Ed eccoci al primo contenuto di un ciclo di 3 video-articoli all’interno dei quali cercherò di analizzare le principali modifiche al codice della privacy introdotte dal dl 139 del 2021 e poi confermate con alcune variazioni in sede di conversione dal Parlamento e confluite nella Legge 205 del 2021.
Tali novità richiedono profonda attenzione perché possono avere un impatto significativo nella loro applicazione pratica
In più le novità introdotte hanno provocato un acceso dibattito dottrinale che proveremo a seguire nel gruppo facebook “I supereroi della Privacy”.
In questo video mi concentrerò sulle modifiche all’art 2 ter e sexies che hanno un impatto operativo pratico sugli operatori della pubblica amministrazione e sui DPO del settore pubblico.
Proverò infine a dare qualche suggerimento pratico per aiutare gli attori della data protection a non incorrere in quelle che sono state chiamate “Le trappole della semplificazione”
Nei prossimi appuntamenti verranno affrontate le altre profonde novità di questa mini-riforma dai nuovi poteri del garante al contrasto al revenge porn e alle modifiche al registro delle opposizioni.
Parto quindi dall’Art. 2-ter del codice della privacy che ai sensi dell’Art. 6 del GDPR individua la base giuridica per il trattamento dei dati personali di natura comune connessi ad un compito di interesse pubblico o all’esercizio di pubblici poteri.
Al comma 1 Alla vecchia formulazione del codice, come potete vedere dal testo coordinato, sono stati aggiunti come base giuridica legittimante anche gli atti amministrativi generali oltre alle già presenti norme di legge o di regolamento
Il trattamento inoltre è anche consentito come si legge nel nuovo comma 1 bis se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad esse attribuiti a patto che siano esercitate nel rispetto dell’art. 6 del Regolamento Europeo 679/2016
I commi 2 e 3 introducono la possibilità per le PA di comunicare dati personali di natura comune anche qualora fosse necessario per l’adempimento dei propri compiti di interesse pubblico e di diffonderli a soggetti che intendono trattarli per altre finalità dandone preventivamente notizia all’autorità Garante. (dieci giorni prima)
La nuova formulazione dell’art. 2 ter di fatto permette alle Pubbliche Amministrazioni una maggiore elasticità nel trattamento dei dati personali, di scambiarsi dati personali su questioni di reciproco interesse e per le stesse finalità. Penso ad esempio alle implicazioni che potrebbe avere in materia di commercio, servizi circolazione stradale etc.
Unica condizione imposta dal legislatore è di determinare la base giuridica attraverso l’adozione di un atto amministrativo generale e di rilevare, quindi, per conto proprio la rispondenza di quel trattamento ai principi del Regolamento europeo 679/2016
Individuare concretamente le condizioni di necessità e proporzionalità di un trattamento devono essere considerate una prova di maturità per le PA nell’ottica di una responsabilizzazione del titolare che alla luce di questo testo risulta rafforzata.
Concedere questa possibilità non significa quindi un “liberi tutti” nel trattamento dei dati personali ma un percorso accompagnato verso la consapevolezza dei rischi del trattamento in un’ottica sempre più europea. Percorso che prevede ancor più che in passato il coinvolgimento del DPO nel suo duplice difficile compito di consulente del titolare e nume tutelare degli interessati.
Una piccola nota sul significato di Atto amministrativo generale.
Non è chiaro cosa intende il legislatore con questa locuzione,
se debbano rientrare solo quei provvedimenti di carattere generale e non astratto o se in senso lato debbano considerarsi anche gli altri provvedimenti amministrativi come le determine, le delibere etc.
Gli operatori del diritto sembrano però concordi nel precisare che tali atti perché abbiano valenza debbano avere sufficiente accessibilità e prevedibilità, fornire una tutela adeguata dei diritti degli interessati, riportare accuratamente le finalità del trattamento, valutare proporzionalità, necessità, misure di sicurezza, tempi di conservazione e tutto ciò che dispone il GDPR per assicurare ad ogni interessato un’adeguata protezione.
Gli atti amministrativi generali sono ammessi anche per le categorie di dati particolari previste dall’art. 9 del Regolamento europeo. Lo vediamo nella nuova formulazione dell’art 2 sexies del codice.
Nel comma 1 bis invece viene introdotta dal legislatore una non meglio identificata tipologia di dati personali “i dati personali relativi alla salute, privi di elementi identificativi diretti”.
Questi dati possono essere trattati da alcune pubbliche amministrazioni anche mediante l’interconnessione su base nazionale dei sistemi informativi.
Non è ancora chiaro a cosa porterà questa modifica se non una sempre maggiore integrazione tra i database delle Pubbliche amministrazioni.
Ricordo, però, che resta ancora in vigore il divieto di diffusione dei dati relativi alla salute, genetici e biometrici (previsto dall’art. 2 septies, comma 8).
Qual è la portata di queste modifiche e come dobbiamo affrontarle?
Potenzialmente sul suolo nazionale vengono delegati poteri normativi in materia di trattamento dei dati a migliaia di piccoli legislatori con tutto quello che può comportare in termini di compressione nel diritto alla protezione dei dati personali e violazioni del principio di uguaglianza costituzionalmente garantito. Di non minore interesse dal punto di vista dottrinale è la considerazione di criticità del principio di legalità secondo il quale la pubblica amministrazione trova nella legge i fini della propria azione e i poteri giuridici che può esercitare e non può esercitare alcun potere al di fuori di quelli che la legge le attribuisce.
Dal punto di vista pratico qualora per ragioni di interesse e opportunità un ente decida di voler intraprendere questa strada il mio consiglio è quello di coinvolgere il DPO e partire da un’analisi approfondita dei rischi del trattamento.
Secondo passaggio fondamentale è quello di verificare con il Registro delle attività di trattamento alla mano in maniera preventiva quali sono i dati personali che si intende trattare, le categorie del trattamento, i soggetti coinvolti nel trattamento.
Valutare, poi, il contesto del trattamento e in maniera rafforzata motivare la finalità, la necessarietà e la proporzionalità del trattamento
Individuare con il giusto supporto tecnico le misure di sicurezza previste.
Se il video ti è piaciuto clicca mi piace e condividilo. Se vuoi avere tutti gli aggiornamenti iscriviti al canale e seleziona attraverso la campanella le notifiche che gradisci ricevere.
Segui tutte le discussioni e le novità sul gruppo Facebook “i supereroi della privacy”