[doc. web n. 8005333]

Parere sullo schema di decreto legislativo recante Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio - 22 febbraio 2018

Registro dei provvedimenti
n. 99 del 22 febbraio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Visto l´art. 154 del d.lgs. 30 giugno 2003, n. 196 recante Codice in materia di protezione dei dati personali (di seguito  Codice);

Visto lo schema di decreto legislativo recante "Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio" approvato dal Consiglio dei Ministri nella riunione dell´8 febbraio 2018;

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore  il dott. Antonello Soro;

PREMESSO

Il provvedimento di cui in premessa è redatto nell´esercizio della delega conferita al Governo dagli articoli 1 e 11 della legge 25 ottobre 2017, n.163, recante "Delega al Governo per il recepimento delle direttive europee e l´attuazione di altri atti dell´Unione europea (Legge di delegazione europea 2016/2017) e ha ad oggetto la disciplina del trattamento di dati personali nell´ambito della giustizia penale e dell´attività di prevenzione dei reati, nonché di tutela della pubblica sicurezza.

In linea con le disposizioni della direttiva che lo schema di decreto si propone di attuare nell´ordinamento interno, si è inteso fornire una regolamentazione organica del trattamento dei dati personali delle persone fisiche per fine di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, la quale supera e sostituisce in gran parte quella attualmente contemplata nei titoli primo e secondo della parte seconda del Codice sul trattamento dei dati personali di cui al decreto legislativo 30 giugno 2003, n.196, dedicate a specifici settori, in particolare quello giudiziario e quello dei trattamenti da parte delle forze di polizia. La scelta è stata, dunque, di ridisegnare la regolamentazione del trattamento dei dati personali con riguardo alla sua finalità, piuttosto che in relazione all´autorità competente al trattamento, in ogni caso assicurando le distinzioni rese necessarie dalle diverse caratteristiche e dalla differente natura delle autorità interessate: giudiziaria e di polizia.

Con specifico riferimento all´ambito giudiziario, attualmente trovano applicazione gli articoli da 46 a 52 del Codice, dedicate ai trattamenti svolti nell´esercizio delle funzioni sia civili che penali, ivi compresi i trattamenti in materia di status giuridico ed economico del personale della magistratura che, seppure non direttamente correlati alla trattazione giudiziaria di affari e di controversie, abbiano una diretta incidenza sulla funzione giurisdizionale, nonché quelli svolti nell´ambito di attività ispettiva su uffici giudiziari.

Per quanto concerne, invece, i trattamenti effettuati dall´autorità di pubblica sicurezza per fini di prevenzione, accertamento o repressione dei reati o di tutela della sicurezza pubblica, la disciplina dettata dalla direttiva assorbe totalmente quella oggi prevista dagli articoli da 53 a 57 del Codice, che vengono conseguentemente abrogati.

RILEVATO

Lo schema di decreto – che si compone di cinquantuno articoli-   è suddiviso in otto Capi, dedicati a specifici aspetti della materia, che rinviano al regolamento (UE) 2016/679 nelle parti il cui contenuto risulta coincidente con la direttiva.

1.  Con riguardo al Capo primo, nel rispetto dei criteri direttivi generali previsti dall´articolo 32 della legge 234 del 2012, si è inteso anzitutto fornire una disciplina organica del trattamento di dati personali per fini, appunto, di  prevenzione, indagine, accertamento e  perseguimento  di  reati  o esecuzione di sanzioni penali. Tale disciplina supera e pertanto sostituisce gran parte di quella di cui ai titoli I e II della Parte seconda del suddetto Codice, che – per il settore giudiziario- si applicava ai trattamenti svolti nell´esercizio di funzioni giudiziarie in sede tanto civile quanto penale.

Così, il primo Capo dello schema concerne i profili generali, i principi applicabili, i presupposti e le condizioni di legittimità del trattamento. Particolarmente rilevante, in tal senso, la disciplina dei presupposti di liceità del trattamento, che conformemente al considerando n. 33 della direttiva, ammette anche il regolamento quale fonte normativa  ulteriore rispetto a quella legislativa, idonea alla previsione di specifici trattamenti (art. 5, c.1), anche di dati sensibili (art. 7) purché, in quest´ultimo caso, con la previsione di garanzie adeguate per i diritti e le libertà dell´interessato.

Si è riservata invece alla sola fonte legislativa la previsione, assistita da specifiche garanzie, di processi decisionali automatizzati (ivi inclusa la profilazione), in ragione dei rischi che tali trattamenti possono comportare per le libertà e i diritti dell´interessato.

Il secondo Capo- intitolato ai diritti dell´interessato- si limita, essenzialmente, a recepire le norme di cui al Capo III della direttiva, prevedendo tuttavia che l´esercizio di tali   diritti  (ricezione di  informazioni, accesso,  rettifica, cancellazione,   limitazione del trattamento) possa essere limitato, ritardato o escluso ove necessario a non compromettere, oltre a procedimenti giudiziari in senso stretto, anche quelli di prevenzione o comunque funzionali alla tutela della sicurezza pubblica o di altri interessi specificamente individuati all´articolo 14, comma 2. 

Si è poi previsto che gli stessi diritti siano esercitabili, relativamente ai dati personali contenuti in atti giudiziari o nel casellario giudiziale, trattati in sede procedimentale ovvero esecutiva, conformemente alla disciplina di settore, al fine di salvaguardarne le specificità, avvalendosi della possibilità riconosciuta al legislatore nazionale dall´art. 18 della direttiva (art. 14, comma 1).

Il terzo Capo ha ad oggetto i profili generali riguardanti il titolare e il responsabile del trattamento, nonché la descrizione di alcuni dei principali obblighi, che vengono poi articolati con riferimento agli adempimenti funzionali alla sicurezza e alla nomina del responsabile della protezione dati. Questa parte contiene anche la previsione del parere obbligatorio del Garante sugli schemi di atti normativi di rango primario e secondario (oltre che, come già previsto oggi, sui decreti non aventi natura regolamentare) suscettibili di rilevare ai fini della garanzia del diritto alla protezione dei dati personali (art. 24, comma 2).

Vengono poi disciplinati gli obblighi in materia di sicurezza del trattamento, con particolare riguardo alla notifica della violazione dei dati personali e al responsabile della protezione dati, la cui nomina è stata prevista come obbligatoria anche per l´autorità giudiziaria, in ragione dell´ausilio che tale figura può fornire nella gestione di trattamenti complessi e spesso inerenti dati sensibili, quali appunto quelli svolti in sede giurisdizionale (art. 28).

Il Capo quarto si occupa di disciplinare i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali, mentre il quinto reca alcune norme di rilievo tra le quali, anzitutto, l´esclusione del potere di controllo del Garante in ordine alla legittimità del trattamento svolto dall´autorità giudiziaria nell´esercizio delle proprie funzioni, nel rispetto di quanto disposto dall´art. 45, par.2 della direttiva e con l´estensione di tale deroga al pubblico ministero, in ragione del particolare status riconosciutogli nel nostro ordinamento (art. 37, c.6) .

Sono state inoltre previste sanzioni amministrative, per la violazione delle norme di recepimento della direttiva, secondo lo schema generale previsto dal Regolamento, con i criteri e le garanzie ivi previsti, nonché con cornici edittali più elevate qualora la violazione concerna i diritti degli interessati o le norme sul trasferimento dei dati all´estero (art.  42).

Il Capo sesto reca le norme sanzionatorie penali, nel rispetto dello specifico criterio direttivo di cui all´articolo 11 della legge di delegazione. Oltre alla sostanziale riproduzione, in termini invariati, dei peculiari delitti di false dichiarazioni al Garante e inosservanza di provvedimenti dell´Autorità già previsti dal Codice, l´articolo 43 introduce una specifica fattispecie delittuosa (nella struttura in parte analoga a quella dell´attuale articolo 167 del Codice) di trattamento illecito di dati personali. Tale norma sanziona, in particolare, i trattamenti realizzati in violazione di talune specifiche disposizioni ritenute maggiormente rilevanti, con dolo (specifico) di danno o di profitto e in presenza della condizione di punibilità (intrinseca) della determinazione di un nocumento nei confronti dell´interessato.

Il Capo settimo riproduce essenzialmente, per esigenze di organicità, le norme di cui agli articoli 54 e 56 del Codice, che vengono contestualmente abrogate.

Il Capo ottavo contiene le norme di coordinamento, le abrogazioni e la clausola di invarianza finanziaria.

OSSERVA

2. Nel rilevare l´assenza, nello schema di decreto, di criticità rispetto alla garanzia del diritto alla protezione dei dati personali, si ritiene tuttavia opportuno suggerire talune modifiche, funzionali all´ulteriore perfezionamento del testo.

In linea generale, in ordine alla collocazione sistematica delle norme in esame, si rappresenta l´opportunità di un loro inserimento all´interno del Codice. Ne conseguirebbe quindi l´esigenza della contestuale sostituzione degli articoli da 46 a 49 del Codice con le disposizioni di cui al presente decreto, nonché con altre relative al trattamento di dati personali da parte dell´autorità giudiziaria in settori diversi da quello penale, anticipando in tal senso l´adeguamento dell´ordinamento interno al Regolamento generale sulla protezione dei dati, le cui norme si applicano appunto a tali trattamenti.

Tale soluzione avrebbe il pregio di conferire alla normativa di risulta una maggiore organicità e facilità di lettura, con quanto ne consegue in termini di certezza normativa e minimizzazione del rischio di dubbi interpretativi.

2.1. Definizioni

Al fine di garantire una maggiore conformità alle definizioni contenute nell´art. 3 della direttiva 2016/680, si suggerisce di modificare l´art. 2, comma 1, lettera a) dello schema,  sostituendo la definizione di "dati personali" con la seguente: "qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato")" e, conseguentemente, sopprimendo la lettera b) del medesimo comma.

2.2. Principi applicabili al trattamento dei dati personali

All´art. 3 ultimo comma, dello schema, appare auspicabile aggiungere, in fine,  le parole: "ed è in grado di comprovarlo con la relativa documentazione o altra modalità idonea", al fine di sancire espressamente il principio di responsabilizzazione del titolare che rappresenta uno dei punti qualificanti del nuovo quadro giuridico europeo.

2.3. Conservazione e verifica della qualità dei dati, distinzione tra categorie di interessati e di dati

Al fine di garantire una maggiore conformità alla norma di cui all´articolo 7 della direttiva, all´articolo 4, comma 1, dello schema sarebbe opportuno sostituire le parole: " se necessario rispetto alla finalità del trattamento" con le seguenti: "tenuto conto della finalità del trattamento". Tale modifica consentirebbe di specificare in maniera più precisa l´obbligo, per il titolare, di distinguere i dati in ragione della loro attinenza a fatti ovvero a valutazioni, tenendo appunto conto del contesto e delle finalità sottese al trattamento.

2.4. Termini di conservazione dei dati

Al fine di declinare, anche rispetto alla conservazione, i principi di proporzionalità e differenziazione del trattamento in ragione delle categorie di dati e di interessati, appare auspicabile prevedere che la normativa di settore, nel disciplinare ciascun trattamento, moduli i termini di conservazione dei dati anche in relazione alle esigenze investigative perseguite.

A tal fine, all´articolo 5, comma 2, dopo le parole: "conservazione dei dati", è opportuno inserire le seguenti: ", anche in relazione alla tipologia di reati considerati".

2.5 Trattamento di categorie particolari di dati personali

L´articolo 7 disciplina il trattamento dei dati personali di cui all´articolo 9 del Regolamento che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali degli interessati. Inoltre, il considerando 37 della direttiva (UE) 2016/680 aggiunge che "garanzie adeguate per i diritti e le libertà dell´interessato potrebbero comprendere la possibilità di raccogliere tali dati unicamente in connessione con altri dati relativi alla persona fisica interessata, la possibilità di provvedere adeguatamente alla sicurezza dei dati raccolti, norme più severe riguardo all´accesso ai dati da parte del personale dell´autorità competente e il divieto di trasmissione di tali dati".

Si ritiene pertanto opportuno introdurre uno specifico richiamo alla necessità di valutazione dei rischi connessi al trattamento di tali categorie di dati personali all´interno dell´articolo 16, recante la protezione dei dati fin dalla progettazione e la protezione per impostazione predefinita, e dell´articolo 23, recante la valutazione d´impatto sulla protezione dei dati.

Al fine di dare più conforme attuazione all´art. 10 della direttiva, sarebbe peraltro opportuno inserire all´articolo 7, dopo le parole: solo se" le seguenti: "strettamente necessario e". 

2.6. Informazioni da rendere all´interessato e diritto di accesso

L´articolo 10 dello schema di decreto attua il disposto di cui all´articolo 13 della direttiva in ordine alle informazioni che il titolare del trattamento è tenuto a rendere all´interessato, distinguendo tra quelle da rendere disponibili in via generale e inderogabile (art. 10, comma 1 dello schema; art. 13, par. 1, direttiva) e quelle da fornire, invece, all´interessato, "in casi specifici", ove non ostino esigenze di tutela di interessi specificamente individuati all´articolo 13, par.3, della direttiva stessa.

Al fine di rendere il testo dell´articolo 10 maggiormente conforme alla direttiva, è auspicabile sostituire, al comma 2, alinea, le parole: "quando previsto da disposizioni  di legge o regolamento, fornisce all´interessato" con le seguenti: ",ove non ostino contrarie previsioni di legge o regolamento, fornisce direttamente all´interessato".

Alla lettera b) del medesimo comma è inoltre opportuno anteporre alle parole: "i criteri", le seguenti: ", se non è possibile", al fine di chiarire che l´ostensione dei criteri per la determinazione del periodo di conservazione dei dati è subordinata all´impossibilità di comunicazione dei termini stessi di conservazione, individuati come tali e non per relationem. Analoga modifica andrebbe apportata, per le medesime ragioni, all´articolo 11, comma 1, lettera d).

2.7. Termini di conservazione delle registrazioni delle operazioni

L´articolo 21, comma 1, stabilisce che "le operazioni di raccolta, modifica, consultazione, comunicazione, trasferimento, interconnessione e cancellazione di dati, eseguite in sistemi di trattamento automatizzati, sono registrate in appositi file di log". Al fine di individuare una sede – altra rispetto al decreto stesso – in cui disciplinare i termini di conservazione di tali dati personali, è auspicabile a tal fine rinviare al regolamento di cui all´articolo 5, comma 2, dello schema, il cui oggetto comprende tra l´altro anche i termini di conservazione dei dati trattati e le modalità di consultazione degli stessi.

Pertanto, all´articolo 21, comma 1, è auspicabile aggiungere, in fine, le seguenti parole: ", da conservare per la durata stabilita con il decreto di cui all´articolo 5, comma 2".

2.8. Valutazione d´impatto sulla protezione dei dati

All´articolo 23 si rappresenta l´opportunità di prevedere espressamente che la valutazione d´impatto debba essere effettuata comunque nei casi di cui all´articolo 8 del decreto, in ragione del particolare rischio cui tali trattamenti possono esporre i diritti e le libertà dell´interessato.

2.9. Trasferimenti soggetti a garanzie adeguate

Ai commi 1 degli articoli 33 e 34, appare superflua la locuzione "o in caso di revoca, modifica o sospensione" tenuto conto che nel caso di "modifica", la decisione di adeguatezza comunque sussisterebbe e i dati potrebbero essere trasferiti su quella base, mentre l´ipotesi della revoca o  della sospensione devono ritenersi ricomprese in quella di assenza di  una (valida) decisione di adeguatezza.

Inoltre, al fine di dare una corretta attuazione all´articolo 37 della direttiva 2016/680, all´articolo 33, comma 1, lett. a), dopo le parole: "sono fornite garanzie adeguate per la protezione dei dati personali" andrebbero inserite le seguenti: ", in uno strumento giuridicamente vincolante".

2.10. Illeciti amministrativi

Si valuti l´opportunità di prevedere, quali cornici edittali per gli illeciti amministrativi delineati dall´articolo 42, quelle comminate dal Regolamento generale sulla protezione dati, al fine di garantire maggiore omogeneità nella tutela accordata al medesimo bene giuridico nell´ambito dei vari settori oggetto di disciplina.

In assenza di tale correttivo, infatti, si determinerebbe una rilevante  disparità di trattamento, sotto il profilo sanzionatorio, tra condotte del tutto analoghe, lesive del medesimo bene giuridico, per il solo fatto di essere realizzate in contesti differenti. Peraltro, proprio la circostanza dell´essere tali illeciti realizzati da parte di autorità pubbliche incaricate di funzioni di primaria rilevanza- in quanto incidenti su diritti e libertà fondamentali quali, in primo luogo, la libertà personale- mediante trattamenti caratterizzati da particolare invasività, dovrebbe al contrario legittimare la comminatoria di sanzioni maggiori o comunque analoghe a quelle previste nei settori di competenza del Regolamento, non certo inferiori.

Le cornici edittali indicate, in linea generale, dalla l. 234/2012 per gli illeciti amministrativi previsti dalle leggi di delegazione europea, dovrebbero pertanto non venir in rilievo in ragione della superiore esigenza di evitare – pena il rischio di violazione del principio di eguaglianza-ragionevolezza di cui all´art. 3 cpv. Cost.- disparità di trattamento, sotto il profilo sanzionatorio, rispetto a quanto disposto in proposito dal Regolamento, per condotte del tutto analoghe e pregiudizievoli del medesimo bene giuridico.

2.11. Illeciti penali

In ordine alla fattispecie delittuosa di cui all´articolo 43, si valuti l´opportunità di attrarre nel comma 2 (che reca un trattamento sanzionatorio più rigoroso rispetto al comma 1) anche le condotte violative delle disposizioni di cui all´articolo 8 nella sua interezza (non limitatamente al comma 4), al fine di contrastare possibili abusi (qualificati, come detto, dal dolo di danno o di profitto e dalla condizione obiettiva di punibilità) nel ricorso a metodi investigativi particolarmente invasivi quali i processi decisionali automatizzati.

Sotto un profilo formale, sarebbe auspicabile sopprimere, dalla rubrica dell´articolo 44, il termine "notificazioni" (pur presente nella rubrica del corrispondente art. 168 del Codice), in ragione del superamento, nel nuovo quadro giuridico europeo, dell´istituto della notificazione del trattamento nei termini di cui all´art. 37 del Codice.

2.12. Conservazione dei dati di traffico

Si valuti l´opportunità-già segnalata dal Garante al Governo – di inserire in un provvedimento, quale quello in esame, volto a introdurre nell´ordinamento una disciplina organica del trattamento di dati personali per fini di giustizia penale e polizia, alcune essenziali modifiche alla normativa sulla conservazione dei dati di traffico per fini di giustizia, per adeguarla ai principi sanciti dalla Corte di giustizia Ue con le sentenze Digital Rights Ireland (resa nelle cause riunite C-293/12 e C-594/12, l´8 aprile 2014) e Tele2 e Watson (resa il 21 dicembre 2016, nelle cause riunite C 203/15 e C 698/15).

In tal senso parrebbe opportuno, in primo luogo, sopprimere la norma di cui all´articolo 24 della legge n. 167 del 2017, in ragione della sua incompatibilità con il principio di proporzionalità tra esigenze investigative e limitazioni del diritto alla protezione dei dati dei cittadini, affermato dalla Corte. Sarebbe altresì opportuna una generale revisione della disciplina di cui all´art. 132 del Codice, nel segno di una maggiore selettività della misura, secondo i principi sanciti dalla Corte di giustizia con la sentenza Tele 2.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere favorevole sullo schema di decreto legislativo recante "Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio", con le osservazioni di cui ai punti da 2 a 2.12.

Roma, 22 febbraio 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia