“Decreto Capienze”: quali le novità in ambito privacy

Quella introdotta alla fine del 2021 è stata sicuramente la più corposa modifica del Codice privacy dal 2018, quando con il D. Lgs. 101 il Codice era stato adeguato alle novità introdotte dal Regolamento.

Parliamo delle novità introdotte nell’ottobre scorso dal Decreto-legge n. 139 dell’8 ottobre 2021 (il cosiddetto “Decreto capienze”), successivamente convertito con modifiche nella Legge n. 205 del 2021 del 3 dicembre 2021.

L’art. 9 del Decreto capienze interviene su vari aspetti, che sembrano mirare ad un ampliamento delle possibilità di trattamento dati da parte delle pubbliche amministrazioni da un lato, e al depotenziamento dei poteri dell’Autorità Garante dall’altro.

In particolare, le novità di maggiore rilevanza sono le seguenti:


la previsione di una nuova base giuridica per il trattamento dei dati personali comuni, costituita dagli “atti amministrativi generali” (art. 2 ter, comma 1, Codice privacy);

la possibilità per le pubbliche amministrazioni di trattare i dati personali se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad esse attribuiti (art. 2 ter, comma 1-bis, Codice privacy);

l’introduzione della base giuridica degli “atti amministrativi generali”, prevista anche a fondamento del trattamento di dati particolari da parte delle Pubbliche Amministrazioni (art. 2 sexies comma 1 Codice privacy);

l’introduzione del comma 1-bis all’art. 2 sexies del Codice privacy, che prevede delle ipotesi di trattamento dei dati di salute da parte dei soggetti pubblici ivi indicati, previa emanazione di un Decreto del Ministero della Salute;

l’abrogazione dell’art. 2 quinquiesdecies, che prevedeva la possibilità per il Garante di adottare d’ufficio provvedimenti di carattere generale riguardo misure di sicurezza ai trattamenti di rischio elevato per trattamenti svolti per l’esecuzione di un compito di interesse pubblico;

l’introduzione dell’art. 144 bis dedicato al revenge porn;

l’introduzione dell’art. 154, comma 5 bis relativamente al potere del Garante di rilasciare pareri su proposte di atti legislativi (art. 36.4 GDPR); 

il rafforzamento dell’organico e delle risorse dell’ufficio del Garante.

Il decreto è intervenuto anche su profili privacy disciplinati fuori dal Codice:


ha introdotto la possibilità per il Ministero della salute di trattare anche i dati personali non relativi alla salute necessari a garantire l’effettivo perseguimento delle finalità di cui al comma 1 e l’attuazione del corrispondente intervento di cui alla missione M6 del PNRR, permettendo a tal fine l’interconnessione dei sistemi informativi su base individuale del SSN, ivi incluso il FSE, con i sistemi informativi gestiti da altre amministrazioni pubbliche;

ha introdotto modifiche alla legge istitutiva del Registro delle opposizioni, di cui abbiamo parlato nel nostro articolo “Novità per il registro delle opposizioni. Quali sorti per il telemarketing?” consultabile qui;

ha sospeso fino al 31 dicembre 2023 l’installazione e l’utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale operanti attraverso l’uso dei dati biometrici in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di soggetti privati.

In questi mesi, i commenti riguardo le novità del Decreto Capienze sono stati molto critici, poiché si ritiene, che le novità introdotte abbiano di fatto comportato conseguenze di notevole rilevanza.

Si fa riferimento, anzitutto, al depotenziamento dei poteri del Garante.

È stato infatti abrogato l’art. 2 quinquiesdecies del Codice, che riconosceva all’Autorità il potere di emanare provvedimenti generali e prescrivere misure e accorgimenti obbligatori a carico del titolare del trattamento per i trattamenti potenzialmente rischiosi – ai sensi dell’art. 35 GDPR – svolti per l’esecuzione di un compito di interesse pubblico.

È stato inoltre introdotto il comma 5 bis dell’art. 154 del Codice, che limita leipotesi di consultazione preventiva del Garante ai soli casi in cui la legge o il regolamento in corso di adozione disciplina espressamente le modalità del trattamento di dati personali.

In secondo luogo, le critiche si concentrano sull’ampliamento dei poteri della Pubblica Amministrazione. Oggi il Codice privacy prevede infatti che le Pubbliche Amministrazioni possano effettuare trattamenti di dati personali, oltre che in ragione di un obbligo di legge o di regolamento, anche sulla base di un atto amministrativo generale. Un approfondimento del tema nel nostro articolo “Decreto Capienze”: cosa cambia per le Pubbliche Amministrazioni?” consultabile qui.

Facebook
Twitter
LinkedIn
WhatsApp
Dopo aver conseguito il diploma di laurea presso l’Università degli Studi di Trento, l’avvocato Maddalena Collini si è occupata di diritto fallimentare, specializzandosi poi

Ti potrebbe interessare anche...

Vuoi ricevere la newsletter informativa dello studio legale Stefanelli&Stefanelli?