Non “meno paletti” legati alla privacy per l’uso dei dati tra amministrazioni pubbliche, anche in chiave dell’antievasione fiscale, come riportato da alcuni media. Sono, invece, in coerenza con il GDPR le novità introdotte dal governo, con il decreto-legge ‘capienze’, in materia di protezione dei dati personali ed in particolare sul trattamento dei dati con finalità di interesse pubblico. Serve una lettura meno frettolosa e più ragionate delle nuove norme.
Però, è sempre in corso lo scontro istituzionale governo-Autorità Garante, c’è il rischio di maldestre norme per smontare le cautele privacy?
Risponde l’avv. Alessandro Del Ninno, specializzato in Ict e data protection
“Si sta diffondendo una lettura frettolosa dell’articolo 9 del Decreto Capienze che sembra far passare il messaggio che le Pubbliche Amministrazioni e gli altri soggetti pubblici non avranno più vincoli data protection nella loro azione…” osserva l’avv. Alessandro Del Ninno, dello studio legale Tonucci & Partners, esperto di ICT e data protection.
Key4biz. Invece, cosa dice, esattamente, il decreto-legge?
Alessandro Del Ninno. “Una lettura più ragionata della norma a mio avviso ne evidenzia la reale portata. Intanto: le PA continuano ad essere soggette al GDPR, che di certo il Legislatore – quale regolamento europeo che nel nostro sistema delle fonti ha rango costituzionale – non può modificare con legge ordinaria”.
Key4biz. Quale è la novità introdotta dal Decreto Capienze con il nuovo comma 1-bis all’art. 2-ter del Codice della privacy?
Alessandro Del Ninno. L’articolo 2-ter individua “esclusivamente nella legge o – nei casi previsti dalla legge, di regolamento” la base di legittimità dei trattamenti effettuati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. Ora, ai sensi del nuovo comma 1-bis, il trattamento è “sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti” e la finalità del trattamento può essere indicata direttamente dall’amministrazione o dal soggetto pubblico interessati – se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento – “in coerenza al compito svolto o al potere esercitato”.
Key4biz. Quindi?
Alessandro Del Ninno. Ebbene, tale intervento del Legislatore intanto non modifica il principio già vigente di cui al precedente comma 1 per il quale il soggetto pubblico può trattare i dati personali (tra l’altro comuni, visto che il decreto non interviene sull’art. 2-sexies) se la base giuridica è “costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento”. La novità del comma 1-bis semplicemente lascia un margine ulteriore di azione alle amministrazioni e ai soggetti pubblici di procedere al trattamento quando non c’è quella norma di legge o di regolamento specifica che baserebbe l’azione amministrativa e il trattamento.
Key4biz. C’è chi parla di “meno paletti privacy”…
Alessandro Del Ninno. Vorrei ricordare a chi oggi paventa “meno paletti privacy” che il Governo in sostanza non fa che ripristinare vecchi principi che erano contenuti agli articoli 18 e 19 del vecchio Codice della privacy abrogato, che consentivano “il trattamento da parte di un soggetto pubblico riguardante dati diversi da quelli sensibili e giudiziari anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente” prevedevano che “qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali”. Non vedo, insomma, stravolgimenti.
Key4biz. Sul piano giuridico non ci sono stravolgimenti delle garanzie per i cittadini?
Alessandro Del Ninno. No. Anche l’abrogazione dell’articolo 2-quinquiesdecies del Codice va letta correttamente. Questo articolo prescriveva che con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati per i diritti e le libertà degli interessati il Garante avrebbe potuto indicare ai soggetti pubblici “provvedimenti di carattere generale adottati d’ufficio, prescrittivi di misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare”. Viene dunque eliminata una facoltà del Garante, ma non viene (né avrebbe potuto essere) eliminato l’obbligo per i soggetti pubblici di svolgere la valutazione di Impatto richiesta dall’art. 35 del GDPR e di rivolgersi comunque al Garante privacy (ai sensi dell’art. 36 GDPR) se l’assessment del rischio non riesce, in caso di trattamenti che comportano un rischio elevato. Quindi – anche in tale caso – non mi sembra di assistere ad uno stravolgimento delle garanzie per i cittadini, quanto ad una riduzione di poteri o facoltà (anche sanzionatorie) del Garante.
Key4biz. Però, anche da questo decreto-legge emerge lo scontro Governo-Garante
Alessandro Del Ninno. Sì e qui veniamo difatti alla valenza tutta politica dell’ultimo intervento del Governo e riguarda l’ormai acclarata insofferenza del Governo verso gli interventi dell’Autorità Garante. Uno scenario in cui si corre il rischio che l’insofferenza si trasformi in un vero e proprio scontro istituzionale, le cui conseguenze appaiono imprevedibili, potendosi anche prefigurare scenari in cui il Governo ‘smonta’ a colpi di decreto legge le norme nazionali di coordinamento al GDPR e il Codice della privacy. Un rischio di scontro politico-istituzionale con la data protection al centro.
È in tale prospettiva politica che si può dunque leggere l’articolo 9 del nuovo Decreto Capienze, ove ad essere ‘colpito’ è soprattutto il Garante privacy (anche nella previsione del ‘termine non prorogabile di 30 giorni’ per rendere i pareri sul PNRR, ben sapendo il Governo della cronica carenza di risorse e personale dell’Autorità e dell’enorme mole di lavoro richiesta con riferimento al PNRR), non tanto le garanzie per i dati e i cittadini avverso l’azione delle amministrazioni, visto che continuano ad essere applicabili ad esse le prescrizioni del GDPR e del Codice della privacy.
Revenge porn, anche i minori possono presentare una segnalazione o reclamo al Garante privacy per bloccare online foto e video intimi
Infine, con il decreto-legge il governo ha potenziato la competenza del Garante per prevenire la diffusione di materiale foto o video sessualmente espliciti (revenge porn). Non solo i maggiorenni, ma anche minori ultraquattordicenni, potranno rivolgersi al Garante Privacy, consultando la pagina www.gpdp.it/revengeporn, per segnalarne, in modo sicuro e confidenziale, foto e video intimi, registrati senza consenso o consapevolezza, e che potrebbero essere pubblicati su Facebook e Instagram da terzi, come fidanzati o ex partner. Sarà così possibile farli bloccare. Quando le immagini o i video riguardano minori, la richiesta al Garante può essere effettuata anche dai genitori o dagli esercenti la responsabilità genitoriale o la tutela.