Il decreto Capienza interviene in materia di privacy su due fronti, quello della Pubblica Amministrazione e quello dell’Autorità Garante: viene introdotta una disposizione che prescrive che il trattamento da parte di un’autorità pubblica è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti.
Il decreto legge elimina, inoltre, l’obbligo di ricorrere da parte della PA alla consultazione preventiva verso il Garante della Privacy prima di poter porre trattamenti che possono presentare rischi alti nell’interesse pubblico.
Ma non è tutto.
All’Autorità Garante viene imposto un termine non prorogabile laddove debba pronunciarsi su riforme, progetti o misure inerenti al PNRR.
Le novità in materia di privacy arrivano con la pubblicazione in Gazzetta Ufficiale del D.L n. 139/2021.
Il decreto Capienza riporta le “Disposizioni urgenti per l’accesso alle attività culturali, sportive e ricreative, nonché per l’organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali”. Tale intervento era già stato ampiamente prospettato per diminuire la portata delle misure restrittive in merito al contagio pandemico in corso.
Tale decreto legge è in verità anche intervenuto con riferimento al Codice della Privacy (D.Lgs. n. 196/2003 per quanto ancora vigente) in particolare agendo pesantemente sul fronte dei trattamenti realizzati dalla Pubblica Amministrazione.
Modifiche al Codice della Privacy
Le modifiche arrivano con l’art. 9: viene introdotta nel Codice della Privacy una disposizione che prescrive che il trattamento da parte di un’autorità pubblica “è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti”.
Sino ad oggi i trattamenti per finalità pubbliche si basavano esclusivamente su prescrizioni normative.
A partire, invece, da questa introduzione, questa potrà essere decisa ed esplicitata dall’amministrazione “in coerenza al compito svolto o al potere esercitato”.
A riequilibrare questa novità piuttosto criticata dai giuristi del settore, l’indicazione al primo comma dell’art. 9 dell’obbligo da parte dell’Ente di dare “una adeguata pubblicità all’identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano.” Dobbiamo certamente evidenziare come “ancorando” il trattamento al compito svolto o esercitato si vincola pur sempre la PA ad effettuarlo in aderenza agli obblighi normativi inerenti le attività svolte.
Controllo preventivo del Garante della Privacy
Sul fronte della PA lo stesso decreto legge prevede una ulteriore novità: il decreto Capienze va ad abrogare l’art. 2-quinquesdecies del Codice Privacy. Tale disposizione prevedeva che “con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati ai sensi dell’art. 35 del Regolamento, il Garante può, sulla base di quanto disposto dall’art. 36, paragrafo 5, del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio, prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare”.
Con questa eliminazione cade l’obbligo di ricorrere da parte della PA alla consultazione preventiva verso il Garante della Privacy prima di poter porre in essere trattamenti che potessero presentare rischi alti nell’interesse pubblico.
Una tutela apparentemente in meno rispetto ai soggetti interessati.
Parere del Garante sui progetti del Piano nazionale di ripresa e resilienza
Ma non è tutto.
All’Autorità Garante viene imposto un termine non prorogabile laddove debba pronunciarsi su riforme, progetti o misure inerenti il PNRR (Piano nazionale di ripresa e resilienza): laddove l’Autorità intenda intervenire dovrà farlo inderogabilmente entro trenta giorni decorrenti dalla richiesta ricevuta.
Trascorso tale termine senza che l’Autorità intervenga, il Governo procederà senza alcun parere.
Tale prescrizione è certamente coerente con quel sentimento di urgenza e necessità che lega il PNRR alla ripresa e crescita di questo Paese. Quindi va da sé che vada letto come intervento finalizzato a non appesantire tutto il processo che caratterizza tale piano.
Infine, il D.L. n. 139/2021 è intervenuto anche sulla tematica inerente al trattamento dei dati relativi al traffico telefonico e telematico, abrogando il comma 5 dell’art. 132 del Codice Privacy.
Tale articolo prescriveva che il trattamento dei dati per la prevenzione dei reati dovesse essere effettuato “nel rispetto delle misure e degli accorgimenti a garanzia dell’interessato prescritti dal Garante (…) volti a garantire che i dati conservati possiedano i medesimi requisiti di qualità, sicurezza e protezione dei dati in rete, nonché ad indicare le modalità tecniche per la periodica distruzione dei dati, decorsi i termini di cui al comma 1”.
In sostanza dunque, abrogando questo articolo, viene meno l’attività del Garante relativa alle prescrizioni delle misure a tutela degli interessati ogni qualvolta fosse intervenuto un trattamento finalizzato alla prevenzione dei reati, oltre alla definizione delle modalità per la distruzione delle informazioni entro due anni nel caso del traffico telefonico, ed entro un anno per il traffico telematico.
