Conversione in legge del “Decreto Capienze”: principali novità in ambito privacy
Con la pubblicazione in Gazzetta Ufficiale della Legge 3 dicembre 2021, n. 205 di conversione in legge, con modificazioni, del decreto-legge 8 ottobre 2021, n. 139, (il c.d. “Decreto capienze”) si è registrato il più corposo pacchetto di modifiche al “Codice Privacy” dall’adeguamento al GDPR, mediante il decreto 101/2018.
Ne verranno illustrati nel presente articolo gli aspetti salienti, dedicando invece un focus specifico nella prossima newsletter alla sospensione dei trattamenti di riconoscimento facciale nei luoghi pubblici fino all’entrata in vigore di una disciplina normativa che regoli la materia e, comunque, fino al 31 dicembre 2023.
L’intervento che ha fatto maggiormente discutere è stato, fuor di dubbio, il notevole incremento di margine dato all’attività di trattamento da parte delle Pubbliche Amministrazioni, la quale, all’interno del novellato articolo 2-ter del Codice Privacy, trova ora una base giuridica non più esclusivamente in una norma di legge o di regolamento, ma anche in un atto amministrativo generale, con l’ulteriore deroga, introdotta dal nuovo comma 1-bis, che prevede la liceità del trattamento “residuale”, “se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad esse attribuiti”.
Da buona parte della dottrina è stato poi riscontrato, analogamente, un “depotenziamento” delle prerogative riconosciute al Garante nell’imposizione del termine non prorogabile di 30 giorni (termine, fino ad ora, non esistente) per esprimere eventuali pareri, eventualmente richiesti, riguardo a riforme, misure e progetti del Piano nazionale di ripresa e resilienza; decorso tale termine dalla richiesta si potrà infatti procedere indipendentemente dall’acquisizione del parere da parte dell’Autorità.
D’altro canto, si è riscontrato invece un complessivo apprezzamento nei confronti dell’implementazione delle misure di contrasto al c.d. “revenge porn”, di cui viene ribadito il perimetro, ossia “registrazioni audio, immagini o video o altri documenti informatici a contenuto sessualmente esplicito che riguardano l’interessato, destinati a rimanere privati, che divengono oggetto di invio, consegna, cessione, pubblicazione o diffusione attraverso piattaforme digitali senza consenso dell’interessato medesimo”. Specificamente, l’articolo 144-bis del Codice Privacy prevede ora la possibilità, anche direttamente per i minori ultraquattordicenni, oltre che per gli esercenti la responsabilità genitoriale/tutoriale, di segnalare l’eventuale pericolo di revenge porn al Garante, il quale, nelle quarantotto ore dal ricevimento della segnalazione, deve assumere le proprie decisioni ai sensi degli articoli 143 e 144 del Codice Privacy, in prima istanza di natura cautelativa, con la sola conservazione del materiale a fini probatori, a favore del soggetto interessato.
Sulla stessa lunghezza d’onda, si segnala l’aggiornamento dei criteri per l’adozione dei provvedimenti correttivi e sanzionatori, che introduce, al comma 7 dell’art. 166 del Codice Privacy, la possibilità per il Garante di prevedere, oltre alla sanzione amministrativa, anche “l’ingiunzione a realizzare campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, sulla base di progetti previamente approvati dal Garante e che tengano conto della gravità della violazione”