0571 530014 / 0571 526135
·
studiolegale@studiolegalelb.it
·
Lun - Ven 09:00-19:00
Contattaci

Decreto Capienze: l’impatto della normativa sul trattamento dei dati personali.

, ,

DECRETO CAPIENZE E LEGGE DI CONVERSIONE. ALCUNE CONSIDERAZIONI SULL’IMPATTO DELLA NORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

Com’è ormai noto a molti il 7 dicembre dell’anno appena passato è stata pubblicata in Gazzetta Ufficiale la Legge n. 205 del 2021 che ha convertito, con modificazioni, il c.d. Decreto Capienze, ossia il D.L. 8 ottobre 2021 n. 139 recante «Disposizioni urgenti per l’accesso alle attività culturali, sportive e ricreative, nonché per l’organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali”.  Tale documento normativo, che nella sua prima parte si occupa di capienze nei luoghi pubblici, ha introdotto delle rilevanti modifiche alla normativa in materia di protezione dei dati personali.

Sotto questo aspetto bisogna rilevare che, sebbene alcuni interventi siano indiscutibilmente meritevoli di plauso, molte modifiche appaiono difficilmente comprensibili in quanto sproporzionate rispetto alla ratio di fondo che ha animato l’emanazione del provvedimento normativo.  Da quest’ultimo punto di vista non si può non constatare che purtroppo, in sede di conversione del decreto, non sono state recepite dal legislatore le critiche ed i suggerimenti provenienti sia dall’autorità Garante sia da autorevoli figure di spicco della comunità di professionisti della privacy. A parere di chi scrive si è trattato di un’occasione persa nell’ottica di recupero di un equilibrio che, forse a causa dell’eccessiva frettolosità, era stato smarrito.

Prima di proseguire oltre preme allo scrivente avvertire il lettore che per esigenze di sintesi il presente contributo non illustrerà nel dettaglio tutte le modifiche introdotte dal Decreto legge e dalla successiva normativa di conversione. Al contrario ci si occuperà di individuare quegli aspetti che si reputano di maggiore rilevanza.

Gli aspetti positivi

Le modifiche di maggiore impatto che si ritengono, senza dubbio, migliorative della disciplina del trattamento dei dati personali possono essere racchiuse in due importanti interventi.

In primo luogo vi è la previsione un “potenziamento” della disciplina di contrasto al (purtroppo) dilagante fenomeno del “Revenge porn”, che, soprattutto negli ultimi anni, ha assunto proporzioni che vanno ben oltre l’allarme sociale.

Attraverso l’introduzione dell’art. 144 bis del Codice della Privacy (D. Lgs n. 196/2003), il legislatore è intervenuto assegnando nuovi compiti al Garante della Protezione dei Dati Personali. Tale Autorità infatti, a fronte della segnalazione proveniente dall’interessato, avrà 48 ore ti tempo per prendere le proprie decisioni ai sensi di quanto disposto negli art. 143 e 144 (D. Lgs n. 196 del 2003).

Oltre a quanto detto appaiono particolarmente apprezzabili anche le disposizioni in tema di legittimazione del soggetto interessato alla segnalazione (che potrà essere anche un minore infra quattordicenne o l’esercente la potestà genitoriale), nonché quelle che riguardano da vicino i gestori delle piattaforme digitali interessate. Nei confronti di questi ultimi sono stati, infatti, previsti degli obblighi (anche pesantemente sanzionati) destinati ad un efficace ed efficiente svolgimento del procedimento volto al contrasto di tale fenomeno.

L’altro intervento che ritengo altrettanto importante è rappresentato dalle modifiche introdotte all’art. 166, comma 7, del D.lgs 196/2003 che hanno riguardato essenzialmente i criteri di individuazione e determinazione delle sanzioni amministrative irrogate dall’Autorità Garante.

Si ricorda che con la legge di conversione è stata prevista la possibilità per il Garante della Protezione dei dati personali di:

  1. ingiungere, in sede di irrogazione della sanzione amministrativa, anche la realizzazione di “campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, sulla base di progetti previamente approvati dal Garante e che tengano conto della gravità della violazione”.
  2. tenere conto, nella determinazione della sanzione di cui all’art. 83, par. 2 del Regolamento “anche di eventuali campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, realizzate dal trasgressore anteriormente alla commissione della violazione”.

Da un’attenta lettura di tali disposizioni non può sfuggire un importantissimo elemento innovativo rappresentato dalla presa di coscienza di un mutato approccio alla tematica del trattamento dei dati personali.

Condivido dunque pienamente le sempre lucide osservazioni dell’Avv. Bolognini il quale, in un contributo emerso sul sito di Agenda Digitale, individua nelle suddette modifiche “l’espressione di un’interpretazione della protezione dei dati personali in chiave di responsabilità sociale”.

Gli aspetti negativi

Nonostante la presenza di “luci” rimangono nel decreto e nella successiva legge di conversione delle “ombre” piuttosto evidenti e preoccupanti.

Si ricorderà che già al momento della pubblicazione del decreto legge molte critiche erano state sollevate.

La principale “accusa” che veniva rivolta al Governo era che il provvedimento normativo determinasse un consistente assottigliamento delle tutele offerte agli interessati determinando pericolosi squilibri istituzionali.

Personalmente ritengo che la “levata di scudi” dell’Autorità Garante, di numerosi studiosi e professionisti della materia non sia stata affatto priva di fondamento. Una posizione ferma e decisa si è resa necessaria nonostante fosse palese che l’intento del legislatore non fosse quello di operare “ai limiti” della normativa sul trattamento dei dati personali per “sfumare” importanti diritti della persona.

È chiaro ed evidente, infatti, che le motivazioni di tale intervento normativo fossero quelle di agevolare un processo di crescita che in Italia stenta a partire e che è ancora più gravato da una situazione storica del tutto particolare. Ma le buone intenzioni purtroppo non si sono però tradotte, a parere di chi scrive, in un testo equilibrato.

Entrando nel merito la prima grossa novità che si evince dal testo normativo riguarda un importante ampliamento della base giuridica su cui si può fondare il trattamento dei dati personali da parte delle amministrazioni pubbliche o società a controllo pubblico per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. L’Art. 9, comma 1, del DL Capienze sancisce che, in tali casi, il trattamento sia lecito non più solo quando sia previsto da una norma di legge o di regolamento ma anche (ed è questa la novità) da atti amministrativi generali (cfr. art. 2 ter, comma 1, del Codice della Privacy).

L’estensione della base giuridica di cui sì è appena parlato non riguarda solo i dati comuni ma riguarda anche i dati particolari.  Attraverso la modifica dell’art. 2 sexies del D. Lgs n.196/2003, a partire dall’8 dicembre scorso, i dati personali possono essere trattati, per motivi di interesse pubblico rilevante, anche sulla base di un atto amministrativo generale (e dunque non più solo “nei casi previsti da una norma di legge o, nei casi previsti dalla legge, di regolamento”).

Stesso criterio dell’estensione della base giuridica agli atti amministrativi generali viene adottato, attraverso analoga modifica dell’art. 58 del D. Lgs n. 196/2003, nell’ambito dei trattamenti di dati personali per finalità di sicurezza nazionale o difesa.

Altro aspetto importante da sottolineare riguarda l’attività di comunicazione o diffusione dei dati tra titolari che effettuano trattamenti di dati personali (comuni e non particolari) per compiti di interesse pubblico o connesso all’esercizio di pubblici poteri. In questo caso sono state eliminate quelle garanzie che nella previgente norma costituivano un indubbio criterio di bilanciamento a livello istituzionale. Si ricorda infatti che il previgente comma 2 dell’art. 2 ter del Codice Privacy sanciva che, in assenza di norma, era possibile eseguire trattamenti consistenti in comunicazione o diffusione di dati personali solo previa comunicazione al Garante, il quale aveva 45 giorni di tempo per “adottare diverse determinazioni delle misure da adottarsi a garanzia degli interessati”. Decorso detto periodo maturava il c.d. “silenzio assenso”.  Tale garanzia è stata di fatto completamente svuotata attraverso un “poco incisivo” obbligo di notiziare l’Autorità Garante prima dell’inizio della comunicazione o diffusione.

È evidente che ciò rappresenta un’oggettiva riduzione dei poteri dell’Autorità Garante che, se letta insieme all’abrogazione dell’art. 2 quinquiesdecies del D. Lgs n.196/2003 (che prevedeva la consultazione preventiva del Garante in caso di trattamenti svolti per l’esecuzione di un pubblico interesse), può lasciare delle perplessità circa la sua effettiva utilità.

Se lette in quest’ottica, lasciano ancora un po’ di “amaro in bocca” quelle disposizioni normative (senz’altro positive ancorché, a mio modesto parere, insufficienti) che vanno ad incidere su aspetti organizzativi dell’Autorità Garante (quali l’amento dell’indennità o dell’organico).

La sensazione è che ancora stenti a “decollare” quell’idea di privacy scollegata dalla concezione di appesantimento (se non ostacolo) al perseguimento di legittime finalità.

Ma i tempi sono cambiati e la tematica del trattamento dei dati personali assume innegabilmente un carattere strategico per lo sviluppo dell’intero paese.

Roberto Scarchini



Hai bisogno di una Consulenza Legale?

Compila il Form e prendi un appuntamento con un nostro professionista
Please install and activate the "Contact form 7" plugin to show the contact form.

Related Posts

DPIA: cos’è e quando è necessaria

Ethical Hacking: a cosa serve?

Telemarketing e il nuovo Codice di Condotta