NEWS

Decreto Legge 139/2021: quattro opzioni privacy per la pubblica amministrazione

Quattro opzioni privacy per le pubbliche amministrazioni: possono trattare i dati sulla base di una legge, di un regolamento (se richiamato dalla legge), di un atto amministrativo generale oppure in base alle necessità connesse a un interesse/potere pubblico. È quanto prevede la versione del decreto legge 139/2021, frutto delle modifiche approvate dal senato in prima lettura. L'esame del dl continua ora alla Camera.

Gli emendamenti al decreto 139 modificano il codice. Semplificata l'azione amministrativa

Il provvedimento novella il codice della privacy (d.lgs 196/2003), la cui attuale versione è molto più severa, condizionando i trattamenti della p.a. a una specifica norma di legge o di regolamento (purché autorizzato dalla legge).

La versione approvata dal senato (modificando l'articolo 2-ter del codice della privacy, inserito dal d.lgs. 101/2018), nella sostanza, ripristina la disciplina privacy per la p.a. introdotta dalla legge 675/1996 e confermata dal Codice della privacy (ante 2018).

L'effetto della modifica è duplice: semplificare l'azione amministrativa, svincolandola da una specifica e dettagliata norma di legge; nel contempo, responsabilizzare le p.a., perché devono comunque disciplinare i trattamenti, soprattutto quando non c'è una specifica legge di copertura.

La versione emendata dal senato riafferma la possibilità che le p.a. trattino i dati in quanto connessi a finalità pubbliche, anche senza una specifica legge che descriva in maniera tassativa tipi di dati e di operazioni. Pretendere sempre a tappeto una legge ad hoc, tra l'altro, può essere in concreto probabilmente irrealizzabile. In ogni caso, tutti i trattamenti delle p.a. devono rispettare i principi di correttezza, proporzione, minimizzazione e sicurezza previsti dall'articolo 5 del regolamento Ue sulla privacy (Gdpr).

Questo significa che le modifiche in commento non legittimano condotte lassiste o senza controllo da parte delle pubbliche amministrazioni.

Queste ultime, al contrario, proprio sulla base del Gdpr (articoli 5 e 24), devono documentare le modalità con cui trattano dati. La novità, dunque, applicando il principio di accountability, impone alle pubbliche amministrazioni, soprattutto quando non c'è una norma ad hoc, di adottare atti interni, anche regolamentari, sulla privacy, in cui specificare finalità, tipi di dati, operazioni, termini di conservazione e così via.

Questo vale anche per i dati particolari (dati sensibili, più dati genetici e dati biometrici), per i quali, ad opera di un'altra modifica apportata dal dl 139 all'articolo 2-sexies del codice della privacy, gli enti devono riprendete in mano i regolamenti sui dati sensibili (adottati nel regime del codice della privacy ante Gdpr) e aggiornarli con meticolosità. Il senso della manovra è, dunque, una maggiore accountability delle pubbliche amministrazioni e, quindi, un più intenso lavoro per uffici privacy e Dpo (responsabili della protezione dei dati) degli enti pubblici.

Nella versione approvata dal Senato sono, poi, confermati: l'abrogazione della comunicazione al Garante della privacy preventiva allo scambio di dati tra pubbliche amministrazioni; l'abrogazione della disposizione (articolo 2-quinquiesdecies del codice della privacy) che obbliga le pubbliche amministrazioni a chiedere l'autorizzazione preventiva al Garante per i trattamenti con rischio rilevante. Per tali ultimi trattamenti, sono le singole p.a. che devono assumersi tutte le responsabilità, redigendo sempre una valutazione di impatto privacy (articolo 35 del Gdpr).

Sull'operato delle p.a. continuerà a vigilare il Garante della privacy, cui il dl 139 assegna più personale, con aumento di indennità dei componenti del collegio e degli stipendi: l'autorità, infatti, potrà applicare le pesanti sanzioni pecuniarie (articolo 83 Gdpr) tutte le volte in cui gli enti pubblici avranno compiuto scelte non in linea con il Gdpr.

Nel decreto legge 139 trovano spazio altre novità in materia di privacy, tra cui: 1) la sospensione, fino al 31/12/2023 della installazione dei sistemi di videosorveglianza con riconoscimento facciale, salvo che per i trattamenti per fini di giustizia penale, previa autorizzazione del Garante (non necessaria per procure e autorità giudiziarie); l'estensione alle chiamate senza operatore dell'effetto dell'iscrizione nel registro delle opposizioni al telemarketing: l'iscrizione implicherà revoca a tappeto dei precedenti consensi espressi dall'interessato e bloccherà tutte le chiamate, anche quelle automatizzate (novellata la legge 5/2018).

di Antonio Ciccia Messina e Francesco Cerisano (Italia Oggi del 20 novembre 2021)

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Data retention con pene da 3 anni in su
Next Sottrarre dati dal pc aziendale non è solo illecito civile ma anche penale

Il presidente di Federprivacy a Report Rai 3

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy