L’art. 9 del Dl. n. 139/2021 (vedi Entilocalinews n. 40 del 18 ottobre 2021) è stato modificato nettamente dalla Legge di conversione n. 205 del 3 dicembre 2021 (pubblicata nella Gazzetta n. 271 del 7 dicembre 2021). Le novità in materia di privacy, soprattutto per gli Enti Locali, sono numerose e sotto tanti punti di vista. Si tratta di una Riforma complessiva, che cambia la disciplina del trattamento dei dati personali, una sorta di lifting al “Codice Privacy”, con novità importanti per i soggetti pubblici.
Brevemente, di seguito gli Interventi di maggior rilievo rispetto all’originario testo del Dl. n. 139/2021.
Con la modifica all’art. 2-ter del “Codice” (vengono soppresse le parole “espressamente” e “in base a disposizioni di legge”), la base giuridica dei trattamenti fatti da P.A. potrà essere anche non legislativa. Infatti, oltre che disciplinato dalla legge, il trattamento potrà essere disposto, in assenza di questa, sulla base di un Regolamento o un atto amministrativo generale (come Bandi di gara o direttive di un Direttore generale, per esempio). Una modifica che in parte risolve le critiche mosse dal Garante per la protezione dei dati personali tempo addietro, ma rischia di porsi in attrito con il Gdpr (v. art. 6), nella misura in cui si consente ad ogni Amministrazione di creare una base giuridica autonoma, in virtù di un proprio atto generale, completamente scevra da qualsivoglia norma di legge. È pur vero che il Gdpr, all’art. 6, par. 3, consente agli Stati membri di prevedere quali fonti del diritto siano ammesse per il trattamento dei dati personali quando questo “è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento”, ovvero qualora sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”. Ma consentire ad un Regolamento o a un atto amministrativo generale, in modo autonomo, di disciplinare il trattamento dei dati personali radicalizza anche l’accountability di Titolari e Responsabili del trattamento (v. art. 5 del Gdpr). Infatti, le P.A. dovranno ben guardarsi nella propria azione, per evitare i rischi dovuti alla disciplina del trattamento dati in assenza di legge (si pensi ai profili di illegittimità degli atti amministrativi, ex art. 21-octies della Legge n. 241/1990, ovvero alle possibili sanzioni irrogabili dal Garante per violazioni del Gdpr).
Siffatto sconvolgimento del Sistema delle fonti viene bilanciato dal potenziamento dell’Autorità garante. Infatti, essa perde molti poteri (p.e. sul pronunciarsi preventivamente ad una proposta legislativa, ormai caso eccezionale, oppure sulla mera notizia da dare al Garante in caso di comunicazione di dati personali tra P.A., oppure sulla notifica di presunta violazione della normativa privacy ex art. 166 del Codice, ormai un ricordo, ammessa soltanto se risulta comprovata e particolarmente grave la violazione). Tuttavia, l’Autorità viene giustamente potenziata e finanziata dal Legislatore (cfr. art. 156 del “Codice”, come modificato dalla Legge n. 205/2021), con un organico e un trattamento economico più elevato per i suoi membri (i dipendenti prenderanno non più l’80% della retribuzione di quelli dell’AGCom, come in precedenza, ma il 100%; i suoi componenti, e non più solo il Presidente, prenderanno lo stesso stipendio del Primo Presidente della Corte di Cassazione).
A questo si aggiunge un maggior ruolo dell’Autorità nel contrasto del “revenge porn” e maggiori restrizioni sui gestori e provider, sulle cui Piattaforme circolino video, immagini, ecc., oggetto di “revenge porn”. In sostanza, viene consentito, ad un soggetto esercente la responsabilità genitoriale/legale ovvero a un minore ultraquattordicenne, di effettuare una segnalazione (del pericolo che accada tale fattispecie, non più del fatto già accaduto) al Garante Privacy, così che l’Autorità possa adottare, nel termine di 48 ore dal ricevimento della segnalazione, le proprie decisioni (in primis, di natura cautelare), ex artt. 143 e 144 del “Codice Privacy” (rivolte, in prima battuta, nei confronti del gestore della Piattaforma digitale interessata dallo scambio di immagini e video). Si tratta di una giusta anticipazione della soglia di tutela, anche nei confronti dei minori.
Interessante l’intervento per la tutela dei dati particolari. Quelli sanitari avranno peraltro diversi Titolari autonomi. La norma prevede infatti che questi possono essere trattati “nel rispetto delle finalità istituzionali di ciascuno” dal “Ministero della Salute, dall’Istituto superiore di Sanità, dall’Agenzia nazionale per i servizi sanitari regionali, dall’Agenzia italiana del farmaco, dall’Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della povertà e, relativamente ai propri assistiti, dalle regioni”.
Quanto al Ministero della Salute, questi è autorizzato dalla legge, sulla base di un proprio Regolamento (ossia un Dm. che, in virtù di quanto detto sopra, potrà essere svincolato da disposizioni di rango superiore), “a trattare anche i dati personali non relativi alla salute necessari a garantire l’effettivo perseguimento delle finalità di cui al comma 1 e l’attuazione del corrispondente Intervento di cui alla Missione ‘M6’ del ‘Piano nazionale di ripresa e resilienza’ approvato con la Decisione di esecuzione del Consiglio dell’Unione europea del 13 luglio 2021”. In altre parole, per attuare il “Pnrr”, il Ministero della Salute potrà trattare i dati particolari ulteriori, per finalità e con modalità autonomamente disposte. Ad una prima lettura, appare evidente che per evitare attriti con il Principio di minimizzazione (cfr. art. 5 del Gdpr), sanzionabili dal Garante, il Ministero dovrà muoversi con cautela.
Alcune modifiche vengono introdotte nella disciplina sul traffico di dati telematici e telefonici (in particolare, alla Legge n. 5/2018). Viene data maggiore tutela ai cittadini, potendo ognuno di noi iscriversi al Registro delle opposizioni anche nei casi in cui il telemarketing venga effettuato con intelligenze artificiali (e prima non era previsto). Al contempo, gli operatori che svolgono telemarketing con intelligenze artificiali dovranno consultare previamente il Registro (e prima per questi non era obbligatorio per legge).
Infine, la vera novità riguarda il riconoscimento facciale nelle Città, nelle strade e nelle piazze. In parte, le modifiche apportate all’art. 2-ter del “Codice” viste sopra consentono già in astratto la possibilità di superare i rilievi fatti dal Garante tempo addietro sul Sistema di riconoscimento (tramite Intelligenza artificiale) chiamato “Sari enterprise”. In quell’occasione, l’Autorità ammonì il Governo, poiché tale videosorveglianza era sì prevista per legge, ma mancava un Decreto attuativo, ovvero un Regolamento integrativo. Il Legislatore odierno lo ha accontentato, prevedendo intanto che la base giuridica del trattamento dei dati personali non debba esser necessariamente un Regolamento “nei casi previsti dalla legge”, perché tale inciso (assieme a “esclusivamente”) è stato soppresso dalla Legge di conversione del Dl. n. 139/2021. E questo significa che la disciplina sul riconoscimento facciale ed il relativo trattamento di dati personali (anche particolari, con procedimenti automatizzati, cfr. art. 22 del Gdpr), potrà essere disposta sì da una legge ordinaria, ma anche da un regolamento (integrativo o indipendente), o addirittura da un atto amministrativo generale, in assenza di una norma di legge. In tale ultimo caso, è possibile ipotizzare, almeno in linea teorica, che ogni Comune o Ente Locale potrà disciplinare in modo autonomo il trattamento dei dati personali raccolti mediante le telecamere con riconoscimento facciale. Ma il Legislatore ha avuto premura anche di inserire una apposita base giuridica, che potrebbe superare le osservazioni che il Garante fece a suo tempo; è previsto infatti che la videosorveglianza con Sistemi automatizzati di riconoscimento è sempre ammessa laddove sia svolta per finalità di prevenzione dei reati (norma inserita in sede di conversione, v. art. 9, comma 12, del Dl. n. 139/2021, come modificato dalla Legge n. 205/2021). La genericità della locuzione utilizzata lascia presagire un impiego massiccio, già da oggi.
Infine, la clausola di salvaguardia per la disciplina transitoria. Sia i trattamenti di dati personali mediante Sistemi di riconoscimento facciale (già installati al momento), sia quelli in generale svolti dalle P.A., vengono “salvati” da un’apposita norma, anch’essa introdotta in sede di conversione (comma 5 dell’art. 9 del Dl. n. 139/2021), che così recita: “Gli artt. 2-ter, comma 1, 2-sexies, comma 1, e 58, commi 1 e 2, del ‘Codice’ di cui al Dlgs. n. 196/2003 e l’art. 5 del Dlgs. n. 51/2018, come modificati dal presente articolo, si applicano anche ai casi in cui disposizioni di legge già in vigore stabiliscono che i tipi di dati che possono essere trattati, le operazioni eseguibili, il motivo di interesse pubblico rilevante, la finalità del trattamento nonché le misure appropriate e specifiche per tutelare i diritti fondamentali dell’interessato e i suoi interessi sono previsti da uno o più regolamenti”. In conclusione, si tratta di misure in grado di sbloccare e semplificare i trattamenti dei dati personali, anche particolari, svolti dalle Amministrazioni, ma anche la più generale sorveglianza di massa, per finalità di interesse pubblico rilevante. Non v’è dubbio che il “Pnrr” rappresenti un’occasione unica per il rilancio del Paese, ma costituisce anche una valida ragione per adottare riforme dirompenti come quella appena descritta (non già un mero lifting al “Codice della Privacy”). Al Garante come sempre spetterà l’arduo compito di vigilare sul rispetto della normativa privacy, ma per fortuna è stato potenziato dal Legislatore
