di Michele Gorga, avvocato e componente osservatorio Aidr per il
coordinamento dei DPO, RTD e Reputation Manager

Tre le modifiche al Decreto Legislativo 30 giugno 2003 n. 196, nella
versione aggiornata con il Decreto Legislativo 101del 2018, apportate
con il neonato Decreto Legge 8 ottobre 2021, entrato in vigore sabato
9 ottobre 2021.
La prima modifica, che ha già fatto gridare allo scandalo, ma
l’allarme è esagerato, attiene alla necessaria soppressione,
nell’ottica dell’impegno assunto a livello Europeo di efficientamento
delle risorse del PNRR, del parere preventivo del Garante privacy per
gli atti generali della P.A.
Il Governo per mantenere l’impegno di sburocratizzare il processo
decisionale della decretazione attuativa dell’azione di governo ha
abrogato l’art. 2-quinquiesdecies del Codice Privacy. Questa norma
prevedeva per i trattamenti che presentavano rischi elevati per
l’esecuzione di un compito di interesse pubblico, ossia per quelli
fatti dalla Pubblica Amministrazione nell’esercizio dei suoi compiti,
la necessità del parere preventivo del Garante, che poteva prescrivere
misure e accorgimenti che il titolare del trattamento era tenuto poi
ad adottare preventivamente. Praticamente un controllo sovraordinato
all’azione di governo che mal si conciliava con i tempi e la snellezza
della procedura di efficientamento della spesa del PNR.

Nello stesso solco si colloca, poi, anche la contestuale riforma che
prevede, in materia di snellimento delle procedure in tema di PNRR,
l’abrogazione dell’art. 22 del D. Lgs. 101 del 2018 e al co. 3
dell’art. 9 del citato D.L.139/2021 prevedendosi, altresì, che i
pareri del Garante per la protezione dei dati personali richiesti con
riguardo a riforme, misure e progetti del Piano Nazionale di Ripresa e
Resilienza di cui al regolamento (UE) 2021/241 del Parlamento europeo
e del Consiglio del 12 febbraio 2021, del Piano nazionale per gli
investimenti complementari di cui al decreto-legge 6 maggio 2021, n.
59, nonché del Piano Nazionale Integrato per l’Energia e il Clima 2030
di cui al Regolamento (UE) 2018/1999 del Parlamento europeo e del
Consiglio dell’11 dicembre 2018, siano resi nel termine non
prorogabile di trenta giorni dalla richiesta, decorso il quale può
procedersi indipendentemente dall’acquisizione del parere del garante.

Una riforma, quindi, necessaria per l’Italia che non incide sui
diritti della privacy dei cittadini, ma solo sull’ampiezza della sfera
del potere di controllo preventivo del Garante, e sul rispetto dei
limiti di quello successivo, che non sopprime affatto il diritto della
protezione dei dati delle persone eventualmente interessate alle
singole procedure che potranno fare sempre far valere nelle competenti
sedi giurisdizionali ed amministrative i loro diritti. Si tratta,
quindi, di riforme che mirano all’efficienza del processo
amministrativo e che sburocratizza un po’ procedimenti bizantini,
ingessati a pareri a metà strada tra certezze inespresse ed incertezze
permanenti. Un buon inizio, quindi, dato che se si parla di
semplificazioni nella Pubblica Amministrazione da qualche parte si
deve pure iniziare.

Speculare all’abrogazione dell’art. 2-quinquiesdecies, in materia di
parere preventivo del garante, è la previsione fatta sempre con il
decreto legge 136/2021 di integrazione dell’art. 2-ter del D. lgs.
196/2003 in tema di Base giuridica per il trattamento di dati
personali effettuato dalle Pubbliche Amministrazioni per l’esecuzione
di un compito di interesse pubblico o connesso all’esercizio di
pubblici poteri, prevedendo il legislatore che Il trattamento dei
dati personali da parte di un’amministrazione pubblica, ivi comprese
le Autorità indipendenti, nonché da parte di una società a controllo
pubblico o di un organismo di diritto pubblico, è ora sempre
consentito se necessario per l’adempimento di un compito svolto nel
pubblico interesse o per l’esercizio di pubblici poteri a essa
attribuiti e ciò indipendentemente dalla finalità del trattamento che
sia o meno espressamente prevista da una norma di legge o di
regolamento. Predetti trattamenti, perciò possono essere ora
ricondotti, al compito svolto o al potere esercitato e si amplia così
la possibilità di manovra dell’azione amministrativa per non restare
sempre incatenati alla esistenza di una norma di legittimazione del
trattamento.

Infine, altra significativa modifica del Codice privacy si è imposta
in ragione dell’utilizzo troppo disinvolto che troppi soggetti fanno
della propria immagine o dei propri dati. Con l’introduzione di un
nuovo articolo il 144-bis del Revenge porn si prevede che chiunque,
compresi i minori ultraquattordicenni, abbia fondato motivo di
ritenere che immagini o video a contenuto sessualmente esplicito che
lo riguardano, destinati a rimanere privati, possano essere oggetto di
invio, consegna, cessione, pubblicazione o diffusione senza il suo
consenso in violazione dell’art. 612-ter del codice penale, può
rivolgersi, mediante segnalazione o reclamo, al Garante, il quale,
entro quarantotto ore dal ricevimento della richiesta, provvede ai
sensi dell’articolo 58 del Regolamento (UE) 2016/679, ampliandosi,
così anche i poteri urgenti e cautelari in capo al Garante per
assicurare una tutela immediata ed urgente a probabili vittime della
rete.
Si prevede, infine, che quando le immagini o i video riguardano
minori, la richiesta al Garante può essere effettuata anche dai
genitori o dagli esercenti la responsabilità genitoriale o la tutela.