Audizione del professor Pasquale Stanzione, Presidente del Garante per la protezione dei dati personali - D.d.l. di delegazione europea 2024 (AS1258) e Relazione programmatica sulla partecipazione dell'Italia all'Unione europea per l'anno 2024 (Doc. LXXXVI, 2)

Senato della Repubblica - Commissione IV
(19 novembre 2024

Ringrazio la Commissione per aver inteso acquisire, nell’ambito dell’istruttoria legislativa, anche la prospettiva della protezione dei dati, che è invero lambita da varie delle norme presenti nel disegno di legge. In quanto materia trasversale ai vari settori dell’ordinamento, riferita come è alla gestione di dati personali, comunque realizzata, la protezione dei dati è infatti sempre più spesso coinvolta da normative intersettoriali, di ampio respiro, quale strutturalmente è la legge di delegazione europea. E’ anche per questo che il GDPR, innovando rispetto alla disciplina previgente, ha previsto come obbligatoria l’acquisizione del parere (pur non vincolante) del Garante sulla normativa primaria, nella consapevolezza della sempre più frequente interrelazione della protezione dei dati con ogni altra materia suscettibile di riforma.

Se, dunque, varie norme del disegno di legge incidono, in diversa misura, sulla protezione dei dati, per esigenze di rispetto dei tempi mi limiterò ad approfondire le sole meritevoli di criteri direttivi integrativi.

Le disposizioni di maggiore rilievo sono indubbiamente quelle previste dall’articolo 7, recante delega legislativa (da esercitarsi peraltro con parere del Garante) per l’adeguamento della normativa nazionale al regolamento (UE) 2023/1543 relativo agli ordini europei di produzione e agli ordini europei di conservazione di prove elettroniche nei procedimenti penali (cd. Regolamento e-evidence). Si tratta di un regolamento particolarmente rilevante, in quanto consente all'autorità richiedente (organi inquirenti) l’accesso diretto alle prove elettroniche contattando il fornitore di servizi indipendentemente dalla sua ubicazione fisica o dal luogo di conservazione dei dati, senza intermediazione da parte dell'autorità giudiziaria del paese di esecuzione.  

Le prove acquisibili riguardano dati di traffico, identificativi degli abbonati, contenuti conservati in formato elettronico da o per conto di un prestatore di servizi al momento della ricezione (di qui la differenza rispetto alle intercettazioni) quali e-mail, SMS o messaggistica istantanea. L’incidenza della disciplina sulla protezione dei dati è evidentemente massima e lambisce un tema, quale quello dell’acquisizione dei dati di traffico, rispetto a cui la Corte di giustizia UE ha affermato principi importanti, quali quelli di necessaria proporzionalità delle misure limitative della privacy rispetto alle esigenze investigative e giurisdizionalizzazione del procedimento acquisitivo, in virtù dell’intervento di un’autorità terza rispetto alla conduzione delle indagini.

Tali principi dovranno essere considerati nell’esercizio della delega legislativa (in particolare alle lettere a) e b) dell’art.7), anche alla luce della riserva di giurisdizione (oltre che di legge) sancita dall’art. 15 Cost, il cui spettro copre anche – come chiarito dalla Corte costituzionale con sent. 170/23- la corrispondenza elettronica conservata nei dispositivi.

Per quanto riguarda le procedure emergenziali di cui alla lettera b), è opportuno disciplinare le procedure di convalida dell’ordine emesso dalla p.g., anche alla luce dell’attribuzione al p.m. del potere di direzione delle indagini.

Per il pieno rispetto dei principi di liceità e limitazione della finalità di cui all’art. 3, c.1, lett.a), b) e c), d.lgs. 51/18, la disciplina dell’invio delle copie dei certificati di cui alla lettera d) meriterebbe poi un migliore coordinamento con le attribuzioni, come recentemente modificate, del Procuratore nazionale antimafia e antiterrorismo e del Procuratore generale presso la Corte d’appello, in particolare per il primo includendo anche i procedimenti per i delitti cibernetici su cui la Procura nazionale ha poteri di coordinamento (art. 371 bis, c. 4 bis cpp) e per il secondo sostituendo il riferimento presente (ai delitti per i quali di cui all’art. 407, c.2, lett.a) cpp) con quello ai casi di esercizio del potere di coordinamento del Procuratore generale stesso (art. 118 bis disp.att.cpp, comprensivo anche della prima categoria).

Alla lettera e), i criteri direttivi andrebbero integrati con la disciplina delle procedure per opporre il rifiuto all’esecuzione degli ordini di produzione secondo quanto previsto dall’articolo 12 del regolamento. Alla lett. f), nell’ambito della disciplina dei casi in cui l’autorità di emissione può ritardare od omettere l’informazione dell’interessato, è opportuno richiamare anche le condizioni previste dall’articolo 14, comma 2, del d.lgs. n. 51/2018 (di recepimento della direttiva UE 2016/680) relativamente all’esercizio dei diritti in materia di protezione dei dati.

I criteri direttivi di cui alla lettera n) andrebbero poi integrati prevedendo che, nell’adempimento degli obblighi di cui al capo V del regolamento e-evidence sull’adattamento del sistema informatico nazionale e la creazione dei punti di accesso al sistema informatico decentrato, siano garantite adeguate misure di sicurezza del trattamento dei dati personali.

Il criterio direttivo di cui alla lettera m) dovrebbe poi essere integrato con riguardo al coordinamento dei mezzi d’impugnazione ivi previsti con la tutela accordata all’interessato dalla disciplina di protezione dei dati, espressamente fatta salva dall’articolo 18 del regolamento e-evidence.  

In sede di parere sullo schema di decreto legislativo il Garante potrà, del resto, contribuire all’ ulteriore precisazione di questi criteri direttivi, che tuttavia è opportuno introdurre per garantire il migliore esercizio della delega legislativa.

Un’altra disposizione concerne l’articolo 9, relativo all’adeguamento della normativa nazionale ai regolamenti (UE) 2023/2859 e 2023/2869, nonché al recepimento della direttiva (UE) 2023/2864, in materia di punto di accesso unico europeo alle informazioni disponibili al pubblico in materia di servizi finanziari, mercati dei capitali e sostenibilità. Tra i criteri di delega quello di cui alla lettera c), nella parte in cui prevede la facoltà di esercizio dell’opzione normativa in materia di formato elettronico dei dati, andrebbe integrato con riferimento alla necessaria conformità della normativa di adeguamento alla disciplina di protezione dei dati, al fine di garantire la complessiva coerenza dell’ordinamento.

Premesse queste brevi considerazioni sul contenuto del disegno di legge, colgo tuttavia l’occasione per segnalare alcune deleghe legislative ulteriori che potrebbero essere introdotte, per consentire il tempestivo adeguamento dell’ordinamento interno alla disciplina europea più recente, segnatamente sul digitale.

I regolamenti europei ai quali si potrebbe prevedere di adeguare l’ordinamento interno sono, in particolare, il Data Act (2023/2854) e il Regolamento sullo Spazio Europeo dei Dati Sanitari che introducono norme rilevanti per promuovere la circolazione dei dati, anche sanitari, nonché il  regolamento che istituisce un quadro comune per i servizi di media nell'ambito del mercato interno (2024/1083), recante norme rilevanti in tema di libertà d’informazione.  

Tra le direttive, meriterebbe anche una delega legislativa di recepimento la n. 2024/2831 relativa al miglioramento delle condizioni di lavoro mediante piattaforme digitali, che interviene su un aspetto centrale della gig economy quale la tutela dei lavoratori soggetti a rapporti d’impiego spesso sfuggenti alle categorie (e, quindi, anche alle garanzie) giuslavoristiche tradizionali.

Confidando di aver descritto gli aspetti più rilevanti del provvedimento e delle sue ulteriori possibili integrazioni, confermo la disponibilità dell’Autorità rispetto a ogni, eventuale, esigenza di approfondimento.

Vi ringrazio.