Le novità in materia di protezione dei dati personali introdotte con l’articolo 9 del Decreto Legge 8 ottobre 2021, n. 139 (c.d. Decreto Capienze) - convertito con modifiche dalla legge n. 205 del 3 dicembre 2021- preoccupano molto e sono state oggetto di severe critiche.
Il c.d. Decreto Capienze – così denominato in quanto riguardante le nuove percentuali di capienza nei luoghi pubblici per contrastare fenomeni di assembramento – presenta, all’articolo 9, una velata ma significativa modifica del Codice Privacy (D. Lgs. n. 196/2003), le cui conseguenze destano molte preoccupazioni in capo agli esperti del settore, incluso il presidente dell’Autorità Garante per la protezione dei dati personali.
La principale novità riguarda la modifica dell’art. 2-ter del Codice Privacy e la conseguente “liberalizzazione” della comunicazione e della diffusione dei dati personali ad opera delle pubbliche amministrazioni per motivi di interesse pubblico o per l’esercizio di pubblici poteri, per le quali viene meno la base giuridica dell’obbligo di legge. Il trattamento dei dati comuni posto in essere dalle pubbliche amministrazioni per i motivi su indicati sarà lecito, infatti, non solo ove previsto per legge o da un regolamento, bensì anche se contemplato in atti amministrativi generali. Dunque, ogni ente potrebbe emanare un provvedimento amministrativo che legittimi il trattamento dei dati personali anche al di fuori delle ipotesi contemplate per legge, con il rischio evidente di disuguaglianze in tema di protezione dei dati personali. Solo relativamente alla diffusione, la nuova norma prevede che “ne viene data notizia al Garante almeno dieci giorni prima dell’inizio della comunicazione o diffusione”.
Anche per i dati particolari – di cui all’art. 9 GDPR – non sarà più necessaria la base giuridica della norma di legge per rendere legittimo il trattamento, ma sarà sufficiente un atto amministrativo generale, con conseguente ed elevato rischio di incorrere in gravi disparità di trattamento da ente ad ente.
La legge di conversione del Decreto è intervenuta anche in merito ai poteri riconosciuti in capo all’Autorità Garante per la protezione dei dati personali: da un lato è stato abrogato l’articolo 2-quinquiesdecies del Codice Privacy che riconosceva all’Autorità il potere di emanare provvedimenti generali e prescrivere misure e accorgimenti obbligatori a carico del titolare del trattamento per i trattamenti potenzialmente rischiosi - ai sensi dell’art. 35 GDPR - svolti per l’esecuzione di un compito di interesse pubblico; dall’altro sono stati ampliati i poteri del Garante in materia di revenge porn, relativamente all’obbligo, introdotto per i fornitori di servizi digitali operanti in Italia, di indicare al Garante o pubblicare sul proprio sito un recapito a cui poter comunicare i provvedimenti in materia. Tale obbligo (sanzionabile, ai sensi dell’art. 83, paragrafo 4 del GDPR - fino a dieci milioni di euro o fino al 2% del fatturato consolidato di gruppo), dovrà essere adempiuto entro sei mesi dall’entrata in vigore della legge di conversione.
Infine, anche a seguito dei recenti interventi del Parlamento europeo che hanno vietato l’utilizzo di sistemi di riconoscimento facciale attraverso dati biometrici, in luogo pubblico o aperto al pubblico, nella legge di conversione è stata inserita una previsione di sospensione installazione e utilizzazione di tali impianti di videosorveglianza, sia per i soggetti pubblici che i privati, fino all'entrata in vigore di una disciplina legislativa della materia e comunque non oltre il 31 dicembre 2023.
In conclusione, si rilevano diversi aspetti preoccupanti: primo tra tutti la pressoché totale autonomia rimessa ad ogni pubblica amministrazione circa i dati da poter trattare, comunicare e diffondere e il contestuale indebolimento di poteri di controllo e autoritativi del Garante Privacy. Diversamente rincuorano le decisioni – obbligate – in materia di videosorveglianza e riconoscimento attraverso dati biometrici.
Avv. Pietro Maria Mascolo e Dott.ssa Simona Lanna