Parere sullo schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 – 22 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

Visto l’articolo 13 della legge 25 ottobre 2017, n. 163, recante “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea (Legge di delegazione europea 2016/2017)”;

Visto l’articolo 154 del decreto legislativo 30 giugno 2003, n. 196 recante Codice in materia di protezione dei dati personali (di seguito:  Codice);

Visto lo schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

La Presidenza del Consiglio dei Ministri ha chiesto il parere del Garante su uno schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), approvato dal Consiglio dei Ministri nella riunione del 21 marzo 2018.

Il provvedimento è redatto nell’esercizio della delega conferita al Governo dagli articoli 1 e 13 della legge 25 ottobre 2017, n. 163, recante “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea (Legge di delegazione europea 2016/2017)” ed è finalizzato ad adeguare il quadro normativo nazionale alle disposizioni del predetto Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (di seguito “Regolamento”).

La legge di delegazione europea stabilisce, all’articolo 13 comma 3, i seguenti criteri: a) abrogare espressamente le disposizioni del Codice in materia di trattamento dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, incompatibili con le disposizioni contenute nel Regolamento (UE) 2016/679; b) modificare il Codice “limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute” nel Regolamento; c) coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal Regolamento; d) prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante nell’ambito e per le finalità previsti dal Regolamento; e) adeguare, nell’ambito delle modifiche al Codice, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del Regolamento con previsione di “sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse”.

Da una analisi attenta dei criteri di delega – si legge nella relazione illustrativa – emerge che sono rimesse al legislatore delegato: innanzitutto la potestà di verificare se e quali disposizioni vigenti e, segnatamente, quelle recate attualmente dal Codice, debbano essere espressamente abrogate per incompatibilità con il Regolamento; poi, la potestà di verificare se e quali disposizioni del predetto Codice siano da modificare, limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili del Regolamento; ed infine la scelta dello strumento tecnico-normativo più lineare ed efficace per realizzare detti obiettivi.

In particolare, l’attribuzione al legislatore delegato del potere di coordinamento di tutte le disposizioni vigenti in materia di protezione dei dati personali, ivi comprese perciò quelle extra-codicistiche, con le previsioni regolamentari rivela come la delega consenta di intervenire nel modo tecnicamente più appropriato al raggiungimento dello scopo principale, che resta quello di adeguare l’intero quadro normativo interno al Regolamento.

All’esito delle verifiche effettuate –riporta ancora la relazione – è risultato che la massima parte delle disposizioni del Codice sia da abrogare espressamente in quanto incompatibili con quelle recate dal Regolamento che, com’è noto, sono per la maggior parte direttamente applicabili e costituiranno per il futuro il “regime primario interno” in materia di protezione dei dati personali.

Altra e minore parte delle previsioni codicistiche nazionali è stata modificata (in alcuni casi anche in modo rilevante), in relazione a disposizioni del Regolamento non direttamente applicabili e che lasciavano spazi all’intervento del legislatore nazionale degli Stati membri.

Lo schema di decreto è suddiviso in sei Capi e si compone di 28 articoli, dedicati a specifici aspetti della materia.

Il Capo I e il Capo II intervengono sulla Parte I del Codice modificando la rubrica del Titolo I (ora “Disposizioni generali”) e introducendo i Titoli da 1-bis a 1-quater: “Principi”, “Disposizioni in materia di diritti dell’interessato”, “Disposizioni relative al titolare del trattamento e responsabile del trattamento”.

Il Titolo I del Codice contiene, innanzitutto, gli articoli 1 e 2 (“Oggetto” e “Finalità”) il cui contenuto è innovato rispetto ai corrispondenti articoli previgenti: l’articolo 1, nel precisare che il trattamento dei dati personali avviene secondo le norme del Regolamento e del Codice, ribadisce i principi generali affermati nella Carta dei diritti fondamentali dell’Unione europea (il rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona); l’articolo 2 chiarisce che il Codice reca disposizioni per l’adeguamento dell’ordinamento nazionale alle disposizioni del Regolamento. Nel medesimo Titolo è stato inserito il nuovo articolo 2-bis il quale individua nel Garante l’autorità nazionale di controllo di cui all’articolo 51 del Regolamento.

Di seguito al predetto articolo 2-bis, l’articolo 2 dello schema di decreto legislativo inserisce nel Codice gli articoli da 2-ter a 2-quinquiesdecies, mentre gli articoli da 3 a 45 del decreto legislativo n. 196/2003 sono abrogati.

In sostanza la Parte I del Codice è profondamente innovata sotto il profilo sistematico, ma molte delle regole oggi presenti nel Codice sono confermate, benché rimodulate in alcuni casi, in conformità al Regolamento.

Il Titolo I-bis detta i principi generali del trattamento, indicando altresì condizioni e requisiti specifici per categorie particolari di trattamento.

In particolare, l’articolo 2-ter stabilisce che per quanto riguarda i trattamenti effettuati per “l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri” la base giuridica per i trattamenti aventi ad oggetto dati personali “comuni” sia da rinvenirsi esclusivamente in una norma di legge o di regolamento. L’articolo si presenta come una riformulazione del previgente articolo 19 del Codice, il cui ambito di applicazione soggettivo viene, però, esteso al fine di adeguarsi all’impostazione adottata dal Regolamento. Nel Regolamento, infatti – come può leggersi nella relazione – scompare la distinzione basata sulla natura pubblica o privata dei soggetti che trattano i dati, rilevando unicamente la finalità del trattamento perseguita, vale a dire se la finalità concerne un interesse pubblico o privato. L’articolo quindi deve intendersi applicabile ai soggetti che trattano i dati personali per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, a prescindere dalla loro natura soggettiva (art. 6, par. 1, lett. e), Reg).

In relazione al trattamento di particolari categorie di dati, invece, viene stabilito l’obbligo di previsione normativa ed è individuato un elenco di trattamenti che si considerano effettuati per “motivi di interesse pubblico rilevante” (art. 2-sexies in relazione all’art. 9 del Regolamento concernente i dati che il Codice previgente definiva “dati sensibili”). Il regime normativo per tali trattamenti è sostanzialmente rimasto inalterato rispetto a quello previsto dal Codice per i trattamenti effettuati da soggetti pubblici (art. 20) e, in particolare, l’elenco predetto è tratto dalle diverse disposizioni del Codice riferite ai trattamenti effettuati per finalità di rilevante interesse pubblico (ad es. artt. 64-73, che il presente schema abroga). Ovviamente, mutato il criterio per delimitare l’ambito applicativo di tale regime, le disposizioni in parola riguardano i trattamenti effettuati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, a prescindere dalla natura soggettiva del titolare del trattamento.

Con riferimento ai dati genetici, biometrici e relativi alla salute, inoltre, oggetto di specifica “riserva” normativa nazionale (cfr. art. 9, par. 4, Reg.) viene previsto che il relativo trattamento è subordinato anche al rispetto di misure di garanzia disposte dal Garante (art. 2-septies). Infine il trattamento di dati concernenti condanne penali e reati (che trovano nei “dati giudiziari” del Codice il loro “antecedente”) è consentito nei limiti di quanto previsto da norme di legge o di regolamento (art. 2-octies; cfr. già art. 21, d. lgs. n. 196/2003).

L’articolo 2-novies conferma l’inutilizzabilità dei dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali (cfr art. 12, comma 2, d. lgs. 196/2003), come pure nell’articolo 2-quater è fatta salva l’adozione di “regole deontologiche” negli ambiti in cui il Regolamento riserva la materia agli Stati membri: a) (trattamenti necessari per adempiere un obbligo legale; b) trattamenti necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri; c) trattamento di dati genetici, biometrici o relativi alla salute; d) talune specifiche situazioni di trattamento di cui al Capo IX). Tale disposizione trova la propria ratio nella scelta di conservare le regole stabilite nei “Codici di deontologia e di buona condotta”, previsti all’articolo 12 del previgente Codice che sino ad oggi hanno costituito una rilevante fonte di riferimento per i settori a cui sono diretti; ciò, però, solo nelle materie oggetto di “riserva” normativa interna agli Stati membri (art. 6, par. 2, Reg.).

Una novità è rappresentata dall’articolo 2-quinquies che delinea le condizioni specifiche per la validità del consenso prestato dal minore in relazione ai servizi della società dell’informazione. L’articolo prevede che il minore debba avere almeno sedici anni al fine di prestare un valido consenso al trattamento dei propri dati in tale ambito, come, di norma, previsto dal Regolamento.

Il Titolo I-ter, concernente i diritti garantiti all’interessato, sulla falsa riga di quanto previsto dall’articolo 8 del Codice previgente, contiene ipotesi di limitazione degli stessi in caso di concreto pregiudizio per altri interessi normativamente tutelati (antiriciclaggio, sostegno delle vittime di atti estorsivi, attività delle commissioni parlamentari d’inchiesta, controllo dei mercati finanziari e monetari, esercizio di diritti in sede giudiziaria e per ragioni di giustizia, indipendenza della magistratura) (artt. 2-decies e 2-undecies).

Alcuni aspetti innovativi presenta, invece, rispetto alla disposizione del Codice previgente (art. 9, comma 3), l’articolo 2-duodecies, concernente il trattamento relativo ai dati di persone decedute, che attribuisce l’esercizio dei diritti dell’interessato a chi abbia un interesse proprio o agisca a tutela dell’interessato o per particolari ragioni familiari, ma anche al mandatario.

Il Titolo I-quater reca una serie di disposizioni volte a precisare taluni poteri e obblighi in capo al titolare e al responsabile, tra cui la possibilità di delegare compiti e funzioni a persone fisiche operanti sotto la loro autorità e responsabilità. Viene poi precisato che il titolare il quale intenda effettuare un trattamento connesso all’esecuzione di un compito di pubblico interesse che presenta rischi particolarmente elevati, deve obbligatoriamente chiedere la previa autorizzazione del Garante (cfr. art. 36, comma 5, Reg).

Nella Parte II del Codice, su cui interviene il Capo III e gli articoli da 3 a 12 dello schema, viene invece mantenuta inalterata la numerazione degli articoli. Molti articoli vengono modificati, oltre ad alcune rubriche anche di Titoli o Capi, altri sono abrogati (ad esempio quelli relativi ai trattamenti effettuati per ragioni di giustizia o da Forze di polizia per finalità di prevenzione e repressione di reati –artt. 46-49 e 53-57- che hanno trovato la loro corretta “collocazione”, ratione materiae e con i dovuti adeguamenti, nel decreto legislativo di attuazione della direttiva UE 2016/680) .

Analoga impostazione per la Parte III del Codice cui si riferisce il Capo IV  dello schema (artt. 13-17), concernente la struttura organizzativa e le funzioni del Garante, le forme di tutela degli interessati e il quadro sanzionatorio (artt. da 140-bis, di nuova introduzione, a 172 del Codice).

Sotto il profilo sanzionatorio penale, innanzitutto è stato rimodulato l’impianto delle fattispecie del reato di “trattamento illecito di dati” di cui all’articolo 167 del Codice, pur continuando a punire diverse condotte consistenti nell’arrecare nocumento all’interessato, in violazione di specifiche previsioni indicate nei primi tre commi dell’articolo.

I nuovi commi 4 e 5 consentono la cooperazione tra autorità giudiziaria e Garante, che è competente per l’erogazione delle sanzioni amministrative eventualmente coincidenti con l’area della rilevanza penale.

Da questo punto di vista, si apprezza la disposizione del comma 6 (mutuata, si legge nella relazione, dall’articolo 287-terdecies del d.lgs. n. 58 del 1998) volta a disciplinare la possibile convergenza sul medesimo fatto di responsabilità e sanzioni penali e amministrative.

Gli articoli 167-bis e 167-ter introducono nuove fattispecie di reato, concernenti la “Comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone” e la “Acquisizione fraudolenta di dati personali”, declinata sempre in relazione a un numero rilevante di persone offese e volta a completare l’apparato delle sanzioni penali nella materia. Alle fattispecie di cui agli articoli 167-bis e 167-ter, peraltro, si applicano le disposizioni di cui ai commi 4, 5 e 6 del novellato articolo 167 appena descritte.

Viene confermata la fattispecie di cui all’articolo 168 (Falsità nelle dichiarazioni al Garante), in quanto sanziona condotte caratterizzate da significativo disvalore, con la soppressione però del riferimento alle “notificazioni” al Garante, istituto non più previsto dal Regolamento.

Al comma 2 dell’articolo 168 è aggiunta un’altra fattispecie riferita alla condotta di interruzione o turbativa della regolarità di un procedimento innanzi al Garante o degli accertamenti svolti dall’Autorità. Per “scongiurare” l’ipotesi di una configurabilità del reato a titolo di dolo eventuale, si è introdotto l’avverbio “intenzionalmente” che assicura una peculiare pregnanza alla fattispecie in esame.

Risulta abrogata, invece, la fattispecie di cui all’articolo 169 in tema di misure minime di sicurezza, non contemplate dal Regolamento. La violazione delle disposizioni in materia di sicurezza sarà sanzionata con misure di carattere amministrativo-pecuniario, ai sensi degli articolo 83, par. 5 del Regolamento.

Confermato pure l’illecito di cui all’articolo 171 quale presidio posto a tutela di beni di particolare rilevanza (controllo a distanza dei lavoratori e divieto di indagini sulle loro opinioni ai sensi dello Statuto dei lavoratori).

I Capi V e VI dello schema, infine, riguardano la parte extracodicistica dell’intervento normativo.

Il Capo V, sotto la rubrica “Disposizioni processuali”, consta di un solo articolo, il 17, che, titolato “Modifiche all’articolo 10 del decreto legislativo 1 settembre 2011 n. 150”, disciplina e chiarisce, sotto il profilo strettamente procedurale, l’iter per dirimere le controversie previste dall’articolo 152 del Codice, riformulando l’articolo 10 del decreto legislativo n. 150 del 2011 sulle suddette controversie in materia di protezione dei dati personali in modo da avere in tale ambito una disciplina completa del ricorso giurisdizionale previsto dal Regolamento.

Il Capo VI, infine, è dedicato alle “Disposizioni transitorie, finali e finanziarie” (artt. 18-28).

OSSERVA

Al fine di rendere il decreto pienamente conforme ai principi e alle disposizioni del Regolamento, perfezionandolo in alcuni punti anche sotto il profilo formale, si rappresenta di seguito l’opportunità di alcune modifiche e integrazioni .

1. Profili di particolare interesse

1.1. Conservazione dei dati di traffico telefonico e telematico

L’articolo 11, comma 1, lett. i), numero 3, dello schema di decreto conferma la deroga all’articolo 132, commi 1 ed 1-bis del Codice, introdotta dall’articolo 24 della legge 20 novembre 2017, n. 167, recante “Disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2017”. Come noto, tale disposizione ha prolungato fino a 72 mesi il termine di conservazione  dei  dati  di  traffico telefonico e telematico, nonché dei dati relativi alle chiamate senza risposta, “al fine di garantire strumenti di indagine efficace in considerazione delle straordinarie esigenze di contrasto del terrorismo, anche internazionale, per le finalità dell’accertamento e della repressione dei reati di cui agli articoli 51, comma 3-quater, e 407, comma 2, lettera a), del codice di procedura penale”.

La conferma della predetta deroga determina rilevanti criticità – come già segnalato nel parere del 22 febbraio 2018 reso sullo schema di decreto di recepimento della direttiva (UE) 2016/680 – in ordine al rispetto del  principio di proporzionalità tra esigenze investigative e limitazioni del diritto alla protezione dei dati dei cittadini, affermato dalla Corte di giustizia Ue con le sentenze Digital Rights Ireland (resa in data 8 aprile 2014 nelle cause riunite C-293/12 e C-594/12,) e Tele2 e Watson (resa il 21 dicembre 2016, nelle cause riunite C 203/15 e C 698/15).

In ragione della incompatibilità della deroga con il principio di proporzionalità (come interpretato dalla Corte di giustizia nelle richiamate sentenze) e al fine di garantire la piena conformità dell’ordinamento interno al diritto dell’Unione europea, si valuti l’opportunità di espungere dallo schema di decreto l’articolo 11, comma 1, lett. i), numero 3, e per l’effetto il neo introdotto comma 5-bis dell’articolo 132 del Codice.  Per completare il riassetto normativo in questione, è, inoltre, necessario anche abrogare espressamente l’art. 24 della legge 20 novembre 2017, n. 167.

1.2. Disposizioni del CAD in materia di Piattaforma digitale nazionale dati

L’articolo 50-ter del Codice dell’Amministrazione Digitale (infra: Cad), introdotto dal decreto legislativo 13 dicembre 2017, n. 217, prevede che la Presidenza del Consiglio dei ministri promuova la progettazione, lo sviluppo e la sperimentazione di una Piattaforma Digitale Nazionale Dati finalizzata a favorire la conoscenza e l’utilizzo del patrimonio informativo detenuto, per finalità istituzionali, dai soggetti pubblici di cui all’articolo 2, comma 2, lettera a) del Cad, ad esclusione delle autorità amministrative indipendenti di garanzia, vigilanza e regolazione, nonché alla condivisione dei dati tra i soggetti che hanno diritto ad accedervi ai fini della semplificazione degli adempimenti amministrativi dei cittadini e delle imprese. In sede di prima applicazione, la sperimentazione della Piattaforma Digitale Nazionale Dati è affidata al Commissario straordinario per l’attuazione dell’Agenda digitale. A tal fine il Commissario straordinario per l’attuazione dell’Agenda digitale provvede ad acquisire i dati, a organizzarli e conservarli.

La norma in questione suscita preoccupazione. La pur necessaria valorizzazione del patrimonio informativo pubblico non deve, infatti, avvenire a discapito della tutela dei diritti fondamentali e con possibili ricadute anche in termini di sicurezza nazionale.

In considerazione delle gravi criticità – già segnalate al Governo – sottese alla realizzazione di una così rilevante concentrazione, presso un unico soggetto, di informazioni, anche sensibili e sensibilissime, con evidenti rischi di usi distorti e accessi non autorizzati, nonché dell’esigenza di adeguare il quadro normativo nazionale al Regolamento, si ritiene necessario aggiungere, all’interno dell’articolo 22 dello schema, una disposizione volta a modificare l’articolo 50–ter del Cad come segue:

“All’articolo 50-ter, del decreto legislativo 7 marzo 2005, n. 82 sono apportate le seguenti modificazioni: a) al comma 1, la parola “condivisione” è sostituita dalla seguente: “comunicazione”; b) al comma 3, le parole “ad acquisire” sono sostituite dalle seguenti : “rendere disponibili”, le parole “organizzarli e conservarli, ” sono soppresse, e la parola “condivisione” è sostituita dalla seguente: “comunicazione”; c) al comma 4, la parola “condivisione” è sostituita dalla seguente: “comunicazione” e le parole “per le finalità di cui al comma 3” sono sostituite dalle seguenti: “per tali finalità”; d) il comma 5  è sostituito dal seguente: “5.Nella Piattaforma di cui al comma 1 non sono duplicati gli archivi contenenti dati personali dei soggetti di cui all’articolo 2, comma 2, lettera a), del presente decreto.”.

1.3. Patrocinio del Garante

L’articolo 154-ter del Codice così come modificato dallo schema di decreto legislativo (“Potere di agire e rappresentanza in giudizio”) chiarisce che il Garante è legittimato ad esercitare azioni giudiziarie nei confronti del titolare o del responsabile del trattamento in caso di violazione delle disposizioni in materia di protezione dei dati personali. Viene altresì specificato che il Garante è rappresentato in giudizio dall’Avvocatura dello Stato ai sensi dell’articolo 1 del r.d. n. 1611/1933. Nell’ipotesi in cui quest’ultima non ne possa assumere il patrocinio, il Garante agisce in giudizio tramite proprio personale iscritto all’elenco speciale degli avvocati dipendenti da enti pubblici o mediante avvocati del libero foro.

Al riguardo, si precisa preliminarmente che il Garante in questi anni si è costantemente avvalso dell’Avvocatura dello Stato ai sensi dell’articolo 43 del r.d. n. 1611/1933 secondo quanto previsto dall’articolo 17 del Regolamento di organizzazione del Garante n. 1/2000, e intende continuare ad avvalersene nei medesimi termini, eccettuati i casi di conflitto di interessi con lo Stato o con le Regioni, come previsto dalla citata disposizione.

L’articolo 1 del r.d. n. 1611/1933 –cui la disposizione che lo schema intende introdurre nel Codice si riferisce – prevede il patrocinio obbligatorio dell’Avvocatura per le Amministrazioni dello Stato; il successivo articolo 43, invece, disciplina il cd. patrocinio facoltativo per le Amministrazioni non statali autorizzate ad avvalersene.

Si ritiene che al Garante debba essere applicata più correttamente tale ultima disposizione (patrocinio facoltativo).

E’ utile evidenziare che la formulazione dell’articolo 17 del Regolamento n. 1/2000 ricalca pedissequamente quella dell’articolo 22 del precedente Regolamento sull’organizzazione e il funzionamento dell’Ufficio del Garante, approvato con D.P.R. 31 marzo 1998, n. 501, con il parere del Consiglio di Stato. In altri termini, la scelta del patrocinio facoltativo non è stata frutto di una decisione della sola Autorità che se ne avvale, ma è stata effettuata all’origine dal Governo, evidentemente proprio in ragione della natura e delle funzioni del Garante, come, tra l’altro, è avvenuto per  la Consob e l’Ivass.

Infine, si tenga comunque presente che, in occasione di un contenzioso giudiziario avverso un provvedimento del Garante, è stato eccepito che la normativa italiana non soddisfa il requisito della piena indipendenza del Garante nella parte in cui prevede che lo stesso sia difeso dall’Avvocatura generale dello Stato. Per tale motivo, è stata presentata e pende tuttora una denuncia per infrazione contro la Repubblica Italiana presso la Commissione europea – CHAP (2016)00255 (fascicolo ricorrente Tribunale C)- per violazione dell’articolo 8 della Carta dei diritti fondamentali dell’Unione europea e dell’articolo 28, par. 1, secondo comma, della direttiva 95/46/CE.

1.4.  Illeciti penali e amministrativi

1.4.1. In ordine all’elemento soggettivo del delitto di trattamento illecito di dati, di cui al novellato articolo 167 del Codice, si valuti l’opportunità di considerare, quale oggetto alternativo del dolo specifico anche il nocumento, in ragione dell’esigenza di presidiare con la sanzione penale condotte connotate da un simile disvalore, anche quando sorrette dal dolo di danno e non solo da quello di profitto. Tale modifica consentirebbe inoltre di assicurare una maggiore continuità normativa con la fattispecie vigente e di evitare gli effetti (anche sui processi in corso) dell’abolitio criminis che si dovesse ravvisare, in parte qua, per effetto della novellazione proposta.

In relazione alla disposizione  di cui al comma 6 dell’articolo 167- pur comprendendone la ratio, volta a garantire maggiore conformità al principio del ne bis in idem – si rileva la parziale difformità rispetto alla norma di cui all’art. 187-terdecies del d.lgs. n. 58 del 1998, che limita l’esazione della pena pecuniaria “alla parte eccedente quella riscossa dall’Autorità amministrativa”; circostanza che non ricorre nella disposizione in esame.

In relazione alle fattispecie di reato introdotte all’articolo 167-bis del Codice, la previsione del titolare e del responsabile del trattamento, nonché del soggetto designato a norma dell’articolo 2-terdecies, quali unici soggetti attivi del reato, solleva perplessità in ragione della mancata considerazione delle  persone suscettibili di operare quali autorizzate al trattamento.

Si valuti, pertanto, l’opportunità di definire il novero dei soggetti attivi – analogamente a quanto disposto per le altre fattispecie, anche in sede di recepimento della direttiva (UE) 2016/680 – con il termine generale “chiunque”.

Si valuti, inoltre, in analogia con quanto osservato in relazione all’art. 167, di considerare, quale oggetto alternativo del dolo specifico anche il nocumento, in ragione dell’opportunità di assistere con la sanzione penale condotte connotate da un simile disvalore anche quando sorrette dal dolo di danno e non solo da quello di profitto. Nella fattispecie di cui all’articolo 167, del resto, il nocumento, ancorché non ricompreso nell’ambito del dolo specifico (come pure auspicato), è comunque oggetto del dolo diretto del soggetto attivo, essendo configurato come elemento costitutivo del reato. Pertanto, agli articoli 167-bis e 167-ter, comma 1, dopo le parole “al fine di trarre profitto per sé o per altri” si suggerisce di aggiungere le parole “ovvero al fine di arrecare danno all’interessato”.

L’abrogazione dell’articolo 170 – recante il delitto di inosservanza di provvedimenti del Garante – va considerata in rapporto alle scelte compiute in sede di recepimento della direttiva (UE) 2016/680 e, in particolare, all’introduzione, in quella sede disposta, di una norma incriminatrice dell’inosservanza dei provvedimenti del Garante, del tutto analoga all’attuale articolo 170.

Qualora, quindi, tale ultima norma venisse abrogata, si determinerebbe l’irragionevole conseguenza per cui l’inadempimento del medesimo provvedimento del Garante, se imputabile ad organi incaricati di funzioni di accertamento, prevenzione, repressione dei reati, integrerebbe gli estremi di tale delitto, mentre se imputabile a qualsiasi altro soggetto rileverebbe esclusivamente ai fini sanzionatori amministrativi (art. 83, par. 5, lett. e) Reg.).

Tale disparità di trattamento solleva perplessità, segnatamente, in ordine al rispetto del principio di eguaglianza-ragionevolezza, dal momento che alla medesima condotta, lesiva dello stesso bene giuridico (la piena effettività delle funzioni del Garante), si applicherebbero due regimi sanzionatori estremamente diversi, solo in ragione della natura soggettiva del titolare e del contesto in cui sia realizzato il trattamento (attività di polizia o giustizia penale, ovvero ogni altro ambito). Elementi, questi, inidonei a giustificare, di per sé soli, tali differente regime sanzionatorio.

Si invita pertanto a una ulteriore riflessione sul punto, al fine di adottare una soluzione che eviti ingiustificate disparità di trattamento, pur nel rispetto del divieto di bis in idem richiamato dal considerando 150 del Regolamento.

Nel caso si intenda far rivivere la disposizione incriminatrice, si suggerisce di individuare i provvedimenti del Garante così presidiati in ragione della loro rilevanza, richiamando, in particolare, l’articolo 58, par. 2, lett. f), del Regolamento e gli articoli 2-septies, comma 1 del Codice, e 21, comma 1, dello schema di decreto legislativo.

1.4.2.  L’articolo 166 del Codice (concernente le sanzioni amministrative pecuniarie), nella nuova formulazione proposta, ai commi 1 e 2 individua le disposizioni del decreto legislativo n. 196/2003 la cui violazione è sanzionata, rispettivamente, ai sensi dell’articolo 83, par. 4 o par. 5 del Regolamento a seconda della gravità della violazione. Al riguardo, si evidenziano una serie di  criticità che andrebbero riviste anche al fine di un migliore coordinamento con le restanti norme del testo.

Innanzitutto, l’articolo 124 (Fatturazione dettagliata) risulta inserito sia al comma 1 che al comma 2, segno evidente di un refuso. Essendo le disposizioni ivi contenute riconducibili all’esercizio dei diritti da parte dell’interessato, la cui violazione è sanzionata ai sensi del par. 5 dell’articolo 83 del Regolamento, il riferimento all’articolo 124 sarebbe da collocare, più correttamente, al comma 2 dell’articolo 166 (violazioni più gravi).

Inoltre, si ritiene auspicabile inserire al comma 1, tra le condotte sanzionabili, quelle che si pongono in contrasto con il comma 1 dell’articolo 110 del Codice. Diversamente, la mancata conduzione di una valutazione d’impatto e la mancata attivazione, ove necessario, della consultazione preventiva dell’Autorità, ai sensi degli articoli 35 e 36 del Regolamento, previste dall’articolo 110, comma 1, nel caso in cui il trattamento di dati sanitari a fini di ricerca medica, biomedica ed epidemiologica sia effettuato in assenza del consenso degli interessati, al fine di consentire di realizzare un ponderato bilanciamento dei vari interessi in gioco, rimarrebbe priva di conseguenze.

In tale quadro, attesa la particolare delicatezza dei trattamenti disciplinati dall’articolo 110-bis, aventi ad oggetto il “riutilizzo” dei dati a fini di ricerca scientifica o a fini statistici, in assenza del consenso degli interessati e previa autorizzazione del Garante, andrebbe prevista espressamente la sanzionabilità anche della violazione delle disposizioni del comma 2 dell’articolo 110-bis che richiedono l’autorizzazione del Garante, nonché della violazione delle prescrizioni impartite con tale autorizzazione. A tal fine, andrebbe quindi citata questa disposizione nell’elenco di cui al comma 2 dell’art. 166. Sempre in materia di ricerca scientifica, risulta invece inopportuna e sproporzionata l’inclusione, tra le condotte sanzionabili, della fattispecie di cui all’articolo 110, comma 2, del Codice, in quanto tale norma si limita ad indicare specifiche modalità con cui possono essere effettuate l’eventuale rettificazione e integrazione dei dati richieste dall’interessato, tenuto conto delle peculiarità del contesto di riferimento.

Al comma 2 non risulta pertinente la citazione dell’articolo 152 tra le fattispecie sanzionabili, atteso che tale disposizione si limita a individuare nell’autorità giudiziaria ordinaria il soggetto deputato a dirimere le controversie in materia di protezione dei dati personali; pertanto si suggerisce la sua eliminazione.

Si suggerisce, altresì, di citare tra le fattispecie sanzionate di cui all’articolo 166, comma 2, anche la mancata osservanza dell’articolo 157 del Codice (mancato riscontro alla richiesta di informazioni o esibizione di documenti al Garante). Tale fattispecie, già sanzionata nella disciplina previgente, andrebbe ripristinata  anche al fine di allineare  il quadro sanzionatorio con quanto previsto dal Regolamento. Quest’ultimo, all’articolo 83, par. 5, infatti, sanziona la mancata osservanza dell’articolo 58, par. 1, ai sensi del quale viene disciplinata tale attività istruttoria da parte delle autorità di controllo nell’ambito dei poteri di indagine ad esse attribuiti. Peraltro, al medesimo comma 2 appare opportuno sopprimere le parole: “e delle modalità tecniche”, dal momento che esse (diversamente dalle misure di garanzia e dalle regole deontologiche) non costituiscono l’oggetto delle norme di cui agli articoli 2-septies e 2-quater ai quali la norma si riferisce.

Al fine di rendere coerente le disposizioni con il resto dell’ordinamento, si ritiene opportuno citare tra le fattispecie sanzionate, oltre a quelle individuate al comma 3 (violazione delle disposizioni in materia di registro pubblico delle opposizioni, che attualmente rinviano all’articolo 162, comma 2-quater, del Codice il quale verrà soppresso), anche quelle di cui all’articolo 5-ter del d.lgs. 14 marzo 2013, n. 33, visto che quest’ultimo rinvia all’articolo 162, comma 2-bis del Codice parimenti destinato alla soppressione.

2.Trattamenti particolari

2.1. Trattamenti in ambito pubblico

2.1.1. L’articolo 2-sexies disciplina il trattamento di dati particolari (già “sensibili” in base al previgente Codice) per “motivi di interesse pubblico rilevante” ai sensi dell’articolo 9, par. 1, lett. g) del Regolamento, riproducendo in maniera sostanzialmente inalterata il regime normativo previsto al previgente articolo 20 del Codice per i trattamenti di dati sensibili effettuati da soggetti pubblici.

Il Regolamento richiede che, per il trattamento di tali dati, il diritto nazionale individui “misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”. Tuttavia il comma 1 del nuovo articolo 2-sexies si limita a prevedere che la “legge o, nei casi previsti dalla legge, il regolamento, specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante” senza più richiedere, come previsto dall’analogo articolo 20 del Codice il parere conforme del Garante sull’atto da adottare. Non sono inoltre previsti i necessari richiami al fatto che l’atto normativo debba contenere anche le specifiche misure a tutela degli interessati richieste dal Regolamento (e previste ad esempio anche dall’art. 2-octies per i “dati giudiziari”). Al riguardo si propone di modificare il comma 1 come segue:

“1. I trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi della lettera g), paragrafo 2, del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento, adottato in conformità al parere espresso dal Garante anche su schemi tipo, che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.”

2.1.2. Inoltre, si segnala che nella disposizione in esame, tra le finalità di rilevante interesse pubblico elencate non si rinvengono, né sembra possibile ricavarle in via interpretativa, quelle di “programmazione, gestione, controllo e valutazione dell’assistenza sanitaria” e quelle sulla “vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all’immissione in commercio e all’importazione di medicinali e di altri prodotti di rilevanza sanitaria” (artt. 85, comma 1, lett. b e c del Codice e 9, par. 2, lett. h del Regolamento), che si suggerisce invece di prevedere. Analogamente, al comma 2, lett. e) della predetta disposizione, andrebbero menzionate anche le finalità di “documentazione dell’attività istituzionale di organi pubblici”, di “esercizio del mandato degli organi rappresentativi, ivi compresa lo loro sospensione o il loro scioglimento, nonché l’accertamento delle cause di ineleggibilità, incompatibilità o di decadenza, ovvero di rimozione o sospensione da cariche pubbliche” (cfr. art. 65 del Codice abrogato dallo schema in esame).

2.1.3 Al comma 2, lett. v), viene specificato che i rapporti di lavoro nell’ambito dei quali si effettuano i trattamenti riguardano “soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri”. Poiché tutti i trattamenti disciplinati dall’articolo in esame sono effettuati da tali categorie di soggetti, per i diversi compiti di “rilevante interesse pubblico” indicati in tutte le lettere di cui al comma 2, per evitare equivoci interpretativi si ritiene opportuno che l’inciso in questione sia collocato, più correttamente, nell’alinea del comma 2 secondo la riformulazione che si suggerisce: “2. Fermo quanto previsto dal comma 1, si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie:”.

2.2 Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute

L’articolo 2-septies introdotto nel Codice dall’articolo 2, comma 1, lettera e) dello schema di decreto, in attuazione di quanto previsto dall’articolo 9, paragrafo 4, del Regolamento, stabilisce che i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformità alle misure di garanzia disposte dal Garante.

In proposito, si ritiene opportuno specificare le misure che potranno essere adottate dal Garante e al riguardo si suggerisce di integrare il comma 5 della menzionata disposizione inserendo dopo le parole “è consentito” il seguente periodo: “In particolare, le misure di garanzia individuano le misure di sicurezza, ivi comprese tecniche di cifratura e di pseudonimizzazione, misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati.”.

Pur nella consapevolezza della sua funzionalità a confermare la vigenza di norme del Codice non incompatibili con il Regolamento, desta tuttavia perplessità l’elencazione, al comma 4, con finalità meramente esemplificativa, delle materie rispetto alle quali il Garante possa adottare misure di garanzia, dovendo come noto preferirsi, nei testi normativi, elencazioni tassative al fine di ridurre i margini di discrezionalità dell’interprete, suscettibile di pregiudicare la necessaria certezza del diritto. Si invita pertanto il Governo a valutare l’opportunità di sopprimere o quantomeno modificare tale disposizione.

Al comma 6, secondo periodo, è opportuno sostituire le parole: “Per i” con le seguenti: “Limitatamente ai”, al fine di chiarire che il consenso quale ulteriore misura di garanzia può essere previsto esclusivamente con riferimento ai dati genetici.

2.3. Trattamento di dati biometrici per finalità di sicurezza

L’articolo 9 del Regolamento, che ha inserito i dati biometrici nella categoria dei dati “particolari” (già “sensibili”) vietandone, in via generale, il relativo trattamento, prevede, con riguardo all’impiego in ambito lavoristico, che il trattamento sia consentito quando “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), Reg. e considerando da 51 a 53).

Questa disposizione limita quindi in modo rilevante, rispetto al passato, la possibilità dell’impiego di tecniche biometriche nel contesto lavorativo e potenzialmente non consente di utilizzare sistemi biometrici anche per finalità di autenticazione informatica. Al riguardo infatti, con l’abrogazione del Disciplinare tecnico in materia di misure minime di sicurezza, allegato B) al Codice, verrebbe meno anche l’attuale base normativa, ivi contenuta, che ammetteva questa possibilità (regola 2).

Al riguardo, si propone quindi di inserire, all’interno dell’articolo 2-septies, un comma 6-bis, che legittimi ai sensi dell’articolo 9, par. 2 lett. b) del Regolamento, le tecniche di riconoscimento biometrico per specifiche finalità di sicurezza, in aggiunta o in sostituzione degli ordinari sistemi di autenticazione informatica, basati su informazioni nella disponibilità cognitiva (password, user id) o su dispositivi (badge, token). Ciò peraltro in armonia a quanto già prescritto o autorizzato, in alcuni casi, dal Garante nel vigente quadro normativo (in applicazione della sopra citata regola 2 dell’allegato B al Codice). La disposizione fa, in ogni caso, salva la successiva e puntuale individuazione, da parte del Garante, dei casi che possono trovare nella stessa il presupposto di liceità, nonché delle misure di garanzia e delle ulteriori condizioni di liceità dei conseguenti trattamenti nell’ambito dell’emanando provvedimento previsto dall’articolo 2-septies.

Attraverso tale norma si intende così autorizzare il trattamento di dati biometrici quando le esigenze di sicurezza e integrità dei sistemi o delle aree (ad esempio, dei locali ove sono custoditi dati e informazioni di particolare delicatezza) richiedono un maggior grado di certezza dell’identità del soggetto legittimato all’utilizzo di sistemi o all’accesso alle aree indicate, anche al fine di scongiurare il rischio di cessione illegittima o di furto di credenziali.

Si propone quindi di inserire, all’interno dell’articolo 2-septies, un comma del seguente tenore:

“6.bis. Ai fini del rispetto dei principi in materia di protezione dei dati personali, con riferimento agli obblighi di cui articolo 32 del Regolamento, è ammesso l’utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia e nei casi individuati ai sensi del presente articolo.”.

2.4. Consenso del minore

Con riferimento all’art. 2-quinquies del Codice come modificato dallo schema di decreto, si osserva, in relazione ai servizi della società dell’informazione, che l’indicazione in base alla quale in tale ambito è consentito “il trattamento dei dati personali del minore di età inferiore a sedici anni” non appare coerente con altre disposizioni dell’ordinamento che individuano, invece, a quattordici anni il limite di età consentito per esercitare determinate azioni giuridiche. Si pensi, fra le tante, alle disposizioni in materia di cyberbullismo che consentono al minore ultraquattordicenne di esercitare i diritti previsti a propria tutela contro atti di cyberbullismo nei suoi confronti (v. art. 2, c. 1, l. n. 71 del 2017). O si pensi al diritto del minore ultraquattordicenne di prestare il proprio consenso all’adozione (art. 7, c. 2, l. n. 184 del 1983). Parrebbe pertanto incoerente ammettere il quattordicenne a prestare il proprio consenso per essere adottato, ma non per iscriversi a un social network.

2.5.  Limitazione ai diritti dell’interessato

2.5.1. In relazione all’articolo 2-decies, si segnala la necessità di espungere il riferimento al “responsabile del trattamento” in quanto i diritti di cui agli articoli da 15 a 22 del Regolamento sono esercitabili solo nei confronti del titolare del trattamento.

2.5.2. Inoltre, con riferimento sia all’articolo 2-decies, comma 3, sia all’articolo 2-undecies, comma 2, occorre inserire dopo le parole “l’esercizio dei medesimi diritti può, in ogni caso, essere ritardato, limitato o escluso con comunicazione motivata e senza ritardo all’interessato” le parole “a meno che ciò possa compromettere le finalità della comunicazione medesima”. Ciò in quanto l’ostensione di informazioni all’interessato, ove non sia prevista la possibilità di una loro limitazione, potrebbe vanificare la ratio della norma che comprime l’esercizio del diritto di accesso ai dati personali in presenza di interessi ritenuti di particolare tutela. Peraltro, tale previsione risulta anche coerente con quanto previsto dall’articolo 23, par. 2, lett. h), del Regolamento.

2.6. Riutilizzo di dati a fini di ricerca scientifica o a fini statistici

Riguardo all’articolo 110-bis, pur apprezzando l’intenzione del legislatore di inquadrare a livello sistematico le norme sul riutilizzo dei dati a fini di ricerca scientifica o a fini statistici introdotte dall’articolo 28 della legge europea n. 167 del 2017, tale disposizione per la sua formulazione solleva alcuni dubbi interpretativi.

In primo luogo, riguardo alla nozione di “riutilizzo” che non viene definita dal decreto e che pare incompatibile con quella contenuta nella normativa vigente sul riutilizzo delle informazioni del settore pubblico. Il riutilizzo a norma della predetta disciplina, richiamata peraltro anche nel considerando 154 del Regolamento, coincide infatti con l’utilizzo da parte di terzi, a fini commerciali o non commerciali, diversi da quelli iniziali per i quali le informazioni sono state prodotte, e riguarda soltanto i documenti contenenti dati pubblici (indipendentemente dal fatto che si tratti di dati personali o meno) nella disponibilità di pubbliche amministrazioni e di organismi di diritto pubblico. Sono quindi esclusi dal campo di applicazione del riutilizzo, così inteso, i dati personali che non godono di un generale regime di conoscibilità ovvero quelli la cui conoscibilità è subordinata al rispetto di determinati limiti o modalità, in base alle leggi, ai regolamenti o alla normativa dell’Unione europea.

Pertanto, se la nozione di riutilizzo andasse interpretata alla luce della predetta disciplina essa non potrebbe estendersi, in generale, ai dati sensibili e giudiziari e, in particolare, a quelli attinenti alla salute e alla vita sessuale, per il trattamento dei quali il Regolamento individua particolari condizioni e limiti (cfr. artt. 9 e 10). Tale interpretazione contrasterebbe inoltre con quanto affermato al comma 3 del medesimo articolo 110-bis che, nell’escludere dal concetto di riutilizzo il trattamento a fini di ricerca effettuato dagli IRCSS con dati raccolti nell’ambito dell’attività clinica, fa riferimento a casi di utilizzo ulteriore di dati non da parte di terzi, bensì del medesimo titolare del trattamento.

Se con tale nozione si vuole, invece, fare riferimento a trattamenti ulteriori, a fini di ricerca scientifica o a fini statistici, di dati personali inizialmente raccolti per altri scopi (ai sensi dell’articolo 6, par. 4 del Regolamento), indipendentemente dal fatto che questo sia effettuato dal medesimo titolare o da titolari diversi (distinzione che peraltro non si rinviene nel nuovo quadro giuridico introdotto dal Regolamento), la disposizione contenuta nell’articolo 110-bis appare superflua in quanto l’articolo 5, par. 1, lett. b) del Regolamento qualifica già le ulteriori finalità di ricerca scientifica e statistiche eventualmente perseguite come compatibili con quelle iniziali, purché l’ulteriore trattamento sia effettuato in conformità alle garanzie previste dall’articolo 89 del Regolamento. Inoltre, l’ulteriore trattamento a fini scientifici o statistici di dati raccolti per altri scopi è già consentita sulla base dei presupposti di liceità del trattamento individuati dagli articoli 6 e 9 del Regolamento (cfr., in particolare, art. 6, par. 1., lett. a, o f e art. 9 par. 2 lett. j) e secondo le modalità previste dall’articolo 89 dello stesso, dalla disciplina del Codice, così come emendata dallo schema di decreto in esame (cfr. artt. 104-110 e art. 20, commi 3 e 4, che fa salve le regole deontologiche vigenti per i trattamenti a fini scientifici e statistici, ferma restando la verifica della loro compatibilità con il nuovo quadro giuridico europeo da parte del Garante), nonché dalle altre rilevanti disposizioni di settore (cfr. per l’accesso di soggetti terzi ai dati raccolti a fini statistici, art. 5-ter del d.lgs n. 33 del 2013, nonché, più in generale, per i trattamenti a fini statistici, d.lgs. n. 322 del 1989).

Conseguentemente, il potere del Garante di autorizzare i trattamenti ulteriori non dovrebbe essere escluso per i dati genetici.

Infine, la previsione di un’autorizzazione specifica da parte del Garante per ciascun trattamento ulteriore, a fini di ricerca scientifica o a fini statistici, di dati personali inizialmente raccolti per altri scopi, non accompagnata dalla possibilità di rilasciare altresì, ove possibile, provvedimenti autorizzativi di tipo generale, in relazione a determinate categorie di titolari e di trattamenti, rischia di irrigidire eccessivamente le attività poste in essere in questo settore.

In conclusione, tutto ciò considerato, qualora le disposizioni di cui all’articolo 110-bis si volessero mantenere, il termine “riutilizzo” andrebbe innanzitutto sostituito, ovunque ricorra, con quello di “trattamento ulteriore da parte di terzi” (cfr. in tal senso, il considerando 50 del Regolamento). In secondo luogo, le predette disposizioni andrebbero coordinate meglio con le norme di settore sopra richiamate, specificando in particolare che l’autorizzazione del Garante può essere rilasciata anche in relazione a determinate categorie di titolari e di trattamenti e, in questo caso, è pubblicata nella Gazzetta Ufficiale. Infine, il terzo comma andrebbe riformulato specificando che il trattamento a fini di ricerca da parte degli IRCSS dei dati raccolti per l’attività clinica è effettuato nel rispetto di quanto prevede il Regolamento e in particolare dell’articolo 89 dello stesso.

2.7. Responsabile protezione dati

Appare opportuno estendere all’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali  diverse da quelle penali l’obbligo di designazione del responsabile della protezione dati, coerentemente con la scelta compiuta in occasione del recepimento della direttiva (UE) 2016/680, relativamente ai trattamenti svolti dall’autorità giudiziaria nell’esercizio della funzione giurisdizionale in sede penale (cfr. art. 28, AG 517, XVII legislatura.).

2.8. Informazioni in caso di ricezione di curricula

Con riferimento all’articolo 9, lett. c), dello schema di decreto che inserisce nel Codice l’articolo 111-bis, in materia di “informazioni in caso di ricezione di curricula”, al fine di meglio coordinare la disposizione con i principi del Regolamento, che esigono che l’interessato sia sempre informato in ordine al trattamento dei dati che lo riguardano, si propone di rivedere la norma nei termini di seguito indicati:

“1. Le informazioni di cui all’articolo 13 del Regolamento, nei casi di ricezione di curricula spontaneamente trasmessi dagli interessati al fine dell’instaurazione di un rapporto di lavoro, vengono fornite al momento del primo contatto utile, successivo all’invio del curriculum medesimo. Nei limiti delle finalità di cui all’articolo 6, par. 1, lett. b), del Regolamento, il consenso al trattamento dei dati presenti nei curricula non è dovuto”.

2.9.  Diritti riguardanti le persone decedute

All’articolo 2-duodecies dello schema di decreto, si ritiene utile garantire che la volontà dell’interessato di vietare l’esercizio dei diritti di accesso ai dati che lo riguardano non sia condizionata da eventuali valutazioni predeterminate da terzi. Si suggerisce, pertanto, di inserire all’interno della norma un ulteriore comma dal seguente tenore:

“3-bis. Sono nulle le clausole contrattuali che prevedono disposizioni in contrasto con quanto stabilito dai commi 2 e 3”.

Si valuti, infine, l’opportunità di assicurare un migliore coordinamento della disposizione in esame con la disciplina civilistica rilevante, in particolare in ordine alle implicazioni del divieto di cui ai commi 2 e 3 sull’esercizio, da parte dei terzi, dei diritti patrimoniali derivanti dalla morte dell’interessato nonché del diritto di difesa in giudizio.

2.10. Procedimento sanzionatorio amministrativo

In ordine alla procedura descritta dall’articolo 166, al comma 6 è opportuno prevedere la notificazione della contestazione all’interessato anziché una semplice comunicazione che, in quanto tale, è priva delle caratteristiche di certezza necessitate nell’ambito dei procedimenti sanzionatori e prescrittivi amministrativi.

2.11. Regole deontologiche relative ad attività giornalistiche

Con riferimento a quanto previsto per il codice deontologico dell’attività giornalistica dall’art. 139, comma 2, è opportuno chiarire meglio che la norma è destinata ad avere effetti anche oltre il periodo transitorio, sopprimendo le parole da: “Nel periodo compreso”, fino a: “successivamente”, conseguentemente collocando la disposizione all’ultimo comma dell’articolo.

2.12. Modalità di verifica delle autorizzazioni generali

Per quanto riguarda l’articolo 21 dello schema di decreto, in via preliminare si rileva, al comma 1, che andrebbe richiamato, tra le disposizioni “relative alle situazioni di trattamento”, anche l’articolo 9, par. 2, lett. b), del Regolamento, che disciplina il trattamento di dati particolari nel campo del diritto del lavoro e della protezione sociale, materia anch’essa oggetto di autorizzazione generale suscettibile di verifica.

Inoltre, i termini di novanta giorni, ivi stabiliti per consentire al Garante l’adozione del provvedimento generale con il quale si individuano le prescrizioni delle autorizzazioni generali compatibili con il Regolamento, appaiono troppo esigui. Ciò, soprattutto in considerazione degli adempimenti istruttori previsti ai fini dell’adozione che prevedono, in aggiunta, un ulteriore procedimento di consultazione pubblica. Tale procedimento aggiuntivo, infatti, – teso a consentire ai partecipanti la possibilità effettiva di concorrere a determinare la decisione finale grazie a un orizzonte temporale adeguato al processo di consultazione – non può (da solo) risultare inferiore a sessanta giorni (cfr. Linee guida sulla consultazione pubblica in Italia, pubblicate dalla Presidenza del Consiglio dei ministri, Ministro per la semplificazione e la pubblica amministrazione, 2017).

Al riguardo, pertanto, sarebbe opportuno rivedere i termini stabiliti nell’articolo prevedendo che il Garante predisponga lo schema di provvedimento da porre in consultazione pubblica entro novanta giorni dalla data di entrata in vigore del decreto e che il medesimo provvedimento venga adottato entro sessanta giorni dall’esito della consultazione pubblica.

In tal senso, al comma 1 dell’articolo 21 le parole “con provvedimento di carattere generale da adottarsi entro novanta giorni” dovrebbero essere sostituite dalle seguenti: “con provvedimento di carattere generale da porre in consultazione pubblica entro novanta giorni”, e il  secondo periodo del comma 1 dovrebbe essere riformulato come segue: “Il provvedimento di cui al presente comma è adottato entro sessanta giorni dall’esito del procedimento di consultazione pubblica”.

In coerenza con quanto appena osservato, al comma 2 dovrebbe prevedersi che la cessazione degli effetti delle autorizzazioni generali ritenute incompatibili dovrà prodursi al momento della pubblicazione in Gazzetta Ufficiale della versione finale del provvedimento. Pertanto, il comma 2, dovrebbe essere riformulato come segue:

“2. Le autorizzazioni generali, sottoposte a verifica a norma del comma 1, che sono state ritenute incompatibili con le disposizioni del regolamento (UE) 2016/679  cessano di produrre effetti al momento della pubblicazione in Gazzetta Ufficiale del provvedimento di cui al comma 1”.

Analoga previsione in ordine al momento di cessazione degli effetti deve essere introdotta al comma 3 per le autorizzazioni ivi previste.

Infine, in considerazione del fatto che le disposizioni delle autorizzazioni generali vigenti sono destinate a confluire (in parte, cioè quelle compatibili con il Regolamento) nel provvedimento generale di cui al comma 1, si propongono di seguito alcuni mirati perfezionamenti dei commi 4 e 5, volti ad un miglior coordinamento dell’intero articolo:

“4. Sino all’adozione delle regole deontologiche e delle misure di garanzia di cui agli articoli 2-quater, 2-septies del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196 producono effetti per la corrispondente categoria di dati e di trattamenti, le autorizzazioni generali di cui al comma 1 e le pertinenti prescrizioni del provvedimento di cui al comma 1.

5. Le violazioni delle prescrizioni contenute nelle autorizzazioni generali di cui al presente articolo e nel provvedimento generale di cui al comma 1 sono soggette alla sanzione amministrativa di cui all’articolo 83, paragrafo 5, del regolamento (UE) 2016/679.  “.

2.13.  Particolari trattamenti per ragioni di interesse pubblico

Per assicurare una piena corrispondenza e conformità all’articolo 36 del Regolamento cui la norma fa espresso rinvio, l’articolo 22, comma 5, dello schema di decreto andrebbe modificato, facendo opportuno riferimento a trattamenti svolti per l’esecuzione di un compito di interesse pubblico che può presentare rischi particolarmente elevati ai sensi dell’articolo 35 del Regolamento, disciplinati dallo schema nel nuovo articolo 2-quaterdecies del Codice.

Tenendo conto del disposto di tale ultimo articolo e del riferimento ai minorenni contenuti nel testo dello schema di decreto, l’osservazione potrebbe essere recepita riformulando la disposizione nei seguenti termini:

“5. A decorrere dal 25 maggio 2018, le disposizioni di cui ai commi 1022 e 1023 dell’articolo 1 della legge 27 dicembre 2017, n. 205 si applicano esclusivamente ai trattamenti dei dati personali funzionali all’autorizzazione del cambiamento del nome e/o del cognome dei minorenni. Con riferimento a tali trattamenti, il Garante per la protezione dei dati personali può, nei limiti e con le modalità di cui all’articolo 36 del regolamento (UE) 2016/679 adottare provvedimenti di carattere generale. Al fine di semplificare gli oneri amministrativi, i soggetti che rispettano le misure di sicurezza e gli accorgimenti prescritti ai sensi dell’articolo 2-quaterdecies sono esonerati dall’invio al Garante dell’informativa di cui al citato comma 1022. In sede di prima applicazione, le suddette informative sono inviate entro 60 giorni dalla pubblicazione in Gazzetta Ufficiale del provvedimento del Garante.”

3.Ulteriori osservazioni

Al fine di garantire maggiore conformità della disciplina interna al diritto dell’Unione europea, nonché per assicurare la necessaria certezza normativa, si propongono ulteriori modifiche ed integrazioni del testo, di seguito descritte

3.1. All’articolo 2-octies, non è del tutto chiaro il rapporto tra le disposizioni di cui ai primi tre commi. Si valuti pertanto l’opportunità di coordinare meglio le relative previsioni.

3.2. All’articolo 2-novies, appare opportuno assicurare un corretto coordinamento con la disciplina sulla valutazione, in sede giudiziaria, della validità, efficacia e utilizzabilità di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a norme legislative o regolamentari. A tal proposito, considerato che l’art. 160 riformulato dal decreto riguarda ormai soltanto i trattamenti di cui all’art. 58 del Codice, sarebbe opportuno separare la disposizione contenuta nel comma 5 dal resto dell’articolo 160, introducendo un apposito art. 160-bis, al quale l’art. 2-novies faccia rinvio con una clausola di salvaguardia.

3.3. L’articolo 2-quaterdecies inserito nel Codice dallo schema di decreto contiene la locuzione “rischi particolarmente elevati”, che sembra introdurre una nuova categoria di trattamenti i quali richiederebbero un intervento interpretativo per individuare le fattispecie soggette all’autorizzazione preliminare, di difficile apprezzamento da parte dei titolari e di dubbia compatibilità con il Regolamento. Il Regolamento, agli articoli 35 e 36, dei quali la disposizione in questione costituisce diretta attuazione, fanno riferimento solo a “rischi elevati”. Pertanto, si suggerisce di espungere l’avverbio “particolarmente” dal citato articolo 2-quaterdecies.

3.4. Con riferimento al Titolo VIII della Parte II del Codice (art. 9, comma 1, lett. d), dello schema), si osserva che la proposta nuova rubrica “Trattamento di dati riguardanti prestazioni di lavoro” va riferita, più correttamente, al Capo II e non al Capo III del Titolo in questione. La rubrica del Capo III del Codice, invece, va integrata con il riferimento al “lavoro agile” (si suggerisce la seguente locuzione: “Controllo a distanza, lavoro agile e telelavoro”).

Quanto all’articolo 114 del Codice (cfr. art. 9 comma 1, lett. e), dello schema), esso va mantenuto inalterato nel testo attualmente vigente (confermando cioè il mero rinvio all’articolo 4 dello Statuto dei lavoratori), mentre si suggerisce di perfezionarne la rubrica come segue: “Garanzie in materia di controllo a distanza”.

Il riferimento all’articolo 10 del decreto legislativo n. 276 del 2003 (che lo schema riporta nell’articolo 114 del Codice) deve essere, invece, inserito, ratione materiae, nell’articolo 113 del Codice, che già rinvia all’articolo 8 dello Statuto dei lavoratori in tema di divieto per il datore di lavoro di svolgere indagini sulle opinioni politiche, religiose e sindacali dei lavoratori. Il predetto articolo 10, infatti, ha esteso il divieto di indagini anche alle agenzie di lavoro e agli altri soggetti pubblici e privati autorizzati ad operare in tale settore.

3.5. E’ necessario confermare la vigenza dell’articolo 135 del Codice, concernente le regole deontologiche in materia di indagini difensive e investigazioni, con gli opportuni adattamenti (sostituendo cioè la locuzione “codice di deontologia e di buona condotta” con: “regole deontologiche”, sia nella rubrica che nel corpo dell’articolo). Tali regole deontologiche sono infatti confermate dallo schema di decreto (cfr. nuovo art. 2-quater del Codice e 20, comma 3, dello schema, nonché all. A6 del previgente Codice). L’osservazione può essere recepita espungendo il titolo XI del Codice (che reca come unica norma appunto l’articolo 135) dalle abrogazioni (art. 27, c. 1, lett. b, n. 9, dello schema).

3.6. Con riferimento all’articolo 11 dello schema di decreto, che ha modificato l’articolo 122, comma 1, del Codice, occorre sopprimere unicamente le parole “di cui all’articolo 13, comma 3”, in quanto l’informativa deve essere resa ora ai sensi degli articoli 13 e 14 del Regolamento, lasciando sopravvivere la previsione della possibilità di informare gli interessati “con modalità semplificate”. Infatti, va tenuto presente che nell’ambito dei servizi di comunicazione elettronica, che includono anche il trattamento attraverso siti web, il ricorso a modalità semplificate per informare gli interessati appare necessario al fine di non rendere sproporzionato l’adempimento  e rendere di immediata comprensione il trattamento che si intende effettuare, agevolando la “navigazione” nei siti medesimi (si pensi all’archiviazione dei c.d. cookie sui terminali degli interessati da parte dei siti Internet visitati).

3.7. Si suggerisce di espungere il secondo comma dell’articolo 75 del Codice, così come novellato, in quanto, da un lato, il richiamo all’articolo 23, par. 1, lett. e) non rileva, prevedendo la possibilità di introdurre limitazioni solo per finalità di sanità pubblica e sicurezza sociale e non per i trattamenti sanitari in generale; dall’altro lato, l’articolo 17, par. 3, lett. c), nonché l’articolo 20, par. 3, del Regolamento, già escludono rispettivamente l’applicabilità del diritto alla limitazione al settore della sanità pubblica e la sua applicazione di quello alla portabilità nei confronti dei trattamenti necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.

3.8. L’articolo 14, comma 1, lett. c), introduce il nuovo articolo 154-bis del Codice, il cui comma 3 prevede che il Garante disciplini le modalità di pubblicazione dei propri provvedimenti e “i casi di oscuramento delle generalità degli interessati”. Al riguardo, si fa presente che i casi in cui può essere opportuno l’oscuramento possono riguardare non solo l’interessato, ma anche il titolare del trattamento e tutti i soggetti citati all’interno dei provvedimenti stessi. Non è poi sufficiente prevedere l’oscuramento delle sole generalità, ma anche dei dati di contesto che possono rendere identificabili i soggetti interessati in maniera indiretta. Per tale motivo si propone di eliminare dal comma 3 l’inciso “delle generalità degli interessati”.

3.9. Si segnala un refuso all’articolo 132 del Codice come novellato, per cui il riferimento numerico della legge del 20 novembre 2017 va modificato da “164” in “167”.

3.10. All’articolo 18, comma 1, il dies ad quem per la definizione dei procedimenti sanzionatori da parte del Garante va individuato più correttamente nella data di effettiva applicazione del Regolamento (25 maggio 2018) e non già nel 21 marzo 2018, le ragioni della cui individuazione non appaiono chiare.

3.11. All’articolo 19, al comma 5, il dies ad quem per la definizione dei ricorsi da parte del Garante va individuato più correttamente nella data di effettiva applicazione (25 maggio 2018) e non già di entrata in vigore del Regolamento, di due anni precedenti.

3.12. All’articolo 21, comma 3, appare opportuno sostituire le parole “situazioni di trattamento diverse” con le seguenti: “trattamenti diversi”.

3.13. Al fine di meglio chiarire il disposto dell’articolo 25, fugando possibili dubbi interpretativi, appare opportuno:

a) al comma 3, dopo le parole: “sentenza inappellabile” inserire le seguenti: “di proscioglimento”;

b) al comma 5, precisare se la sanzione (cui si fa riferimento per calcolare l’entità del pagamento in misura ridotta) sia da intendersi con riferimento alla comminatoria edittale, ovvero alla sanzione in concreto irrogata.

Tale ultima precisazione appare opportuna, oltre che per esigenze di certezza normativa, anche per ragioni di compatibilità con l’articolo 16 della legge n. 689 del 1981.

TUTTO CIÒ PREMESSO, IL GARANTE

esprime, a maggioranza, parere favorevole sullo schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) con le condizioni di cui al paragrafo 1 e ai sotto-paragrafi 2.1.1, 2.1.2, 2.2., 2.5 e 2.6, nonché con le osservazioni di cui ai restanti punti.

Link al documento: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9163359

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

w

Connessione a %s...

This site uses Akismet to reduce spam. Learn how your comment data is processed.