Il Dl. 8 ottobre 2021, nonché il decreto aperure e privacy, contiene disposizioni urgenti per l’accesso alle attività culturali, sportive e ricreative, nonché per l’organizzazione di Pubbliche Amministrazioni e in materia di protezione dei dati personali.
In realtà il decreto dell’8 ottobre, contiene disposizioni anche su altri argomenti quali ad esempio, Green pass obbligatorio per i lavoratori , esame abilitativo per la professione di Avvocato, coperture per Cinema e Teatri potenziamento dell’Ufficio centrale, misurare contrastive per il “Revenge porn” e trattamento dati personali nelle PA.
Vediamo, quindi queste misure in maniera più dettagliata.
Trattamento dei dati personali nelle P.A
Nel codice antecedente al GDPR, ossia quello concernente l’anno 2003, si specificava, all’articolo 18, che “qualunque trattamento dei dati da parte dei soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali” e che nel “trattare i dati il soggetto pubblico osserva i presupposti ed i limiti stabiliti“.
Nonostante questo, le PA potevano trattare i dati personali, oltre quelli sensibili anche senza il consenso dell’interessato (ovviamente salvo l’ambito sanitario).
Ancora oggi, nel “Codice privacy” è presente parte di queste normative. La modifica apportata nel 2018 con il decreto 101, però, specifica che solo tramite regolamento o norma di legge si possono definire gli interessi pubblici in grado di far mettere mano al trattamento dei dati personali alle PA.
Il GDPR, in effetti, non distingue sulla natura del responsabile del trattamento, così da poter applicare la nuova normativa in materia privacy a tutti i soggetti pubblici e privati. Sostanzialmente si è scelto un criterio di applicazione oggettivo, applicando la normativa del GDPR in ogni caso e verso chiunque, con la conseguenza per le PA di essere chiamate a rispondere all’osservanza degli obblighi, anche sulla base degli artt. 97 e 117 comma 1, della Costituzione. Purtroppo, queste novità per il GDPR hanno creato alcune difficoltà negli Enti Pubblici ed in particolar modo al Data Protection Officer, in quanto l’incarico deve essere svolto solo in assenza di conflitti di interesse. Il GDPR, tra l’altro, elimina la possibilità per le PA di affidarsi al “legittimo interesse“, del titolare, portando gli Enti Pubblici a non poter scegliere modalità e finalità del trattamento stesso, nel caso in cui vi fosse una norma di legge o un regolamento (cd. attività vincolata). Il problema però è che effettivamente il GDPR rimane ancora non molto chiaro, nell’ambito di applicazione soggettivo, in quanto non definisce le “Attività Pubbliche” di cui parla, né come individuarle, tantomeno lo fa l’art.2 del “Codice Privacy”. E’ stata quindi creata una grave lacuna dal legislatore, generando dubbi su chi tratta i dati personali, per interessi pubblici, portando quindi a dover accogliere favorevolmente la modifica apportata dal Dl. n. 139/2021, la quale chiarisce l’ambito di applicazione soggettivo.
Dal Green Pass per i lavoratori, al Revenge Porn
All’art. 1 del “Decreto Aperture” troviamo normative riguardo le nuove aperture di Cinema Teatri e Discoteche, all’interno dei quali il Green Pass è obbligatorio, con la sola differenza di capienza.
Per gli spettacoli in zona gialla, la capienza equivale alla metà del totale, mentre per quelli in zona bianca non ci sono limiti di posto; la capienza delle sale da ballo invece è fissata al 50% al chiuso e al 75% all’aperto, mentre per lo sport si può riempire solo il 35% dei posti totali (in zona gialla).
All’art. 2 si abolisce invece il distanziamento di un metro nei Musei e nelle Mostre, per consentire maggiore flusso di partecipanti;
All’art. 4 invece comincia a farsi strada una serie di interventi nei confronti delle pubbliche funzioni, come la riorganizzazione del Ministero della Salute;
All’art.7 si consente l’ampliamento del fondo nazionale per le politiche e i servizi di asilo;
All’art.8 si trovano interventi per tutelare le minoranze linguistiche slovene in Friuli-Venezia Giulia;
All’art.9 si fa riferimento invece al trattamento dei dati personali nelle PA, e a normative per contrastare il “Revenge Porn“, garantendo alle vittime la possibilità di denunciare il fatto al Garante per la protezione dei dati personali.
Ma chi sono i soggetti pubblici di cui parla il parlamento Europeo in materia di dati personali? Il nostro Codice Privacy, nonostante la modifica apportata nel 2018 con il GDPR, non dava una chiara definizione di chi fossero i soggetti chiamati all’attuazione della disciplina in materia di dati personali, solo tre anni dopo nel “Decreto miscellanea”, nel nuovo comma 1-bis, è stata fatta maggiore chiarezza. Modificando l’art.2 del Codice Privacy, infatti, si può capire chiaramente che la normativa verrà applicata a tutte le PA indicate nel Dlgs. n.165/2001, comprese le Autorità Amministrative indipendenti, quelle definite dall’Istat e le Società in house providing.
Nella seconda parte del nuovo comma 1-bis viene definito:
" A finalità del trattamento, se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall’Amministrazione, dalla Società a controllo pubblico in coerenza al compito svolto o al potere esercitato, assicurando adeguata pubblicità all’identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano".
Con la seguente norma si uniscono le attività del trattamento dei dati personali con una norma di legge o regolamento Europeo, portando di conseguenza, a seguito di una violazione della “coerenza”, o ad un trattamento illegittimo, sanzionabile dal Garante, o all’annullabilità del provvedimento adottato dall’Ente.
Interventi per il PNRR
Il legislatore ha effettuato nel tempo molte semplificazioni al PNRR, ma non ha mai introdotto una disposizione specifica sul rilievo dell’Autorità, in merito alla protezione dei dati personali. Oggi sostanzialmente si vuole dare un ulteriore semplificazione, con l’attuazione del Dl. 139/2021. Ciò significa che l’opinione del garante sul PNRR può essere cioè superata dalla volontà politica e dalla discrezionalità amministrativa. Chiaramente il Garante può sempre intervenire dopo i 30 giorni prestabiliti, decidendo in quel caso di avviare un’istruttoria e di adottare un’ordinanza privacy. Ogni soggetto deputato al trattamento di dati personali, in ragione del “Pnrr ” e delle misure attuative, dovrà essere sempre attento, affinché la semplificazione in parola non si ritorca contro di lui. Per questo motivo sarà cruciale il supporto dell’interprete e operatore del diritto.
