La protezione dei dati personali alla luce del Decreto Legge n. 139/2021

L’articolo 9 del decreto-legge n. 139 del 2021, significativamente modificato nel corso dell’esame in Senato, reca disposizioni in materia di protezione dei dati personali. In particolare, il comma 1 novella il c.d. Codice della privacy (d.lgs. n. 196 del 2003): prevedendo che il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico possa trovare fondamento e base giuridica, oltre che nella legge e – nei casi previsti dalla legge – nel regolamento, anche in un atto amministrativo generale (modifica dell’art. 2-ter del Codice) e che tale ampliamento della base giuridica valga anche per il trattamento dei dati particolari (sanità pubblica, medicina del lavoro, archiviazione nel pubblico interesse o per ricerca scientifica o storica o a fini statistici) disciplinato dall’art. 2-sexies del Codice e per il trattamento dei dati personali per fini di sicurezza nazionale o difesa, disciplinato dall’art. 58 del Codice; consente il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri, da parte di una serie di soggetti pubblici, anche per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri attribuiti ai suddetti soggetti pubblici (nuovo comma 1-bis dell’art. 2-ter del Codice); introducendo una disciplina specifica per il trattamento di dati personali relativi alla salute quando gli stessi siano “privi di elementi identificativi diretti” (art. 2-sexies, comma 1-bis, del Codice); abrogando l’articolo 2-quinquesdecies del Codice della privacy che, nel caso di trattamenti di dati personali svolti per l’esecuzione di un compito di interesse pubblico, tali da poter presentare un rischio elevato per i diritti e le libertà delle persone fisiche, consentiva al Garante di adottare d’ufficio provvedimenti di carattere generale, prescriventi misure e accorgimenti a garanzia dell’interessato; prevedendo che il trattamento dei dati relativi al traffico telefonico e telematico che devono essere conservati dal fornitore per finalità di accertamento e repressione di reati, sia effettuato nel rispetto delle misure e degli accorgimenti a garanzia dell’interessato prescritti dal Garante con provvedimento “di carattere generale” (modifica dell’art. 132, comma 5, del Codice); potenziando la competenza del Garante al fine di prevenire la diffusione di materiali, foto o video, sessualmente espliciti (nuovo art. 144-bis del Codice, rubricato Revenge porn). In particolare, la disposizione prevede che chiunque, compresi i minori ultraquattordicenni, abbia fondato motivo di ritenere che immagini, audio, video o altri documenti informatici a contenuto sessualmente esplicito che lo riguardano, destinati a rimanere privati, possano essere oggetto di invio, consegna, cessione, pubblicazione o diffusione attraverso piattaforme digitali, senza il suo consenso, può rivolgersi, mediante segnalazione, al Garante, il quale, entro 48 ore può rivolgere avvertimenti, ammonimenti, imporre una limitazione provvisoria o definitiva al trattamento, ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento e infliggere una sanzione amministrativa pecuniaria. In base al comma 6 dell’art. 9, i fornitori di servizi di condivisione di contenuti, ovunque stabiliti, devono entro 6 mesi dalla legge di conversione pubblicare il proprio recapito, ai fini dell’adozione dei provvedimenti da parte del Garante; incrementando l’indennità dei componenti del Collegio del Garante per la protezione dei dati personali (modifica dell’art. 153 del Codice); intervenendo sul parere che il Garante deve rendere al legislatore in vista dell’adozione di una disciplina relativa al trattamento dei dati, per circoscriverne i presupposti (modifica dell’art. 154 del Codice). Inoltre, quando il Presidente del Consiglio dei ministri dichiari che ragioni di urgenza non consentono la consultazione preventiva, e comunque nei casi di adozione di decreti-legge, si prevede che il Garante esprima il parere in una fase successiva, vale a dire in sede di esame parlamentare dei disegni di legge o delle leggi di conversione dei decreti-legge o in sede di vaglio definitivo degli schemi di decreto legislativo sottoposti al parere delle Commissioni parlamentari; determinando in 200 unità (in luogo delle precedenti 162) il ruolo organico e personale del Garante (modifica dell’art. 156 del Codice) ed equiparando il trattamento economico del personale del Garante a quello del personale dell’Autorità per le garanzie nelle comunicazioni; consentendo l’omissione della previa notifica della violazione contestata nei confronti dei soggetti pubblici che trattano i dati quando il loro trattamento abbia già arrecato pregiudizio agli interessati (modifica dell’art. 166 del Codice); introducendo la possibilità di applicare, a titolo di sanzione accessoria rispetto alle sanzioni amministrative pecuniarie comminate dal Garante, l’ingiunzione a realizzare campagne di comunicazione istituzionale di sensibilizzazione sulla protezione dei dati personali (modifica dell’art. 166 del Codice); subordina l’applicazione della fattispecie penale di inosservanza di provvedimenti del Garante (punita con la reclusione da tre mesi a due anni) al “concreto nocumento” dei soggetti interessati e alla querela della persona offesa (modifica all’art. 170 del Codice). Il comma 2 si pone come disposizione di coordinamento, conseguente all’abrogazione dell’articolo 2-quinquiesdecies del Codice della privacy. Il comma 3 modifica il d. lgs. n. 51 del 2018, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, per: confermare l’estensione agli atti amministrativi generali della base giuridica del trattamento; sostituire, nella determinazione dei termini, delle modalità di conservazione, dei soggetti legittimati ad accedere ai dati nonché delle modalità e delle condizioni per l’esercizio dei diritti dell’interessato, l’attuale riferimento a un regolamento governativo con quello a un decreto ministeriale; per circoscrivere, anche in questo caso, l’applicabilità del reato di inosservanza dei provvedimenti del Garante, alle ipotesi di concreto nocumento arrecato ad uno o più interessati e alla presentazione di querela della persona offesa. Il comma 4 interviene sull’art. 7 del decreto-legge n. 34 del 2020 per modificare ed integrare la disciplina concernente il trattamento di dati personali da parte del Ministero della salute. Tale disciplina, nella versione vigente, concerne i dati personali – anche relativi alla salute degli assistiti – raccolti nei sistemi informativi del Servizio sanitario nazionale ed autorizza il suddetto Ministero al relativo trattamento, al fine di sviluppare metodologie predittive dell’evoluzione del fabbisogno di salute della popolazione, demandando ad un decreto di natura regolamentare del Ministro della salute – adottato previo parere del Garante per la protezione dei dati personali – la definizione delle norme attuative. Le novelle in esame prevedono che il decreto sia invece di natura non regolamentare – fermo restando il parere del suddetto Garante -, estendono, con riferimento a dati personali non sanitari, l’ambito delle norme di rango legislativo in esame e del relativo decreto attuativo e pongono una norma transitoria, valida nelle more dell’emanazione del medesimo decreto. Il comma 5 introduce disposizioni di coordinamento relative alla previsione che ha esteso agli atti amministrativi generali la base giuridica del trattamento dati (v. sopra). Il comma 7 riduce a 30 giorni il termine per i pareri che il Garante renda su atti riconducibili al Piano nazionale di ripresa e resilienza (PNRR), al Piano nazionale per gli investimenti complementari ed al Piano nazionale integrato per l’energia e il clima 2030 e prevede che quel termine sia improrogabile (ed una volta decorso, si può comunque procedere, pur in assenza di parere). Il comma 8 interviene sugli articoli 1 e 2 della legge n. 5 del 2018, al fine di prevedere che i diritti dell’utente iscritto al registro pubblico delle opposizioni, nonché gli obblighi in capo agli operatori di call center operino indipendentemente dalle modalità in cui il trattamento delle numerazioni è stato effettuato, ovvero con o senza operatore con l’impiego del telefono, ma anche in via più generale mediante sistemi automatizzati di chiamata senza l’intervento di un operatore. I commi da 9 a 12 prevedono una sospensione (eccezion fatta per la prevenzione e la repressione dei reati) della installazione e utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale operanti attraverso l’uso dei dati biometrici in luoghi pubblici o aperti al pubblico, da parte di autorità pubbliche o soggetti privati. Tale moratoria è prevista “fino all’entrata in vigore di una disciplina legislativa della materia”, e comunque non oltre il 31 dicembre 2023. La violazione della moratoria comporta l’applicazione di sanzioni amministrative pecuniarie. Il comma 13 reca la copertura finanziaria delle modifiche relative al trattamento di dati personali e il comma 14 demanda a un d.P.C.m. – da adottarsi entro 180 giorni dalla data di entrata in vigore della legge di conversione del presente decreto-legge – la definizione dei meccanismi regolatori di armonizzazione della disciplina del trattamento economico entro le Autorità amministrative indipendenti. Infine, l’articolo 9-bis reca la clausola di salvaguardia e l’articolo 10 dispone circa l’entrata in vigore del decreto-legge.

Il Comitato Editoriale garantisce l’autenticità del contributo, pubblicato con l’intenzione di trattare taluni filoni argomentativi sui quali porre particolare attenzione e fornire, al contempo, un quid pluris. Si tratta di una scheda di approfondimento relativa a tematiche istituzionali legate alla specifica attività parlamentare.