiche condizioni all’acquisto di partecipazioni (e/o di opporsi all’acquisto di tali partecipazioni) da parte di qualsiasi soggetto diverso dallo Stato, enti pubblici o soggetti da essi controllati, nonché la facoltà di porre il veto all’adozione di determinate delibere societarie. L’istituto si collega ad altri istituti “gemelli” già previsti dal diritto di altri Stati europei (quali la golden share inglese e l’action spécifique francese), e ha lo scopo di salvaguardare gli assetti proprietari delle società operanti in ambiti reputati strategici e di interesse nazionale.

La materia era stata riscritta dal legislatore con il decreto legge 15 marzo 2012, n. 21, a seguito dell’intervento correttivo dell’Unione Europea [La disciplina previgente di cui all’art. 2 del decreto legge 31 maggio 1994, n. 332 (convertito in legge 30 luglio 1994, n. 474), è stata dichiarata incompatibile con il diritto dell’Unione Europea dalla Corte di Giustizia con la sentenza C-326/07 del 26 marzo 2009.]; tale decreto ha definito, anche mediante il rinvio ad atti di normazione secondaria, l’ambito oggettivo e soggettivo, la tipologia, le condizioni e le procedure di esercizio da parte del Governo del suddetto potere speciale. I settori di esercizio del golden power, come circoscritti dal citato decreto legge n. 21/2012, sono quelli della difesa e della sicurezza nazionale, nonché taluni ambiti di attività definiti di rilevanza strategica nei settori dell’energia, dei trasporti e delle comunicazioni.

Già il decreto legge 21 settembre 2019, n. 105 (successivamente convertito in legge 18 novembre 2019, n. 133) aveva significativamente esteso l’ambito di applicazione del golden power, allargando i settori interessati dall’esercizio dei poteri speciali a quelli di cui alle lettere a) e b) dell’art. 4, paragrafo 1, del Regolamento (UE) 2019/452, di prossima efficacia, e cioè, nello specifico, alle infrastrutture critiche, fisiche o virtuali, tra cui l’energia, i trasporti, l’acqua, la salute, le comunicazioni, i media, il trattamento o l’’archiviazione di dati; tecnologie critiche e prodotti a duplice uso, tra cui l’intelligenza artificiale, la robotica, i semiconduttori, la cybersecurity.

Il tema dell’ambito di operatività del potere speciale dello Stato è poi emerso nuovamente in piena emergenza coronavirus: in linea con le indicazioni fornite a livello europeo dalla Commissione, il Governo ha infatti deciso di rafforzare temporaneamente il golden power, allo scopo di evitare che – a causa della situazione emergenziale dettata dalla pandemia – le imprese italiane attive in settori reputati strategici possano costituire il bersaglio di operazioni “ostili”.

Il decreto legge 8 aprile 2020, n. 23 (cd. “Decreto Liquidità”) ha quindi esteso fino al prossimo 31 dicembre 2020 le operazioni oggetto di comunicazione obbligatoria alla Presidenza del Consiglio dei Ministri: si tratta sia di asset deals (intese come operazioni di modifica della titolarità, del controllo, della disponibilità di tali asset o il cambiamento della loro destinazione) sia di share deals (di acquisizione del controllo e non) riguardanti società operanti in settori reputati strategici e di interesse nazionale.

La novità introdotta dal citato decreto è che, al fine di definire il concetto di “strategicità” del settore, è fatto rinvio a tutti i settori di cui all’articolo 4, paragrafo 1, del Regolamento (UE) 2019/452, includendo quindi anche le lettere c), d), ed e), rimaste escluse dalle previsioni di cui al decreto legge n. 105/2019. Si tratta, nello specifico, dei seguenti settori: c) sicurezza dell’approvvigionamento di fattori produttivi critici, tra cui l’energia e le materie prime, nonché la sicurezza alimentare; d) accesso a informazioni sensibili, compresi i dati personali, o la capacità di controllare tali informazioni; e) libertà e pluralismo dei media.

Non è chiaro che cosa abbiano voluto intendere il legislatore europeo e, di rimando, quello nazionale, con l’inclusione nell’elenco dei settori “proteggibili” di quello che comporta “l’accesso a informazioni sensibili, compresi i dati personali, o la capacità di controllare tali informazioni”.

Il concetto di “sensitive information, including personal data” necessita, ictu oculi, di essere dettagliato, al fine di evitare di includere nell’obbligo di notifica a fini golden power un numero eccessivo di operazioni potenzialmente irrilevanti nell’ambito della tutela dell’economia nazionale.

Tale necessità era già stata avvertita nei lavori preparatori al testo del Regolamento: nella prima lettura del testo, il Parlamento aveva infatti proposto la seguente modifica “(d)  access to sensitive information or to the personal data of Union citizens, including, inter alia, personal data concerning health, and the ability to control large-scale data or sensitive information”, andando sostanzialmente a limitare il concetto di “informazioni sensibili” ai dati relativi alla salute e ai dati trattati su larga scala.

Il Committee of Foreign Affairs, nel rendere il proprio parere sul testo di Regolamento, si era invece fatto portatore di un orientamento parzialmente difforme, evidenziando l’opportunità di evitare definizioni eccessivamente restrittive e concetti univoci per tutti gli Stati membri. La proposta del Committee in sede di lavori preparatori è quindi stata quella di modificare il testo del citato articolo 4, lettera d), eliminando ogni riferimento ai dati personali, come di seguito: “access to sensitive or strategic national and European security information, or the ability to control sensitive or strategic security information”.

In generale, quello che sembra desumersi dall’interpretazione della volontà del legislatore europeo (ivi inclusa dall’analisi dei dibattiti necessari per l’approvazione del testo finale del Regolamento) è che nella lettera d) dell’articolo in esame si debbano ritenere comprese le informazioni strategiche o importanti per il mercato interno e per la sicurezza dello Stato membro in cui la società si trova ad operare. Un concetto che è stato lasciato volutamente vago, posto che una certa informazione può assumere o meno valore strategico in riferimento al singolo settore di business rispetto al quale viene valutata. In quest’ottica, i dati personali sarebbero inclusi nella citata lettera d) nella misura in cui rientrano in tali informazioni “fondamentali” o “strategiche”.

Una simile ricostruzione sembra tanto più potersi sostenere alla luce della finalità ultima del Regolamento 2019/452, che è quella di individuare dei criteri per elaborare uno screening degli investimenti stranieri nelle aziende dell’UE tutelando la sicurezza e l’ordine pubblico dei singoli Stati membri, anche rispetto a settori/infrastrutture/tecnologie strategici rispetto ai medesimi.

Qualche indicazione ulteriore viene dallo schema di D.p.c.m. già sopra citato, non ancora definitivo al momento in cui si scrive. Il decreto include nell’ambito di applicazione del golden powerulteriori beni e rapporti di rilevanza strategica per l’interesse nazionale” (art. 1) e tra essi annovera le informazioni critiche, ossia quelle “essenziali per il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale della popolazione” (art. 2.1. let. d). In tale categoria vengono dunque ricondotti i “dati personali, riferibili a specifiche persone fisiche ovvero enti giuridici” (art. 6 comma 2) rientranti tra le categorie dei dati particolari e relativi a condanne penali e reati ex artt. 9 e 10 del GDPR, nonché tutti quei dati personali raccolti tramite tecnologie di smart metering, smart car, smart building, smart cities, smart home, cloud computing, telemedicina, infrastrutture elettorali, dei mercati finanziari e assicurativi (es. blockchain, insuretech ecc), nonché nei settori dell’intelligenza artificiale, della robotica, dei semiconduttori, della cibersicurezza, delle nanotecnologie e biotecnologie.

Al di là dell’errore tecnico-giuridico di riferire i dati personali agli enti giuridici, è un vaste programme, che interseca e sovrappone la tutela strategica dei dati personali a quella di altri asset già oggetto di specifica attenzione da parte del legislatore nazionale. Il coordinamento tra la noma dedicata ai dati personali e le altre sarà particolarmente complesso in tutti quei casi – e c’è da immaginare che saranno molti – di attività data intensive: ad esempio, la tutela strategica dei beni e rapporti nel settore della salute, e in particolare in relazione alla telemedicina, potrà avvenire per effetto dell’articolo 5 del d.p.c.m. (dedicato al settore della salute) o dell’articolo 6 (dedicato, per l’appunto, alle informazioni sensibili, tra cui i dati personali)?

Le due norme in questione hanno infatti inneschi differenziati del potere di intervento governativo; dispone l’ultimo comma dell’articolo 6 che sono tutelabili (in quanto essenziali per la tutela strategica di un interesse nazionale) i dati personali se si riferiscono ad almeno trecentomila persone fisiche (o enti), mentre l’articolo 5 non prevede alcuna soglia di questo tipo.

Interessante anche il tentativo di definire con criterio quantitativo esatto la “larga scala” del trattamento di dati personali, con indicazione ermeneutica che potrebbe travalicare i confini della normativa speciale in tema di golden power per definire anche tutte quelle casistiche previste dal GDPR quando riconnette al trattamento su “larga scala” di dati personali alcuni adempimenti, quali ad esempio l’effettuazione obbligatoria di una valutazione d’impatto sulla protezione dei dati (art. 35 comma 3, lett. b e c GDPR) o la designazione obbligatoria di un Responsabile per la protezione dei dati (art. 37, comma 1 lett. b e c GDPR).

E’ auspicabile un intervento correttivo della bozza, innanzitutto per espungere dal testo ogni riferimento ai dati personali degli enti, e in secondo luogo per meglio definire l’interazione tra l’articolo 6 con le altre norme vigenti in materia di golden power.