L’11 ottobre 2021 è entrato in vigore il Decreto-Legge n. 139/2021, detto “Decreto Capienze”.

Il Decreto Capienze ha introdotto sostanziali e importanti cambiamenti in tema di trattamento di dati personali effettuati dalla Pubblica Amministrazione.

In particolare, è stato conferito più potere alle Pubbliche Amministrazioni e minor potere di controllo all’Autorità Garante.

Poteri alla Pubblica Amministrazione alla luce del Decreto capienze

L’articolo 9 del citato Decreto stabilisce che il trattamento dei dati personali da parte di un’amministrazione pubblica è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad essa attribuiti.

Questa modifica permetterebbe alla Pubblica Amministrazione di trattare dati personali sempre e comunque, a prescindere da una specifica norma di legge o regolamento.

Anche la comunicazione di dati personali tra enti pubblici sarà permessa anche se non formalmente prevista da una norma di legge o regolamento.

L’articolo 9 continua stabilendo che la finalità del trattamento, se non espressamente prevista da una norma di legge o di regolamento, è indicata dall’amministrazione con un proprio atto amministrativo, in coerenza al compito svolto o al potere esercitato.

Decreto capienze: poteri di controllo dell’Autorità Garante

In particolare, in un’ottica di semplificazione amministrativa, il Decreto Capienze ha abrogato l’articolo 2-quinquiesdecies del D.lgs. 196/2003. L’Autorità Garante aveva il potere di prescrivere alle Pubbliche Amministrazioni, che avevano l’obbligo di conformarsi, misure tecniche e accorgimenti necessari per garantire la sicurezza dei dati personali dei cittadini.

Dall’entrata in vigore del Decreto-legge, l’Autorità Garante non potrà più svolgere i citati controlli sulle relative valutazioni d’impatto sui trattamenti di dati personali ad alto rischio per i diritti e le libertà dei cittadini.

Le Pubbliche Amministrazioni potranno quindi procedere tranquillamente ai trattamenti senza dover aspettare e adeguarsi alle disposizioni del Garante.

È stato anche abrogato il comma 5 dell’art. 132 del Dlgs 196/2003, che conteneva indicazioni in materia di conservazione di dati di traffico su tabulati telefonici e telematici.

La disposizione prescriveva che i dati personali conservati per le finalità di accertamento e repressione dei reati possedessero sufficienti requisiti di qualità, sicurezza, protezione, nonché la presenza di adeguate modalità tecniche per la periodica distruzione dei dati.

Con l’abrogazione, è venuto meno anche il potere del Garante di determinare questi requisiti.

Da una minore tutela sul controllo e sulla distruzione di questo tipo di dati potrebbero derivare pregiudizi sui diritti dei soggetti interessati.

D’altro canto, si potrebbero aprire più opportunità per la repressione di particolari tipi di reati per cui sono necessarie perizie informatiche e indagini forensi.

L’eventuale acquisizione di dati e metadati non correttamente cancellati relativi al traffico telefonico potrebbe aiutare a prevenire e combattere quei reati in cui le disposizioni in materia di cancellazione avrebbero potuto ostacolarne la persecuzione.

Infine, il Garante avrà solo 30 giorni per fornire il suo parere su riforme, misure e progetti per l’attuazione del Piano nazionale di ripresa e resilienza (PNRR).

Una volta decorso il termine, il governo potrà comunque procedere, a prescindere dall’acquisizione del parere.

Il PNRR è un piano con una moltitudine di progetti complessi e diversificati, che molto difficilmente potrebbero essere commentabili in un periodo di tempo così ridotto.

Ruolo dell’Autorità Garante rispetto al revenge porn

Si segnala inoltre l’inserimento nel D.lgs. 196/2003 dell’articolo 144-bis che riconosce al Garante per la Protezione dei dati personali il ruolo di interlocutore per le vittime di revenge porn.

Tutti i soggetti, compresi gli ultraquattordicenni, che hanno fondati motivi di ritenere che immagini o video a contenuto sessualmente esplicito che li riguardano siano stati pubblicati o diffusi possono rivolgersi al Garante con una segnalazione o reclamo.

Entro 48 ore dal ricevimento della richiesta, il Garante provvederà ad intervenire d’urgenza andando a limitare la diffusione del materiale. Si auspica che grazie a questa disposizione si possa riuscire a combattere in modo più efficace il reato anche con l’ausilio di tecniche forensi specializzate.

I cambiamenti introdotti dalle disposizioni non saranno limitati al momento d’emergenza pandemica ma saranno definitivi. Ciò potrebbe avere in futuro gravi conseguenze sui diritti e libertà dei cittadini interessati.