Stampa questa pagina
Mercoledì, 22 Dicembre 2021 08:24

Decreto "capienze" e modifiche al Codice Privacy. Le novità più rilevanti per i trattamenti di dati da parte di Pubbliche Amministrazioni

di

L’8 dicembre 2021 è entrata in vigore la legge 205/2021 di conversione del decreto-legge n. 139/2021. Il provvedimento ha disposto la modifica di alcune norme in materia di protezione di dati personali applicabili agli enti pubblici contenute nel d.lgs. n. 196/2003.

Si elencano di seguito le modifiche di maggior rilievo relative ai trattamenti effettuati dagli enti pubblici.

Ampliamento delle basi giuridiche per il trattamento di dati comuni e particolari

Con la modifica dell’art. 2-ter, co. 1 del d.lgs. n. 196/2003, nei casi di trattamento di dati comuniper adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o per “l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento” la base giuridica può essere costituita non solo da leggi e regolamenti, ma anche da atti amministrativi generali (es. regolamenti comunali).

Una disposizione simile è stata prevista per il trattamento di dati appartenenti alle particolari categorie dell’art. 9 del GDPR. I trattamenti necessari per motivi di interesse pubblico rilevante sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge, di regolamento o da atti amministrativi generali. Tali fonti devono specificare i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.

In generale, l’inclusione tra le basi giuridiche degli atti amministrativi generali suggerisce di adottare un approccio che tenga conto sin dalla loro predisposizione delle esigenze di protezione dei dati personali e di tutela dei diritti e delle libertà delle persone fisiche. Si tratta di principi fondamentali dell’ordinamento, di matrice unionale. La violazione di questi principi potrebbe ridondare in un vizio di legittimità del provvedimento amministrativo.

Trattamenti di dati da parte di amministrazioni pubbliche

Sono state previste delle nuove condizioni per i trattamenti di dati da parte di amministrazioni pubbliche, società a controllo statale, gestori di servizi pubblici locali, introducendo un nuovo comma 1-bis all’art. 2-ter del d.lgs. n. 196/2003.

A prescindere dall’esistenza di una base giuridica (legge, regolamento, atto amministrativo generale), il trattamento è sempre consentito “se necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri ad esse attribuiti”. La norma non trova applicazione, per le società a controllo pubblico, ai trattamenti correlati ad attività svolte in regime di libero mercato.

La disposizione contiene un richiamo piuttosto generico al rispetto delle condizioni dell’art. 6 del GDPR. Tale richiamo sembra riferito al par. 4, il quale prevede che:

“Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell'interessato o su un atto legislativo dell'Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all'articolo 23, paragrafo 1, al fine di verificare se il trattamento per un'altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l'altro:

  1. di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell'ulteriore trattamento previsto;
  2. del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l'interessato e il titolare del trattamento;
  3. della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell'articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell'articolo 10;
  4. delle possibili conseguenze dell'ulteriore trattamento previsto per gli interessati;
  5. dell'esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.”

Per fondare il trattamento su questa disposizione, sarà dunque sempre opportuno predisporre un documento di valutazione che prenda in considerazione anche questi specifici aspetti.

Comunicazioni tra enti pubblici

È stato modificato l’art. 2-ter co. 2 del d.lgs. n. 196/2003 eliminando l’obbligo di preventiva comunicazione al Garante nel caso di comunicazioni tra enti pubblici di dati personali “comuni” non supportata da base giuridica ma comunque necessaria per finalità di pubblico interesse.

Nel testo risultante dalla modifica si prevede che le comunicazioni fra titolari che effettuano trattamenti di dati personali, diversi da quelli “particolari” o “giudiziari”, per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri è ammessa se ricorrono le condizioni dell’art. 2-ter, co. 1 o 1-bis.

Tali comunicazioni, costituendo comunque trattamenti di dati personali, dovranno essere sottoposte a valutazione di impatto ed essere incluse nel registro dei trattamenti, con l’indicazione della base giuridica che li sorregge.

Diffusione e comunicazione di dati personali per altre finalità

È stato modificato il comma 3 dell’art. 2-ter del Codice Privacy, relativo alla diffusione e alla comunicazione di dati personali trattati per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalità.

Questi trattamenti, già in precedenza consentiti in presenza di una base giuridica ai sensi del comma 1, sono ora ammessi se necessari ai sensi del comma 1-bis. In questo caso, deve essere inviata una comunicazione al Garante almeno dieci giorni prima dell'inizio della comunicazione o diffusione.

Anche in questo caso, sarà necessario che siano preventivamente valutate le ragioni di pubblico interesse che giustificano le comunicazioni o diffusioni dei dati a soggetti che intendono trattarli per altre finalità. Sarà opportuno accludere alla comunicazione al Garante i risultati della valutazione.

Trattamenti di dati sanitari e interconnessione dei sistemi informativi

È stato introdotto un comma 1-bis all’art. 2-sexies del d.lgs. n. 196/2003 volto a consentire il trattamento di dati personali relativi alla salute, in forma almeno pseudonima da parte del Ministero della salute, dall'Istituto superiore di sanità, dall'Agenzia nazionale per i servizi sanitari regionali, dall'Agenzia italiana del farmaco, dall'Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della povertà e, relativamente ai propri assistiti, dalle regioni, ciascuna per le proprie finalità.

Si prevede l'interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, ivi incluso il Fascicolo sanitario elettronico (FSE), aventi finalità compatibili con quelle sottese al trattamento, con le modalità e per le finalità fissate con decreto del Ministro della salute, previo parere del Garante.

Moratoria dell’installazione di sistemi di videosorveglianza con sistemi di riconoscimento facciale

L’articolo 9 comma 9 del d.l. 139/2021 introduce la sospensione dell’installazione e l’utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale operanti attraverso l’uso dei dati biometrici di cui all’articolo 4, numero 14), del citato regolamento (UE) 2016/679 in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di soggetti privati, fino all’entrata in vigore di una disciplina legislativa della materia e comunque non oltre il 31 dicembre 2023.

Tale previsone, tuttavia, si applica ai trattamenti effettuati dalle autorità competenti a fini di prevenzione e repressione dei reati o di esecuzione di sanzioni penali.

Usiamo i cookies per offrirti la migliore esperienza possibile su questo sito. Continuando la navigazione o cliccando su "Accetto" autorizzi il loro uso.