Decreto Legge 139/2021: nuove modifiche al Codice privacy

Il Decreto Legge 139 ha portato ulteriori modifiche al “Codice privacy”, che da anni regola la protezione dei dati personali insieme al GDPR.
Vediamo insieme quali sono i punti cruciali di tali modifiche.

Il “Codice Privacy” (D.Lgs. 196/2003, già aggiornato in passato con il D.Lgs 101/2018) contiene le disposizioni nazionali in materia di protezione dei dati personali, nei limiti previsti dall’intoccabile GDPR (General Data Protection Regulation – Regolamento europeo 2016/679).
L’art. 9 del DL 139/2021 tratta proprio questo tema (“Disposizioni in materia di protezione dei dati personali”) introducendo due modifiche al sempre più rattoppato “Codice privacy”.

I punti cruciali sono due: il nuovo comma 1-bis dell’art. 2-ter e la soppressione dell’art. 2-quinquiesdecies.

1 – Art. 2-ter, Comma 1-bis

Il nuovo comma stabilisce che qualsiasi trattamento svolto da una pubblica amministrazione “è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti”, ma con tutte le garanzie previste dal GDPR: indicazione del titolare, della finalità del trattamento ecc.

In sostanza, per le pubbliche amministrazioni non vale il divieto generale di trattare i dati, anche “particolari”, fermi restando però i principi fondamentali per la protezione dei dati.

2 – Art. 2-quinquiesdecies

L’articolo abrogato stabiliva che “con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico – che possono presentare rischi elevati ai sensi dell’articolo 35 del Regolamento – il Garante può (sulla base di quanto disposto dall’articolo 36, paragrafo 5 del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio) prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare“.

Per capire meglio: l’art. 36, par. 5 del GDPR dice: “[…] il diritto degli Stati membri può prescrivere che i titolari del trattamento consultino l’autorità di controllo e ne ottengano l’autorizzazione preliminare, in relazione al trattamento da parte di un titolare del trattamento per l’esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica”.

Eliminato l’art. 2-quinquiesdecies dunque, ora è il nuovo comma 1-bis dell’art. 2-ter a sancire l’autonomia della pubblica amministrazione “per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti”.

Specificando che “La finalità del trattamento – se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento – è indicata dall’amministrazione, dalla società a controllo pubblico in coerenza al compito svolto o al potere esercitato, assicurando adeguata pubblicità all’identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano”.

Desideri approfondire?

Leggi l’Articolo 9 del Decreto Legge 8 ottobre 2021, n.139