[doc. web n. 10105175]

Parere su uno schema di decreto legislativo, volto ad adeguare la normativa nazionale alle disposizioni del Regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio del 30 maggio 2022, relativo alla governance europea dei dati e che modifica il Regolamento (UE) 2018/1724 - 12 settembre 2024

Registro dei provvedimenti
n. 571 del 12 settembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 36, paragrafo 4;

Visto il  Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo 30 giugno 2003, n. 196 e s.m.i., di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Visto lo “schema di decreto legislativo recante norme di adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del 30 maggio 2022, relativo alla governance europea dei dati e che modifica il Regolamento (UE) 2018/1724”, nel testo approvato dal Consiglio dei Ministri in data 3 luglio 2024;

Visto il Regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio del 30 maggio 2022 relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724 (Regolamento sulla governance dei dati);

Vista la richiesta di parere della Presidenza del Consiglio dei ministri;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

La Presidenza del Consiglio dei Ministri ha richiesto il parere del Garante su di uno schema di decreto legislativo, volto ad adeguare la normativa nazionale alle disposizioni del Regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio del 30 maggio 2022,  relativo alla governance europea dei dati e che modifica il Regolamento (UE) 2018/1724.

Lo schema di decreto di adeguamento è adottato in attuazione della delega contenuta nell’articolo 17 della legge 21 febbraio 2024, n. 15 (legge di delegazione europea). Tale disposizione, nell’individuare i princìpi e criteri cui il Governo è tenuto ad attenersi nell’esercizio della delega legislativa stabilisce, tra l’altro: la designazione di una o più autorità quali autorità competenti ai sensi degli articoli 13 e 23 del Regolamento 2022/868; la definizione delle procedure per il coordinamento delle competenze delle autorità designate e delle altre amministrazioni competenti; l’introduzione di disposizioni organizzative e tecniche per facilitare l'altruismo dei dati e l’individuazione delle informazioni da fornire agli interessati in merito al riutilizzo dei loro dati; la designazione degli organismi competenti a norma dell’articolo 7 del Regolamento 2022/868; la garanzia dei presupposti per la lecita trasmissione dei dati personali a terzi; l’adeguamento del sistema sanzionatorio (penale e amministrativo) e delle tutele (amministrativa e giurisdizionale) alle disposizioni del Regolamento.

RILEVATO

Lo schema di decreto, che consta di cinque articoli, disciplina anzitutto, all’articolo 1, il proprio oggetto e ambito di applicazione, designando  l’autorità competente per i servizi di intermediazione dei dati e per la registrazione di organizzazioni per l'altruismo dei dati, nonché degli organismi competenti per specifici settori che assistono gli enti pubblici che concedono o rifiutano l'accesso ai suddetti dati, nel rispetto delle disposizioni in materia di protezione dei dati personali e delle competenze del Garante, dell’Agenzia per la cybersicurezza (di seguito, “ACN”) e dell’Autorità garante della concorrenza e del mercato  (di seguito, “AGCM”).

L’articolo 2 individua nell’Agenzia per l’Italia digitale (di seguito, “AgID”), l’autorità competente allo svolgimento dei compiti relativi alla procedura di notifica per i servizi di intermediazione dei dati, nonché alla registrazione di organizzazioni per l’altruismo dei dati. Si prevede, altresì, che AgID operi in stretta e leale cooperazione con il Garante, l’ACN e l’AGCM e che, a tal fine, possa stipulare con gli stessi specifici accordi di collaborazione non onerosi (comma 2).

Il terzo comma dell’articolo legittima inoltre AgID, sentiti il Garante, l’ACN e l’AGCM, per gli aspetti di rispettiva competenza a disciplinare - ai sensi dell’articolo 16 del Regolamento 2022/868 - con proprio provvedimento, le disposizioni tecniche e organizzative per facilitare l’altruismo dei dati e stabilire le informazioni necessarie da fornire agli interessati in ordine al riutilizzo dei loro dati nell’interesse generale.

L’articolo 3 attribuisce alla stessa AgID il compito di assistere gli enti pubblici che concedono o rifiutano l'accesso al riutilizzo delle categorie di dati di cui all'articolo 3, par. 1, del Regolamento 2022/868 e permettono l'accesso per il riutilizzo delle categorie di dati ai sensi dell’articolo 7, par. 2.
L’Agenzia inoltre è designata, ai sensi dell’articolo 8 del Regolamento 2022/868, quale sportello unico per l’esercizio delle relative funzioni, estendendo il punto d’accesso unico garantito dal catalogo nazionale dei dati aperti di cui all’articolo 9, c. 2, del d.lgs. 24 gennaio 2006, n. 36, recante attuazione della direttiva 2003/98/CE sul riutilizzo di documenti nel settore pubblico.

L’articolo 4 definisce il regime sanzionatorio applicabile, da parte di AgID, in caso di violazione degli obblighi in materia di trasferimento di dati non personali a Paesi terzi (artt. 5, par. 14, e 31 del Regolamento 2022/868), dell’obbligo di notifica per i fornitori di servizi di intermediazione dei dati (art. 11), delle condizioni per la fornitura di servizi di intermediazione dei dati (art. 12), delle condizioni per la registrazione come organizzazione per l’altruismo dei dati (artt. 18, 20, 21 e 22).

Il secondo comma dell’articolo 4 individua, invece, i criteri applicabili per la quantificazione delle sanzioni amministrative pecuniarie, al fine di renderle effettive, proporzionate e dissuasive.

L’articolo 5, infine, sancisce la clausola di invarianza finanziaria, dovendosi provvedere agli obblighi derivanti dal decreto nei limiti delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

RITENUTO

La delega legislativa non pare compiutamente esercitata rispetto ad alcuni principi e criteri direttivi, rilevanti in termini di protezione dei dati personali. Particolarmente significativi, in tal senso, sono i criteri di delega di cui alle lettere b), c), e), g) del comma 2 dell’articolo 17 della legge di delegazione.

Sotto il primo profilo, infatti, il criterio di delega di cui alla citata lettera b) non può ritenersi sufficientemente sviluppato con la previsione della mera facoltà, riconosciuta ad AgID dall’articolo 2, comma 2, secondo periodo, dello schema di decreto, di stipula di accordi di collaborazione con autorità, tra le quali il Garante, competenti rispetto ad ambiti tangenti quello disciplinato dal Regolamento (UE) 2022/868. E’, pertanto, necessario integrare lo schema di decreto legislativo con la previsione – richiesta appunto dalla legge di delegazione - di forme e modi di esercizio del coordinamento (anche endoprocedimentale) delle competenze, nell’ambito delle rispettive attribuzioni, di AgID, del Garante e delle altre amministrazioni competenti, in relazione alla materia trattata, nel rispetto del principio di leale collaborazione. E’ necessario, in tal senso, prevedere forme specifiche di consultazione del Garante ogniqualvolta il procedimento amministrativo realizzato da AgID abbia implicazioni in termini di protezione dei dati, come anche la trasmissione, dalla prima alla seconda e viceversa, degli atti procedimentali rilevanti per l’esercizio delle attribuzioni proprie della destinataria.

Il criterio direttivo di cui alla citata lettera c) non è, del resto, sufficientemente sviluppato in ordine all’individuazione – demandata al legislatore delegato – del “le informazioni necessarie che devono essere fornite agli interessati in merito al riutilizzo dei loro dati nell'interesse generale”. Tale esigenza non è, infatti, compiutamente soddisfatta con il mero rinvio a “disposizioni tecniche e organizzative” di AgID che, se ben possono stabilire, come previsto dall’articolo 16 del Regolamento 2022/868, misure per “facilitare l'altruismo dei dati”, non sembrano tuttavia idonee a individuare il contenuto informativo di cui rendere edotti gli interessati.

E’, inoltre, necessario esercitare il criterio di delega di cui alla lettera e) che, nonostante la sua rilevanza ai fini dell’adeguamento dell’ordinamento interno al Regolamento 2022/868, in maniera peraltro coerente con la disciplina di protezione dati e il Considerando 15, non risulta sviluppato.  

Analoga esigenza riguarda il criterio di delega di cui alla lettera g) del comma 2 dell’articolo 17 della legge di delegazione. Lo schema di decreto non ha, infatti, introdotto le norme- richieste da tale criterio direttivo- di adeguamento del sistema delle tutele, amministrativa e giurisdizionale, alle fattispecie previste dagli articoli 9, paragrafo 2, 27 e 28 del Regolamento (UE) 2022/868 (la violazione dei quali non radica, peraltro, responsabilità amministrativa secondo quanto previsto dall’articolo 4, c. 1 dello schema di decreto). Tale aspetto risulta particolarmente rilevante, in ragione dell’esigenza di garantire adeguati strumenti di tutela del diritto alla presentazione di reclami e ricorsi giurisdizionali, sancito dagli articoli citati.

Laddove, poi, si intenda (come ammesso dall’articolo 9, par. 2, del Regolamento UE 2022/868 e come certamente auspicabile) attribuire al Garante specifiche competenze in materia di tutela amministrativa in relazione all’applicazione delle norme di tale Regolamento, sarà necessario individuarne presupposti, forme, termini e garanzie, nonché l’autorità giudiziaria (per coerenza con il Codice, ordinaria) alla quale attribuire la giurisdizione avverso i provvedimenti decisori dell’Autorità.

CONSIDERATO

Per altro verso, al fine di garantire la piena compatibilità delle norme di adeguamento al Regolamento UE 2022/868 con la disciplina, unionale e interna, di protezione dati è necessario introdurre alcune disposizioni di coordinamento, che paiono potersi ritenere “coerente sviluppo e (…) completamento delle scelte espresse dal legislatore delegante” (Corte Cost., nn. 194/2015 che esclude che la funzione legislativa delegata assurga a mera ‘scansione linguistica’ delle norme di delega, nonché 50, 182 e 229 del 2014, 219/2013, 239/2010, 98/2008), essendo tale compatibilità imposta, peraltro, dall’articolo 1, par. 3 del primo con prevalenza anche, in caso di conflitto, della seconda.

In questa prospettiva, è in primo luogo necessario introdurre una specifica clausola di salvaguardia, nei confronti della disciplina di protezione dati, in apertura del comma 1 dell’articolo 4.

In tal modo, si eviterebbe di determinare l’assorbimento, per consunzione, degli illeciti in materia di protezione dati in eventuali, concorrenti illeciti tipizzati dal suddetto articolo 4.

Analogamente, per garantire coerenza delle norme di adeguamento con quelle di protezione dati e la piena conformità alla disciplina unionale, dovrebbe escludersi l’attribuzione, agli organismi competenti previsti dall’articolo 7 del Regolamento Ue 2022/868 (dunque, nella prospettazione del legislatore delegato, AgID), di funzioni di controllo sul trattamento dei dati,  secondo quanto espressamente previsto dal Considerando 26, secondo periodo, secondo capoverso che, sul punto, fa salve le competenze delle Autorità di protezione dati.

IL GARANTE

ai sensi dell’articolo 36, paragrafo 4, del Regolamento, esprime parere, nei termini di cui in motivazione, sul proposto schema di decreto legislativo, con le seguenti condizioni, relative all’esigenza di integrare l’articolato per:

a) definire le forme e i modi di esercizio del coordinamento (anche endoprocedimentale) delle competenze, nell’ambito delle rispettive attribuzioni, di AgID, del Garante e delle altre amministrazioni competenti, in relazione alla materia trattata, nel rispetto del principio di leale collaborazione, prevedendo forme specifiche di consultazione del Garante ogniqualvolta il procedimento amministrativo realizzato da AgID abbia implicazioni in termini di protezione dei dati;

b) individuare, in conformità all’articolo 16 del Regolamento 2022/868, le informazioni necessarie da fornire agli interessati, in ordine al riutilizzo dei loro dati nell'interesse generale;

c) disciplinare, conformemente alla normativa in materia di protezione dei dati personali, i presupposti di liceità per la trasmissione, a terzi, di dati personali a fini del riutilizzo, sulla base di quanto disposto dall'articolo 1, par. 3, del Regolamento 2022/868;

d) esercitare compiutamente il criterio direttivo di cui alla lettera g) dell’articolo 17 della legge di delegazione, adeguando il sistema delle tutele, amministrativa e giurisdizionale, alle fattispecie previste dagli articoli 9, paragrafo 2, 27 e 28 del Regolamento 2022/868;

e) integrare l’articolo 4 introducendo, in apertura del comma 1, una specifica clausola di salvaguardia in favore della disciplina di protezione dati;

f) escludere le funzioni di controllo sul trattamento dei dati personali da quelle devolute agli organismi competenti di cui all'articolo 7 del Regolamento 2022/868

Roma, 12 settembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei