Con comunicato stampa n. 69 dell’8 febbraio, il Consiglio dei Ministri ha reso nota l’approvazione di alcuni Decreti Legislativi, recanti misure di attuazione e adeguamento della normativa nazionale a Direttive e Regolamenti europei.
Tra gli altri, in attuazione della direttiva (UE) del Parlamento europeo e del Consiglio n. 680 del 27 aprile 2016, è stato approvato, in esame preliminare, un Decreto Legislativo in materia di trattamento e circolazione dei dati personali a fini di pubblica sicurezza e penali[1].
Tale provvedimento, incide prevalentemente sul trattamento dei dati ad opera delle autorità competenti, a fini preventivi, di indagine, di accertamento e perseguimento di reati o di esecuzione di sanzioni penali.
Il Decreto, è inteso, quindi, a riordinare e unificare la disciplina del trattamento di dati personali in ambito penale, soprattutto riguardo alle strategie di prevenzione e repressione dei reati, l’esecuzione delle sanzioni penali e la tutela della pubblica sicurezza. È possibile identificare nel testo, un vero e proprio statuto, indirizzato a fornire un corpus normativo unitario, che definisca sia i principi generali, sia le disposizioni di dettaglio di questo particolare settore. La nuova normativa supera e sostituisce in gran parte quella attualmente contemplata nei titoli primo e secondo della parte seconda del Codice sul trattamento dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, dedicate a specifici settori, in particolare quello giudiziario e quello dei trattamenti da parte delle forze di polizia.
Addentrandoci nel merito della normativa, si evince un forte approccio garantistico nei confronti della tutela dei dati personali, stabilendo che gli stessi non possano essere custoditi oltre il tempo sufficiente al raggiungimento delle finalità prefissate. Viene altresì disposto un esame periodico, volto a validare la perdurante necessità della conservazione dei dati o, al contrario, la possibilità di addivenire ad una loro anonimizzazione o cancellazione.
Le innovazioni pervadono anche la categorizzazione dei dati (distinguendo quelli fondati su fatti da quelli basati su valutazioni) e degli interessati (in base alla loro specifica posizione processuale). Una riflessione risulta necessaria anche in merito ai diritti dell’interessato riguardo il trattamento dei dati, la cui tutela, rimane affidata alle norme che in ambito giudiziario penale disciplinano i diritti di difesa: sarà di conseguenza necessario effettuare un bilanciamento di interessi tra diritti delle parti e le esigenze processuali, di indagine e prevenzione.
Ponendo mente al fatto che “i trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse” non rientrano nell’ambito di applicazione materiale del GDPR, ex art. 2, lett. d), il Provvedimento sembra collocarsi in una più ampia prospettiva di armonizzazione sistematica della normativa in materia di trattamento dei dati personali, in vista della prossima esecutività del Regolamento europeo. Sarebbe auspicabile, a questo punto che il Legislatore si ponga in una prospettiva di coerenza nella stesura dei successivi Decreti Legislativi di adeguamento alle disposizioni del Regolamento UE 2016/679 (ex art. 13 Legge di delegazione europea n. 163/2017).
Tra le previsioni più rilevanti del Provvedimento (che comunque, ad oggi, non è stato pubblicato) appare di primaria importanza la nomina obbligatoria del responsabile della protezione dati (DPO) anche per l’autorità giudiziaria, un dettame certamente assennato la cui logica va necessariamente condivisa, sia in ragione della natura dei dati trattati in tali contesti, sia in ragione della necessità di “educare” attraverso profili di spessore (come si spera possa essere il DPO) ad un rigoroso rispetto della normativa di settore. Sarà sicuramente interessante prendere atto, in concreto, del ruolo che il Professionista andrà a svolgere negli uffici giudiziari, anche per evitare applicazioni in conflitto con l’articolo 37 del GDPR [2].
Le disposizioni investono anche il trasferimento dei dati personali verso paesi terzi (ossia, extra UE) o organizzazioni internazionali, avulsi dall’ambito di applicazione del GDPR, che potrebbero non assicurare un livello di protezione dei dati personali equivalente a quello garantito dalla normativa europea. In merito, si stabilisce che il trasferimento sia permesso solo per questioni di pubblica sicurezza e in costanza di precise condizioni (ad esempio l’adozione di una decisione di adeguatezza da parte della Commissione Europea), di garanzie adeguate e comunque verso autorità competenti.
Ancora una volta, viene individuata nella figura del Garante nazionale l’autorità di riferimento per il controllo del rispetto delle norme attuative della direttiva, escludendone tuttavia la competenza in merito al trattamento effettuato dall’autorità giudiziaria durante l’espletamento di funzioni giurisdizionali, comprese quelle del PM.
Il testo, dispone inoltre un impianto sanzionatorio, di sicura utilità, le cui sanzioni amministrative più elevate (da 50mila a 150mila euro) sono previste per violazioni inerenti le modalità di trattamento, mentre quelle di natura penale riguardano trattamenti posti in essere per finalità illegittime.
[1] Il provvedimento abroga la decisione quadro 2008/977/GAI del Consiglio (Presidenza del Consiglio e Ministero della giustizia – esame preliminare).
[2] tale articolo dispone la designazione del DPO per i trattamenti svolti da autorità o organismi pubblici, con espressa eccezione delle “autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.