Il nostro partner avv. Enrico Pelino è stato invitato il 3 novembre 2021 alle audizioni sui profili privacy del DL “Capienze”, DL 139/2021, in occasione della conversione in legge (DDL 2409 di conversione).
In collegamento streaming con la Commissione Affari Costituzionali del Senato, l’avvocato si è concentrato sulle modifiche agli articoli 2-ter e 2-quinquiesdecies codice privacy apportate dal citato decreto legge.
Guarda l’intervento integrale:
In particolare, l’avv. Pelino ha evidenziato come gli interventi normativi comportino l’eliminazione di importanti strumenti di controllo preventivo del Garante sulle pubbliche amministrazioni, schiudendo la strada a liberi quanto pericolosi esperimenti sulla privacy dei cittadini. Gli effetti potranno ben difficilmente essere corretti in fase di controllo successivo.
Occorre considerare che al momento molte amministrazioni, anche di livello apicale, difettano addirittura di informative corrette, talvolta non hanno indicato il DPO e non hanno svolto nessun apprezzabile investimento in materia di cultura della privacy. Come possiamo attenderci realisticamente ora che procedano a corretti test di necessità, coinvolgendo il DPO?
In uno scenario come questo, perdere il “tutoraggio” dell’Autorità garante non si traduce né in guadagno di efficienza né in investimento per il futuro.
In un mondo che ruota sui dati, sottovalutare il rilievo strategico di una normativa dedicata proprio alla governance dei dati vuol dire condannarsi a un ruolo passivo, non attivo. A un ruolo, cioè, di potenziale colonia digitale per lo sfruttamento di informazioni da parte di terzi, che potranno trarre vantaggio dalle debolezze applicative.
Necessità di interventi tecnici
Nell’audizione l’avv. Pelino ha evidenziato l’utilità di alcuni interventi tecnici sull’art. 2-ter codice privacy (d.lgs. 196/03). Innanzitutto, occorre assicurare pari trattamento dei soggetti privati rispetto ai soggetti pubblici, costruito per entrambi su una corretta presa d’atto dell’applicazione del considerando 41 GDPR.
In secondo luogo, vanno apportate alcune correzioni lessicali al nuovo comma 1-bis al fine di scongiurare violazioni del GDPR, anziché l’adeguamento auspicato. Ad esempio, la finalità deve essere non semplicemente coerente con l’interesse pubblico ma necessaria allo stesso.
Continuando l’approfondimento sui soggetti pubblici, occorre infine attenersi a un criterio di proporzionalità, che è strutturale al GDPR e più in generale al diritto eurounitario e nazionale. Proporzionalità vuol dire applicare misure crescenti a un rischio crescente.
Le ipotesi oggi oggettivamente a rischio maggiore, quali la comunicazione tra amministrazioni di cui al comma secondo dovrebbero continuare a essere pertanto precedute, a nostra opinione, da un momento di verifica condotto dal Garante per la protezione dei dati personali. Tale intervento andrebbe quantomeno esteso alla diffusione o la comunicazione a privati di cui al comma terzo.
Ad uso del lettore: la formulazione dei commi 2 e 3 dell’art. 2-ter è oggi (anche dopo la novella del DL 139/21) particolarmente infelice poiché riunisce le due basi di cui alle lettere c) ed e) dell’art. 6.1 GDPR. È inoltre asimmetrica e mal riuscita nell’intento di includere anche i privati, pur mantenendo la struttura dell’abrogato art. 19 d.lgs. 196/03. Il presente articolo rappresenta perciò una sintesi e una semplificazione di questioni più complesse.