È stata pubblicata in Gazzetta Ufficiale la L. 3 dicembre 2021, n. 205 di conversione in legge, con modificazioni, del Decreto-Legge 8 ottobre 2021, n. 139, recante disposizioni urgenti per l’accesso alle attività culturali, sportive e ricreative, nonché per l’organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali. Il c.d. Decreto capienze, come modificato alla Camera dei Deputati, apporta alcune modifiche al Codice privacy e, di riflesso, all’applicazione della normativa sulla protezione dei dati personali.

Nell’ultimo periodo sono sorti numerosi interrogativi sugli effetti, talvolta considerati negativi, che il D.L. 139/2021, convertito con modificazioni in L. 205/2021, potrebbe arrecare al diritto sulla protezione dei dati personali. L’analisi delle modifiche apportate all’art. 9 sembrerebbe far emergere un evidente ed apprezzabile effetto migliorativo del novellato D.Lgs. 196/2003 (Codice privacy), rispetto alle critiche che potrebbero essere mosse circa il depauperamento dei poteri dell’Autorità Garante per la Protezione dei Dati Personali.

Oltre all’incremento di risorse in favore dell’Autorità Garante, il cui organico passa – a decorrere dal 01.01.2022 – da 162 a 200 unità, si registra un potenziamento della disciplina di contrasto al fenomeno del revenge porn. Tale previsione è volta a consentire a un soggetto esercente la responsabilità genitoriale/legale ovvero a un minore ultraquattordicenne di effettuare una segnalazione (di pericolo) al Garante Privacy, così permettendogli di compiere, nel termine di 48 ore dal ricevimento della segnalazione, le proprie decisioni (in primis, di natura cautelare) ex art. 143 e 144 del Codice Privacy da indirizzarsi, in prima battuta, nei confronti del gestore della piattaforma digitale interessata.

Altra modifica riguarda il comma 7 dell’art. 166 del Codice Privacy, ove è stata inserita la possibilità in capo al Garante, di ingiungere, in sede di irrogazione della sanzione amministrativa, anche la realizzazione di “campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, sulla base di progetti previamente approvati dal Garante e che tengano conto della gravità della violazione”, nonché la possibilità di tenere conto, con riguardo alla determinazione della sanzione amministrativa, di “eventuali campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, realizzate dal trasgressore anteriormente alla commissione della violazione”. Appare evidente, dunque, una interpretazione della protezione dei dati personali in chiave di responsabilità sociale d’impresa (CSR: Corporate Social Responsability), nel rispetto dei margini di manovra nazionale previsti dall’art. 84, paragrafo 1 (e relativi Considerando n. 122 e 132), del GDPR.

Gli ulteriori interventi indicati dal provvedimento normativo sembrerebbero volti a snellire determinate operazioni di trattamento di dati personali.

L’art. 2 ter del vigente Codice privacy è stato modificato affinché, da un lato, l’attività di trattamento di dati personali fondata sulla base giuridica prevista dall’art. 6 paragrafo 3, lettera b), del GDPR (e dall’art. 2 sexies del Codice privacy) possa fondarsi anche su un atto amministrativo generale, oltre che in ragione di una norma di legge o di regolamento. È stata aggiunta, sul punto, la possibilità in capo ad una pubblica amministrazione (ai sensi del novellato comma 1bis), di effettuare un’attività di trattamento laddove ciò sia necessario all’adempimento di un compito svolgo nel pubblico interesse ovvero per l’esercizio di pubblici poteri ad essa attribuiti.

Si segnala, inoltre, la riduzione (in termini temporali) dei poteri del Garante, al quale viene assegnato un termine non prorogabile di 30 giorni decorrenti dalla richiesta per formulare ed esprimere un parere con riguardo alle riforme, alle misure e ai progetti riguardanti il Piano nazionale di ripresa e resilienza.

it_IT