PDL 864

Onorevoli Colleghi! – Con la recente sentenza nella causa C-154/21, pubblicata lo scorso 12 gennaio 2023, la Corte di giustizia dell'Unione europea (CGUE) ha affermato che qualora i dati personali siano stati o saranno comunicati a destinatari, il titolare del trattamento è obbligato a fornire all'interessato, su sua richiesta, l'identità stessa di tali destinatari. Solo nel caso in cui dimostri che la richiesta è manifestamente infondata o eccessiva o che non sia (ancora) possibile identificare tali destinatari, il titolare del trattamento può limitarsi a indicare unicamente le categorie di destinatari a cui vengono comunicati i dati.
Con il principio enunciato, dunque, la CGUE riconosce a ogni persona il diritto di sapere a chi sono stati comunicati i propri dati personali, ponendo la consapevolezza del cittadino sull'utilizzo dei propri dati personali alla base dell'esercizio delle diverse tutele che l'ordinamento gli riconosce. La CGUE, infatti, ha sottolineato che il diritto di accesso è necessario per esercitare gli altri diritti riconosciuti dal regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, come il diritto di rettifica, il diritto alla cancellazione, il diritto di limitazione di trattamento, il diritto di opposizione al trattamento o il diritto di agire in giudizio nel caso in cui si subisca un danno.
Il principio di diritto sancito dalla CGUE trova il suo presupposto normativo nell'articolo 15 del regolamento generale sulla protezione dei dati (RGPD) di cui al citato regolamento (UE) 2016/679, ove si disciplina il diritto di accesso dell'interessato ovvero il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l'accesso ai dati personali e alle informazioni previste dalle disposizioni.
Alla base dell'esercizio del diritto di accesso, come disciplinato dal citato regolamento (UE) 2016/679, vi è la richiesta dell'interessato. Tale richiesta presuppone la piena consapevolezza del richiedente dei diritti ad esso spettanti.
Ancora oggi, tuttavia, si riscontra una scarsa consapevolezza dei cittadini in merito al trattamento dei propri dati personali, con particolare riferimento all'ampiezza e alle conseguenze del consenso al trattamento, soprattutto quando tale esercizio avviene a distanza, come con le modalità digitali. Si pensi, ad esempio, al momento in cui si accetta l'utilizzo di applicazioni o si presta il consenso all'atto dell'accesso a siti internet, fornendo informazioni private, molte volte non pertinenti rispetto a quelle necessarie per le finalità della fruizione del servizio.
Ogni volta che si presta il consenso all'utilizzo dei propri dati personali avviene di fatto una cessione del dato, spesso senza tenere in debita considerazione l'interconnessione sussistente con i propri diritti e libertà individuali. Si pensi, ad esempio, ai tanti casi di utilizzo del proprio nome e della propria immagine per finalità non autorizzate.
Come rappresentato nell'ultima relazione annuale del Garante per la protezione dei dati personali, dal 1° gennaio al 31 dicembre 2021 sono state notificate all'Autorità ben 2.071 violazioni dei dati personali ai sensi dell'articolo 33 del RGPD o dell'articolo 26 del decreto legislativo 18 maggio 2018, n. 51, da parte di soggetti pubblici (50,5 per cento) e privati (49,5 per cento).
Sotto tale profilo, il tema della protezione dei dati personali e della consapevolezza del trattamento da parte dell'interessato riveste importanza tale da richiedere l'adozione di adeguate misure di protezione. A tal fine, è necessario garantire la più ampia diffusione dell'accesso alle informazioni relative al trattamento.
Tale necessità è oggi ancor più dirimente in conseguenza dell'imponente avanzamento tecnologico cui stiamo assistendo e dell'importanza della gestione dei dati personali nelle quotidiane relazioni sociali e di lavoro.
Per le ragioni suddette la presente proposta di legge intende potenziare il diritto di accesso di cui all'articolo 15 del RGPD attraverso l'istituzione di un registro pubblico dei dati personali, garantendo a ciascun interessato l'accesso gratuito e illimitato a tutte le informazioni connesse al trattamento dei propri dati personali.
L'articolo 1 reca le definizioni ai fini della presente legge. Oltre al richiamo alle definizioni in uso nella normativa vigente previste dal RGPD e dal codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, si definisce il «soggetto titolare del trattamento dei dati personali» ovvero qualunque soggetto, persona fisica o giuridica, che intenda effettuare il trattamento dei dati personali attraverso qualsiasi modalità nell'esercizio di un'attività commerciale, industriale, artigianale o professionale, ivi compresa la gestione di piattaforme digitali, nonché per fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
L'articolo 2, comma 1, prevede l'istituzione del registro pubblico dei dati personali. Il comma 2 precisa l'ambito applicativo individuando le finalità del trattamento oggetto dell'obbligo di comunicazione. Il comma 3 prevede l'esclusione dall'ambito di applicazione della norma dei dati personali trattati dalle pubbliche amministrazioni nonché per finalità statistiche dagli enti e dagli uffici di statistica appartenenti al Sistema statistico nazionale ai sensi del decreto legislativo 6 settembre 1989, n. 322. Il comma 4, infine, autorizza il Ministero delle imprese e del made in Italy, acquisito il parere del Garante per la protezione dei dati personali, ad estendere l'applicazione dell'obbligo di comunicazione dei dati anche a soggetti diversi nonché di ampliare il novero delle informazioni da comunicare.
L'articolo 3 disciplina la gestione del registro nonché le modalità di funzionamento. Il comma 1 attribuisce al Ministero delle imprese e del made in Italy il compito di istituire e gestire il registro anche affidandone la realizzazione e la gestione a soggetti terzi che ne assumono interamente gli oneri finanziari e organizzativi, mediante contratto di servizio, nel rispetto del codice dei contratti pubblici, di cui al decreto legislativo 18 aprile 2016, n. 50. Il comma 2 prevede la possibilità per il Ministero delle imprese e del made in Italy di avvalersi della collaborazione dell'Istituto nazionale della previdenza sociale e dell'Agenzia delle entrate, ovvero altri soggetti individuati con decreto, anche attraverso l'implementazione di piattaforme o sistemi informativi esistenti. Il comma 3 attribuisce inoltre al Ministro delle imprese e del made in Italy la definizione con proprio decreto, di concerto con il Ministro dell'economia e delle finanze, acquisiti i pareri, per i relativi profili di competenza, dell'Autorità per le garanzie nelle comunicazioni e del Garante per la protezione dei dati personali, delle modalità di istituzione, tenuta e funzionamento del registro nonché l'individuazione del soggetto gestore e le modalità di comunicazione dell'attivazione del registro.
L'articolo 4 reca la disciplina degli obblighi di comunicazione. Il comma 1 individua l'oggetto di comunicazione nelle seguenti informazioni: i dati personali in loro possesso di cui si è acquisito il consenso al trattamento; le modalità di acquisizione dei dati e del consenso; le finalità del trattamento; il responsabile del trattamento e gli autorizzati al trattamento; i terzi a cui sono stati trasmessi i dati e le finalità della trasmissione. Il comma 2 definisce i termini di applicazioni introducendo l'obbligo di invio trimestrale dei dati. Quanto alla prima applicazione, al fine di consentire l'adeguamento dei sistemi di comunicazione per il corretto adempimento degli obblighi di cui al presente articolo, si consente di effettuare il primo invio dei dati a decorre dal terzo trimestre successivo all'attivazione del registro. Il comma 3 precisa che le modalità di gestione del registro non devono consentire il trasferimento dei dati personali in esso contenuti, prevedendo sistemi automatizzati che permettano al gestore di ricevere i dati comunicati, confrontarli con i dati contenuti nel registro e aggiornarli. Il comma 4 disciplina il regime sanzionatorio prevedendo che la violazione degli obblighi di comunicazione di cui al presente articolo è soggetta alle sanzioni di cui all'articolo 83, comma 5, del RGDP.
L'articolo 5 disciplina l'accesso al registro attribuendo a ciascun interessato il diritto di accesso gratuito e illimitato, previo riconoscimento di strumenti di identificazione e autenticazione elettronica. Si precisa che l'accesso è riservato esclusivamente per la consultazione dei dati personali riferibili all'interessato.
L'articolo 6, al fine di garantire la massima diffusione del diritto di accesso al registro, prevede l'istituzione di una campagna informativa nonché l'obbligo per i soggetti titolari del trattamento dei dati personali di individuare strumenti di sensibilizzazione della clientela sulle finalità del registro, anche con l'inserimento di specifiche informative nei documenti di fatturazione o di promozione commerciale.
L'articolo 7 disciplina la vigilanza e il controllo sull'organizzazione e il funzionamento del registro attribuendola al Garante per la protezione dei dati personali.
L'articolo 8 disciplina l'accesso al registro da parte delle pubbliche amministrazioni.
L'articolo 9, infine, reca le disposizioni finanziarie.

PROPOSTA DI LEGGE

Art. 1.
(Definizioni)

1. Ai fini della presente legge, si intende per:

a) «codice»: il codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196;

b) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile utilizzata per le finalità di cui alla lettera d);

c) «interessato»: qualsiasi persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, i dati relativi all'ubicazione, un identificativo on line o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

d) «soggetto titolare del trattamento dei dati personali»: qualunque soggetto, persona fisica o giuridica, che intenda effettuare il trattamento dei dati personali attraverso qualsiasi modalità nell'esercizio di un'attività commerciale, industriale, artigianale o professionale, ivi compresa la gestione di piattaforme web, e per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale;

e) «terzo»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo diverso dall'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile;

f) «piattaforma digitale»: qualsiasi software accessibile agli utenti, compresi i siti internet o parti di essi e le applicazioni, anche mobili, che consente il collegamento con altri utenti sulle reti sociali telematiche o per finalità commerciali, vendita o offerta di beni e servizi;

g) «pubbliche amministrazioni»: un'amministrazione pubblica di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, ivi comprese le autorità indipendenti e le amministrazioni inserite nell'elenco di cui all'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, nonché una società a controllo pubblico statale o, limitatamente ai gestori di servizi pubblici, locale, prevista dall'articolo 16 del testo unico in materia di società a partecipazione pubblica, di cui al decreto legislativo 19 agosto 2016, n. 175, con esclusione, per le società a controllo pubblico, dei trattamenti correlati ad attività svolte in regime di libero mercato;

h) «registro pubblico dei dati personali»: il registro istituito ai sensi della presente legge;

i) «gestore del registro»: il Ministero delle imprese e del made in Italy o il soggetto terzo al quale può essere affidata la realizzazione e la gestione del servizio;

l) «RGPD»: regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);

m) «autorità vigilante»: il Garante per la protezione dei dati personali.

Art. 2.
(Finalità e ambito di applicazione)

1. Ai fini di una maggiore consapevolezza dei cittadini in merito all'utilizzo dei propri dati personali e in coerenza con gli obiettivi e gli indirizzi dell'Unione europea in materia di protezione dei dati personali e di diritto di accesso al relativo trattamento, è istituito il registro pubblico dei dati personali, di seguito denominato «registro».
2. Il registro è istituito mediante la realizzazione di un sistema informativo, accessibile a ciascun interessato, di aggregazione dei dati personali utilizzati da titolari del trattamento attraverso qualsiasi modalità, per le seguenti finalità:

a) esercizio di un'attività commerciale, industriale, artigianale o professionale;

b) gestione di una piattaforma digitale;

c) invio di materiale pubblicitario o di vendita diretta di beni o servizi;

d) compimento di ricerche di mercato o di comunicazione commerciale.

3. Restano esclusi dall'ambito di applicazione della presente legge i trattamenti di dati personali effettuati dalle pubbliche amministrazioni di cui all'articolo 8 per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri ad esse attribuiti. Sono altresì esclusi i trattamenti di dati personali per finalità statistiche effettuati dagli enti e dagli uffici di statistica appartenenti al Sistema statistico nazionale ai sensi del decreto legislativo 6 settembre 1989, n. 322.
4. Con decreto del Ministro delle imprese e del made in Italy, acquisito il parere del Garante per la protezione dei dati personali, possono essere individuati ulteriori ambiti di applicazione del presente articolo.

Art. 3.
(Gestione e funzionamento del registro)

1. Il Ministero delle imprese e del made in Italy provvede alla istituzione e alla gestione del registro anche affidandone la realizzazione e la gestione a soggetti terzi che ne assumono interamente gli oneri finanziari e organizzativi, mediante contratto di servizio, nel rispetto del codice dei contratti pubblici, di cui al decreto legislativo 18 aprile 2016, n. 50.
2. Per le finalità di cui al comma 1, il Ministero delle imprese e del made in Italy può avvalersi della collaborazione dell'Istituto nazionale della previdenza sociale e dell'Agenzia delle entrate, ovvero di altri soggetti individuati con il decreto di cui al comma 3, anche attraverso l'implementazione di piattaforme o sistemi informativi esistenti.
3. Nel rispetto dei princìpi di cui alla presente legge, con decreto del Ministro delle imprese e del made in Italy, di concerto con il Ministro dell'economia e delle finanze, acquisiti i pareri, per i relativi profili di competenza, dell'Autorità per le garanzie nelle comunicazioni e del Garante per la protezione dei dati personali, che si esprimono entro il termine di trenta giorni, sono stabilite le modalità di istituzione, tenuta e funzionamento del registro nonché di individuazione del soggetto gestore e di comunicazione dell'attivazione del registro.

Art. 4.
(Obblighi di comunicazione a carico dei soggetti titolari del trattamento e sanzioni)

1. I soggetti titolari del trattamento dei dati personali trasmettono, secondo le modalità stabilite con il decreto di cui al comma 3 dell'articolo 3, le seguenti informazioni:

a) i dati personali in loro possesso di cui è stato acquisito il consenso al trattamento;

b) le modalità di acquisizione dei dati e del consenso;

c) le finalità del trattamento;

d) il responsabile del trattamento e i soggetti autorizzati al trattamento;

e) i terzi a cui sono stati trasmessi i dati e le finalità della trasmissione.

2. La comunicazione dei dati personali raccolti deve avvenire con cadenza almeno trimestrale, entro il mese successivo al trimestre di riferimento. Al fine di consentire l'adeguamento dei sistemi di comunicazione per il corretto adempimento degli obblighi di cui al presente articolo, il primo invio dei dati è effettuato a decorrere dal terzo trimestre successivo all'attivazione del registro.
3. Le modalità di gestione del registro non devono consentire il trasferimento dei dati personali in esso contenuti, prevedendo sistemi automatizzati che permettano al gestore di ricevere i dati comunicati, di confrontarli con i dati contenuti nel registro e di aggiornarli.
4. La violazione degli obblighi di comunicazione di cui al presente articolo è soggetta alle sanzioni di cui all'articolo 83, paragrafo 5, del RGPD.

Art. 5.
(Accesso al registro)

1. Il diritto di accesso al registro può essere esercitato da ciascun interessato, riconosciuto attraverso strumenti di identificazione e autenticazione elettronica, esclusivamente per la consultazione dei dati personali ad esso riferibili.
2. L'accesso al registro da parte di ciascun interessato è illimitato e gratuito.

Art. 6.
(Campagna informativa)

1. Ai sensi dell'articolo 4 del codice del consumo, di cui al decreto legislativo 6 settembre 2005, n. 206, nell'ambito delle risorse a tale fine disponibili del fondo di cui all'articolo 148, comma 1, primo periodo, della legge 23 dicembre 2000, n. 388, il Ministero delle imprese e del made in Italy e la Presidenza del Consiglio dei ministri, in collaborazione con il Consiglio nazionale dei consumatori e degli utenti, realizzano e promuovono una campagna informativa, da attuare nel corso del primo semestre di funzionamento del registro a partire dalla sua effettiva realizzazione, al fine di favorire la massima diffusione e conoscenza tra i cittadini del diritto all'accesso al trattamento dei dati personali e delle modalità di funzionamento del registro.
2. Per le medesime finalità, i soggetti titolari del trattamento dei dati personali mettono a disposizione dei propri clienti analoghi strumenti di sensibilizzazione sulle finalità del registro, anche con l'inserimento di specifiche informative nei documenti di fatturazione o di promozione commerciale.

Art. 7.
(Vigilanza e controllo)

1. La vigilanza e il controllo sull'organizzazione e il funzionamento del registro sono attribuiti al Garante per la protezione dei dati personali.
2. Il gestore del registro assicura l'accesso da parte dell'autorità vigilante, al fine di eseguire i controlli sull'organizzazione e sul funzionamento del registro stesso, nonché per ogni altra verifica o ispezione che risulti necessaria secondo quanto previsto dal RGPD e dal codice.

Art. 8.
(Accesso al registro da parte di pubbliche amministrazioni)

1. Fermo restando ogni altro obbligo previsto dal RGDP e dal codice, è sempre ammesso l'accesso al registro da parte delle pubbliche amministrazioni ove necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri ad esse attribuiti.

Art. 9.
(Disposizioni finanziarie)

1. Per le finalità di cui alla presente legge, è autorizzata la spesa complessiva di 2 milioni di euro annui a decorrere dall'anno 2023, ai fini dell'esecuzione o dell'affidamento dei servizi di progettazione, realizzazione, gestione e manutenzione, anche evolutiva, del registro da parte del Ministero delle imprese e del made in Italy.
2. Agli oneri di cui al comma 1 si provvede mediante corrispondente riduzione del Fondo di cui all'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190.