Gli interventi sui poteri del Garante, in particolare sui Progetti legati al “Pnrr”

Il Garante per la protezione dei dati personali è destina-tario di alcune eterogenee disposizioni contenute nel Dl.

n. 139/2021. In primo luogo, viene abrogato l’art. 2-quin-quiesdecies del “Codice Privacy”, che recitava: “con ri-guardo ai trattamenti svolti per l’esecuzione di un com-pito di interesse pubblico che possono presentare rischi elevati ai sensi dell’art. 35 del Regolamento, il Garante può, sulla base di quanto disposto dall’art. 36, paragra-fo 5, del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio, prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare”. In sostanza, si trattava di un intervento dell’Autorità, in presenza delle condizioni necessarie al rilascio di una Dpia (di cui all’art. 35, cd.

“Valutazione d’impatto sulla protezione dei dati”). Si trat-tava di un intervento innanzitutto facoltativo¹⁷, ma capace di creare un doppio binario tra Enti pubblici ed enti privati titolari di trattamento.

Abrogando tale disposizione, assieme all’art. 135, comma 2, e i riferimenti di cui all’art. 137, comma 2, lett. a), il Le-gislatore riconduce le P.A. entro i controlli ordinari del Ga-rante, assoggettandole alle medesime norme che si appli-cano agli enti privati (su Dpia, violazione del trattamento, sanzioni dell’Autorità, ecc.)¹⁸. In altre parole, i trattamenti effettuati per motivi di interesse pubblico rilevante, o per traffico telefonico, o per diritto di cronaca, informazione e opinione, non potranno più basarsi sui provvedimenti ge-nerali dell’Autorità Garante, ma verranno ricondotti entro le norme codicistiche ed europee (spazzando via il doppio

15 Si veda l’art. 9, comma 1, nn. 2 e 3, del Dl. n. 139/2021.

16 Cfr. AgID, Det. n. 406/2020, qui reperibile: https://www.agid.gov.it/it/infrastrutture/sistema-pubblico-connettivita/il-nuovo-modello-interoperabilita.

17 La norma non usa il presente indicativo per un dovere del Garante, ma solamente il “può”, che lascia intuire la facoltatività dell’intervento dell’Autorità stessa.

18 Si tenga presente che l’art. 132 riguarda il traffico telefonico e la diffusione dei relativi dati personali; il comma 5 consentiva la possibilità di affidarsi a degli schemi generali forniti dal Garante. L’abrogazione di tale disposizione potrebbe riportare entro la disciplina codicistica ed europea il trattamento suddetto.

Altro intervento riguarda il “Revenge porn”, di cui all’art.

612-ter del Codice penale¹⁹. Viene introdotta una nuova disposizione nel “Codice Privacy”, l’art. 144-bis, che re-cita: “1. Chiunque, compresi i minori ultraquattordicenni, abbia fondato motivo di ritenere che immagini o video a contenuto sessualmente esplicito che lo riguardano, de-stinati a rimanere privati, possano essere oggetto di invio, consegna, cessione, pubblicazione o diffusione senza il suo consenso in violazione dell’art. 612-ter Cp., può ri-volgersi, mediante segnalazione o reclamo, al Garante, il quale, entro 48 ore dal ricevimento della richiesta, prov-vede ai sensi dell’art. 58 del Regolamento (Ue) 2016/679 e degli artt. 143 e144 [del Codice, ndr]. 2. Quando le im-magini o i video riguardano minori, la richiesta al Garante può essere effettuata anche dai genitori o dagli esercenti la responsabilità genitoriale o la tutela. 3. Per le finalità di cui al comma 1, l’invio al Garante di immagini o video a contenuto sessualmente esplicito riguardanti soggetti terzi, effettuato dall’interessato, non integra il reato di cui all’art. 612-ter, Cp.”.

Il nuovo art. 144-bis del “Codice Privacy” ricalca quasi perfettamente l’art. 612-ter del Codice penale (si fa un generico riferimento a chiunque invii, consegni, diffonda, pubblichi o ceda, le immagini e i video destinati a rimanere privati, senza distinguere tra il “regista” e il “diffusore suc-cessivo”, come ha specificato la dottrina)²⁰. Per quel che qui rileva, merita segnalare la possibilità per le vittime di fare la segnalazione al Garante²¹, in presenza di un fonda-to motivo (o sospetfonda-to) che venga violata la propria “riser-vatezza sessuale”²². L’invio in questione non integra il re-ato di cui all’art. 612-ter del Cp.; opportuna precisazione, sulla cui natura la dottrina dovrà interrogarsi (trattasi infatti di scriminante, ex art. 51 Cp., oppure di una causa di non punibilità ? Il Legislatore non si pronuncia in merito).

Infine, veniamo ora alla limitazione dei poteri del Garante sui progetti e le misure di attuazione del “Piano naziona-le di ripresa e resilienza” (cd. “Pnrr”). Come noto, molte sono le semplificazioni introdotte dal Legislatore degli ul-timi mesi (da ultimo, il Dl. n. 77/2021), ma mancava una disposizione specifica sugli eventuali rilievi dell’Autorità,

pubblici o privati).

L’ultimo comma dell’art. 9 del Dl. n. 139/2021 così recita:

“I pareri del Garante per la protezione dei dati personali richiesti con riguardo a riforme, misure e progetti del ‘Pia-no nazionale di ripresa e resilienza’ di cui al Regolamento (Ue) 2021/241del Parlamento europeo e del Consiglio, 12 febbraio 2021, del ‘Piano nazionale per gli investimenti complementari’ di cui al Dl. 6 maggio 2021, n. 59, con-vertito con modificazioni dalla Legge 1° luglio 2021, n.

101, nonché del ‘Piano nazionale integrato per l’energia e il clima 2030’ di cui al Regolamento (Ue) 2018/1999 del Parlamento europeo e del Consiglio, 11 dicembre 2018, sono resi nel termine non prorogabile di 30 giorni dalla richiesta, decorso il quale può procedersi indipendente-mente dall’acquisizione del parere”.

Come anticipato sopra, trattasi di un parere obbligatorio ma non vincolante, da rendere entro il termine perento-rio di 30 giorni, decorsi i quali l’Ente può procedere indi-pendentemente dall’opinione del Garante. L’opinione del Garante sul “Pnrr” può essere così superata dalla volontà politica e dalla discrezionalità amministrativa. Tuttavia, la stessa Autorità conserva il potere di intervento a tutela dei soggetti interessati, in presenza di violazioni della norma-tiva privacy, ai sensi degli artt. 153 e seguenti, del Dlgs. n.

196/2003 (“Codice Privacy”) e degli artt. 83-84 del Rego-lamento Ue 2016/679 (Gdpr).

Considerato il tenore testuale della norma, che vuole sem-plificare l’attuazione del “Pnrr”, va ribadito che il Garante può sempre intervenire in un momento successivo a quei 30 giorni indicati, decidendo di avviare un’istruttoria prima e adottare un’ordinanza di ingiunzione dopo, in presenza di trattamenti illegittimi. Quindi la norma in questione non dev’esser letta come “sblocca-privacy”, o una specie di lascia-passare, per cui l’ente può sentirsi al riparo da san-zioni dell’Autorità, una volta decorso inutilmente il termine perentorio di cui sopra. Ogni soggetto deputato al tratta-mento di dati personali, in ragione del “Pnrr” e delle misure attuative, dovrà essere sempre accorto e all’erta, perché la semplificazione in parola non si ritorca contro di lui. Per questo motivo sarà cruciale il supporto dell’interprete e

20 Ibidem.

21 Possono fare la segnalazione i maggiori degli anni 14 in modo autonomo (certamente con il supporto di un legale), oppure i genitori o i tutori dei minori degli anni 14.

22 Così, N. Amore, La tutela penale della riservatezza sessuale nella società digitale. Contesto e contenuto del nuovo cybercrime disciplinato dall’art.

612-ter del C.p., in http://www.lalegislazionepenale.eu/wp-content/uploads/2020/01/N.-Amore-Approfondimenti-1.pdf.

19 Si veda, per un commento alla norma, N. Zampaolo, Revenge porn, diffusione di immagini pedopornografiche e gruppi Telegram. Riflessioni, in Filodiritto.it, 23 aprile 2020; G. Caletti, Revenge porn e tutela penale, in Diritto penale contemporaneo, n. 3/2018, pagg. 65 e seguenti.

4. Conclusioni

Il “Decreto miscellanea”, come potrebbe essere appellato il Dl. n. 139/2021, ha introdotto varie norme apparente-mente emergenziali, ma che intervengono su particolari profili e lacune (come spesso è accaduto durante questo periodo pandemico). Di sicuro rilievo è l’art. 9, che fa chia-rezza sui soggetti deputati al trattamento dei dati personali in ambito pubblico, ma limita i poteri dell’Autorità Garante in ordine all’attuazione del “Pnrr”.

di nuovi (quale sarà, per esempio, il ruolo del Garante ri-spetto alle P.A., dopo la sua entrata in vigore ?). Per gli Enti pubblici resta pur sempre la strada maestra del princi-pio di legalità e del buon andamento, di cui all’art. 97 della Costituzione: conoscere e seguire le norme di legge (o re-golamento) è fondamentale per adottare atti e trattamenti di dati personali che siano legittimi. E di fronte alle sfide della digitalizzazione non potrebbe esserci miglior bussola per la discrezionalità amministrativa.

QUESITI

Con la Circolare n. 146 del 7 ottobre 2021 l’Inps ha illu-strato le nuove modalità di accesso alla Piattaforma “Durc online” mediante “Spid”, “Cie” e “Cns”. Lo “switch off” en-trato in vigore il 1° ottobre 2021, ha suscitato non poche perplessità negli Enti con particolare riferimento all’utilizzo delle Identità personali dei dipendenti per le attività ammi-nistrative.

Due considerazioni sono opportune in merito. La prima è all’origine della scelta da parte di Inps di disabilitare i login e le password di accesso, l’altra sull’opportunità/necessità di utilizzo delle identità professionali in luogo di quelle per-sonali dei dipendenti.

In merito al primo punto occorre sottolineare che lo “switch off” a “Spid” e “Cie” sancito dall’art. 24, comma 4, del Dl n. 76/2020 è rivolto alle P.A. che erogano servizi online ai cittadini, con esclusione dei servizi dedicati a Imprese e Professionisti per i quali è atteso un Dpcm. La norma di riferimento è contenuta nell’art. 64, comma 3-bis, del

“Cad”, che dispone che “fatto salvo quanto previsto dal comma 2-nonies, i soggetti di cui all’art. 2, comma 2, lett.

a), utilizzano esclusivamente le Identità digitali ‘Spid’ e la Carta di identità elettronica ai fini dell’identificazione dei cittadini che accedono ai propri servizi in rete. Con uno o più Dpcm. o del Ministro delegato per l’Innovazione tecno-logica e la Digitalizzazione è stabilita la data a decorrere dalla quale i soggetti di cui all’art. 2, comma 2, lett. a), uti-lizzano esclusivamente le Identità digitali ‘Spid’, la ‘Carta di identità elettronica’ e la ‘Carta nazionale dei servizi’ per consentire l’accesso delle imprese e dei professionisti ai propri servizi in rete…”.

Il rinvio dell’obbligo di “switch off” a Spid per i Professio-nisti e le Aziende è da ricondursi nel fatto che ad oggi la

distribuzione dell’identità “Spid” ad uso professionale è ir-rilevante e sono pressoché inesistenti servizi online che ne permettono il suo utilizzo.

L’identità professionale, disciplinata dalla Determina Agid n. 318 del 5 novembre 2019, si distingue in identità:

- ad uso professionale della persona fisica, che forni-sce solo i dati della persona fisica, ovvero credenziali personali che identificano la persona fisica con i propri dati e permettono di accedere a servizi specifici dedica-ti a scopi professionali (ad esempio, un Professionista può usarlo per depositare una Scia presso l’Amministra-zione);

- ad uso professionale per la persona giuridica, che fornisce i dati della persona fisica e della persona giu-ridica dell’organizzazione di appartenenza nell’ambito della quale agisce (ad esempio il dipendente di un ente che accede al Portale dell’Inps, “Pcc”, Agenzia delle En-trate, ecc.).

L’identità ad uso professionale di persona giuridica ha un duplice scopo, il primo è quello di centralizzare la gestione (rilascio, sospensione e revoca) delle credenziali di acces-so dei dipendenti dell’ente presacces-so i portali istituzionali, l’al-tro più rilevante, ha lo scopo di proteggere la privacy del dipendente da una prassi non corretta, ma spesso riscon-trata, della cessione delle credenziali di accesso a colleghi in caso di assenza dal lavoro. Sotto quest’ultimo profilo è opportuno sottolineare che “Spid” e “Cie” certificano in rete la nostra identità con la conseguenza che i servizi on line ne assumono certezza e affidabilità come se ci presentassimo ad uno sportello fisico con il documento di identità. Infatti l’identificazione mediante “Spid” e “Cie”

permette sia di produrre istanze ad una Pubblica