Camera dei deputati - XVI Legislatura - Dossier di documentazione (Versione per stampa)
Autore: Ufficio Rapporti con l'Unione Europea
Titolo: Nuovo quadro giuridico per la protezione dei dati personali nell'Unione europea (COM(2012)10 e 11)
Serie: Documentazione per le Commissioni - Esame di atti e documenti dell'UE    Numero: 120
Data: 19/03/2012
Descrittori:
TUTELA DELLA RISERVATEZZA     
Nota: Questo dossier contiene materiale protetto dalla legge sul diritto d'autore, pertanto la versione html è parziale. La versione integrale in formato pdf può essere consultata solo dalle postazioni della rete Intranet della Camera dei deputati (ad es. presso la Biblioteca)


Camera dei deputati

XVI LEGISLATURA

 

 

 

 

 

 

 

Documentazione per le Commissioni

esame di atti e documenti dell’unione europea

 

 

 

 

 

Nuovo quadro giuridico per la protezione dei dati personalinell’Unione europea

(COM(2012)10 e 11)

 

 

 

 

 

 

 

 

 

 

 

 

 

n. 120

 

19 marzo 2012

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Il dossier è stato curato dall’Ufficio rapporti con l’Unione europea
(' 066760.2145 - * cdrue@camera.it)

Il capitolo “L’impatto delle proposte sull’ordinamento nazionale” è stato curato dal Dipartimento giustizia del Servizio Studi, (' 066760.9148)

 

_____________________________________________________________

I dossier dei servizi e degli uffici della Camera sono destinati alle esigenze di documentazione interna per l'attività degli organi parlamentari e dei parlamentari. La Camera dei deputati declina ogni responsabilità per la loro eventuale utilizzazione o riproduzione per fini non consentiti dalla legge.

 


 

I N D I C E

 

Scheda di lettura   1

Dati identificativi3

·         Finalità/Motivazione  4

·         Contenuti della proposta di regolamento COM(2012)11  5

·         Contenuti  della proposta di direttiva COM(2012)10  17

·         Base giuridica  20

·         Sussidiarietà  21

·         Esame presso le Istituzioni dell’UE   22

·         Esame presso altri Parlamenti nazionali22

L’impatto delle proposte sull’ordinamento nazionale   25

·         Il Codice in materia di protezione dei dati personali25

·         Il confronto tra il Codice della privacy e la proposta di regolamento: le principali differenze  26

·         Il quadro normativo interno sul trattamento dei dati personali per finalità di giustizia e di polizia  34

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 

Scheda di lettura



 

 

Dati identificativi

Tipo di atto

Proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (COM(2012)11)

Data di adozione

25 gennaio 2012

Base giuridica

Art. n. 16 del TFUE

Settori di intervento

Protezione della vita privata, diritti della persona

 

Tipo di atto

Proposta di direttiva del Parlamento europeo e del Consiglio concernente la tutela della persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti ai fini della prevenzione, indagine , accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libra circolazione di tali dati

Data di adozione

25 gennaio 2012

Base giuridica

Art. n. 16, par. 2 del TFUE

Settori di intervento

Lotta alla criminalità Protezione della vita privata, diritti della persona

 

Assegnazione delle proposte

14 febbraio 2012 – II  Commissione Giustizia

Termine per il controllo di sussidiarietà

10 aprile 2012

Eventuale segnalazione da parte del Governo

Segnalate

 

 

Il 25 gennaio 2012 la Commissione europea ha presentato un pacchetto di proposte volte all’istituzione di un nuovo quadro giuridico europeo per la protezione dei dati personali nell’Unione europea, comprendente:

·         la  proposta di regolamento del Parlamento europeo e del Consiglio COM(2012)11 concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati) che abroga la direttiva 95/46/CE

·         la proposta di direttiva (COM(2012)10 del Parlamento europeo e del Consiglio concernente la tutela della persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti ai fini della prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libra circolazione di tali dati, che abroga la decisione quadro 2008/977/GAI

 

Finalità/Motivazione

Il pacchetto di proposte, in linea con le indicazioni del Programma di Stoccolma per lo Spazio di libertà, sicurezza e giustizia per il periodo 2010-2014, intende rafforzare la tutela dei dati personali nell’UE, sostituendo la normativa vigente con strumenti giuridici maggiormente vincolanti:

 

·         un regolamento in sostituzione della direttiva 95/46/CE, in modo da ottenere una uniforme applicazione delle disposizioni generali sulla protezione dei dati  in tutto il territorio dell’UE. L’applicabilità diretta del regolamento nei diversi ordinamenti nazionali dovrebbe permettere di ridurre la frammentazione giuridica e offrire maggiori certezze grazie all’introduzione di una serie di norme di base armonizzate.

·          una direttiva in sostituzione della decisione quadro 2008/977/GAI per la protezione dei dati nell’ambito delle attività svolte a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali. La Commissione intende avvalersi delle novità introdotte dal Trattato di Lisbona, che, abolendo la precedente struttura a pilastri, ha permesso di estendere alla  cooperazione giudiziaria e di polizia in materia penale (ex terzo pilastro) gli strumenti legislativi (regolamenti e direttive) prima riservati alle materia comunitarie (ex primo pilastro).

La Commissione ritiene che la  direttiva sia lo strumento migliore per garantire l’armonizzazione a livello dell’UE  e per dare al tempo stesso la flessibilità necessaria agli Stati membri, in un settore particolarmente delicato quale la cooperazione giudiziaria e di polizia in materia penale.

 

In particolare, la Commissione intende:

·            rafforzare la dimensione “mercato interno” della protezione dei dati, aumentando la coerenza e semplificando il quadro normativo, in modo da eliminare i costi inutili e diminuire l’onere amministrativo per le imprese;

A tale proposito la Commissione sottolinea che, sebbene la direttiva 95/46/CE  miri a garantire un livello equivalente di protezione dei dati nell’Unione, le persistenti differenze quanto all’applicazione delle norme nei diversi Stati membri sono tali da  produrre oneri amministrativi per le imprese pari a circa 3 miliardi di euro all’anno e disincentivano le PMI che operano nel mercato unico dall’espandere le loro attività all’estero. Una notevole difformità tra ordinamenti nazionali è altresì rilevata dalla Commissione europea per quanto  riguarda le risorse e poteri delle  autorità nazionali di protezione dei dati, la cui cooperazione a livello europeo  – attraverso l’attuale gruppo consultivo (gruppo di lavoro “articolo 29”) – non garantisce sempre un’applicazione coerente della normativa.

 

·         rendere più effettivo il diritto fondamentale alla protezione dei dati e consentire alle persone fisiche di mantenere il controllo dei loro dati;

La Commissione sottolinea che a causa dell’assenza di armonizzazione delle legislazioni nazionali sulla protezione dei dati e dei poteri diseguali delle autorità di protezione dei dati, l’esercizio dei diritti da parte delle persone fisiche è più difficile in alcuni Stati membri rispetto ad altri. Inoltre la Commissione rileva la necessità di adeguare il quadro normativo in considerazione dello sviluppo delle attività on-line e  della rapidità dell’evoluzione tecnologica.

 

·         migliorare la coerenza del quadro dell’Unione sulla protezione dei dati, anche nel settore della cooperazione di polizia e giudiziaria in materia penale.

Nella relazione sull’attuazione della decisione quadro 2008/977/GAI, presentata lo stesso 25 gennaio COM(2012)12, la Commissione europea rileva che la decisione quadro prevede numerose possibilità di deroga ai principi generali della protezione dei dati a livello nazionale, e quindi non ne garantisce l’armonizzazione. In particolare l’Italia e i Paesi Bassi hanno fatto presente la difficoltà di stabilire, nella pratica, una differenza tra il trattamento transfrontaliero dei dati ai sensi della decisione quadro 2008/977/GAI e il trattamento a livello nazionale, e la conseguente complessità per le autorità nazionali di contrasto di applicare norme di trattamento diverse agli stessi dati personali. L’Italia, la Repubblica ceca e i Paesi Bassi hanno inoltre espresso perplessità sulle norme relative ai trasferimenti internazionali contenute nella decisione quadro. In particolare, l’Italia ha sottolineato la necessità di prevedere un livello adeguato e più uniforme di protezione per i trasferimenti di dati verso paesi terzi.

 

Contenuti della proposta di regolamento COM(2012)11

Rispetto alla direttiva 95/46/CE, comprendente sette capi e 34 articoli, la proposta di regolamento riorganizza il contenuto, ampliandolo notevolmente  e declinandolo in ben 91 articoli.  

In particolare, l’articolo 2 esclude dall’ambito di applicazione del regolamento i trattamenti di dati personali:

·         effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione, concernenti in particolare la sicurezza nazionale;

·         effettuati da istituzioni, organi e organismi dell’Unione;

·         effettuati dagli Stati membri nell’esercizio di attività che rientrano nel campo di applicazione del capo 2 del trattato sull’Unione europea (disposizioni specifiche sulla politica estera e di sicurezza);

·         effettuati da una persona fisica senza finalità di lucro per l’esercizio di attività esclusivamente personali o domestiche;

·         effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali.

Per quanto riguarda l’ambito territoriale di applicazione (art. 3), la proposta prevede che il regolamento si applichi al trattamento dei dati personali effettuato nell’ambito delle attività di un responsabile del trattamento o di un incaricato del trattamento stabilito nel territorio dell’Unione. Il regolamento si appliccherà anche  al trattamento dei dati personali di residenti nell’Unione effettuato da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:

a)   l’offerta di beni o la prestazione di servizi ai suddetti residenti nell’Unione, oppure

b)   il controllo del loro comportamento.

Il regolamento si applicherà inoltre al trattamento dei dati personali effettuato da un responsabile del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto nazionale di uno Stato membro, in virtù del diritto internazionale pubblico.

 

Di seguito vengono illustrate la principali modifiche introdotte dalla proposta rispetto alla normativa vigente:

Disposizioni volte a rafforzare il diritto alla protezione dei dati

All’articolo 4 (Definizioni) del Capo I (Disposizioni generali) viene specificato che si intende per “consenso dell’interessato” qualsiasi manifestazione di volontà libera, specifica informata ed esplicita con la quale l’interessato accetta, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. Si precisa inoltre, cosa che non faceva la direttiva 95/46/CE il consenso deve essereesplicito” ed esclude, quindi, il consenso tacito o passivo.

L’articolo 8 (Capo II - Principi) introduce specifiche  condizioni per la liceità del trattamento dei dati personali personali dei minori, stabilendo che per i minori di età inferiore ai tredici anni il consenso deve essere espresso o autorizzato dal genitore o dal tutore del minore.

 Il divieto generale al trattamento di categorie particolari di dati personali (art.9), già previsto dalla normativa vigente, (dati personali che rivelino la razza, l’origine etnica, le opinioni politiche, la religione o le convinzioni personali, l’appartenenza sindacale, come pure il trattamento di dati genetici o dati relativi alla salute e alla vita sessuale), e l’indicazione dei  casi specifici di deroga a tale principio generale, vengono mutuati dall’articolo 8 della direttiva 95/46/CE, con l’aggiunta del riferimento ai dati genetici.

L’articolo 11 introduce l’obbligo per i responsabili del trattamento di fornire informazioni trasparenti, comprensibili e facilmente accessibili. L’articolo 14 amplia la gamma di informazioni che il responsabile del trattamento è tenuto a fornire all’interessato, includendo il periodo di conservazione, il diritto di presentare reclamo, i trasferimenti internazionali e la fonte dei dati.

Si segnala il proposito che nella risoluzione del 6 luglio 2011 su un approccio globale alla protezione dei dati personali nell'Unione europea il Parlamento europeo, rilevando che lo sviluppo e la diffusione del «cloud computing» comportano nuove sfide in termini di tutela della vita privata e protezione dei dati personali, ha chiesto un chiarimento riguardo alle capacità dei responsabili del trattamento dei dati, degli incaricati del trattamento e degli «host», ai fini di una migliore ripartizione delle rispettive responsabilità giuridiche e affinché gli interessati sappiano dove sono archiviati i loro dati, chi vi ha accesso, chi decide del loro utilizzo e quali procedure di back-up e recupero vengono utilizzate. Il Parlamento europeo  invita  la Commissione a tenere debitamente conto, in sede di revisione della direttiva 95/46/CE, delle problematiche attinenti alla protezione dei dati in riferimento al «cloud computing» ed a garantire che le norme in materia di protezione dei dati siano applicate a tutte le parti interessate, compresi gli operatori delle telecomunicazioni e di settori diversi dalle telecomunicazioni.

L’articolo 17 amplia le possibilità di esercizio del diritto alla cancellazione, (disposizioni relative alla cancellazione erano già contenute nell’articolo 12, lettera b), della direttiva 95/46/CE) e introduce un non meglio specificato diritto all’oblio in aggiunta a quello della cancellazione. In particolare l’interessato avrà il diritto di ottenere dal responsabile del trattamento la cancellazione di dati personali che lo riguardano e la rinuncia a un’ulteriore diffusione di tali dati.

Qualora abbia reso pubblici dati personali, il responsabile del trattamento di cui  è tenuto ad informare i terzi che stanno trattando tali dati della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. Se ha autorizzato un terzo a pubblicare dati personali, il responsabile del trattamento è ritenuto responsabile di tale pubblicazione. Il responsabile del trattamento sarà tenuto a provvedere senza ritardo alla cancellazione, a meno che conservare i dati personali non sia necessario:

·         per l’esercizio del diritto alla libertà di espressione in conformità dell’articolo 80;

·         per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 81;

·         per finalità storiche, statistiche e di ricerca scientifica in conformità dell’articolo 83;

·         per adempiere un obbligo legale di conservazione di dati personali previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento. Il diritto dello Stato membro deve perseguire un obiettivo di interesse pubblico, rispettare il contenuto essenziale del diritto alla protezione dei dati personali ed essere proporzionato all’obiettivo legittimo.

Invece di provvedere alla cancellazione, il responsabile del trattamento limita il trattamento dei dati personali:

a)quando l’interessato ne contesta l’esattezza, per il periodo necessario ad effettuare le opportune verifiche;

b)quando, benché non ne abbia più bisogno per l’esercizio dei suoi compiti, i dati devono essere conservati a fini probatori;

c)quando il trattamento è illecito e l’interessato si oppone alla loro cancellazione e chiede invece che ne sia limitato l’utilizzo;

d)quando l’interessato chiede di trasmettere i dati personali a un altro sistema di trattamento automatizzato, in conformità al diritto alla portabilità di cui all’articolo 18

L’articolo 18 introduce il diritto dell’interessato alla portabilità dei dati, vale a dire il diritto di trasferire i propri dati da un sistema di trattamento elettronico a un altro, senza che il responsabile del trattamento possa impedirlo. In particolare, l’interessato ha il diritto, ove i dati personali siano trattati con mezzi elettronici e in un formato strutturato e di uso comune, di ottenere dal responsabile del trattamento copia dei dati trattati in un formato elettronico e strutturato che sia di uso comune e gli consenta di farne ulteriore uso.

L’articolo 19 conferma il diritto di opposizione dell’interessato ha il diritto di per motivi connessi alla sua situazione particolare, al trattamento dei dati personali salvo che il responsabile del trattamento dimostri l’esistenza di motivi preminenti e legittimi per procedere al trattamento che prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato. Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi gratuitamente al trattamento dei dati personali effettuato per tali finalità. Tale diritto deve essere comunicato esplicitamente all’interessato in modo intelligibile ed è chiaramente distinguibile dalle altre informazioni.

L’articolo 20 sancisce il diritto di non essere sottoposto a misure basate sulla profilazione, ampliando il contenuto della direttiva 95/46/CE,  sulla base  della raccomandazione del Consiglio d’Europa sulla profilazione. In particolare, si stabilisce che chiunque ha il diritto di non essere sottoposto a una misura che produca effetti giuridici o significativamente incida sulla sua persona, basata unicamente su un trattamento automatizzato destinato a valutare taluni aspetti della sua personalità o ad analizzarne o prevederne in particolare il rendimento professionale, la situazione economica, l’ubicazione, lo stato di salute, le preferenze personali, l’affidabilità o il comportamento. La profilazione è consentita  soltanto se il trattamento:

a) è effettuato nel contesto della conclusione o dell’esecuzione di un contratto, oppure

b) è espressamente autorizzato da disposizioni del diritto dell’Unione o di uno Stato membro che precisi altresì misure adeguate a salvaguardia dei legittimi interessi dell’interessato, oppure

c) si basa sul consenso dell’interessato.

 

Limitazioni

L’articolo 21 (Limitazioni) stabilisce che l’Unione o gli Stati membri possano limitare, mediante misure legislative, la portata degli obblighi e dei diritti relativi al trattamaento dei dati personali, qualora tale limitazione costituisca una misura necessaria e proporzionata in una società democratica per salvaguardare:

a) la pubblica sicurezza;

b) le attività volte a prevenire, indagare, accertare e perseguire reati;

c) altri interessi pubblici dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, e la stabilità e l’integrità del mercato;

d) le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate;

e) una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere a), b), c), e d);

f) la tutela dell’interessato o dei diritti e delle libertà altrui.

 

 La Commissione sottolinea che tale disposizione, basata sull’articolo 13 della direttiva 95/46/CE risponde agli obblighi discendenti dalla Carta dei diritti fondamentali e dalla convenzione CEDU, nell’interpretazione della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo. In particolare la Commissione ricorda che il diritto alla protezione dei dati personali è sancito, oltre che dall’articolo 16 TFUE, base giuridica della proposta,  dall’articolo 8 della Carta dei diritti fondamentali dell’Unione e dall’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (CEDU). La Commissione sottolinea tuttavia che, secondo la giurisprudenza della Corte di giustizia dell’Unione europea (Cause riunite C-92/09 e C-93/09: Sentenza della Corte di giustizia dell’Unione europea 9 novembre 2010), il diritto alla protezione dei dati personali non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale. Richiamando l’articolo  base all’articolo 52, paragrafo 1, della Carta, la Commissione ricorda  al contempo che eventuali limitazioni all’esercizio del diritto alla protezione dei dati devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui.

Si osserva che a fronte del carattere dettagliato delle norme in materia di diritti dell’interessato contenute nella proposta di regolamento, il dettato della disposizione in questione non presenta lo stesso livello di definizione, prefigurando la possibilità di interpretazioni assai ampie dei casi di limitazioni, con la possibilità di determinare significative difformità tra i  regimi applicati dai diversi Stati membri e il conseguente rischio di incidere negativamente sul rafforzamento della protezione dei dati personali,  obiettivo prioritario della proposta di regolamento in esame.

In proposito si ritiene opportuno acquisire la valutazione del Governo.

Disposizioni relative al responsabile del trattamento

L’articolo 23 enuncia gli obblighi del responsabile del trattamento derivanti dai principi di protezione fin dalla progettazione (“by design”) e di default.

Si ricorda che, nella citata risoluzione approvata il 6 luglio 2011 il Parlamento europeo ritiene che i concetti di «privacy by design» e «privacy by default» costituiscano un rafforzamento della protezione dei dati e sostiene la loro applicazione concreta e il loro futuro sviluppo, come pure la necessità di promuovere l'uso delle tecnologie di rafforzamento della tutela della vita privata; evidenzia la necessità che l'attuazione della «privacy by design» debba basarsi su criteri e definizioni sensati e concreti al fine di garantire il diritto degli utenti alla privacy e alla protezione dei dati nonché la certezza del diritto, la trasparenza, condizioni di parità e la libertà di circolazione; ritiene che la «privacy by design» debba basarsi sul principio di minimizzazione dei dati, secondo cui tutti i prodotti, servizi e sistemi dovrebbero essere realizzati in modo tale da raccogliere, utilizzare e trasmettere solo i dati personali assolutamente necessari al loro funzionamento.

L’articolo 28 introduce l’obbligo per i responsabili e gli incaricati del trattamento di conservare la documentazione delle operazioni effettuate sotto la propria responsabilità, in sostituzione della notifica indiscriminata e generale all’autorità di controllo prevista dall’articolo 18, paragrafo 1, e dall’articolo 19 della direttiva 95/46/CE. In sostanza si ritiene che gli obblighi debbano concentrarsi sulle sole operazioni di trattamento che presentano rischi particolari per le libertà dei soggetti interessati.

Secondo la Commissione europea tale disposizione dovrebbe permettere risparmi alle imprese in quanto l’obbligo di notifica avrebbe  dimostrato finora  un costo pari a circa 130 milioni di euro l'anno, senza produrre vantaggi apprezzabili.

Gli articoli 31 e 32 introducono l’obbligo di notificazione e comunicazione delle violazioni di dati personali, sviluppando la notificazione prevista all’articolo 4, paragrafo 3, della direttiva 2002/58/CE (Direttiva relativa alla vita privata e alle comunicazioni elettroniche). In particolare l’articolo  31 stabilisce che in caso di violazione dei dati personali, il responsabile del trattamento notifichi  la violazione all’autorità di controllo senza ritardo, ove possibile entro 24 ore dal momento in cui ne è venuto a conoscenza. L’articolo 32 (Comunicazione di una violazione dei dati personali all’interessato) stabilisce che, quando la violazione dei dati personali rischia di pregiudicare i dati personali o di attentare alla vita privata dell’interessato, il responsabile del trattamento, dopo aver provveduto alla notificazione, comunichi  la violazione all’interessato senza ingiustificato ritardo.

Si segnala che nella citata risoluzione del 6 luglio 2012, il Parlamento europeo esorta la Commissione ad introdurre un sistema generale ed obbligatorio di notifica della violazione dei dati personali, estendendolo a settori diversi da quello delle telecomunicazioni, garantendo nel contempo che (a) non si trasformi in un allarme di routine per tutti i tipi di violazione, ma sia collegato soprattutto alle violazioni che possono avere ripercussioni negative sulle persone e (b) che tutte le violazioni, senza eccezione, siano registrate e messe a disposizione delle autorità preposte alla protezione dei dati e di altre autorità competenti, per l'ispezione e la valutazione, garantendo così condizioni di parità e una protezione uniforme per tutti.

Gli articoli 33 e 34 della proposta di regolamento introducono l’obbligo per i responsabili e incaricati del trattamento di effettuare una valutazione d’impatto in materia di protezione dei dati prima di trattamenti che presentino specifici rischi.

L’articolo 35 introduce la figura obbligatoria del responsabile della protezione dei dati per il settore pubblico e, nel settore privato, per le imprese con 250 o più dipendenti o allorquando le attività principali del responsabile del trattamento e dell’incaricato del trattamento consistono in trattamenti che richiedono il controllo regolare e sistematico degli interessati. La disposizione si basa sull’articolo 18, paragrafo 2, della direttiva 95/46/CE che ha permesso agli Stati membri di introdurre tale obbligo in sostituzione di un obbligo generale di notificazione.

La Commissione europea osserva che l’obbligo per gli operatori economici di grandi dimensioni (con più di 250 dipendenti) di designare un responsabile della protezione dei dati non genererebbe costi sproporzionati, in quanto tale figura è già comune in tali imprese. I costi di conformità dovrebbero ammontare a 320 milioni di euro all’anno. Tale obbligo si applicherà a una fascia minima necessaria di responsabili del trattamento, dato che di norma le PMI ne saranno escluse.

In proposito si segnala l’opportunità di acquisire l’avviso del Governo circa il possibile impatto dell’obbligo previsto.

L’articolo 39 (certificazione) stabilisce che, gli Stati membri e la Commissione incoraggiano l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati garantito dai responsabili del trattamento e dagli incaricati del trattamento.

Nella citata risoluzione del 6 luglio 2011 il Parlamento europeo ritiene che qualsiasi sistema di certificazione o marcatura debba essere garantito sotto il profilo dell'integrità e dell'affidabilità, debba essere neutro sul piano tecnologico e riconoscibile a livello mondiale ed accessibile, al fine di non creare ostacoli all'accesso.

Trasferimento di dati personali verso paesi terzi o organizzazioni internazionali

Riprendendo le disposizioni della direttiva vigente, l’articolo 41 stabilisce che il trasferimento di dati verso paesi terzi è ammesso se la Commissione ha deciso, attraverso l’adozione di un atto di esecuzione, che il paese terzo, o un territorio o settore di trattamento all’interno del paese terzo, o l’organizzazione internazionale in questione garantisce un livello di protezione adeguato. Nel valutare l’adeguatezza del livello di protezione la Commissione prende in considerazione i seguenti elementi:

a)   lo stato di diritto, la pertinente legislazione generale e settoriale vigente, anche in materia penale, di pubblica sicurezza, difesa e sicurezza nazionale, le regole professionali e le misure di sicurezza osservate nel paese terzo o dall’organizzazione internazionale in questione, nonché i diritti effettivi e azionabili, compreso il diritto degli interessati a un ricorso effettivo in sede amministrativa e giudiziaria, in particolare quelli che risiedono nell’Unione e i cui dati personali sono oggetto di trasferimento;

b)   l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o nell’organizzazione internazionale in questione, incaricate di garantire il rispetto delle norme di protezione dei dati, assistere e consigliare gli interessati in merito all’esercizio dei loro diritti e cooperare con le autorità di controllo dell’Unione e degli Stati membri, e

c)   gli impegni internazionali assunti dal paese terzo o dall’organizzazione internazionale in questione.

Qualora la Commissione assuma una decisione di non adeguatezza, il trasferimento dei dati è vietato e la Commissione avvia, al momento opportuno, consultazioni con il paese terzo o l’organizzazione internazionale per porre rimedio alla situazione risultante dalla decisione in questione.

Ampliando il contenuto della direttiva vigente, in base all’articolo 42, qualora la Commissione non abbia preso alcuna preventiva decisione di adeguatezza ai sensi dell’articolo 41, il responsabile del trattamento o l’incaricato del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se ha offerto garanzie adeguate per la protezione dei dati personali in uno strumento giuridicamente vincolante. Costituiscono in particolare garanzie adeguate:

a)   le norme vincolanti d’impresa , oppure

b)   le clausole tipo di protezione dei dati adottate dalla Commissione., con atti di esecuzione

c)   le clausole tipo di protezione dei dati adottate da un’autorità di controllo in conformità del meccanismo di coerenza di cui all’articolo 57, qualora siano dichiarate generalmente valide dalla Commissione ai sensi dell’articolo 62, paragrafo 1, lettera b), oppure

d)   le clausole contrattuali tra il responsabile del trattamento o l’incaricato del trattamento e il destinatario dei dati autorizzate da un’autorità di controllo.

Se non sono offerte garanzie adeguate per la protezione dei dati personali in uno strumento giuridicamente vincolante, il responsabile del trattamento o l’incaricato del trattamento deve ottenere l’autorizzazione preventiva al trasferimento o a un complesso di trasferimenti, o all’inserimento di disposizioni in accordi amministrativi costituenti la base del trasferimento.

L’articolo 44 precisa e chiarisce le deroghe per il trasferimento di dati, partendo dalle attuali disposizioni dell’articolo 26 della direttiva 95/46/CE. Ciò vale in particolare per i trasferimenti di dati richiesti e necessari per motivi di interesse pubblico rilevante, per esempio in casi di scambi internazionali di dati tra amministrazioni fiscali o doganali oppure tra servizi competenti per la sicurezza sociale. Inoltre, una trasmissione di dati può, in circostanze limitate, essere giustificata dall’interesse legittimo del responsabile del trattamento o dell’incaricato del trattamento, ma solo dopo che siano state valutate e documentate le circostanze del trasferimento.

Si segnala l’opportunità di acquisire l’avviso del Governo sul combinato disposto degli articoli 41 e 42, con particolare riguardo alla idoneità del relativo dettato normativo a rispondere adeguatamente alle obiezioni sollevate in ordine al trasferimento di dati a paesi terzi, sia relativamente alle esigenze di omogeneità dell’ordinamento sia con riferimento al rischio di determinare situazioni assai differenziate in via di fatto nei diversi ordinamenti.

L’articolo 45 prevede espressamente lo sviluppo di meccanismi di cooperazione internazionale per la protezione dei dati personali tra la Commissione e le autorità di controllo di paesi terzi, in particolare quelli che si ritiene offrano un adeguato livello di protezione, tenendo conto della raccomandazione dell’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) sulla cooperazione transfrontaliera nell’applicazione delle legislazioni in materia di privacy del 12 giugno 2007.

Autorità di controllo indipendenti

L’articolo 46 obbliga gli Stati membri a istituire autorità di controllo, come già previsto dall’articolo 28, paragrafo 1, della direttiva 95/46/CE, e ad ampliarne i compiti includendo la cooperazione reciproca e con la Commissione. L’autorità di controllo esercita i suoi poteri e le sue funzioni in piena indipendenza (art.47)

L’articolo 51 stabilisce le competenze delle autorità di controllo. La norma generale, secondo cui ogni autorità di controllo esercita, nel territorio del suo Stato membro, i poteri di cui gode a norma del presente regolamento, già prevista dalla direttiva 95/46/CE (è integrata dalla nuova competenza di autorità capofila nel caso di un responsabile del trattamento o incaricato del trattamento stabilito in più Stati membri, al fine di assicurare un’attuazione uniforme (“sportello unico”).  L’articolo 53 stabilisce i poteri dell’autorità di controllo, in parte sulla base dell’articolo 28, paragrafo 3, della direttiva 95/46/CE e dell’articolo 47 del regolamento (CE) n. 45/2001, e inserisce alcuni nuovi elementi, tra cui il potere di sanzionare gli illeciti amministrativi.

La Commissioneosserva che la chiarificazione e la semplificazione delle norme attraverso la definizione di un’unica legge applicabile in tutta l’Unione e la creazione di uno “sportello unico” per il controllo della protezione dei dati rafforzeranno il mercato interno, in particolare grazie all’eliminazione delle divergenze tra le formalità amministrative a carico delle autorità di protezione dei dati. Solo in termini di onere amministrativo, ciò dovrebbe comportare  un risparmio globale di circa 2,3 miliardi di euro all’anno.

Comitato europeo della protezione dei dati

L’articolo 64 istituisce il Comitato europeo per la protezione dei dati, composto dal responsabile delle autorità di controllo di ciascuno Stato membro e dal Garante europeo della protezione dei dati.

La figura del Garante europeo della protezione dei dati (GEPD) è stata istituita nel 2001. Suo compito è garantire il rispetto del diritto alla vita privata nel trattamento dei dati personali da parte delle istituzioni e degli organi dell’UE  nonché svolgere attività consultiva nei confronti delle istituzioni UE  sull’impatto delle proposte, legislative e non, per quanto riguarda la tutela dei dati personali.

L’articolo precisa che la Commissione non è membro del Comitato europeo per la protezione dei dati, ma ha il diritto di partecipare alle attività e designa un rappresentante.

Il Comitato europeo per la protezione dei dati sostituirà il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito dall’articolo 29 della direttiva 95/46/CE.

Il cosiddetto Gruppo “articolo 29”  è un organo indipendente, avente carattere consultivo con riguardo alla tutela dei dati e della vita privata. E’ composto da un rappresentante delle autorità di controllo degli Stati membri, da un rappresentante delle autorità di controllo create per le istituzioni e gli organismi dell’Unione nonché da un rappresentante della Commissione. I suoi compiti sono definiti dall'articolo 30 della direttiva 95/46/CE.

Meccanismo di coerenza

Gli articoli da 57 a 61 introducono il cosiddetto “meccanismo di coerenza” volto a garantire  l’uniformità di applicazione in relazione alle attività di trattamento dati che possono riguardare interessati in vari Stati membri. In particolare ciascuna autorità di controllo è tenuta a comunicare  preliminarmente al Comitato europeo per la protezione dei dati  e alla Commissione europea i progetti di misure che :

·         riguardano attività di trattamento finalizzate all’offerta di beni o servizi a interessati in più Stati membri o al controllo del loro comportamento, oppure

·         possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione, oppure

·         sono finalizzate a stabilire un elenco di trattamenti soggetti a consultazione preventiva ai sensi dell’articolo 34, paragrafo 5 (ossia elenchi di attività di trattamento finalizzate all’offerta di beni o servizi a interessati in più Stati membri o al controllo del loro comportamento, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione), oppure

·         sono finalizzate a determinare clausole tipo di protezione dei dati, ad autorizzare clausole contrattuali o ad approvare norme vincolanti di impresa, in caso di trasferimento a paesi terzi

Il Comitato europeo per la protezione dei dati e la Commissione possono adottare  pareri sui progetti di misure in questione, pareri che devono essere tenuti in debito conto dall’autorità di controllo.  In base all’articolo 60,  qualora dubiti seriamente che il progetto di misura garantisca la corretta applicazione del regolamento e ritenga che esso rischi invece di portare a una sua applicazione non coerente, la Commissione, può adottare una decisione motivata e ingiungere all’autorità di controllo di sospendere l’adozione del progetto di misura.

Ricorsi giurisdizionali, responsabilità e sanzioni

Gli articoli da 73 a 77, sanciscono rispettivamente il diritto di proporre reclamo all’autorità di controllo, il diritto a un ricorso giurisdizionale contro l’autorità di controllo, il diritto a un ricorso giurisdizionale contro il responsabile del trattamento o l’incaricato del trattamento, norme comuni per i procedimenti giurisdizionali e il diritto al risarcimento e responsabilità.

Si segnala in proposito che nella risoluzione del 6 luglio 2011 su un approccio globale alla protezione dei dati personali nell'Unione europea, il Parlamento europeo ha chiesto l’introduzione di un meccanismo di ricorso collettivo in caso di violazione delle norme sulla protezione dei dati, che consenta alle persone interessate di ottenere un risarcimento dei danni subiti, specificando, tuttavia, che tali azioni legali collettive dovrebbero  essere soggette a precise limitazioni onde evitare abusi.

L’articolo 78 impone agli Stati membri di definire le sanzioni applicabili alle violazioni del regolamento e di garantirne l’effettiva attuazione.

L’articolo 79 stabilisce che ogni autorità di controllo è abilitata a imporre sanzioni amministrative. In particolare l’articolo stabilisce che la sanzione amministrativa deve essere efficace, proporzionata e dissuasiva. L’articolo prevede che in caso di prima inosservanza non intenzionale del regolamento possa essere inviato un avvertimento scritto, senza l’imposizione di sanzioni, qualora: una persona fisica tratti dati personali senza un interesse commerciale, oppure un’impresa o un’organizzazione con meno di 250 dipendenti tratti dati personali solo accessoriamente rispetto alle attività principali.

L’articolo specifica poi 3 livelli massimi (da 250.000 a un milione di euro, e per le imprese, dallo 0,5% al 2% del fatturato mondiale annuo) per le sanzioni pecuniarie amministrative, a seconda del tipo di violazione.

Appare opportuno acquisire la valutazione del Governo in merito all’entità delle sanzioni con riguardo alla possibilità che le percentuali individuate nella proposta possano determinare un onere eccessivo per i soggetti interessati.

Disposizioni relative a specifiche situazione di trattamento dei dati

L’articolo 80 è dedicato al rapporto tra il trattamento dei dati personali e la libertà di espressione. In particolare l’articolo stabilisce che gli Stati membri prevedano esenzioni e deroghe alla disciplina fissata dal regolamento, per il trattamento dei dati personali effettuato esclusivamente a scopi giornalistici o di espressione artistica o letteraria, al fine di conciliare il diritto alla protezione dei dati personali e le norme sulla libertà d’espressione.

L’articolo 81 stabilisce che il trattamento di dati personali relativi alla salute deve essere effettuato sulla base di disposizioni del diritto dell’Unione o degli Stati membri che prevedano misure appropriate e specifiche a tutela dei legittimi interessi dell’interessato, In base all’articolo 82 gli Stati membri possono adottare con legge norme specifiche per il trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da accordi collettivi, di gestione, pianificazione e organizzazione del lavoro, salute e sicurezza sul lavoro, e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.

L’articolo 85 (Norme di protezione dei dati vigenti presso chiese e associazioni religiose) stabilisce che qualora in uno Stato membro chiese e associazioni o comunità religiose applichino, al momento dell’entrata in vigore del regolamento, corpus completi di norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali, tali corpus possono continuare ad applicarsi purché siano conformi alle disposizioni del presente regolamento.

Si segnala infine che all’articolo 87, al fine di conseguire gli obiettivi del regolamento, la proposta prevede che sia conferito alla Commissione il potere di adottare atti delegati a norma dell’articolo 290 del TFUE, al fine di definire,tra le altre cose i criteri e le condizioni relativi al consenso dei minori; il trattamento di categorie particolari di dati; i criteri e le condizioni per le richieste manifestamente eccessive e il contributo spese per l’esercizio dei diritti dell’interessato; i criteri e i requisiti applicabili all’informazione dell’interessato e al diritto di accesso; il diritto all’oblio e alla cancellazione; le misure basate sulla profilazione; i criteri e requisiti per i trasferimenti in presenza di norme vincolanti d’impresa; le deroghe al trasferimento; le sanzioni amministrative; il trattamento a fini sanitari; il trattamento nel contesto del rapporto di lavoro e il trattamento per finalità storiche, statistiche e di ricerca scientifica.

Contenuti  della proposta di direttiva COM(2012)10

In base all’articolo 1 della proposta (Oggetto e finalità) la direttiva è volta a stabilire le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali. In particolare gli Stati membri sono tenuti a tutelare i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali, e a garantire che lo scambio dei dati personali da parte delle autorità competenti all’interno dell’Unione non sia limitato né vietato per motivi attinenti alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.

Innovando rispetto alla decisione quadro vigente, l’articolo 2 (campo di applicazione) non limita l’applicazione della direttiva al trattamento transfrontaliero dei dati, estendendola pertanto a tutte le attività di trattamento svolte da “autorità competenti” La direttiva non si applica né al trattamento di dati nel corso di un’attività che non rientra nell’ambito di applicazione del diritto dell’Unione, né al trattamento di dati da parte di istituzioni, organi, uffici e agenzie dell’Unione, che sono soggetti al regolamento (CE) n. 45/2001 e ad altre norme specifiche.

L’articolo 5 impone agli Stati membri l’obbligo di disporre che, nella misura del possibile, il responsabile del trattamento operi una chiara distinzione tra i dati personali di diverse categorie di interessati, quali:

·         le persone per le quali vi sono fondati motivi di ritenere che abbiano commesso o stiano per commettere un reato;

·         le persone condannate per un reato;

·         le vittime di reato o le persone che alcuni fatti autorizzano a considerare potenziali vittime di reato;

·         i terzi coinvolti nel reato, quali le persone che potrebbero essere chiamate a testimoniare nel corso di indagini su reati o di procedimenti penali conseguenti, le persone che possono fornire informazioni su reati, o le persone in contatto o collegate alle persone di cui alle lettere a) e b), e

·         le persone che non rientrano in nessuna delle precedenti categorie.

In base all’articolo 7, il trattamento dei dati personali è lecito solo se e nella misura in cui è necessario:

·         per l’esecuzione di un compito di un’autorità competente, previsto per legge per le finalità di cui all’articolo 1,  oppure

·         per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento, oppure

·         per la salvaguardia degli interessi vitali dell’interessato o di un terzo, oppure

·         per la prevenzione di un’immediata e grave minaccia alla sicurezza pubblica.

L’articolo 8 pone un divieto generale al trattamento di categorie particolari di dati personali, (dati personali che rivelino la razza, l’origine etnica, le opinioni politiche, la religione o le convinzioni personali, l’appartenenza sindacale, come pure il trattamento di dati genetici o dati relativi alla salute e alla vita sessuale). Come già nella proposta di regolamento COM(2011)11, rispetto alla decisione quadro vigente, vengono citati anche i dati genetici.

L’articolo 9 (Misure basate sulla profilazione e trattamento automatizzato) stabilisce che sia vietata qualunque misura che produca effetti giuridici negativi o significativamente incida sull’interessato basata unicamente su un trattamento automatizzato di dati personali destinato a valutarne aspetti della personalità, salvo che essa sia autorizzata da disposizioni di legge che precisino misure a salvaguardia dei legittimi interessi dell’interessato. Il trattamento automatizzato di dati personali destinato a valutare taluni aspetti della personalità dell’interessato non potrà in nessun caso basarsi unicamente sulle categorie particolari di dati personali di cui all’articolo 8.

L’articolo 10 introduce l’obbligo per gli Stati membri di garantire informazioni comprensibili e facilmente accessibili.

L’articolo 12 prevede l’obbligo per gli Stati membri di garantire il diritto di accesso dell’interessato ai propri dati personali.

L’articolo 13 dispone che gli Stati Gli Stati membri possono adottare misure legislative volte a limitare, in tutto o in parte, il diritto di accesso dell’interessato nella misura in cui tale limitazione totale o parziale costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei legittimi interessi dell’interessato:

·         per non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;

·         per non compromettere la prevenzione, l’indagine, l’accertamento o il perseguimento di reati o l’esecuzione di sanzioni penali;

·         per proteggere la sicurezza pubblica;

·         per proteggere la sicurezza dello Stato; per proteggere i diritti e le libertà di terzi.

L’articolo 14 introduce la disposizione secondo la quale, nei casi in cui l’accesso diretto è limitato, l’interessato deve essere informato della possibilità di un accesso indiretto per il tramite dell’autorità di controllo.

Gli articoli da 15 a 17 tutelano il diritto di rettifica e di cancellazione.

Gli articoli da 18 a 26 chiariscono gli obblighi del responsabile del trattamento.

Per quanto riguarda il trasferimento dei dati personali verso i paesi terzi o le organizzazioni internazionali, compreso il trasferimento successivo verso un altro paese terzo o un'altra organizzazione internazionale, esso è disciplinato dagli articoli da 33 a 38 della proposta. In particolare si prevede che  tale trasferimento sia ammesso solo se necessario a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali e solo se la Commissione abbia adottato una decisione di adeguatezza ai sensi della proposta di regolamento generale sulla protezione dei dati (art.34) o, in mancanza di tale decisione, se sono state poste in essere adeguate garanzie. In deroga agli articoli 34 e 35, l’articolo 36 stabilisce che gli Stati membri dispongono che sia ammesso il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale soltanto a condizione che:

a)   il trasferimento sia necessario per salvaguardare un interesse vitale dell’interessato o di un terzo, oppure

b)   il trasferimento sia necessario per salvaguardare i legittimi interessi dell’interessato qualora lo preveda la legislazione dello Stato membro che trasferisce i dati personali, oppure

c)   il trasferimento dei dati sia essenziale per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo, oppure

d)   il trasferimento sia necessario, in singoli casi, per prevenire, indagare, accertare o perseguire reati o eseguire sanzioni penali, oppure

e)   il trasferimento sia necessario, in singoli casi, per accertare, esercitare o difendere un diritto in sede giudiziaria in relazione alla prevenzione, all’indagine, all’accertamento o al perseguimento di uno specifico reato o all’esecuzione di una specifica sanzione penale.

L’articolo 39 obbliga gli Stati membri a istituire una o più autorità di controllo; tale autorità può essere la stessa istituita a norma del regolamento generale sulla protezione dei dati.

L’autorità dovrà disporre (art. 46) di: poteri investigativi, come la facoltà di accedere a dati oggetto di trattamento e di raccogliere qualsiasi informazione necessaria all’esercizio della sua funzione di controllo; poteri effettivi d’intervento, come quello di esprimere pareri prima dell’avvio di trattamenti e di dar loro adeguata pubblicità, o quello di ordinare la limitazione, la cancellazione o la distruzione dei dati o di vietare a titolo provvisorio o definitivo un trattamento, oppure quello di rivolgere un avvertimento o un monito al responsabile del trattamento o di adire i parlamenti o altre istituzioni politiche nazionali; il potere di agire in sede giudiziale o stragiudiziale in caso di violazione delle disposizioni adottate ai sensi della presente direttiva.

L’articolo 49 prevede che il Comitato consultivo europeo per la protezione dei dati, di cui alla proposta di regolamento generale sulla protezione dei dati, eserciti le sue funzioni anche in relazione ai trattamenti rientranti nel campo di applicazione della direttiva.

L’articolo 50 stabilisce il diritto di proporre reclamo all’autorità di controllo. L’articolo specifica anche gli organismi, le organizzazioni o associazioni che possono presentare reclamo per conto dell’interessato o, in caso di violazione di dati personali, indipendentemente dal reclamo dell’interessato.

Gli articoli 51 e 52 riguardano in particolare il diritto di proporre ricorso giurisdizionale. L’articolo 52 riguarda il diritto di proporre ricorso giurisdizionale rispettivamente contro un’autorità di controllo o contro un responsabile del trattamento o un incaricato del trattamento.

L’articolo 54 obbliga gli Stati membri a prevedere il diritto al risarcimento.

L’articolo 55 impone agli Stati membri di definire le sanzioni applicabili alle violazioni della direttiva e di garantirne l’effettiva attuazione.

Base giuridica

La proposta di regolamento COM(2012)11 si basa sull’articolo 16 del TFUE secondo il quale ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano (paragrafo 1). Il Parlamento europeo e il Consiglio, deliberando secondo la procedura legislativa ordinaria, stabiliscono le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni e degli organismi dell’Unione, nonché da parte degli Stati membri nell’esercizion di attività che rientrano nel campo di applicazione del diritto dell’Unione, e le norme relative alla libera circolazione di tali dati. Il rispetto di tali norme è soggetto al controllo di autorità indipendenti (paragrafo 2). Come specificato al paragrafo 3, tale norma non si applica al  settore della politica estera e di sicurezza comune dell’Unione, per il quale, la competenza legislativa in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali spetta esclusivamente al Consiglio.

La proposta di direttiva (COM(2012)10 si basa sull’articolo 16, paragrafo 2, del TFUE.

Si segnala inoltre che nella dichiarazione n. 21 allegata ai Trattati, la conferenza intergovernativa “riconosce che potrebbero rivelarsi necessarie, in considerazione della specificità dei settori in questione, norme specifiche sulla protezione dei dati personali e sulla libera circolazione di tali dati nei settori della cooperazione giudiziaria in materia penale e della cooperazione di poliziai, in bse all’articolo 16 del Trattato sul funzionamento dell’Unione europea”.

Sussidiarietà

Per quanto riguarda il rispetto del principio di sussidiarietà la Commissione afferma che:

·          il diritto alla protezione dei dati personali, sancito dall’articolo 8 della Carta dei diritti fondamentali, richiede il medesimo livello di protezione dei dati in tutta l’Unione: in mancanza di una normativa dell’Unione si rischierebbe di instaurare livelli diversi di protezione negli Stati membri e di creare restrizioni nei flussi transfrontalieri di dati personali tra gli Stati membri dotati di norme differenti;

·         in considerazione del fatto che i dati personali sono trasferiti attraverso le frontiere nazionali ad un ritmo sempre crescente, occorre stabilire una cooperazione tra gli Stati membri e le autorità nazionali a livello di Unione, per garantire uniformità nell’applicazione del diritto dell’UE;

·         l’Unione si trova nella posizione migliore per garantire in maniera efficace e coerente lo stesso livello di protezione alle persone fisiche i cui dati personali siano trasferiti verso paesi terzi;

·         le proposte legislative dell’UE risulteranno più efficaci rispetto ad analoghi provvedimenti adottati dai singoli Stati membri, a motivo della natura e della dimensione dei problemi che non sono confinati a uno o più Stati membri.

Nella valutazione di impatto che accompagna la proposta la Commissione europea sottolinea di aver valutato tre opzioni:

Opzione 1:          misure leggere comprendenti principalmente comunicazioni interpretative della Commissione, strumenti di supporto tecnico e finanziamenti – oltre alla promozione della normalizzazione e dell’autoregolazione – al fine di rafforzare l’applicazione pratica delle norme esistenti da parte dei responsabili del trattamento e aumentare la consapevolezza delle persone.

Opzione 2: modernizzazione del quadro normativo vigente attraverso  modifiche legislative volte ad armonizzare ulteriormente le norme sostanziali, chiarire disposizioni specifiche ed eliminare le incoerenze derivanti dai diversi approcci adottati dagli Stati membri. Per quanto riguarda la protezione dei dati nel settore della cooperazione di polizia e giudiziaria in materia penale, l’opzione 2 ha previsto di sostituire la decisione quadro con un nuovo strumento dal campo di applicazione più ampio, tenendo conto delle particolarità del settore delle attività di contrasto.

Opzione 3: norme giuridiche dettagliate dell’Unione. Tale opzione comprende  gli elementi dell’opzione 2, l’elaborazione di una normativa dell’Unione molto più dettagliata, anche di tipo settoriale (ad esempio in campo medico e sanitario), e una struttura centralizzata a livello di Unione per il controllo dell’applicazione (creazione di un’autorità europea di protezione dei dati).

E’ stata prescelta l’opzione 2, in combinazione con la soppressione degli obblighi di notificazione prevista dall’opzione 3, e alcune misure leggere previste dall’opzione 1 (incentivazione di tecnologie che rafforzano la protezione della vita privata e di regimi di certificazione e campagne di sensibilizzazione).

Esame presso le Istituzioni dell’UE

In un comunicato pubblicato il 7 marzo 2012, il Garante europeo per la protezione dei dati ha sottolinea come, pur rafforzando il diritto alla protezione dei dati, la normativa proposta dalla Commissione non realizzi l’auspicato approccio globale al tema, anche a causa della diversità degli strumenti giuridici utilizzati.

In particolare, pur condividendo la scelta dello strumento del regolamento per la normativa generale in materia di protezione dei dati, il Garante esprime alcune riserve in relazione ai seguenti aspetti:

·         le possibilità di restrizione dei principi e dei diritti di base;

·         le deroghe possibili nel quadro dei trasferimenti di dati ai paesi terzi;

·         i poteri, giudicati eccessivi, accordati alla Commissione europea nel meccanismo di coerenza;

·         alle nuove eccezioni al principio di limitazione della finalità.

Per quanto riguarda la proposta di direttiva, il Garante europeo ritiene che le regole per la protezione dei dati in materia penale siano troppo deboli e abbassino il livello di protezione come definito nella proposta di regolamento generale.

Il Garante esprime in particolare preoccupazione per:

·         la mancanza di certezza giuridica per quanto riguarda l’utilizzazione ulteriore dei dati a carattere personale da parte delle autorità di polizia e giudiziarie;

·         l’assenza di un obbligo generale per le autorità giudiziarie e di polizia di dimostrare la conformità con le esigenze di protezione dei dati;

·         le condizioni insufficienti per il trasferimento verso paesi terzi;

·         i poteri limitati delle autorità di controllo.

Esame presso altri Parlamenti nazionali

Sulla base dei dati forniti dal sito IPEX, l’esame della proposta di regolamento e della proposta di direttiva risulta avviato da parte delle assemblee parlamentari di Austria (Bundesrat), Belgio (Senato), Repubblica ceca (Senato), Germania (Bundesrat), Polonia (Senato e Camera dei deputati), Romania (Camera dei deputati), Svezia. La proposta di direttiva è inoltre all’esame dei parlamenti finlandese e spagnolo.

 

In merito alla proposta di regolamento, il Senato francese ha adottato un parere motivato per violazione del principio di sussidiarietà, in base alle seguenti motivazioni:

 

·         in un ambito che coinvolge direttamente i diritti dei cittadini, la proposta di regolamento non dovrebbe privare gli Stati membri della possibilità di mantenere transitoriamente disposizioni nazionali più favorevoli, così da evitare che l’armonizzazione a livello UE si trasformi in una diminuzione delle garanzie;

 

·         l’elevato numero di deleghe conferite alla Commissione europea (art. 87) sembrerebbe andare al di là della natura stessa degli atti delegati come definita nell’articolo 290 TFUE. Il diritto all’oblio, in particolare, dovrebbe essere regolato direttamente dal legislatore europeo. Gli oggetti di alcune deleghe potrebbero rientrare più correttamente nella competenza delle autorità di controllo nazionali o nei loro raggruppamenti a livello europeo;

 

·         la norma relativa allo “sportello unico” (art.51) priverebbe gli interessati della possibilità di rivolgersi all’autorità di controllo nazionale dello Stato membro in cui risiedono e produrrebbe situazioni estremamente complesse in ragione della asimmetria tra i ricorsi amministrativi presentati presso l’autorità di controllo straniera e i ricorsi giurisdizionali contro il responsabile del trattamento presentati presso il giudice nazionale.


 

 


 

L’impatto delle proposte sull’ordinamento nazionale

 

Il Codice in materia di protezione dei dati personali

Il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) riunisce in un unico corpo normativo una materia, quella della protezione dei dati, la cui disciplina si era formata nel tempo con vari interventi integrativi e modificativi, apportati in attuazione della delega originariamente contenuta nella legge n. 676 del 1996.

Il Codice, che ha anche recepito la direttiva n. 2002/58/CE in tema di tutela della vita privata nel settore delle comunicazioni, si compone di tre parti:

·         la prima, recante le disposizioni generali applicabili a tutti i trattamenti ed alcune ulteriori regole specifiche per i trattamenti effettuati da soggetti pubblici o privati;

·         la seconda, nella quale sono riunite disposizioni particolari esclusive per alcuni trattamenti, che integrano o in qualche caso derogano alle disposizioni generali della parte prima;

·         la terza, concernente la tutela amministrativa e giurisdizionale dell'interessato, i controlli ed il sistema delle sanzioni.

In particolare, la prima parte reca le disposizioni di carattere generale: i principi generali; i diritti dell’interessato; le regole generali per il trattamento dei dati, ivi comprese le regole ulteriori per i soggetti pubblici e quelle per privati ed enti pubblici economici; i soggetti che effettuano il trattamento; la sicurezza dei dati e dei sistemi; gli adempimenti; il trasferimento dei dati all’estero.

La seconda parte reca disposizioni relative a specifici settori, con riguardo ai trattamenti in àmbito giudiziario, ai trattamenti da parte di forze di polizia, alla difesa e sicurezza dello Stato, ai trattamenti in àmbito pubblico (accesso a documenti amministrativi, registri pubblici e albi professionali, stato civile, anagrafi e liste elettorali, finalità di rilevante interesse pubblico, particolari contrassegni), al trattamento di dati personali in àmbito sanitario (tra cui i dati genetici), all’ istruzione, al trattamento per scopi storici, statistici o scientifici, al lavoro e previdenza sociale, al sistema bancario, finanziario ed assicurativo, alle comunicazioni elettroniche, alle libere professioni e all’investigazione privata, al giornalismo e all’espressione letteraria ed artistica, al marketing diretto.

La terza parte interessa la tutela dell'interessato e le sanzioni, con riguardo alla tutela amministrativa e giurisdizionale, alle autorità preposte (segnatamente, il garante per la protezione dei dati personali), le violazioni amministrative e gli  illeciti penali.

 

 

Il Codice della privacy ha dunque attualmente un contenuto molto più ampio di quello della proposta di regolamento; si pone allora il problema di stabilire:

·         se la proposta di regolamento contiene disposizioni innovative rispetto alla disciplina interna;

·         se, in caso affermativo, vi sono disposizioni del Codice incompatibili con la proposta di regolamento.

 

Il confronto tra il Codice della privacy e la proposta di regolamento: le principali differenze

La proposta di regolamento ricalca in molti punti la precedente direttiva comunitaria del 1995, che ha dato occasione anche al nostro legislatore di introdurre una disciplina interna a tutela della riservatezza.

I principali profili di novità della proposta di regolamento attengono ai seguenti ambiti:

·         le definizioni;

·         le modalità del consenso;

·         la specifica tutela dei minori;

·         gli obblighi di informazione;

·         il diritto all’oblio;

·         il diritto alla portabilità dei dati;

·         l’obbligo di notificare le violazioni dei dati personali;

·         la valutazione d’impatto sulla protezione dei dati;

·         l’eliminazione dell’obbligo di notificare il trattamento e la nomina di un    responsabile della protezione dei dati;

·         la cooperazione tra le autorità di controllo dei diversi Stati;

·         il quadro sanzionatorio.

 

Le definizioni

La proposta di regolamento, pur riprendendo in gran parte il quadro definitorio della direttiva del 1995, contiene alcune novità rispetto all’articolo 4, comma 1, del Codice della privacy:

·         la definizione di trattamento viene ampliata, comprendendo anche «la strutturazione, la memorizzazione, l’adattamento o la modifica, l’estrazione» di dati personali;

·         vengono definiti i dati genetici (tutti i dati, di qualsiasi natura, riguardanti le caratteristiche di una persona fisica che siano ereditarie o acquisite in uno stadio precoce di sviluppo prenatale) ed i dati biometrici (relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona che ne consentono l’identificazione univoca, quali l’immagine facciale o i rilievi dattiloscopici) mentre si esplicita il contenuto dei dati relativi alla salute (qualsiasi informazione attinente alla salute fisica o mentale di una persona o alla prestazione di servizi sanitari a detta persona);

Si osserva, peraltro, che pur non essendo definiti all’art. 4, i dati genetici e biometrici sono già previsti dal Codice della privacy che, agli articoli 37 e 55, prevede che il trattamento di tali dati possa essere effettuato solo previa notificazione al Garante e che debbano essere applicate particolari tecnologie.

 

·         per disciplinare più compiutamente il trasferimento dei dati all’interno dell’Unione, e fuori dai suoi confini, si specifica che il responsabile del trattamento può avere uno «stabilimento principale», ovvero il luogo di stabilimento nell’Unione in cui sono prese le principali decisioni sulle finalità, le condizioni e i mezzi del trattamento di dati personali (per l’incaricato del trattamento con “stabilimento principale” si intende il luogo in cui ha sede la sua amministrazione centrale nell’Unione). Inoltre, quando un responsabile del trattamento non è stabilito nell’Unione europea, ma tratta dati personali di residenti in UE, egli può designare un suo «rappresentante», ovvero la persona fisica o giuridica stabilita nell’Unione che agisce e può, per quanto concerne gli obblighi incombenti al responsabile del trattamento a norma del regolamento, essere interpellata al suo posto dalle autorità di controllo e da altri organismi nell’Unione.

 

In generale, si osserva che il quadro definitorio del Codice della privacy è più ampio rispetto a quello della proposta di regolamento in quanto il Codice ricomprende anche tutte le definizioni previste dalla Direttiva 2002/58/CE[1], relativa alla vita privata e alle comunicazioni elettroniche.

 

Le modalità del consenso

L’articolo 23 del Codice della privacy dispone che il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato, che può riguardare l'intero trattamento ovvero una o più operazioni dello stesso.

La normativa italiana chiarisce che «il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13». Quando il trattamento riguarda dati sensibili il consenso è manifestato in forma scritta.

 

Rispetto a questo quadro, l’articolo 7 della proposta di regolamento aggiunge:

·         che l’onere di dimostrare che l’interessato ha espresso il consenso al trattamento dei suoi dati personali incombe sul responsabile del trattamento;

·         che l’interessato ha diritto di revocare il proprio consenso in qualsiasi momento;

·         che anche il consenso non è sufficiente a legittimare il trattamento se c’è «un notevole squilibrio tra la posizione dell’interessato e del responsabile del trattamento.

 

Il Considerando n. 34 della proposta di regolamento chiarisce che si ha squilibrio, ad esempio, quando l’interessato si trova in situazione di dipendenza dal responsabile del trattamento, tra l’altro quando i dati personali di un dipendente sono trattati dal suo datore di lavoro nel contesto dei rapporti di lavoro. Se il responsabile del trattamento è un’autorità pubblica, vi è squilibrio soltanto nelle specifiche operazioni di trattamento in cui l’autorità pubblica può imporre un obbligo in forza dei suoi pubblici poteri; in tal caso, il consenso non può essere considerato libero, tenuto conto degli interessi dell’interessato.

 

Si osserva che occorre valutare l’impatto sulla normativa nazionale, considerando l’eventualità che, in presenza un “notevole squilibrio” tra la posizione dell’interessato e quella del responsabile del trattamento, si produca un impedimento assoluto al trattamento dei dati.

 

La specifica tutela dei minori

Il Codice della privacy non contiene alcuna previsione espressa sul trattamento dei dati personali dei minori.

 

L’articolo 50 del Codice, collocato nel titolo relativo ai trattamenti in ambito giudiziario, si limita ad affermare che il divieto di pubblicazione e divulgazione con qualsiasi mezzo di notizie o immagini idonee a consentire l'identificazione di un minore si osserva anche in caso di coinvolgimento a qualunque titolo del minore in procedimenti giudiziari in materie diverse da quella penale.

 

La proposta di regolamento, invece, muove dalla convinzione che i minori necessitino di una specifica protezione dei loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze, delle misure di protezione e dei loro diritti in relazione al trattamento dei dati personali[2]. Per questa ragione la proposta definisce i minori (riprendendo la definizione stabilita dalla convenzione delle Nazioni Unite sui diritti del fanciullo) e, all’articolo 8, dispone che per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali di minori di età inferiore ai tredici anni è lecito se e nella misura in cui il consenso è espresso o autorizzato dal genitore o dal tutore del minore. Il responsabile del trattamento dovrà adoperarsi in ogni modo ragionevole per ottenere un consenso verificabile, in considerazione delle tecnologie disponibili.

 

Si osserva che non sono esplicitate le tutele previste in favore dei minori ultratredicenni e che pare utile valutare se nei loro confronti debba essere applicata la stessa disciplina dei maggiorenni.

 

Gli obblighi di informazione

L’articolo 13 del Codice della privacy disciplina l’informativa (orale o scritta) che deve essere resa all’interessato al trattamento dei dati, prevedendo che questa includa:

a) le finalità e le modalità del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati e l'àmbito di diffusione dei dati medesimi;

e) i diritti di accesso, di aggiornamento, rettifica e di cancellazione dei dati;

f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato.

 

L’articolo 14 della proposta di regolamento aggiunge, rispetto alla normativa vigente, specifiche informazioni:

·         sul periodo di conservazione dei dati;

·         sul diritto di presentare reclamo;

·         sugli eventuali trasferimenti internazionali dei dati stessi.

 

Il diritto all’oblio

Attualmente, il d.lgs n. 196 del 2003 inserisce tra i diritti dell’interessato, il diritto di ottenere «la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati» (art. 7, comma 3, lett. b)). Conseguentemente, vieta la comunicazione e diffusione dei «dati personali dei quali è stata ordinata la cancellazione» (art. 25, comma 1, lett. a)).

La proposta di regolamento disciplina il diritto all’oblio e alla cancellazione all’articolo 17, approfondendo quanto già previsto dalla direttiva del 1995 e, conseguentemente, dal Codice della privacy. In particolare, la proposta sottolinea che se i dati sono stati trattati sulla base del consenso espresso da un minore, quindi non pienamente consapevole dei rischi derivanti dal trattamento, questi possa ottenere la cancellazione e la rinuncia all’ulteriore diffusione dei dati.

Inoltre, la proposta introduce l’obbligo per il responsabile del trattamento che abbia divulgato dati personali di informare i terzi della richiesta dell’interessato di cancellare tutti i link verso tali dati, le loro copie o riproduzioni[3].

Attualmente l’articolo 7, comma 3, del Codice della privacy prevede il diritto dell’interessato di ottenere l’attestazione che le operazioni di cancellazione sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi «eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato».

 

Il diritto alla portabilità dei dati

La proposta di regolamento disciplina il diritto dell’interessato - se i dati personali sono trattati con mezzi elettronici e in un formato strutturato e di uso comune - alla portabilità dei dati, che rappresenta una novità nel nostro ordinamento.

In particolare, l’articolo 18 della proposta prevede il diritto di trasferire i propri dati da un sistema di trattamento elettronico a un altro, senza che il responsabile del trattamento possa impedirlo. Come presupposto e al fine di migliorare l’accesso dell’interessato ai dati personali che lo riguardano, è previsto il diritto di ottenere tali dati dal responsabile del trattamento in un formato elettronico strutturato e di uso comune.

 

L’obbligo di notificare e comunicare le violazioni dei dati personali

La proposta di regolamento introduce, agli articoli 31 e 32, l’obbligo per il responsabile del trattamento di notificare entro 24 ore all’autorità di controllo ogni violazione dei dati di cui sia venuto a conoscenza; subito dopo, se la violazione rischia di pregiudicare i dati personali o la vita privata dell’interessato, il responsabile dovrà comunicare l’evento anche all’interessato. Previsioni analoghe non sono contenute nel Codice della privacy.

La proposta dell’Unione europea muove dalla convinzione che una violazione di dati personali può, se non affrontata in modo adeguato e tempestivo, provocare un grave danno economico e sociale all’interessato, tra cui l’usurpazione dell’identità[4]. Per questo è opportuno che le persone i cui dati o la cui vita privata potrebbero essere compromessi da una siffatta violazione siano informate tempestivamente affinché possano prendere le precauzioni del caso.

 

La valutazione d’impatto sulla protezione dei dati

Gli articoli 33 e 34 della proposta di regolamento introducono l’obbligo per i responsabili e incaricati del trattamento di effettuare una valutazione d’impatto in materia di protezione dei dati prima di trattamenti che presentino specifici rischi.

La proposta muove infatti dalla convinzione che vi siano circostanze in cui può essere ragionevole ed economico effettuare una valutazione d’impatto sulla protezione dei dati che verta su un oggetto più ampio di un unico progetto, per esempio quando autorità o enti pubblici intendono istituire un’applicazione o una piattaforma di trattamento comune o quando diversi responsabili del trattamento progettano di introdurre un’applicazione o un ambiente di trattamento comune in un settore o segmento industriale o per una attività trasversale ampiamente utilizzata.

Tale previsione rappresenta una novità rispetto alla normativa vigente.

 

L’eliminazione dell’obbligo di notifica e la nomina di un responsabile della protezione dei dati (data protection officer)

La proposta di regolamento elimina l’obbligo per i titolari di notificare i trattamenti di dati personali, ritenendo che si tratti di un obbligo che comporta oneri amministrativi e finanziari senza per questo aver mai veramente contribuito a migliorare la protezione dei dati personali[5].

Con l’approvazione del regolamento saranno conseguentemente superate le disposizioni degli articoli 37 e 38 del Codice della Privacy che prevedono che il titolare debba notificare al Garante il trattamento di dati personali cui intende procedere, se il trattamento riguarda specifici dati.

 

Si tratta di:

a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;

b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;

c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;

d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;

e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;

f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

La notificazione del trattamento è presentata al Garante prima dell'inizio del trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e può anche riguardare uno o più trattamenti con finalità correlate.

 

La proposta (articolo 35) sostituisce alla notificazione l’obbligo di nominare un responsabile della protezione dati, per tutti i soggetti pubblici e, nel settore privato, per le grandi imprese (con più di 250 dipendenti) o allorquando le attività principali del responsabile del trattamento e dell’incaricato del trattamento consistono in trattamenti che richiedono il controllo regolare e sistematico degli interessati. Il responsabile della protezione dei dati, dipendente o meno del responsabile del trattamento, deve essere in grado di esercitare le proprie funzioni e compiti in modo indipendente.

Si osserva che l’entrata in vigore della disposizione comporterà alcuni adeguamenti e aggravamenti organizzativi, tanto nel settore pubblico quanto in quello privato di maggiori dimensioni.

 

La cooperazione tra le autorità di controllo dei diversi Stati

La proposta di regolamento definisce analiticamente i poteri (anche sanzionatori) ed i requisiti di indipendenza delle autorità nazionali di controllo, il cui parere sarà indispensabile qualora si intendano adottare strumenti normativi, comprese le leggi, che impattino sulla protezione dei dati personali.

Il versante maggiormente innovativo è quello che attiene alla cooperazione tra le autorità di controllo dei diversi Stati, in quanto la proposta prevede (articoli 55 e 56) che le autorità debbano prestarsi reciproca assistenza nell’esercizio delle loro funzioni, in modo da garantire la coerente applicazione e attuazione del regolamento e che debbano avere diritto di partecipare alle operazioni congiunte. In particolare, la proposta disciplina le attività di controllo che l’autorità nazionale deve svolgere, entro un termine definito, anche su richiesta di altra autorità.

 

Il quadro sanzionatorio

L’articolo 78 della proposta di regolamento stabilisce che gli Stati possono determinare le sanzioni per la violazione delle disposizioni del regolamento e che le stesse devono essere efficaci, proporzionate e dissuasive.

L’articolo successivo, peraltro, introduce specifiche sanzioni amministrative pecuniarie per la violazione delle proprie disposizioni.

 

Il quadro sanzionatorio delineato dall’articolo 79 del regolamento presenta le seguenti caratteristiche:

·         sono previste solo sanzioni amministrative pecuniarie;

·         l’irrogazione delle sanzioni compete all’autorità nazionale di controllo che dovrà anche determinarne l’ammontare per garantire che la sanzione sia «efficace, proporzionata e dissuasiva»;

Per stabilire l’ammontare l’autorità dovrà rispettare i seguenti indici:

-natura della violazione;

-gravità della violazione;

-durata della violazione;

-carattere doloso o colposo dell’illecito;

-grado si responsabilità della persona fisica o giuridica;

-precedenti violazioni già commesse;

-misure tecniche ed organizzative adottate;

-grado di cooperazione con l’autorità per porre rimedio alla violazione

·      le sanzioni pecuniarie sono determinate nel massimo (es. 500.000 euro). Per garantire la loro effettiva dissuasività la proposta individua in alternativa al massimo prefissato una percentuale (es. fino all’1%) sul fatturato mondiale annuo dell’impresa.

 

Il quadro sanzionatorio del Codice della privacy è profondamente diverso.

Preliminarmente si sottolinea che nel nostro ordinamento degli illeciti amministrativi si risponde senza dover verificare l’elemento soggettivo del dolo o della colpa.

Conseguentemente, nel nostro ordinamento l’autorità di controllo non potrebbe determinare l’ammontare della sanzione pecuniaria tenendo conto dell’elemento soggettivo del contravventore, come richiesto dal regolamento.

 

Peraltro, la differenza principale rispetto alle sanzioni previste dalla proposta risiede nel fatto che il d.lgs. n. 196 del 2003 prevede, a fronte della violazione delle disposizioni sul trattamento dei dati personali, tanto illeciti amministrativi (artt. 161-166) quanto illeciti penali (artt. 167-172).

Se, ad esempio, la violazione delle disposizioni sugli obblighi di informazione all’interessato al trattamento è sanzionata dall’art. 161 del Codice con il pagamento di una sanzione amministrativa da 6.000 a 36.000 euro, la violazione delle disposizioni sul consenso dell’interessato può determinare – se è motivata dal fine di trarre profitto o di recare ad altri un danno – la pena della reclusione da 6 a 24 mesi (articolo 167).

Per analoghe condotte la proposta di regolamento prevede invece:

·         la sanzione pecuniaria fino a 250.000 euro o fino allo 0,5% del fatturato per le imprese (violazione degli obblighi di informazione);

·         la sanzione pecuniaria fino a un milione di euro o fino al 2% del fatturato per le imprese (violazione degli obblighi relativi al consenso).

 

Occorre pertanto valutare il rapporto tra le disposizioni sanzionatorie penali del Codice della privacy e le disposizioni sanzionatorie amministrative della proposta di regolamento, soprattutto per quegli ambiti nei quali, a fronte di un illecito penale già previsto dalla normativa nazionale, il regolamento individua una sanzione amministrativa.

Occorre inoltre approfondire il rapporto tra l’articolo 78 e l’articolo 79 del regolamento perché, mentre il primo autorizza gli Stati a determinare le sanzioni, il successivo le introduce direttamente, senza affermare il suo carattere recessivo rispetto all’intervento statale. Potrebbe a tal fine risultare utile l’inserimento di una disposizione che indichi il rapporto di specialità tra le diverse norme.

 

Il quadro normativo interno sul trattamento dei dati personali per finalità di giustizia e di polizia

La proposta di direttiva disciplina i trattamenti di dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.

 

Tale disciplina, che dovrà essere recepita, va valutata alla luce della Parte II del Codice della privacy (Disposizioni relative a specifici settori) e specificamente del Titolo I, Trattamenti in àmbito giudiziario e del Titolo II, Trattamenti da parte di forze di polizia.

I dati giudiziari sono considerati dal Codice della privacy dati sensibili: l’articolo 21 ne consente il trattamento solo previa autorizzazione espressa di legge o provvedimento del Garante, che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.

Per quanto riguarda i trattamenti di dati in ambito giudiziario, l’art. 46 del Codice della privacy stabilisce che titolari dei trattamenti sono gli uffici giudiziari, il Consiglio superiore della magistratura, gli altri organi di autogoverno e il Ministero della giustizia, ciascuno per le rispettive attribuzioni.

Quando il trattamento è effettuato per ragioni di giustizia – ovvero si tratta di dati personali direttamente correlati alla trattazione giudiziaria di affari e di controversie, o di attività ispettive su uffici giudiziari - l’art. 47 esclude l’applicazione di una serie di obblighi previsti dal Codice.

L’articolo 48 disciplina infine le banche dati degli uffici giudiziari.

Per quanto riguarda la c.d. informatica giuridica, l’articolo 51 dispone che i dati identificativi delle questioni pendenti dinanzi all'autorità giudiziaria di ogni ordine e grado sono resi accessibili a chi vi abbia interesse anche mediante reti di comunicazione elettronica, ivi compreso il sito istituzionale della medesima autorità nella rete Internet. Le sentenze e le altre decisioni dell'autorità giudiziaria di ogni ordine e grado depositate in cancelleria o segreteria sono rese accessibili anche attraverso il sistema informativo e il sito istituzionale della medesima autorità nella rete Internet, osservando specifiche cautele. Peraltro, il codice dispone che l'interessato possa ottenere – in caso di riproduzione del provvedimento giurisdizionale che lo riguarda – l’omissione dell'indicazione delle generalità.

Per quanto riguarda invece il trattamento di dati personali da parte di forze di polizia, il Codice della privacy:

-      esclude l’applicazione di una serie di obblighi al trattamento effettuato dal Centro elaborazione dati del Dipartimento di pubblica sicurezza o da forze di polizia o altri soggetti pubblici per finalità di tutela dell'ordine e della sicurezza pubblica, prevenzione, accertamento o repressione dei reati;

-      consente l’acquisizione di dati per via telematica;

-      prevede l’adozione di particolari garanzie per il trattamento di dati genetici o biometrici (art. 55);

-      demanda ad un regolamento l’individuazione delle modalità di attuazione dei principi elaborati dal Codice (art. 57).

 

Si ricorda, inoltre, con la legge n. 85 del 2009 l’Italia ha ratificato il Trattato di Prüm - concluso tra alcuni Paesi UE allo scopo di contrastare il terrorismo, la criminalità transfrontaliera e la migrazione illegale - ed ha istituito la banca dati del DNA ed il laboratorio centrale per la banca dati nazionale del DNA. La finalità dell'istituzione della banca dati e del laboratorio centrale è quella di facilitare l'identificazione degli autori di delitti, in particolare permettendo la comparazione dei profili del DNA di persone già implicate in procedimenti penali con gli analoghi profili ottenuti dalle tracce biologiche rinvenute sulla scena di un reato.

La banca dati nazionale provvede, nei casi tipizzati, alla raccolta dei profili del DNA:

-      dei soggetti sottoposti a misure restrittive della libertà personale;

-      relativi a reperti biologici acquisiti nel corso di procedimenti penali;

-      di persone scomparse o loro consanguinei e di cadaveri e resti cadaverici non identificati.

La legge n. 85 del 2009 regola il trattamento dei dati, l'accesso e la tracciabilità dei campioni e, in particolare, stabilisce che i profili ed i relativi campioni non contengono le informazioni che consentono la diretta identificazione del soggetto cui sono riferiti.

L’accesso alle banche dati si configura di secondo livello: la polizia giudiziaria e la stessa autorità giudiziaria dovranno prima richiedere di effettuare il confronto e, solo se esso è positivo, potranno essere autorizzate a conoscere il nominativo del soggetto cui appartiene il profilo. Inoltre, si introduce la necessità di identificare sempre e comunque l'operatore che ha consultato la banca dati, nonché di registrare ogni attività concernente i profili e i campioni.

Sono, infine, specificamente disciplinati i casi di cancellazione del profilo del DNA e di distruzione del relativo campione biologico e posti limiti temporali massimi per la conservazione nella banca dati nazionale del profilo del DNA (quarant’anni) e del campione biologico (venti anni).

 

Rispetto al quadro normativo vigente, i principali profili di novità della direttiva risiedono:

·         nell’art. 5, che impone agli Stati l’obbligo di disporre che, nella misura del possibile, il responsabile del trattamento operi una chiara distinzione tra i dati personali di diverse categorie di interessati (le persone per le quali vi sono fondati motivi di ritenere che abbiano commesso o stiano per commettere un reato; le persone condannate per un reato; le vittime di reato; i terzi coinvolti nel reato; le persone che non rientrano in nessuna delle precedenti categorie);

·         nell’art. 9, sul divieto di profilazione ovvero sul divieto di qualunque misura che produca effetti giuridici negativi o significativamente incida sull’interessato basata unicamente su un trattamento automatizzato di dati personali destinato a valutarne aspetti della personalità, salvo che essa sia autorizzata da disposizioni di legge che precisino misure a salvaguardia dei legittimi interessi dell’interessato.



[1]   Dir. 12 luglio 2002, n. 2002/58/CE, Direttiva del Parlamento europeo e del Consiglio relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche.

[2]   Cfr. Considerando n. 29 della proposta.

[3]   Il Considerando n. 54 specifica che «Per rafforzare il “diritto all’oblio” nell’ambiente on line, è necessario che il diritto di cancellazione sia esteso in modo da obbligare il responsabile del trattamento che ha pubblicato dati personali a informare i terzi che stanno trattando tali dati della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. Per garantire tale informazione, è necessario che il responsabile del trattamento prenda tutte le misure ragionevoli, anche di natura tecnica, in relazione ai dati della cui pubblicazione è responsabile. Se ha autorizzato un terzo a pubblicare dati personali, il responsabile del trattamento deve essere ritenuto responsabile di tale pubblicazione».

[4]   Cfr. Considerando n. 67 della proposta di regolamento.

[5]   Cfr. Considerando n. 70 della proposta di regolamento.