Maggiore responsabilizzazione degli enti pubblici in materia di corretto trattamento dei dati personali con potenziamento dei poteri di controllo del garante e maggiore flessibilità per i titolari del trattamento. Ora la palla passa ai Comuni, alle Unioni, alle Province e alle città metropolitane che assieme ai consulenti e ai responsabili della protezione dei dati dovranno rendere concreta la riforma.
L'accountability 2022 entra infatti nel vivo con il decreto numero 139/2021, convertito nella legge 3 dicembre 2021, numero 205 , in vigore dall'8 dicembre 2021, favorendo da una parte i processi, le procedure e la possibilità di regolarizzazione dei trattamenti da parte della PA ma inasprendo anche le sanzioni e l'azione correttiva dell'autorità. La novella introduce importanti modifiche nel Codice privacy che inevitabilmente interferiscono anche con l'attività ordinaria degli enti locali. Con questo sintetico commento cercheremo di inquadrare operativamente le principali novità dell'affrettata riforma per consentire una più generica comprensione della stessa e le sue declinazioni pratiche in particolare per la pubblica amministrazione. L' articolo 2- ter del Codice privacy individua innanzitutto, ai sensi dell' articolo 6, GDPR , la base giuridica per i trattamenti dei dati personali comuni, connessi ad un compito di interesse pubblico o all'esercizio di pubblici poteri. La novità è costituita dall' aggiunta degli atti amministrativi generali come possibile base giuridica oltre alla legge e al regolamento . E dall'aggiunta della indicazione che il trattamento “è anche consentito se necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri”. L'intervento normativo si è svolto nella cornice dell' art 6.3, GDPR , che consente margini di manovra ai singoli stati membri, per fissare regole specifiche in materia di basi giuridiche e condizioni di liceità per trattamenti necessari ad adempiere a obblighi legali o per svolgere compiti di interesse pubblico o, ancora, per l'esercizio di pubblici poteri. Il d.l. numero 139/2021 consente ora alle pubbliche amministrazioni di trattare i dati con maggiore flessibilità rispetto ai rigidi paletti precedenti. I Comuni e gli enti pubblici potranno trattare i dati dei cittadini sulla base dei compiti istituzionali e non hanno la necessità di avere una base giuridica prevista dalla legge. La novità riguarda i trattamenti effettuati sia dalle amministrazioni pubbliche sia dalle società a controllo pubblico statale o, nel caso di gestori di servizio pubblico, anche locale , eccettuati in questi ultimi casi i trattamenti correlati ad attività svolte in regime di libero mercato. La novella costituisce un atto di fiducia nella maturità delle amministrazioni pubbliche che avranno maggiore sfera di manovra rispetto al passato. Si tratta di una novità importante in una fase molto complessa di transizione digitale delle nostre pubbliche amministrazioni e nell'ottica della loro concreta partecipazione a progetti del Piano nazionale di ripresa e resilienza PNRR . Se da un lato la novità normativa comporta la flessibilità delle pubbliche amministrazioni nel trattamento dei dati dall'altro aumentano anche le responsabilità degli enti in coerenza con il principio di accountability ovvero di rendicontazione consapevole e responsabile delle scelte effettuate sui trattamenti dei dati. Vediamo quali potranno essere le criticità possibili dell'impatto applicativo delle nuove regole. Ogni Comune ed ente pubblico ora può decidere in modo autonomo quali dati trattare, per quale finalità e misure senza uniformità e standard comuni con una possibile compressione del diritto alla protezione dei dati personali dei cittadini e possibile violazione del principio di eguaglianza. La previsione del sopra citato ampliamento della base normativa può comportare delle rilevanti criticità in relazioni anche in relazione al principio di legalità, secondo il quale la pubblica amministrazione trova nella legge i fini della propria azione e i poteri giuridici che può esercitare e non può esercitare alcun potere al di fuori di quelli che la legge le attribuisce. Ma vediamo quali sono gli sviluppi operativi richiesti dal decreto capienze. Gli enti devono procedere ad aggiornare i propri atti amministrativi generali alla luce del flusso dei dati e delle finalità istituzionali con particolare attenzione alla comunicazione e alla diffusione dei dati. In buona sostanza gli enti dovranno verificare se i trattamenti effettuati sono previsti da una legge, regolamento o atto amministrativo generale e quali sono i trattamenti di dati necessari per le proprie finalità istituzionali alla luce anche dei nuovi progetti o servizi. Non è chiaro cosa intenda esattamente il legislatore con la locuzione “atti amministrativi generali” potendosi trattare in senso stretto solo di norme generali non astratte e in senso lato di tutti i provvedimenti amministrativi come determine, regolamenti, delibere ecc. In questo nuovo e complesso percorso di compliance saranno fondamentali i seguenti aspetti. Il rispetto dei principi del GDPR , il coinvolgimento ed il supporto del responsabile della protezione dei dati e dei consulenti privacy, la formazione degli operatori e un aggiornamento costante delle informative e dei registri del trattamento. Prima del decreto capienze gli enti pubblici potevano effettuare comunicazioni di dati solo nei casi previsti dalla legge e da regolamenti. Ora gli enti potranno effettuare la comunicazione anche nei casi previsti da un atto amministrativo generale e nel caso in cui la stessa sia necessaria per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri. Il comma 2 del nuovo articolo 2- ter del Codice privacy permette infatti la comunicazione semplificata di dati personali comuni tra titolari. La novità consiste nell'avvenuta abrogazione della formula di chiusura che in precedenza ammetteva questa modalità di trattamento solo se prevista dalla normativa. Oppure se si trattava di un trattamento autorizzato dal garante con la formula del silenzio assenso. In pratica con la novella ora sarà più semplice per due enti locali, per esempio, scambiarsi dati personali comuni su questioni di reciproco interesse, per le stesse finalità. Un esempio potrebbe essere ricercato nella necessità di comunicarsi informazioni amministrative per esempio in materia di circolazione stradale. Oppure in materia di commercio e servizi. Purché ci sia a monte una valutazione concreta e formale e non si tratti di dati particolari o giudiziari. Il comma 3 del nuovo articolo 2- ter permette invece la diffusione e la comunicazione di dati personali comuni a soggetti che intendono trattarli per altre finalità, nei casi previsti dalla normativa o se necessari ai sensi del comma 1- bis ovvero per pubblico interesse o pubblico potere , previa comunicazione preventiva al Garante. Come indicato dalla dottrina più attenta la legge di conversione del decreto capienze non è intervenuto sulle disposizioni dell'articolo 7- bis del d.lgs. numero 33/2013 il quale continua a prevedere, quale condizione per la diffusione di dati personali, in ambito pubblico, l'esistenza di una norma di legge. Con la modifica dell'articolo 2- sexies del Codice privacy , assente nella versione originaria del d.l. numero 139/2021 , si estende di fatto l'ampliamento della base giuridica del trattamento anche ai dati particolari individuati dall' articolo 9, GDPR . Nel caso di trattamento di dati particolari l' atto amministrativo generale dovrà individuare e specificare anche le misure “appropriate e specifiche” per tutelare i diritti fondamentali e gli interessi. Resta in vigore il divieto di diffusione dei dati relativi alla salute, genetici e biometrici previsto dall'articolo 2 septies, comma 8, e quindi continua ad essere tassativamente vietata . Il decreto capienze abroga l'articolo 2- quinquesdecies del Codice della privacy che prevedeva il potere del garante di adottare d'ufficio e in via preventiva provvedimenti di carattere generale, prescriventi misure e accorgimenti a garanzia dell'interessato nel caso di trattamenti di dati personali svolti per l'esecuzione di un compito di interesse pubblico, tali da poter presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Tale potere di intervento dell'autorità garante non era previsto dal GDPR ma dal legislatore nazionale ed era stato utilizzato in molteplici casi a tutela dei diritti dei cittadini, con importanti provvedimenti correttivi su diversi trattamenti delicati di dati dall'utilizzo di app Immuni all'app. IO, dalla lotta all'evasione all'utilizzo del green pass e ai controlli sull'assenteismo . L'abrogazione dell'articolo 2- quinquiesdecies riduce, di fatto, le garanzie sul trattamento dei dati dei cittadini in quanto depotenzia i poteri di intervento preventivo e di indirizzo del Garante privacy sui trattamenti di dati di interesse pubblico a rischio elevato provvedimenti che hanno avuto il pregio di guidare e accompagnare gli enti pubblici nel percorso di compliance. Il Garante potrà intervenire , ora, solo ex post su segnalazione o reclamo e con poteri ispettivi ma, come osservato da alcuni parlamentari, i sopra citati interventi del garante non impediscono l'attività lesiva delle azioni dei titolari del trattamento. Gli enti pubblici saranno comunque tenuti in presenza di trattamenti di dati ad alto rischio ad effettuare, nei casi previsti dall' articolo 35 e 36 GDPR , la valutazione di impatto privacy e la consultazione preventiva al garante. Il decreto capienze nella sua versione iniziale interveniva sulla materia della conservazione dei dati di traffico telefonico e prevedeva l'abrogazione del quinto comma dell'articolo 132 del Codice in materia di protezione dei dati personali secondo il quale il trattamento e la conservazione dei dati di traffico telefonico per le finalità di accertamento e repressione dei reati doveva essere effettuato nel rispetto delle misure e degli accorgimenti a garanzia dell'interessato prescritti dal garante. La legge di conversione ha previsto sul punto un importante cambio di rotta in quanto non ha più previsto la sopra citata abrogazione del quinto comma dell'articolo 132 del codice. Viene pertanto confermato il ruolo del Garante nel definire le misure, gli accorgimenti e le garanzie per i cittadini e viene prevista la possibilità del garante di potere intervenire in materia con un provvedimento generale. La definizione delle regole e degli standard di sicurezza e protezione dei dati di traffico che sono sovente utilizzati nei processi grazie alla legge di conversione non corre più il rischio di essere demandate solo ai provider . La conferma del ruolo del garante in materia è molto importante e costituisce una buona notizia in quanto la conservazione dei dati di traffico costituisce un trattamento particolarmente rischioso per i cittadini come confermato anche dalla recente sentenza HK della Corte di Giustizia dell'Unione Europea del 2 marzo 2021 che ha richiamato l'attenzione degli operatori sulla necessità di garantire in tale ambito il rispetto dei principi di proporzionalità e del necessario bilanciamento tra sicurezza pubblica e i diritti fondamentali. Il d.l. numero 139 prevede attraverso l'introduzione dello specifico articolo 144- bis all'interno del Codice della privacy un potenziamento della disciplina del contrasto al fenomeno del revenge porn . I soggetti esercenti la responsabilità genitoriale o legale , o i minori ultraquattordicenni ora possono effettuare una segnalazione al garante, che, entro 48 ore dal ricevimento della stessa, potrà prendere provvedimenti in primis nei confronti dei gestori della piattaforma digitale interessata. Il d.l. numero 139 modifica inoltre l'articolo 154 del Codice privacy avente ad oggetto compiti del Garante . Il regolamento europeo prevede che gli stati membri consultano l'autorità di controllo durante l'elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento. Viene previsto che il sopra citato parere previsto sia reso dal garante nei soli casi in cui la legge o il regolamento in corso di adozione disciplina espressamente le modalità del trattamento descrivendo una o più operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione, nonché nei casi in cui la norma di legge o di regolamento autorizza espressamente un trattamento di dati personali da parte di soggetti privati senza rinviare la disciplina delle modalità del trattamento ad altre fonti. Viene inoltre specificato che quando il Presidente del Consiglio dei Ministri dichiara che ragioni di urgenza non consentono la consultazione preventiva e comunque nei casi di adozione di decreti-legge, il Garante esprime il sopra citato parere di cui al comma 5-bis in sede di esame parlamentare dei disegni di legge o dei disegni di legge di conversione dei decreti-legge ed in sede di esame definitivo degli schemi di decreto legislativo sottoposti al parere delle commissioni parlamentari. La legge di conversione del d.l. numero 139 conferma la riduzione a trenta giorni dei termini per l' espressione dei pareri del Garante per la protezione dei dati personali in merito al Piano nazionale di ripresa e di resilienza PNRR , decorso i quali può procedersi indipendentemente dall'acquisizione del parere. Sono poi stati potenziati i poteri sanzionatori dell'autorità che oltre a poter irrogare sanzioni amministrative pecuniarie avrà anche il potere di ingiungere agli enti la realizzazione di campagne di comunicazione volte alla promozione della consapevolezza del diritto alla protezione dei dati personali. Si tratta di una novità importante che introduce la comunicazione nei profili da attenzionare nei percorsi di compliance GDPR delle nostre pubbliche amministrazioni che sono sempre più sovente oggetto di attacchi informatici. La legge di conversione prevede che nella determinazione della sanzione ai sensi dell'articolo 83, paragrafo 2, del regolamento, il garante tenga conto anche di eventuali campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, realizzate dal trasgressore anteriormente alla commissione delle violazioni. La legge di conversione del d.l. numero 139/2021 prevede un'integrazione dell'articolo 166 del Codice della protezione dei dati, articolo che disciplina la notifica del garante al titolare o al responsabile del trattamento delle violazioni nel rispetto delle garanzie previste dal regolamento e che prevede che l'ufficio del garante, quando ritiene che gli elementi acquisiti nel corso delle attività configurino una o più violazioni indicate nel Codice della privacy e nell'articolo 83, paragrafi 4,5 e 6, del regolamento, avvia il procedimento per l'adozione dei provvedimenti e delle sanzioni. La legge di conversione del decreto prevede, a riguardo, l'omissione da parte del Garante della previa notifica della violazione contestata nei confronti dei soggetti pubblici che trattano i dati quando il loro trattamento abbia già arrecato e continuano ad arrecare un effettivo, concreto, attuale e rilevante pregiudizio ai soggetti interessati al trattamento. In assenza di tali presupposti, il giudice competente accerta l'inefficacia del provvedimento. La legge di conversione del d.l. numero 139/2021 modifica anche l'articolo 170 del Codice in materia di protezione dei dati personali che punisce l' inosservanza dei provvedimenti del Garante in un'ottica favorevole alle pubbliche amministrazioni. Viene previsto, infatti, che chiunque, non osservando il provvedimento adottato dal garante ai sensi dell'articolo 58, paragrafo 2, lett. f del regolamento, dell'articolo 2- septies , comma 1, nonché i provvedimenti generali di cui all'articolo 21, comma 1, del decreto legislativo di attuazione dell' articolo 13, l. numero 163/2017 , arreca un concreto nocumento a uno o più soggetti interessati al trattamento è punito, a querela della persona offesa con la reclusione da tre mesi a due anni. Le novità più rilevante è che avere subordinato l'applicazione della fattispecie penale di inosservanza di provvedimenti del garante punita con la reclusione da tre mesi a due anni al concreto nocumento dei soggetti interessati e alla querela della persona offesa modifica all'articolo 170 del codice e nel concreto avere reso più difficile l'applicazione di questo articolo a tutela dei cittadini. Il decreto capienze prevede inoltre una modifica a favore dei cittadini della legge numero 5/2018 sul registro delle opposizioni i diritti dell'utente iscritto al registro pubblico delle opposizioni, nonché gli obblighi in capo agli operatori di call center operano indipendentemente dalle modalità in cui il trattamento delle numerazioni è stato effettuato, ovvero con o senza operatore con l'impiego del telefono, ma anche in via più generale mediante sistemi automatizzati di chiamata senza l'intervento di un operatore. La conversione in legge del d.l. numero 139/2021 ha toccato anche la normativa nazionale di recepimento della direttiva UE 2016/680 ossia il d.lgs. numero 51/2018 . Quello che ha colto maggiormente di sorpresa è stato l'operato allargamento della base giuridica normativa del trattamento dei dati personali anche avuto riguardo l'ambito oggettivo e soggettivo di applicazione del citato d.lgs. numero 51/2018 . Ora il trattamento è lecito, prevede il nuovo articolo 5 del d.lgs. numero 51/2018 , «se è necessario per l'esecuzione di un compito di un'autorità competente per le finalità di cui all'articolo 1, comma 2, e si basa sul diritto dell'unione europea o su disposizioni di legge o di regolamento o su atti amministrativi generali che individuano i dati personali e le finalità del trattamento». Autorità competente per l'attuazione delle finalità di prevenzione, indagine, accertamento e perseguimento dei reati ad esempio stradali , ovvero per la tutela della sicurezza urbana, può essere considerato anche ognuno dei circa ottomila comuni esistenti in Italia. La Corte di Giustizia UE e le stesse autorità garanti hanno infatti da tempo fornito indicazioni univoche circa il fatto che anche le amministrazioni comunali, al pari di molte altre autorità che non esercitano prioritariamente funzioni di polizia, rispetto al trattamento di certi dati personali, ad esempio gestiti dalle polizie locali o da parte dei servizi sociali o comunque essenziali per la cittadinanza, da considerarsi autorità competenti tenute all'applicazione della citata direttiva e, quindi, non solo della normativa in tema di trattamento dei dati personali che, di converso, potremmo definire ordinario. Attualmente, quindi, mediante l'assunzione di un provvedimento amministrativo generale, anche le autorità competenti in materia di prevenzione, indagine ed accertamento di reati, ovvero preposte alla salvaguardia della sicurezza pubblica, potrebbero ipotizzare di crearsi la propria base giuridica normativa non solo per un qualsiasi trattamento ordinario di dati personali, bensì anche rispetto alle suddette più delicate finalità. Fino alla data di entrata in vigore di una disciplina speciale e comunque non oltre il 31 dicembre 2023 è vietata l'installazione e l'utilizzazione degli impianti di videosorveglianza operanti attraverso l' uso di dati biometrici. E questa disposizione riguarda tutte le autorità pubbliche o private operanti in luoghi pubblici o aperti al pubblico. Ma con esclusione degli impianti utilizzati per la prevenzione e la repressione dei reati o dall'autorità giudiziaria. Lo ha chiarito l' articolo 9, commi 9, 10, 11 e 12 del d.l. numero 139/2021 convertito nella l. numero 205/2021 . La messa al bando degli impianti di videosorveglianza con riconoscimento facciale è stata introdotta in sede di conversione del decreto. In pratica la riforma inibisce l' utilizzo dei sistemi più evoluti di videosorveglianza ma introduce ad una serie di problematiche applicative. L'espressa deroga prevista per i trattamenti effettuati per la prevenzione dei reati rimette infatti potenzialmente in pista alcuni impianti comunali. Se un Comune particolarmente tenace vuole tentare di attivare un impianto con riconoscimento facciale può ancora richiedere all'autorità un parere preventivo ai sensi dell' articolo 24 del d.lgs. numero 51/2018 .