E’ stato pubblicato sulla Gazzetta Ufficiale (serie generale n. 119 del 24/05/2018) il Decreto legislativo 18 maggio 2018, n. 51 emanato in attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio.
Il provvedimento – entrerà in vigore il 6 giugno 2018 – “si applica al trattamento interamente o parzialmente automatizzato di dati personali delle persone fisiche e al trattamento non automatizzato di dati personali delle persone fisiche contenuti in un archivio o ad esso destinati, svolti dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica”. Esso non si applica invece “ai trattamenti di dati personali: a) effettuati nello svolgimento di attività concernenti la sicurezza nazionale o rientranti nell’ambito di applicazione del titolo V, capo 2, del trattato sull’Unione europea e per tutte le attività che non rientrano nell’ambito di applicazione del diritto dell’Unione europea; b) effettuati da istituzioni, organi, uffici e agenzie dell’Unione europea”.
Da segnalare la previsione di una disciplina sanzionatoria, anche penale, contenuta negli artt. 37- 46.
La normativa mira a soddisfare anche per il nostro paese l’esigenza di garantire una libera circolazione dei dati personali che riguardano attività di prevenzione dei reati conciliata con un quadro giuridico solido e più coerente in materia di protezione dei dati personali nell’ambito dell’unione europea, affiancato da efficaci misure di attuazione.
Numerosi meccanismi analoghi al regolamento europeo, tra cui la previsione di un responsabile della protezione dei dati.
Il primo Capo riguarda i profili generali, i principi applicabili, i presupposti e le condizioni di legittimità del trattamento. Particolarmente rilevante, in tal senso, la disciplina dei presupposti di liceità del trattamento, che in coerenza con la Direttiva, ammette anche il regolamento quale fonte normativa ulteriore rispetto a quella legislativa, idonea alla previsione di specifici trattamenti (art. 5, c.1), anche di dati sensibili (art. 7) purché, in quest’ultimo caso, con la previsione di garanzie adeguate per i diritti e le libertà dell’interessato.
E’ riservata alla legge la previsione di processi decisionali automatizzati (ivi inclusa la profilazione), in ragione dei rischi che tali trattamenti possono comportare per le libertà e i diritti dell’interessato, e comunque sempre assistita da specifiche garanzie.
Il secondo Capo, intitolato ai diritti dell’interessato, si limita, essenzialmente, a recepire le norme di cui al Capo III della direttiva, prevedendo tuttavia che l’esercizio di tali diritti (ricezione di informazioni, accesso, rettifica, cancellazione, limitazione del trattamento) possa essere limitato, ritardato o escluso ove necessario a non compromettere, oltre a procedimenti giudiziari in senso stretto, anche quelli di prevenzione o comunque funzionali alla tutela della sicurezza pubblica o di altri interessi specificamente individuati all’articolo 14, comma 2.
Si è poi previsto che gli stessi diritti siano esercitabili, relativamente ai dati personali contenuti in atti giudiziari o nel casellario giudiziale, trattati in sede procedimentale ovvero esecutiva, conformemente alla disciplina di settore, al fine di salvaguardarne le specificità, avvalendosi della possibilità riconosciuta al legislatore nazionale dall’art. 18 della direttiva (art. 14, comma 1).
Il terzo Capo ha ad oggetto i profili generali riguardanti il titolare e il responsabile del trattamento, nonché la descrizione di alcuni dei principali obblighi, che vengono poi articolati con riferimento agli adempimenti funzionali alla sicurezza e alla nomina del responsabile della protezione dati. Questa parte contiene anche la previsione del parere obbligatorio del Garante sugli schemi di atti normativi di rango primario e secondario (oltre che, come già previsto oggi, sui decreti non aventi natura regolamentare) suscettibili di rilevare ai fini della garanzia del diritto alla protezione dei dati personali (art. 24, comma 2).
Vengono poi disciplinati gli obblighi in materia di sicurezza del trattamento, con particolare riguardo alla notifica della violazione dei dati personali e al responsabile della protezione dati, la cui nomina è stata prevista come obbligatoria anche per l’autorità giudiziaria, in ragione dell’ausilio che tale figura può fornire nella gestione di trattamenti complessi e spesso inerenti dati sensibili, quali appunto quelli svolti in sede giurisdizionale (art. 28).
Il Capo quarto si occupa di disciplinare i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali, mentre il quinto reca alcune norme di rilievo tra le quali, anzitutto, l’esclusione del potere di controllo del Garante in ordine alla legittimità del trattamento svolto dall’autorità giudiziaria nell’esercizio delle proprie funzioni, nel rispetto di quanto disposto dall’art. 45, par.2 della direttiva e con l’estensione di tale deroga al pubblico ministero, in ragione del particolare status riconosciutogli nel nostro ordinamento (art. 37, c.6) .
Sono state inoltre previste sanzioni amministrative, per la violazione delle norme di recepimento della direttiva, secondo lo schema generale previsto dal Regolamento, con i criteri e le garanzie ivi previsti, nonché con cornici edittali più elevate qualora la violazione concerna i diritti degli interessati o le norme sul trasferimento dei dati all’estero (art. 42).
Il Capo sesto reca le norme sanzionatorie penali, nel rispetto dello specifico criterio direttivo di cui all’articolo 11 della legge di delegazione. Oltre alla sostanziale riproduzione, in termini invariati, dei peculiari delitti di false dichiarazioni al Garante e inosservanza di provvedimenti dell’Autorità già previsti dal Codice, l’articolo 43 introduce una specifica fattispecie delittuosa (nella struttura in parte analoga a quella dell’attuale articolo 167 del Codice) di trattamento illecito di dati personali. Tale norma sanziona, in particolare, i trattamenti realizzati in violazione di talune specifiche disposizioni ritenute maggiormente rilevanti, con dolo (specifico) di danno o di profitto e in presenza della condizione di punibilità (intrinseca) della determinazione di un nocumento nei confronti dell’interessato.
Il Capo settimo riproduce essenzialmente, per esigenze di organicità, le norme di cui agli articoli 54 e 56 del Codice, che vengono contestualmente abrogate.
Il Capo ottavo contiene le norme di coordinamento, le abrogazioni e la clausola di invarianza finanziaria.
Già leggendo le varie disposizioni è facile riscontrare numerosi punti di contatto con il regolamento europeo. Ad esempio il fatto che sia individuato un responsabile della protezione dei dati rispecchia la nuova impostazione data dagli organi legislativi dell’unione europea, che desiderano introdurre una figura terza, con poteri di controllo imparziale.
L'Ufficio Legale di AECI assiste i soci per la per la consulenza in materia di privacy e protezione dati e nella tutela dei diritti in sede penale, civile e amministrativa.
ISCRIVITI ON LINE PER RICEVERE CONSULENZA PERSONALIZZATA
scrivi a info@aecifirenze.it
o telefona al numero 055 9362294
