di Michele Gorga, avvocato e componente osservatorio Aidr per il coordinamento dei DPO, RTD e Reputation Manager

Tre le modifiche al Decreto Legislativo 30 giugno 2003 n. 196, nella versione aggiornata con il Decreto Legislativo 101del 2018, apportate con il neonato Decreto Legge 8 ottobre 2021, entrato in vigore sabato 9 ottobre 2021.

La prima modifica, che ha già fatto gridare allo scandalo, ma l’allarme è esagerato, attiene alla necessaria soppressione, nell’ottica dell’impegno assunto a livello Europeo di efficientamento delle risorse del PNRR, del parere preventivo del Garante privacy per gli atti generali della P.A.

Il Governo per mantenere l’impegno di sburocratizzare il processo decisionale della decretazione attuativa dell’azione di governo ha abrogato l’art. 2-quinquiesdecies del Codice Privacy.  Questa norma prevedeva per i trattamenti che presentavano rischi elevati per l’esecuzione di un compito di interesse pubblico, ossia per quelli fatti dalla Pubblica Amministrazione nell’esercizio dei suoi compiti, la necessità del parere preventivo del Garante, che poteva prescrivere misure e accorgimenti che il titolare del trattamento era tenuto poi ad adottare preventivamente. Praticamente un controllo sovraordinato all’azione di governo che mal si conciliava con i tempi e la snellezza della procedura di efficientamento della spesa del PNR.

Nello stesso solco si colloca, poi, anche la contestuale riforma che prevede, in materia di snellimento delle procedure in tema di PNRR, l’abrogazione dell’art. 22 del D. Lgs. 101 del 2018 e al co. 3 dell’art. 9 del citato D.L.139/2021 prevedendosi, altresì,  che i  pareri del Garante per la protezione dei dati personali richiesti con riguardo a riforme, misure e progetti del Piano Nazionale di Ripresa e Resilienza di cui al regolamento (UE) 2021/241 del Parlamento europeo e del Consiglio del 12 febbraio 2021, del Piano nazionale per gli investimenti complementari di cui al decreto-legge 6 maggio 2021, n. 59, nonché del Piano Nazionale Integrato per l’Energia e il Clima 2030 di cui al Regolamento (UE) 2018/1999 del Parlamento europeo e del Consiglio dell’11 dicembre 2018, siano resi nel termine non prorogabile di trenta giorni dalla richiesta, decorso il quale può procedersi indipendentemente dall’acquisizione del parere del garante.

Una riforma, quindi, necessaria per l’Italia che non incide sui diritti della privacy dei cittadini, ma solo sull’ampiezza della sfera del potere di controllo preventivo del Garante, e sul rispetto dei limiti di quello successivo, che non sopprime affatto il diritto della protezione dei dati delle persone eventualmente interessate alle singole procedure che potranno fare sempre far valere nelle competenti sedi giurisdizionali ed amministrative i loro diritti. Si tratta, quindi, di riforme che mirano all’efficienza del processo amministrativo e che sburocratizza un po’ procedimenti bizantini, ingessati a pareri a metà strada tra certezze inespresse ed incertezze permanenti. Un buon inizio, quindi, dato che se si parla di semplificazioni nella Pubblica Amministrazione da qualche parte si deve pure iniziare.   

Speculare all’abrogazione dell’art. 2-quinquiesdecies, in materia di parere preventivo del garante, è la previsione fatta sempre con il decreto legge  136/2021 di integrazione dell’art.  2-ter del D. lgs. 196/2003 in tema di Base giuridica per il trattamento di dati personali effettuato dalle Pubbliche Amministrazioni per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, prevedendo il legislatore che  Il trattamento dei dati personali da parte di un’amministrazione pubblica, ivi comprese le Autorità indipendenti, nonché da parte di una società a controllo pubblico  o di un organismo di diritto pubblico, è ora sempre consentito  se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio  di pubblici poteri a essa attribuiti e ciò indipendentemente dalla finalità del trattamento che  sia o meno espressamente prevista da una norma di legge o di regolamento. Predetti trattamenti,  perciò possono essere ora  ricondotti,   al compito svolto o al potere esercitato e si amplia così  la possibilità di manovra dell’azione amministrativa per non restare sempre incatenati alla esistenza di una norma di legittimazione del trattamento.

Infine, altra significativa modifica del Codice privacy si è imposta in ragione dell’utilizzo troppo disinvolto che troppi  soggetti fanno della propria immagine o dei propri dati. Con l’introduzione di un nuovo articolo il 144-bis del Revenge porn si prevede che chiunque, compresi i minori ultraquattordicenni, abbia fondato motivo di ritenere che immagini o video a contenuto sessualmente esplicito che lo riguardano, destinati a rimanere privati, possano essere oggetto di invio, consegna, cessione, pubblicazione o diffusione senza il suo consenso in violazione dell’art. 612-ter del codice penale, può rivolgersi, mediante segnalazione o reclamo, al Garante, il quale, entro quarantotto ore dal ricevimento della richiesta, provvede ai sensi dell’articolo 58 del Regolamento (UE) 2016/679, ampliandosi, così anche i poteri urgenti e cautelari in capo al Garante per assicurare una tutela immediata ed urgente a probabili vittime della rete.

Si prevede, infine, che quando le immagini o i video riguardano minori, la richiesta al Garante può essere effettuata anche dai genitori o dagli esercenti la responsabilità genitoriale o la tutela.