Secondo appuntamento di questo ciclo dedicato alle ultime modifiche del codice della privacy introdotte dal cosiddetto decreto capienze ormai convertito in legge dal Parlamento.
Passo ora ad analizzare il secondo gruppo di modifiche apportate dal decreto legge 139 al codice della privacy, quelle riguardanti poteri e compiti dell’Autorità Garante per la protezione dei dati personali.
Ricordo che in questo articolo non saranno approfonditi gli articoli relativi alla dotazione organica, agli emolumenti riconosciuti all’autorità perché seppur oggetto di variazione, risultano di scarso interesse per i nostri fini
Le novità direttamente correlate ai temi del Revenge porn e del registro delle opposizioni, invece, verranno approfondite in un altro video.
Prima cambiamento di rilevante impatto è l’abrogazione dell’Art. 2 quinquiesdecies del codice.
In questo articolo veniva riconosciuto un importante potere preventivo a disposizione dell’Autorità nei casi di trattamenti di dati personali svolti per l’esecuzione di un compito di interesse pubblico.
Qualora infatti il Garante avesse rilevato in tali circostanze un rischio elevato per i diritti e le libertà delle persone fisiche, d’ufficio e con proprio provvedimento generale avrebbe avuto la possibilità di intervenire tempestivamente prescrivendo misure e accorgimenti a garanzia dell’interessato, vincolanti per i titolari.
Tale potere seppur non previsto inizialmente dal Regolamento Europeo ed introdotto dal legislatore nazionale soltanto in occasione delle modifiche al codice apportate dal d. lgs 101/2018, costituiva un’eccellenza ed una buona pratica a tutela dei diritti delle persone fisiche nonché un presidio di garanzia più volte utilizzato dall’Autorità su trattamenti delicati di dati.
Trovo ad esempio giusto ricordare in esercizio di tale potere, le prescrizioni adottate sull’utilizzo dell’App Immuni, sulla lotta all’evasione fiscale, sulle questioni relative al green pass o sui controlli per contrastare l’assenteismo.
L’abrogazione dell’Art. 2 quinquiesdecies depotenzia, di fatto, i poteri di intervento preventivo e di indirizzo del Garante privacy sui trattamenti di dati di interesse pubblico che presentano un rischio elevato. Restano comunque salvi i poteri di intervento per così dire ex-post e cioè quelli che l’autorità può mettere in campo a seguito di segnalazione o di reclamo.
Non dobbiamo, inoltre, dimenticare il presidio sempre valido dell’obbligo di valutazione d’impatto che resta in capo ai titolari in tutti i casi in cui un trattamento presenti condizioni di rischio elevato per i diritti e le libertà degli interessati.
Ad ogni modo è giusto in questa sede rilevare che l’abrogazione dell’art. 2 quinquiesdecies costitutisce un passo indietro nella tutela dei diritti.
Altra limitazione significativa nei poteri dell’Autorità è rappresentata dalla nuova formulazione dell’Art. 154 del d.lgs 196/2003.
Ricordo che l’art 36 co. 4 del regolamento europeo prevede che ogni stato membro consulti obbligatoriamente il proprio Garante in fase di elaborazione di una proposta di legge o di misura regolamentare basata su atto legislativo che comporta un trattamento di dati personali.
Con le modifiche introdotte dal decreto capienze, il legislatore nazionale ha inteso limitare i casi di consultazione preventiva che viene confermata soltanto quando all’interno della legge venga disciplinato espressamente il trattamento o quando la norma di legge o di regolamento autorizza un trattamento di dati personali da parte di soggetti privati senza che vi sia un rinvio ad altre fonti.
Sono risparmiati dall’onere di consultazione preventiva i casi in cui il Presidente del Consiglio dei Ministri dichiari ragioni d’urgenza e tutti i casi di adozione di un decreto-legge.
Il Garante sarà invece chiamato ad esprimere il proprio parere in un secondo momento e cioè in sede di conversione o quando (cito la norma) gli schemi di decreto legislativo vengono sottoposti in sede di esame definitivo al parere delle commissioni parlamentari.
E’ inutile qui sottolineare l’impatto di tale modifica nel contesto emergenziale che stiamo vivendo dove l’attività legislativa assume prevalentemente i connotati di urgenza.
Sarà interessante monitorare nel prossimo futuro gli sviluppi di questa previsione che sembrerebbe entrare in contrasto con il GDPR.
Proseguendo in questo videocommento ricordo qui velocemente sebbene si tratti di modifica non inserita nel codice, che la legge di conversione del dl 139 conferma la riduzione a trenta giorni dei termini per l’espressione dei pareri del Garante per la protezione dei dati personali in merito al Piano nazionale di ripresa e di resilienza (PNRR), decorsi i quali il governo potrà procedere indipendentemente dall’acquisizione del parere.
La ratio, qui, è di semplificare le procedure relative agli importanti fondi messi a disposizione degli stati per superare l’emergenza e favorire la ripresa economica.
Passiamo poi ad evidenziare le novità riguardanti i poteri sanzionatori del Garante
All’interno dell’art. 166 del codice al comma 5 viene introdotta la possibilità per l’Autorità di non notificare l’avvio del procedimento per l’adozione dei propri provvedimenti e sanzioni al titolare che effettua un trattamento per interesse pubblico o nell’esercizio di pubblici poteri, qualora ravvisi che tale trattamento abbia già arrecato e continui ad arrecare un effettivo, concreto, attuale e rilevante pregiudizio ai soggetti interessati al trattamento.
Ciò comporta ovviamente un dovere di motivazione non proprio semplice da parte dell’Autorità perché in assenza dei presupposti richiamati, come possiamo leggere nel testo della norma il Giudice competente disporrà la sua inefficacia.
Al comma 7 dello stesso articolo 166 viene, invece, introdotta un potere sanzionatorio innovativo e molto interessante.
Il Garante viene dotato della facoltà di ingiungere agli enti di realizzare campagne di comunicazione volte alla promozione della consapevolezza del diritto alla protezione dei dati personali.
Si tratta di una novità importante che introduce l’importanza della comunicazione e della sensibilizzazione attiva dei titolari del trattamento nei percorsi di conformità al gdpr.
Non solo, viene previsto che l’autorità tenga conto di eventuali campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, realizzate dal trasgressore anteriormente alla commissione delle violazioni prima di irrogare una sanzione.
Sembra qui superfluo precisare che sarebbe opportuno per ogni titolare immaginare fin da ora le possibilità di avviare tali campagne di comunicazione.
L’ultima attenzione riservata dal legislatore è nell’art. 170 che punisce l’inosservanza dei provvedimenti del garante
Anche in questo caso si è inteso operare in maniera restrittiva e sul tema dell’inosservanza dei provvedimenti sono state inserite due novità:
la previsione del “concreto nocumento” e la condizione della “querela della persona offesa”.
Dover provare il concreto nocumento e subordinare l’avvio dell’azione penale alla querela della persona offesa rende nel concreto più difficile l’applicazione di questo articolo a tutela delle persone ma probabilmente limiterà le contestazioni pretestuose.
Come abbiamo visto nel decreto Capienze è stata svolta un’attenta opera di revisione dei compiti e dei poteri dell’Autorità Garante.
Alcuni cambiamenti sembrano, di fatto, operare un depotenziamento del suo ruolo, altri un aggravio delle procedure a suo carico a danno dei diritti degli interessati.
Più di qualche dubbio, poi, resta sui limiti alla consultazione preventiva del garante ai sensi dell’art. 36 comma 4 del GDPR.
A un’analisi più attenta, però, non deve sfuggire che il rispetto dei diritti degli interessati deve essere assicurato dai titolari del trattamento secondo un approccio basato sul rischio, by design e per impostazione predefinita, in base al principio di responsabilizzazione.
In un sistema maturo di data protection l’autorità dovrebbe essere chiamata ad intervenire negli eventi patologici e meno in fase preventiva mentre spetta ai titolari la costruzione di quel sistema tecnico ed organizzativo necessario per assicurare la tutela dei diritti degli interessati.
Auspico che tale dimostrazione di fiducia accordata dal legislatore nei confronti dei titolari del trattamento, possa tradursi in una maggiore consapevolezza e in un approccio sostanziale e non formale degli adempimenti previsti.