Nuove modifiche in ambito privacy dal Decreto Capienze
In Gazzetta ufficiale è stata pubblicata il 7 dicembre scorso la l. 3 dicembre 2021, n. 205 di conversione con modifiche del decreto c.d. “Capienze”, che è intervenuta a modificare il Codice in materia di protezione dei dati personali.
Le prime importanti modifiche riguardano il rapporto tra il trattamento dei dati personali dei cittadini e le finalità di interesse pubblico. L’art. 9 della legge, dando attuazione a una norma contenuta nell’art. 6 del GDPR, chiarisce che il trattamento di dati personali da parte di una pubblica amministrazione è consentito, quanto alla finalità, se “necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad essa attribuiti”.
In secondo luogo, la nuova legge stabilisce che l’attività di trattamento dei dati personali da parte di una pubblica amministrazione possa essere fondata, oltre che su una norma di legge o di regolamento, anche su un atto amministrativo generale.
Il secondo rilevante intervento è volto a potenziare la disciplina di contrasto al fenomeno del c.d. “revenge porn”.
La legge, infatti, introduce nel Codice in materia di protezione dei dati personali un nuovo articolo 144-bis, rubricato appunto “Revenge porn”, che consente a chiunque, compresi i minori ultraquattordicenni, di effettuare una segnalazione al Garante della Privacy, quando abbia motivo di ritenere che documenti informatici di qualsiasi natura (foto, registrazioni audio o video ecc) a contenuto sessualmente esplicito che lo riguardino, destinati a rimanere privati, possano essere oggetto di diffusione attraverso piattaforme digitali senza il suo consenso.
Una volta segnalato il pericolo al Garante della Privacy, quest’ultimo nelle 48 ore successive potrà adottare nei confronti dei gestori della piattaforma digitale utilizzata provvedimenti inibitori, e/o ordini di esibizione di informazioni e più in generale tutti i provvedimenti previsti dall’art. 58 GDPR. I gestori delle piattaforme digitali, ove destinatari di detti provvedimenti, avranno il dovere di conservare il materiale oggetto della segnalazione, ai soli fini probatori e adottando le misure necessarie affinché sia impedita l’identificabilità degli interessati.
Inoltre, è stata prevista la possibilità in capo al Garante della Privacy di ingiungere ai trasgressori, in sede di irrogazione di un’eventuale sanzione amministrativa, anche la realizzazione di “campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, sulla base di progetti previamente approvati dal Garante e che tengano conto della gravità della violazione”; nonché, specularmente, la possibilità di tenere conto, ai fini della determinazione della sanzione, di eventuali analoghe campagne di sensibilizzazione sul tema dei dati personali “realizzate dal trasgressore anteriormente alla commissione della violazione”.
Infine, degna di essere menzionata è la riduzione a 30 giorni, decorrenti dalla richiesta (trascorsi i quali si potrà procedere indipendentemente dall’acquisizione del parere), del termine entro il quale il Garante dovrà formulare ed esprimere un parere con riguardo alle riforme, alle misure e ai progetti riguardanti il Piano nazionale di ripresa e resilienza (il Piano nazionale per gli investimenti complementari, e il Piano nazionale integrato per l’energia e il clima).