Il Decreto Capienze è Legge: le novità in materia di protezione dei dati

È appena entrata in vigore la legge 205/2021 che ha convertito il decreto Capienze (n.139/2021). Tra le novità vi sono modifiche, che suscitano non poche perplessità, in ambito di protezione dei dati personali.

MasterClass

in collaborazione ANORC

Quattro percorsi verticalizzati e pratici al confronto critico sulle ultime novità in tema di:

  • Documenti aziendali fiscalmente rilevanti e e-commerce | 27 gennaio 2022
  • eHealth e protezione dei dati personali | 24 febbraio 2022
  • Banche e assicurazioni | 17 marzo 2022
  • Servizi on line nelle PA | 14 aprile 2022

Le Masterclass saranno disponibili in diretta streaming su Piattaforma Digital & Law Academy.

SCOPRI

Ampliamento delle attività di trattamento

Una prima modifica concerne l’art. 2 ter del vigente Codice Privacy e prevede che l’attività di trattamento di dati personali fondata sulla base giuridica (prevista dall’art. 6, par. 3, lett. b) del GDPR e dall’art. 2 sexies del Codice Privacy) possa fondarsi anche su un atto amministrativo generale, oltre che in ragione di una norma di legge o di regolamento come attualmente accade. In quest’ultimo caso si fa riferimento anche al trattamento di categorie particolari di dati di cui all’art. 9, lett. g) del GDPR.

 

Considerazione del Pubblico interesse

È stata poi aggiunta sul punto la possibilità, in capo ad una Pubblica Amministrazione (da intendersi in riferimento al comma 1bis), di effettuare una attività di trattamento laddove ciò sia necessario all’adempimento di un compito svolto nel pubblico interesse ovvero per l’esercizio di pubblici poteri ad essa attribuiti.  Seppur sia necessario prevedere delle misure tecniche organizzative adeguate al fine di tutelare i dati personali vi è, ad ogni modo, un’estrema semplificazione.

Basti pensare anche alla riduzione, in termini temporali, dei poteri dell’Autorità Garante, alla quale viene assegnato un termine (non prorogabile) di 30 giorni decorrenti dalla richiesta (dopodiché, si può procedere indipendentemente), per formulare ed esprimere un parere con riguardo alle riforme, alle misure e ai progetti riguardanti il Piano nazionale di ripresa e resilienza (il Piano nazionale per gli investimenti complementari, e il Piano nazionale integrato per l’energia e il clima).

 

Maggiore consapevolezza

Infine, le modifiche intervenute interessano, altresì, il comma 7 dell’art. 166 del Codice Privacy, ove è stata inserita la possibilità, in capo al Garante Privacy di ingiungere, in sede di irrogazione della sanzione amministrativa, anche la realizzazione di “campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, sulla base di progetti previamente approvati dal Garante e che tengano conto della gravità della violazione”, nonché la possibilità di tenere conto, sempre con riguardo alla determinazione della sanzione amministrativa, di “eventuali campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, realizzate dal trasgressore anteriormente alla commissione della violazione”: appare, dunque, evidente l’ interpretazione della protezione dei dati personali in chiave di responsabilità sociale d’impresa.