Novità sulla Privacy nel decreto Capienza

Pubblicato il



Novità sulla Privacy nel decreto Capienza

In vigore dal 9 ottobre 2021 il decreto Capienza, pubblicato sulla Gazzetta Ufficiale n. 241 dell'8 ottobre 2021: oltre a introdurre disposizioni urgenti per l'accesso a teatri, cinema, concerti, musei, eventi e competizioni sportive e discoteche, il decreto-legge 8 ottobre 2021, n. 139, con l'articolo 9 modifica in più punti la disciplina del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196.

Le modifiche, etichettate nel comunicato stampa di fine seduta del Consiglio dei Ministri del 7 ottobre 2021 come "semplificazioni" alla disciplina del trattamento dei dati con finalità di interesse pubblico in coerenza con il quadro europeo, sono di estrema importanza in quanto di fatto cambiano gli equilibri istituzionali in materia di privacy, rafforzando i poteri del Governo. Vediamo come.

Trattamento di dati con finalità di interesse pubblico

L'articolo 9, comma 1, lett. a) del decreto Capienza introduce, nell'articolo 2-ter del Codice privacy (rubricato "Base giuridica per il trattamento di dati personali effettuato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri"), il nuovo comma 1-bis.

La nuova norma prevede che il trattamento dei dati personali da parte di un'amministrazione pubblica sia sempre consentito se necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri a essa attribuiti purchè lo stesso sia effettuato:

1) dalle seguenti Pubbliche amministrazioni (articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165):

  • amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo;
  • Regioni, Province, Comuni, Comunità montane, e loro consorzi e associazioni;
  • istituzioni universitarie;
  • Istituti autonomi case popolari;
  • Camere di commercio, industria, artigianato e agricoltura e loro associazioni;
  • enti pubblici non economici nazionali, regionali e locali;
  • amministrazioni, aziende e enti del Servizio sanitario nazionale;
  • Agenzia per la rappresentanza negoziale delle pubbliche amministrazioni (ARAN) e Agenzie di cui al decreto legislativo 30 luglio 1999, n. 300;
  • CONI (fino alla revisione organica della disciplina di settore);

2) dalle Autorità indipendenti;

3) dalle amministrazioni inserite nell'elenco annuale dall'Istituto nazionale di statistica (ISTAT) di cui all'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196;

4) dalle società a controllo pubblico statale (articolo 16 del decreto legislativo 19 agosto 2016, n. 175), con esclusione per le società pubbliche dei trattamenti correlati ad attività svolte in regime di libero mercato.

La finalità del trattamento è indicata dall'amministrazione, ovvero dalla società a controllo pubblico in coerenza al compito svolto o al potere esercitato se non espressamente prevista da una norma di legge o, se previsto dalla legge, di regolamento.

Riassumendo: se la finalità non è prevista dalla legge, la PA può indicarla con un suo atto (amministrativo) ed effettuare il trattamento dei dati personali considerato necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri a essa attribuiti.

Tutto ciò però alle seguenti condizioni: che venga assicurata adeguata pubblicità all'identità del titolare del trattamento, alle finalità del trattamento e sia fornita ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano.

Consultazione preventiva del Garante privacy

L'art. 9, comma 1, lettera b) del decreto-legge 8 ottobre 2021, n. 139 abroga l'articolo 2-quinquesdecies del decreto legislativo 30 giugno 2003, n. 196 recante disposizioni in materia di trattamento privacy con rischi elevati per l'esecuzione di un compito di interesse pubblico.

L'articolo abrogato prevedeva che, con riguardo ai trattamenti svolti per l'esecuzione di un compito di interesse pubblico e con rischi elevati ai sensi dell'articolo 35 del Regolamento UE, il Garante privacy potesse, con provvedimenti di carattere generale adottati d'ufficio, prescrivere misure e accorgimenti a garanzia dell'interessato, che il titolare del trattamento era tenuto ad adottare.

Con l'abrogazione di tale norma pertanto il titolare del trattamento svolto per l'esecuzione di un compito di interesse pubblico, prima di procedere al trattamento stesso, non è più tenuto a consultare l'Autorità di controllo nei casi in cui la valutazione d'impatto sulla protezione dei dati indica che il trattamento presenta un rischio elevato, in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.

Dati di traffico su tabulati telefonici e telematici

L'art. 9, comma 1, lettera c) abroga il comma 5 dell'articolo 132 del Codice Privacy recante disposizioni in materia di conservazione di dati di traffico su tabulati telefonici e telematici.

L'articolo abrogato prevedeva che il trattamento dei dati per finalità di accertamento e repressione dei reati relativi al traffico:

  • telefonico (conservati dal fornitore per 24 mesi dalla data della comunicazione);
  • telematico (conservati dal fornitore per 12 mesi dalla data della comunicazione),

fosse effettuato nel rispetto delle misure e degli accorgimenti prescritti dal Garante a garanzia dell'interessato e volti a garantire il rispetto dei requisiti di qualità, sicurezza e protezione dei dati in rete nonchè ad indicare le modalità tecniche per la periodica distruzione dei dati.

Pareri del Garante sulle riforme del PNRR

L'art. 9, comma 3 del decreto Capienza infine taglia i tempi per acquisizione dei pareri del Garante privacy sulle riforme del PNRR.

Si prevede infatti che i pareri del Garante richiesti con riguardo a riforme, misure e progetti del:

  • Piano nazionale di ripresa e resilienza (regolamento (UE) 2021/241 del Parlamento europeo e del Consiglio, del 12 febbraio 2021);
  • Piano nazionale per gli investimenti complementari (decreto-legge 6 maggio 2021, n. 59, convertito, con modificazioni, 1° luglio 2021, n. 101);
  • Piano nazionale integrato per l'energia e il clima 2030 (regolamento (UE) 2018/1999 del Parlamento europeo e del Consiglio, dell'11 dicembre 2018),

debbano essere resi nel termine non prorogabile di 30 giorni dalla richiesta.

Decorso infruttuosamente tale termine, il Governo può procedere indipendentemente dall'acquisizione del parere.

Allegati