Il CdM dà il via libera al Decreto Capienze, in vigore dall’11 ottobre, che introduce nuove disposizioni per l’accesso ad attività culturali, sportive e ricreative (per la «zona bianca» e sempre previe mascherina e certificazione verde, cinema, teatri e luoghi di cultura al 100% di capienza, stadi al 60% al chiuso e al 75% all’aperto, discoteche al 50% al chiuso e 75% all’aperto).

Dopo l’approvazione in Consiglio dei Ministri, è stato pubblicato in Gazzetta Ufficiale il D.L. 8 ottobre 2021, n. 139 ( c.d. Decreto Capienze) recante “Disposizioni urgenti per l’accesso alle attività culturali, sportive e ricreative, nonché per l’organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali”.

Il nuovo provvedimento era particolarmente atteso poiché si preannunciava come un altro passo avanti verso la normalità, con ulteriori allentamenti delle precedenti misure restrittive imposte per il contenimento del contagio. In effetti, il D.L. prevede novità come il ritorno al 100% della capienza per i concerti, i teatri e i cinema, la soppressione dell’obbligo di distanziamento sociale nei musei, o l’aumento degli ingressi consentiti negli stadi e nelle discoteche. In sostanza, sono misure che permettono a diversi settori di ripartire.

Tuttavia, per i difensori del diritto della privacy e della protezione dei dati personali, il Decreto Capienze ha riservato anche alcune sorprese, introducendo diverse modifiche al Codice della Privacy, il D.Lgs. 30 giugno 2003, n. 196. Franco Pizzetti, costituzionalista ed ex Presidente dell’Autorità garante lo ha definito “un intervento pesante”, e non sono pochi i colleghi che la pensano allo stesso modo.

Al contrario, le misure introdotte in tema di revenge porn – che sono parte integrante del decreto – sono state accolte piuttosto bene, e rappresentano una presa di posizione importante alla quale occorre dare spazio e continuità.

Ad ogni modo, i motivi che si collocano alla base delle prime reazioni “agrodolci” alle nuove norme del Governo sono facilmente desumibili da una breve analisi dei contenuti.

Le prime importanti modifiche apportate dal Decreto Capienze riguardano il rapporto tra il trattamento dei dati personali dei cittadini e le finalità di interesse pubblico.

L’articolo 9, comma 1, lett. a) del D.L. n. 139/2021 aggiunge all’articolo 2-ter del Codice della Privacy un nuovo comma 1-bis, ai sensi del quale il trattamento da parte di un’autorità pubblica “è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti”. Nello specifico, tali autorità sono quelle di cui all’art. 1, comma 2, del D.Lgs. 30 marzo 2001, n. 165, le Autorità indipendenti, le amministrazioni inserite nell’elenco annuale dall’Istituto nazionale di statistica (ISTAT) di cui all’articolo 1, comma 3, della L. 31 dicembre 2009, n. 196, e le società a controllo pubblico statale ai sensi dell’art. 16 del D. Lgs. 19 agosto 2016, n. 175. Inoltre, il D.L. prevede che se la finalità del trattamento non è espressamente prevista da una norma di legge o di regolamento, questa verrà decisa ed indicata dall’amministrazione “in coerenza al compito svolto o al potere esercitato”. Gli unici paletti previsti dall’art. 9, comma 1, lett. a) consistono nell’obbligo di dare un’adeguata pubblicità all’identità del titolare del trattamento e alle finalità, e fornire ogni altra informazione necessaria per assicurare un trattamento corretto e trasparente dei dati degli interessati, e il rispetto dei loro diritti di ottenere la conferma e la comunicazione di un trattamento che li riguardi.

Quanto all’intervento sulle prerogative del Garante per la protezione dei dati personali, l’art. 9, comma 1, lettera b) del Decreto Capienze abroga interamente l’articolo 2-quinquesdecies del Codice della Privacy, il quale stabiliva che “con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati ai sensi dell’articolo 35 del Regolamento, il Garante può, sulla base di quanto disposto dall’articolo 36, paragrafo 5, del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio, prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare”. Sostanzialmente, la norma è andata ad eliminare dal Codice una disposizione che  imponeva alla PA di consultare il Garante prima di porre in essere trattamenti ad alto rischio – come quelli relativi ai dati sanitari – nell’interesse pubblico affinché potesse intervenire a tutela del soggetto interessato.

Ma non solo, il nuovo D.L., con il comma 3 dell’art. 9 stabilisce anche un termine perentorio e piuttosto breve entro il quale l’Autorità potrà pronunciarsi su riforme, misure e progetti del Piano nazionale di ripresa e resilienza (PNRR). Infatti, il Garante dovrà intervenire nel termine non prorogabile di trenta giorni dalla richiesta, decorso il quale il Governo potrà andare avanti con o senza il suo parere.

One LEGALE | Experta PrivacyTutta la normativa in tema di privacy, gli orientamenti di organi giudicanti e Autorità garante, tanti strumenti per garantire di essere in regola con tutti gli adempimenti: guide pratiche, commentari, riviste, action plan, check list, formule, news.

Infine, il D.L. n. 139/2021 non si è lasciato sfuggire nemmeno le regole sul trattamento dei dati relativi al traffico telefonico e telematico, abrogando il comma 5 dell’art. 132 del Codice della Privacy, il quale stabiliva che il trattamento dei dati per le prevenzione dei reati dovesse essere effettuato “nel rispetto delle misure e degli accorgimenti a garanzia dell’interessato prescritti dal Garante (…) volti a garantire che i dati conservati possiedano i medesimi requisiti di qualità, sicurezza e protezione dei dati in rete, nonché ad indicare le modalità tecniche per la periodica distruzione dei dati, decorsi i termini di cui al comma 1”.

Nello specifico, il comma 1 prevede un periodo di conservazione massimo di 24 mesi per i dati del traffico telefonico, e 12 mesi per quelli del traffico telematico. Ciò significa che, in base al comma abrogato, il Garante, oltre a prescrivere varie misure a tutela degli interessati ogni qualvolta fosse intervenuto un trattamento finalizzato alla prevenzione dei reati, avrebbe dovuto anche stabilire le modalità per la distruzione delle informazioni entro due anni nel caso del traffico telefonico, ed entro un anno per il traffico telematico.

Oltre agli interventi in materia di trattamento dei dati personali da parte della PA e le modifiche ai poteri del Garante, il Decreto Capienze introduce nuove disposizioni in tema di diffusione illecita di immagini o video sessualmente espliciti (c.d. revenge porn), reato sanzionato dall’art. 612-ter c.p. L’art. 9, comma 1, lett. e), aggiunge al Codice della Privacy l’art. 144-bis, il quale prevede che anche i minori ultraquattordicenni che abbiano un fondato motivo di ritenere che immagini o video espliciti che li riguardano possano essere diffusi senza il loro consenso, potranno rivolgersi al Garante mediante segnalazione o reclamo, e quest’ultimo dovrà provvedere, entro 48 ore dal ricevimento della richiesta, ai  sensi dell’articolo 58 del Regolamento (UE) 2016/679 e degli articoli 143 e 144 del Codice, avviando le opportune indagini.

Inoltre, il Decreto stabilisce che quando le immagini o i video riguardino minori, la richiesta al Garante può essere fatta anche dai genitori o dagli esercenti la responsabilità genitoriale o la tutela, aggiungendo peraltro che l’invio all’Autorità di immagini o video a contenuto sessualmente esplicito riguardanti soggetti terzi per farne oggetto di segnalazione, non integra il reato di cui all’art. 612-ter del c.p.

Fatta una breve disamina sugli interventi del D.L. 8 ottobre 2021, n. 139 in materia di tutela dei dati personali – anche con l’ausilio Codice Privacy e delle norme ormai abrogate – è possibile fare il punto sui cambiamenti entrati in vigore.

Innanzi tutto, il trattamento dei dati comuni per finalità di interesse pubblico da parte delle amministrazioni diventa sempre lecito, e se la finalità non è prevista dalla legge, la PA può indicarla con un suo atto e procedere senza intralcio al trattamento che ritiene necessario per adempiere ai propri compiti ed esercitare i poteri attribuiti.

Dopodiché, il Garante privacy è oggetto di due tipi di misure. Il primo è dato dal fatto che, con l’abrogazione dell’art. 2-quinquesdecies, il titolare non è più tenuto a consultare l’Autorità qualora sia in procinto di porre in essere trattamenti ad alto rischio. In secondo luogo, il termine perentorio di 30 giorni per pronunciarsi su riforme e misure del PNRR è chiaramente insufficiente rispetto a quanto sarebbe invece necessario per svolgere un’adeguata istruttoria ed assumere una decisione, soprattutto se si considera la mole di lavoro che può gravare sul Garante.

Infine, in tema di trattamento dei dati telefonici e telematici ai fini della prevenzione dei reati, si ha un altro intervento sulle prerogative dell’Autorità, impedendole di intervenire per prescrivere misure volte a tutelare gli interessati, andando di fatto ad estendere il controllo delle procedure di trattamento e le prerogative della PA.

Tutto ciò considerato, si comprendono facilmente le perplessità. Basti pensare al ruolo del Garante privacy, che rappresenta l’organo che si colloca a protezione degli interessati rispetto a qualsivoglia intervento sulle informazioni personali da parte dei soggetti pubblici e privati. Una tale riduzione delle prerogative dell’Autorità non può che far discutere, anche perché finora non sono state date motivazioni che permettano, quantomeno, di provare a capire le regioni di un tale intervento.

Peraltro, sarebbe necessario precisare quali interessi pubblici potrebbero legittimare una tale ampiezza di poteri rispetto ai dati personali degli interessati. Per fare un esempio, nel caso della tutela della salute collettiva rispetto ai trattamenti sanitari obbligatori (TSO), i costituenti ed i giudici della Consulta hanno consentito di definire un quadro chiarissimo di regole ed eccezioni. Non serve precisare che, essendo la privacy un diritto umano, come più volte ribadito a tutti i livelli normativi e giurisprudenziali, sarebbe necessario definire con maggiore cura i limiti oltre i quali i pubblici poteri non possono andare, ma soprattutto, sarebbe indispensabile far sì che dei limiti vengano effettivamente mantenuti.

D’altro canto, però, le nuove regole in tema di revenge porn sono una nota più che positiva nonché un passo in avanti notevole, che mette al centro i minori, sempre più vittime della diffusione illecita di contenuti espliciti. Ne sono un chiaro esempio le chiusure di diversi gruppi Telegram finalizzati allo scambio di contenuti pedopornografici. Fino ad oggi ai minori era consentito richiamare solo l’attenzione dell’Autorità garante per l’infanzia e l’adolescenza per situazioni ad alto rischio di violazione dei loro diritti. Adesso, invece, potranno adire direttamente il Garante privacy tramite reclamo a mezzo raccomandata A/R o PEC, oppure tramite una segnalazione che può essere inviata anche con mail ordinaria.