Decreto Capienze: quali impatti sulla Normativa della Privacy
Il Garante della privacy, l’istituto preposto al controllo sul rispetto delle norme sulla privacy, subirà presto una sostanziale compressione dei suoi poteri di intervento. Infatti, è in fase di conversione definitiva il D.L. 139/2021 (c.d. “decreto capienze”), che a inizio ottobre aveva introdotto alcune importanti novità in tema di trattamento dei dati, concretamente consistenti in un ridimensionamento, come detto, dei poteri del Garante.
Per la verità, va subito detto, il testo convertito dovrebbe avere effetti comunque più contenuti rispetto alla formulazione originaria, ma la direzione principale intrapresa con il d.l. citato è quella di diminuire gli obblighi in materia di trattamento dei dati, per snellire alcuni processi decisionali.
Si tratta di una scelta non esattamente imprevedibile, vista l’insofferenza dimostrata in diversi casi da più parti nei confronti dell’intervento del Garante, da sempre molto rigoroso nell’applicare i dettami della GDPR, anche laddove il regolamento lascia maglie più larghe (si pensi ad esempio da ultimo alle complicazioni sorte con l’applicazione digitale IO e con il green pass vaccinale). Vediamo in concreto quali saranno queste modifiche.
DL Capienze e attività del garante della privacy
Partiamo innanzitutto proprio con l’attività del Garante. Tra le misure che coinvolgono l’autorità della privacy, spicca senza dubbio, per attualità del tema, la contrazione dei tempi di intervento imposta al Garante per pronunciarsi su atti riconducibili al PNRR (qui e qui il nostro speciale in due parti sull’argomento), il cui termine è stato ridotto a 30 giorni, con l’effetto involontario (fino a un certo punto) di impedire sostanzialmente al Garante di esprimersi sul tema, per via dell’eccessiva ristrettezza del termine imposto.
Non è difficile leggere tra le righe di questa scelta: il timore di inceppamenti o rallentamenti nell’adozione di provvedimenti fondamentali per ottenere i preziosi fondi europei ha spinto prima l’esecutivo, e adesso il parlamento, a limitare l’intervento del Garante.
Il Garante è stato poi parzialmente “silenziato”, con una riduzione dello spazio di intervento attraverso i pareri: viene infatti abrogato l’art. 2 quinquiesdecies del D.Lgs. 196/2003 (c.d. Codice Privacy), che prevedeva l’obbligatorietà di consultare il Garante in caso di trattamento dei dati ad alto rischio.
Questa è probabilmente la misura più netta e controversa rispetto all’impianto del decreto-legge. Questa possibilità era stata prevista in favore del Garante in sede di recepimento del GDPR, pur non essendo questa espressamente prevista dal Regolamento Europeo, e si trattava di un potere positivo, ancorché discrezionale.
Questa discrezionalità, combinata con la scrupolosità del Garante ha prodotto gli scontri e gli inceppi di cui sopra, che hanno portato il legislatore a togliere di mezzo il problema, eliminando questo potere del Garante.
Il potere di intervento del Garante è stato incidentalmente ridotto anche con l’ampliamento, per la pubblica amministrazione, della possibilità di adottare provvedimenti in cui sono coinvolti dati personali: con le modifiche del d.l. Capienze, basterà infatti un atto amministrativo per autorizzare il trattamento dei dati.
Laddove prima era necessaria una legge ad hoc, e addirittura in presenza di interesse pubblico non sarà necessario neanche un atto amministrativo.
Particolarmente soddisfatta di queste modifiche sarà senz’altro l’Agenzia delle Entrate, la quale ha da sempre malsopportato i vincoli e gli interventi del Garante, che, a dire dell’Agenzia stessa, limitavano gli strumenti di contrasto all’evasione.
Per contro, tra le modifiche rilevanti apportate dal decreto rientra anche la nuova possibilità per i minori ultraquattordicenni di rivolgersi al Garante per segnalazioni a tema revenge porn, il quale dovrà dare risposta entro 48h dal ricevimento della segnalazione.
Si tratta della novità senz’altro più positiva, in un quadro generale che non può soddisfare appieno, poiché la compressione dei poteri di un’autorità di controllo a tutela di ciascun individuo non può essere sempre accolta con solo entusiasmo.
Se è vero che il Garante si è sempre mostrato estremamente rigoroso nell’applicare le norme sul GDPR, va anche detto che l’insofferenza mostrata da più voci non è sempre stata giustificata.
Infatti, più che limitare i poteri dell’autorità garante, sarebbe più opportuno “educare” istituzioni e operatori vari ad una visione “data protection compliant”, per fare in modo di non arrivare allo scontro con il Garante.
Più che eliminare prerogative del Garante, come il potere di esprimere il proprio parere in caso di trattamento ad alto rischio, si sarebbe potuto cercare strade alternative, ad esempio attraverso consultazioni preventive ex-ante.
Resta da vedere quindi come verrà definitivamente approvato il testo di conversione del decreto, al momento in esame al Senato, sperando in ogni caso che le scelte intraprese non leghino troppo le mani al Garante della privacy.
Contattaci senza impegno per approfondimenti in ambito di consulenza data protection e cyber security o per avere un preventivo di assistenza giudiziale specialistica in queste materie.
(6 votes, average: 4,83 out of 5)
Loading...