Cancellato il filtro del Garante della privacy sui trattamenti più rischiosi svolti dalle pubbliche amministrazioni. Eliminato, anche, il passaggio dal Garante per le p.a. che intendono comunicarsi dati per scopi istituzionali. È quanto prevede il decreto legge, approvato dal consiglio dei ministri il 7 ottobre scorso (cosiddetto «decreto capienze»), che rivoluziona la disciplina privacy per p.a., società controllate pubbliche e organismi di diritto pubblico.
La manovra è completata con l’aggiunta del principio per cui le pubbliche amministrazioni e gli altri enti dell’orbita pubblica di per sé, senza bisogno di una legge o regolamento che descriva esattamente i trattamenti, possono trattare i dati necessari per i compiti di interesse pubblico e per l’esercizio di pubblici poteri. È un ritorno al passato e all’impostazione originaria del Codice della privacy. Ma vediamo di illustrare le novità, che si inseriscono nella dialettica istituzionale tra governo e garante.
Il primo punto è l’abrogazione dell’articolo 2-quinquiedecies del Codice della privacy, cioè dell’articolo in base al quale il Garante prescrive misure e accorgimenti, vincolanti per la pubblica amministrazione, in caso di trattamenti a rischio elevato.
È l’articolo usato più volte dal Garante in materie delicate: controlli sull’assenteismo, verifiche fiscali e lotta all’evasione, green pass. Eliminato l’articolo in questione, rimane, certo, l’impianto del regolamento Ue 2016/679 (Gdpr), che impone a chi procede a trattamenti a rischio elevato di scrivere una valutazione di impatto privacy (articolo 35 Gdpr): quest’ultima, però, è un adempimento interno all’organizzazione. In sostanza, le pubbliche amministrazioni potranno agire di iniziativa, ma pur sempre nel rispetto del Gdpr.
L’abrogazione dell’articolo 2-quinquiesdecies importa la cancellazione delle sanzioni collegate alla sua violazione.
Il decreto, poi, impone al garante un altro passo indietro a riguardo dei casi in cui le pubbliche amministrazioni, in assenza di una norma aspecifica che lo preveda, si comunicano tra loro dati : se si tratta di scambio di informazioni necessarie per le finalità istituzionali, questo basta e non ci sarà più bisogno di una comunicazione preventiva al garante e l’attesa di 45 giorni prima di procedere.
L’esistenza di pubblici interessi e poteri, dunque, legittima i trattamenti per le relative finalità. E, nei casi in cui la finalità non sia scritta in una legge o regolamento, grazie al decreto legge in esame, il trattamento non si blocca, anche se si apre per gli enti la necessità di indicare esplicitamente tale finalità nei loro regolamenti o atti di organizzazione: quindi, lista delle finalità (nella norma o negli atti interni degli enti) e necessità per gli scopi istituzionali rendono il trattamento di dati delle pubbliche amministrazioni sempre possibile.
Nel decreto legge troviamo, passando ad altro, la riduzione a 30 giorni dei termini per l’espressione dei pareri del Garante in merito al Piano nazionale di ripresa e resilienza – Pnrr (decorso il termine, si va avanti anche senza parere) e più competenze al Garante stesso per prevenire il revenge porn, cioè la diffusione di foto o video sessualmente espliciti.
di Antonio Ciccia Messina (Fonte: Italia Oggi del 9 ottobre 2021)