Novità al Codice Privacy e stop (temporaneo) al Riconoscimento Facciale

di Marco Soffientini - Esperto di Privacy e Diritto delle Nuove Tecnologie e docente Ethos Academy

E’ stata pubblicata in GU 291 del 7 dicembre 2021 la Conversione in legge, con modificazioni, del DL 8 ottobre 2021, n. 139 (c.d. Decreto Capienze) recante disposizioni urgenti per l’accesso alle attività culturali, sportive e ricreative, nonché per l’organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali. L’analisi dellemodifiche apportate dall’art. 9 mostra interessanti risvolti in tema privacy e un emendamento stoppa (temporaneamente) il riconoscimento facciale.

Il punto essenziale per il nostro settore è la sospensione, fino all’entrata in vigore di una disciplina legislativa ad hoc e in ogni caso non oltre la fine del 2023, dell’installazione e dell’uso di impianti di videosorveglianza con sistemi di riconoscimento facciale operanti attraverso l’uso dei dati biometrici in luoghi pubblici o aperti al pubblico. La novella, frutto di un emendamento al citato Decreto Capienze, recita “l’installazione e l’utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale operanti attraverso l’uso dei dati biometrici di cui all’articolo 4, numero 14), del citato regolamento (UE) 2016/679 in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di soggetti privati, sono sospese fino all’entrata in vigore di una disciplina legislativa della materia e comunque non oltre il 31 dicembre 2023”. 

Altri temi di interesse

1) Un rafforzamento della normativa di contrasto in tema di revenge porn e cioè alla diffusione di immagini o video sessualmente esplicito, già punita dall’art. 612 ter del codice penale. Con l’introduzione dell’art. 144 bis si prevede la possibilità a un soggetto esercente la responsabilità genitoriale ovvero a un minore ultraquattordicenne, di effettuare una segnalazione all’Autorità Garante, onde così permettergli di compiere, nel termine di 48 ore dal ricevimento della segnalazione, le proprie iniziative ai sensi degli artt. 143 e 144 del Codice Privacy verso il gestore della piattaforma digitale interessata.

2) L’introduzione della c.d. responsabilità sociale d’impresa. In altri termini, assume rilevanza quanto il trasgressore ha realizzato in passato in termini di sensibilizzazione al tema della protezione dei dati. È stato in tal senso così integrato il comma 7 dell’articolo 166.

Comma 7: Nell’adozione dei provvedimenti sanzionatori nei casi di cui al comma 3 si osservano, in quanto applicabili, gli articoli da 1 a 9, da 18 a 22 e da 24 a 28 della legge 24 novembre 1981, n. 689; nei medesimi casi può essere applicata la sanzione amministrativa accessoria della pubblicazione dell’ordinanza-ingiunzione, per intero o per estratto, sul sito internet del Garante o dell’ingiunzione a realizzare campagne di comunicazione istituzionale volte alla promozione della consapevolezza deldiritto alla protezione dei dati personali, sulla base di progetti previamente approvati dal Garante e che tengano conto della gravità della violazione. Nella determinazione della sanzione ai sensi dell’articolo 83, paragrafo 2, del Regolamento, il Garante tiene conto anche di eventuali campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, realizzate dal trasgressore anteriormente alla commissione della violazione. I proventi delle sanzioni, nella misura del cinquanta per cento del totale annuo, sono riassegnati al fondo di cui all’articolo 156, comma 8, per essere destinati alle specifiche attivita’ di sensibilizzazione e di ispezione nonche’ di attuazione del Regolamento svolte dal Garante. 

3) La possibilità che un’attività di trattamento da parte di una amministrazione pubblica si possa fondare, oltre che sulla legge, anche su di un atto amministrativo generale. Come noto, la base giuridica per i trattamenti necessari per adempiere ad un obbligo di legge (art. 6.1.c GDPR) o per l’esecuzione di un compito di interesse pubblico (art. 6.1.e GDPR) deve essere stabilita dal diritto dello Stato membro (art. 6.3.b GDPR). Per i trattamenti di categorie particolari di dati per motivi di interesse pubblico rilevante si applica l’art. 2-sexies del nuovo Codice privacy. Il nuovo primo comma dell’articolo 2-ter diventa: 

La base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento o da atti amministrativi generali. 

Inoltre è stato introdotto un nuovo comma 1-bis che introduce la possibilità, in capo ad una Pubblica Amministrazione così come individuata dal comma stesso, di effettuare una attività di trattamento laddove ciò sia necessario all’adempimento di un compito svolto nel pubblico interesse ovvero per l’esercizio di pubblici poteri ad essa attribuiti.

4) I pareri del Garante per la protezione dei dati personali richiesti con riguardo alle riforme, alle misure e ai progetti riguardanti il Piano nazionale di ripresa e resilienza (il Piano nazionale per gli investimenti complementari, e il Piano nazionale integrato per l’energia e il clima) sono resi nel termine non prorogabile di trenta giorni dalla richiesta, decorso il quale si può procedere indipendentemente dall’acquisizione del parere.