Scheda di
lettura
|
Tipo di atto
|
Proposta
di regolamento del Parlamento europeo e del Consiglio concernente la tutela
delle persone fisiche con riguardo al trattamento dei dati personali e la
libera circolazione di tali dati (COM(2012)11)
|
|
Data di adozione
|
25 gennaio 2012
|
|
Base giuridica
|
Art. n. 16 del TFUE
|
|
Settori di intervento
|
Protezione
della vita privata, diritti della persona
|
|
|
|
Tipo di atto
|
Proposta di direttiva del Parlamento europeo e del
Consiglio concernente la tutela della persone fisiche con riguardo al trattamento
dei dati personali da parte delle autorità competenti ai fini della
prevenzione, indagine , accertamento e perseguimento di reati o esecuzione di
sanzioni penali, e la libra circolazione di tali dati
|
|
Data di adozione
|
25 gennaio 2012
|
|
Base giuridica
|
Art. n. 16, par. 2 del TFUE
|
|
Settori di intervento
|
Lotta alla criminalità Protezione della vita
privata, diritti della persona
|
|
|
|
Assegnazione delle proposte
|
14 febbraio 2012 – II
Commissione Giustizia
|
|
Termine per il controllo di sussidiarietà
|
10 aprile 2012
|
|
Eventuale segnalazione da parte del Governo
|
Segnalate
|
Il 25 gennaio 2012 la Commissione europea ha presentato un pacchetto di proposte volte all’istituzione di un nuovo
quadro giuridico europeo per la protezione dei dati personali nell’Unione europea,
comprendente:
·
la proposta di regolamento del Parlamento europeo e del
Consiglio COM(2012)11 concernente la tutela delle persone fisiche con riguardo
al trattamento dei dati personali e la libera circolazione di tali dati
(regolamento generale sulla protezione dei dati) che abroga la direttiva
95/46/CE
·
la proposta di direttiva (COM(2012)10 del Parlamento europeo e
del Consiglio concernente la tutela della persone fisiche con riguardo al
trattamento dei dati personali da parte delle autorità competenti ai fini della
prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di
sanzioni penali, e la libra circolazione di tali dati, che abroga la decisione
quadro 2008/977/GAI
Il pacchetto
di proposte, in linea con le indicazioni del Programma di Stoccolma per lo
Spazio di libertà, sicurezza e giustizia per il periodo 2010-2014, intende rafforzare la tutela dei dati personali nell’UE, sostituendo la normativa vigente con
strumenti giuridici maggiormente vincolanti:
·
un regolamento in sostituzione della direttiva 95/46/CE, in
modo da ottenere una uniforme applicazione delle disposizioni generali
sulla protezione dei dati in tutto il territorio dell’UE. L’applicabilità
diretta del regolamento nei diversi ordinamenti nazionali dovrebbe permettere di
ridurre la frammentazione giuridica e offrire maggiori certezze grazie
all’introduzione di una serie di norme di base armonizzate.
·
una direttiva in sostituzione della decisione quadro
2008/977/GAI per la protezione dei dati nell’ambito delle attività svolte a
fini di prevenzione, indagine, accertamento e perseguimento di reati o
esecuzione di sanzioni penali. La Commissione intende avvalersi delle novità introdotte dal Trattato di Lisbona, che, abolendo la precedente
struttura a pilastri, ha permesso di estendere alla cooperazione giudiziaria e
di polizia in materia penale (ex terzo pilastro) gli strumenti legislativi (regolamenti
e direttive) prima riservati alle materia comunitarie (ex primo pilastro).
La Commissione ritiene che la direttiva sia lo strumento migliore per garantire
l’armonizzazione a livello dell’UE e per dare al tempo stesso la
flessibilità necessaria agli Stati membri, in un settore particolarmente
delicato quale la cooperazione giudiziaria e di polizia in materia penale.
In
particolare, la Commissione intende:
·
rafforzare la dimensione “mercato interno” della
protezione dei dati, aumentando la coerenza e semplificando il quadro
normativo, in modo da eliminare i costi inutili e diminuire l’onere
amministrativo per le imprese;
A tale proposito la Commissione sottolinea che, sebbene la direttiva 95/46/CE miri a garantire un livello
equivalente di protezione dei dati nell’Unione, le persistenti differenze
quanto all’applicazione delle norme nei diversi Stati membri sono tali da produrre
oneri amministrativi per le imprese pari a circa 3 miliardi di euro
all’anno e disincentivano le PMI che operano nel mercato unico
dall’espandere le loro attività all’estero. Una notevole difformità tra
ordinamenti nazionali è altresì rilevata dalla Commissione europea per
quanto riguarda le risorse e poteri delle autorità nazionali di protezione
dei dati, la cui cooperazione a livello europeo – attraverso l’attuale
gruppo consultivo (gruppo di lavoro “articolo 29”) – non garantisce sempre un’applicazione coerente della normativa.
·
rendere più effettivo il diritto fondamentale alla protezione
dei dati e consentire alle persone fisiche di mantenere il controllo dei
loro dati;
La Commissione sottolinea che a causa dell’assenza di armonizzazione delle legislazioni
nazionali sulla protezione dei dati e dei poteri diseguali delle autorità di
protezione dei dati, l’esercizio dei diritti da parte delle persone fisiche
è più difficile in alcuni Stati membri rispetto ad altri. Inoltre la Commissione rileva la necessità di adeguare il quadro normativo in considerazione dello sviluppo
delle attività on-line e della rapidità dell’evoluzione
tecnologica.
·
migliorare la coerenza del quadro dell’Unione sulla protezione
dei dati, anche nel settore della cooperazione di polizia e giudiziaria in
materia penale.
Nella relazione
sull’attuazione della decisione quadro 2008/977/GAI, presentata lo stesso
25 gennaio COM(2012)12, la Commissione europea rileva che la decisione quadro
prevede numerose possibilità di deroga ai principi generali della protezione
dei dati a livello nazionale, e quindi non ne garantisce l’armonizzazione. In
particolare l’Italia e i Paesi Bassi hanno fatto presente la
difficoltà di stabilire, nella pratica, una differenza tra il
trattamento transfrontaliero dei dati ai sensi della decisione quadro
2008/977/GAI e il trattamento a livello nazionale, e la conseguente
complessità per le autorità nazionali di contrasto di applicare norme di
trattamento diverse agli stessi dati personali. L’Italia, la Repubblica ceca e i Paesi Bassi hanno inoltre espresso perplessità sulle norme relative ai
trasferimenti internazionali contenute nella decisione quadro. In
particolare, l’Italia ha sottolineato la necessità di prevedere un livello adeguato
e più uniforme di protezione per i trasferimenti di dati verso paesi terzi.
Rispetto alla direttiva
95/46/CE, comprendente sette capi e 34 articoli, la proposta di
regolamento riorganizza il contenuto, ampliandolo notevolmente e declinandolo
in ben 91 articoli.
In particolare, l’articolo 2
esclude dall’ambito di applicazione del regolamento i trattamenti di dati personali:
·
effettuati per attività che non rientrano nell’ambito di
applicazione del diritto dell’Unione, concernenti in particolare la sicurezza
nazionale;
·
effettuati da istituzioni, organi e organismi dell’Unione;
·
effettuati dagli Stati membri nell’esercizio di attività che
rientrano nel campo di applicazione del capo 2 del trattato sull’Unione europea
(disposizioni specifiche sulla politica estera e di sicurezza);
·
effettuati da una persona fisica senza finalità di lucro per
l’esercizio di attività esclusivamente personali o domestiche;
·
effettuati dalle autorità competenti a fini di prevenzione,
indagine, accertamento o perseguimento di reati o esecuzione di sanzioni
penali.
Per quanto riguarda l’ambito
territoriale di applicazione (art. 3), la proposta prevede che il
regolamento si applichi al trattamento dei dati personali effettuato nell’ambito
delle attività di un responsabile del trattamento o di un incaricato del
trattamento stabilito nel territorio dell’Unione. Il regolamento si
appliccherà anche al trattamento dei dati personali di residenti nell’Unione
effettuato da un responsabile del trattamento che non è stabilito
nell’Unione, quando le attività di trattamento riguardano:
a) l’offerta di beni o la
prestazione di servizi ai suddetti residenti nell’Unione, oppure
b) il controllo del loro
comportamento.
Il regolamento si applicherà
inoltre al trattamento dei dati personali effettuato da un responsabile del
trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al
diritto nazionale di uno Stato membro, in virtù del diritto internazionale
pubblico.
Di seguito vengono illustrate la principali
modifiche introdotte dalla proposta rispetto alla normativa vigente:
All’articolo 4 (Definizioni)
del Capo I (Disposizioni generali) viene specificato che si intende per
“consenso dell’interessato” qualsiasi manifestazione di volontà libera,
specifica informata ed esplicita con la quale l’interessato accetta,
mediante dichiarazione o azione positiva inequivocabile, che i dati personali
che lo riguardano siano oggetto di trattamento. Si precisa inoltre, cosa che
non faceva la direttiva 95/46/CE il consenso deve essere “esplicito”
ed esclude, quindi, il consenso tacito o passivo.
L’articolo 8 (Capo II - Principi)
introduce specifiche condizioni per la liceità del trattamento dei dati
personali personali dei minori, stabilendo che per i minori di età
inferiore ai tredici anni il consenso deve essere espresso o autorizzato dal genitore
o dal tutore del minore.
Il divieto generale al
trattamento di categorie particolari di dati personali (art.9), già
previsto dalla normativa vigente, (dati personali che rivelino la razza,
l’origine etnica, le opinioni politiche, la religione o le
convinzioni personali, l’appartenenza sindacale, come pure il trattamento di
dati genetici o dati relativi alla salute e alla vita sessuale), e
l’indicazione dei casi specifici di deroga a tale principio generale, vengono
mutuati dall’articolo 8 della direttiva 95/46/CE, con l’aggiunta del
riferimento ai dati genetici.
L’articolo 11 introduce
l’obbligo per i responsabili del trattamento di fornire informazioni trasparenti,
comprensibili e facilmente accessibili. L’articolo 14 amplia la
gamma di informazioni che il responsabile del trattamento è tenuto a fornire
all’interessato, includendo il periodo di conservazione, il diritto di
presentare reclamo, i trasferimenti internazionali e la fonte dei dati.
Si segnala il proposito che nella risoluzione del 6 luglio 2011 su un approccio globale alla protezione dei dati personali nell'Unione
europea il Parlamento europeo, rilevando che lo sviluppo e la diffusione
del «cloud computing» comportano nuove sfide in termini di tutela della
vita privata e protezione dei dati personali, ha chiesto un chiarimento
riguardo alle capacità dei responsabili del trattamento dei dati, degli
incaricati del trattamento e degli «host», ai fini di una migliore ripartizione
delle rispettive responsabilità giuridiche e affinché gli interessati sappiano
dove sono archiviati i loro dati, chi vi ha accesso, chi decide del loro utilizzo
e quali procedure di back-up e recupero vengono utilizzate. Il Parlamento
europeo invita la Commissione a tenere debitamente conto, in sede di
revisione della direttiva 95/46/CE, delle problematiche attinenti alla
protezione dei dati in riferimento al «cloud computing» ed a garantire
che le norme in materia di protezione dei dati siano applicate a tutte le parti
interessate, compresi gli operatori delle telecomunicazioni e di settori
diversi dalle telecomunicazioni.
L’articolo 17
amplia le possibilità di esercizio del diritto alla cancellazione,
(disposizioni relative alla cancellazione erano già contenute nell’articolo 12,
lettera b), della direttiva 95/46/CE) e introduce un non meglio specificato diritto
all’oblio in aggiunta a quello della cancellazione. In particolare
l’interessato avrà il diritto di ottenere dal responsabile del
trattamento la cancellazione di dati personali che lo riguardano e la
rinuncia a un’ulteriore diffusione di tali dati.
Qualora abbia reso pubblici dati
personali, il responsabile del trattamento di cui è tenuto ad informare i
terzi che stanno trattando tali dati della richiesta dell’interessato di
cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. Se
ha autorizzato un terzo a pubblicare dati personali, il responsabile del
trattamento è ritenuto responsabile di tale pubblicazione. Il responsabile del
trattamento sarà tenuto a provvedere senza ritardo alla cancellazione, a
meno che conservare i dati personali non sia necessario:
·
per l’esercizio del diritto alla libertà di espressione in
conformità dell’articolo 80;
·
per motivi di interesse pubblico nel settore della sanità
pubblica in conformità dell’articolo 81;
·
per finalità storiche, statistiche e di ricerca scientifica in
conformità dell’articolo 83;
·
per adempiere un obbligo legale di conservazione di dati
personali previsto dal diritto dell’Unione o dello Stato membro cui è soggetto
il responsabile del trattamento. Il diritto dello Stato membro deve perseguire
un obiettivo di interesse pubblico, rispettare il contenuto essenziale del
diritto alla protezione dei dati personali ed essere proporzionato
all’obiettivo legittimo.
Invece di provvedere alla
cancellazione, il responsabile del trattamento limita il trattamento
dei dati personali:
a)quando l’interessato ne
contesta l’esattezza, per il periodo necessario ad effettuare le opportune
verifiche;
b)quando, benché non ne abbia più
bisogno per l’esercizio dei suoi compiti, i dati devono essere conservati a
fini probatori;
c)quando il trattamento è illecito
e l’interessato si oppone alla loro cancellazione e chiede invece che ne sia
limitato l’utilizzo;
d)quando l’interessato chiede di
trasmettere i dati personali a un altro sistema di trattamento automatizzato,
in conformità al diritto alla portabilità di cui all’articolo 18
L’articolo 18 introduce il
diritto dell’interessato alla portabilità dei dati, vale a dire il diritto
di trasferire i propri dati da un sistema di trattamento elettronico
a un altro, senza che il responsabile del trattamento possa impedirlo.
In particolare, l’interessato ha il diritto, ove i dati personali siano
trattati con mezzi elettronici e in un formato strutturato e di uso comune, di
ottenere dal responsabile del trattamento copia dei dati trattati in un formato
elettronico e strutturato che sia di uso comune e gli consenta di farne
ulteriore uso.
L’articolo 19 conferma il diritto
di opposizione dell’interessato ha il diritto di per motivi connessi alla
sua situazione particolare, al trattamento dei dati personali salvo che il responsabile
del trattamento dimostri l’esistenza di motivi preminenti e legittimi per
procedere al trattamento che prevalgono sugli interessi o sui diritti e sulle
libertà fondamentali dell’interessato. Qualora i dati personali siano
trattati per finalità di marketing diretto, l’interessato ha il diritto
di opporsi gratuitamente al trattamento dei dati personali effettuato
per tali finalità. Tale diritto deve essere comunicato esplicitamente
all’interessato in modo intelligibile ed è chiaramente distinguibile dalle
altre informazioni.
L’articolo 20 sancisce il diritto
di non essere sottoposto a misure basate sulla profilazione, ampliando il
contenuto della direttiva 95/46/CE, sulla base della raccomandazione del
Consiglio d’Europa sulla profilazione. In particolare, si stabilisce che
chiunque ha il diritto di non essere sottoposto a una misura che produca
effetti giuridici o significativamente incida sulla sua persona, basata
unicamente su un trattamento automatizzato destinato a valutare taluni aspetti
della sua personalità o ad analizzarne o prevederne in particolare il
rendimento professionale, la situazione economica, l’ubicazione, lo stato di
salute, le preferenze personali, l’affidabilità o il comportamento. La
profilazione è consentita soltanto se il trattamento:
a) è effettuato nel contesto
della conclusione o dell’esecuzione di un contratto, oppure
b) è espressamente autorizzato da
disposizioni del diritto dell’Unione o di uno Stato membro che precisi altresì
misure adeguate a salvaguardia dei legittimi interessi dell’interessato, oppure
c) si basa sul consenso
dell’interessato.
L’articolo 21
(Limitazioni) stabilisce che l’Unione o gli Stati membri possano limitare,
mediante misure legislative, la portata degli obblighi e dei diritti relativi
al trattamaento dei dati personali, qualora tale limitazione costituisca una
misura necessaria e proporzionata in una società democratica per salvaguardare:
a) la pubblica
sicurezza;
b) le
attività volte a prevenire, indagare, accertare e perseguire reati;
c) altri
interessi pubblici dell’Unione o di uno Stato membro, in particolare un rilevante
interesse economico o finanziario dell’Unione o di uno Stato membro, anche
in materia monetaria, di bilancio e tributaria, e la stabilità e l’integrità
del mercato;
d) le attività
volte a prevenire, indagare, accertare e perseguire violazioni della
deontologia delle professioni regolamentate;
e) una funzione
di controllo, d’ispezione o di regolamentazione connessa, anche
occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle
lettere a), b), c), e d);
f) la tutela
dell’interessato o dei diritti e delle libertà altrui.
La Commissione sottolinea che tale disposizione, basata sull’articolo 13 della
direttiva 95/46/CE risponde agli obblighi discendenti dalla Carta dei
diritti fondamentali e dalla convenzione CEDU, nell’interpretazione della Corte
di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo. In
particolare la Commissione ricorda che il diritto alla protezione dei dati
personali è sancito, oltre che dall’articolo 16 TFUE, base giuridica della
proposta, dall’articolo 8 della Carta dei diritti fondamentali dell’Unione e dall’articolo
8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle
libertà fondamentali (CEDU). La Commissione sottolinea tuttavia che, secondo la
giurisprudenza della Corte di giustizia dell’Unione europea (Cause riunite
C-92/09 e C-93/09: Sentenza della Corte di giustizia dell’Unione europea
9 novembre 2010), il diritto alla protezione dei dati personali
non è una prerogativa assoluta, ma va considerato alla luce della sua
funzione sociale. Richiamando l’articolo base all’articolo 52, paragrafo
1, della Carta, la Commissione ricorda al contempo che eventuali limitazioni
all’esercizio del diritto alla protezione dei dati devono essere previste dalla
legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel
rispetto del principio di proporzionalità, possono essere apportate limitazioni
solo laddove siano necessarie e rispondano effettivamente a finalità di
interesse generale riconosciute dall’Unione o all’esigenza di proteggere i
diritti e le libertà altrui.
Si osserva che a
fronte del carattere dettagliato delle norme in materia di diritti
dell’interessato contenute nella proposta di regolamento, il dettato della disposizione
in questione non presenta lo stesso livello di definizione, prefigurando la
possibilità di interpretazioni assai ampie dei casi di limitazioni, con la
possibilità di determinare significative difformità tra i regimi applicati dai
diversi Stati membri e il conseguente rischio di incidere negativamente sul
rafforzamento della protezione dei dati personali, obiettivo prioritario della
proposta di regolamento in esame.
In proposito si ritiene opportuno
acquisire la valutazione del Governo.
L’articolo 23
enuncia gli obblighi del responsabile del trattamento derivanti dai
principi di protezione fin dalla progettazione (“by design”) e di default.
Si ricorda che, nella citata risoluzione approvata il
6 luglio 2011 il Parlamento europeo ritiene che i concetti di «privacy by
design» e «privacy by default» costituiscano un rafforzamento della
protezione dei dati e sostiene la loro applicazione concreta e il loro futuro
sviluppo, come pure la necessità di promuovere l'uso delle tecnologie di
rafforzamento della tutela della vita privata; evidenzia la necessità che
l'attuazione della «privacy by design» debba basarsi su criteri e
definizioni sensati e concreti al fine di garantire il diritto degli utenti
alla privacy e alla protezione dei dati nonché la certezza del diritto, la
trasparenza, condizioni di parità e la libertà di circolazione; ritiene che la
«privacy by design» debba basarsi sul principio di minimizzazione dei
dati, secondo cui tutti i prodotti, servizi e sistemi dovrebbero essere
realizzati in modo tale da raccogliere, utilizzare e trasmettere solo i dati
personali assolutamente necessari al loro funzionamento.
L’articolo 28 introduce
l’obbligo per i responsabili e gli incaricati del trattamento di conservare
la documentazione delle operazioni effettuate sotto la propria
responsabilità, in sostituzione della notifica indiscriminata e generale
all’autorità di controllo prevista dall’articolo 18, paragrafo 1, e
dall’articolo 19 della direttiva 95/46/CE. In sostanza si ritiene che gli
obblighi debbano concentrarsi sulle sole operazioni di trattamento che
presentano rischi particolari per le libertà dei soggetti interessati.
Secondo la Commissione europea tale disposizione dovrebbe permettere risparmi alle imprese in quanto l’obbligo di
notifica avrebbe dimostrato finora un costo pari a circa 130 milioni di euro
l'anno, senza produrre vantaggi apprezzabili.
Gli articoli
31 e 32 introducono l’obbligo di notificazione e comunicazione delle
violazioni di dati personali, sviluppando la notificazione prevista
all’articolo 4, paragrafo 3, della direttiva 2002/58/CE (Direttiva
relativa alla vita privata e alle comunicazioni elettroniche). In particolare
l’articolo 31 stabilisce che in caso di violazione dei dati personali, il
responsabile del trattamento notifichi la violazione all’autorità di controllo
senza ritardo, ove possibile entro 24 ore dal momento in cui ne è venuto a
conoscenza. L’articolo 32 (Comunicazione di una violazione dei dati
personali all’interessato) stabilisce che, quando la violazione dei dati
personali rischia di pregiudicare i dati personali o di attentare alla vita
privata dell’interessato, il responsabile del trattamento, dopo aver provveduto
alla notificazione, comunichi la violazione all’interessato senza
ingiustificato ritardo.
Si segnala che nella citata risoluzione del 6 luglio 2012, il Parlamento europeo esorta la Commissione ad introdurre un sistema generale ed obbligatorio di notifica della violazione
dei dati personali, estendendolo a settori diversi da quello delle
telecomunicazioni, garantendo nel contempo che (a) non si trasformi in un
allarme di routine per tutti i tipi di violazione, ma sia collegato soprattutto
alle violazioni che possono avere ripercussioni negative sulle persone e (b)
che tutte le violazioni, senza eccezione, siano registrate e messe a
disposizione delle autorità preposte alla protezione dei dati e di altre
autorità competenti, per l'ispezione e la valutazione, garantendo così
condizioni di parità e una protezione uniforme per tutti.
Gli articoli
33 e 34 della proposta di regolamento introducono l’obbligo per i
responsabili e incaricati del trattamento di effettuare una valutazione
d’impatto in materia di protezione dei dati prima di trattamenti che presentino
specifici rischi.
L’articolo 35
introduce la figura obbligatoria del responsabile della protezione dei
dati per il settore pubblico e, nel settore privato, per le imprese con 250
o più dipendenti o allorquando le attività principali del responsabile del
trattamento e dell’incaricato del trattamento consistono in trattamenti che
richiedono il controllo regolare e sistematico degli interessati. La
disposizione si basa sull’articolo 18, paragrafo 2, della direttiva 95/46/CE
che ha permesso agli Stati membri di introdurre tale obbligo in sostituzione di
un obbligo generale di notificazione.
La Commissione europea osserva che l’obbligo per gli
operatori economici di grandi dimensioni (con più di 250 dipendenti) di
designare un responsabile della protezione dei dati non genererebbe costi
sproporzionati, in quanto tale figura è già comune in tali imprese. I costi di
conformità dovrebbero ammontare a 320 milioni di euro all’anno. Tale obbligo si
applicherà a una fascia minima necessaria di responsabili del trattamento, dato
che di norma le PMI ne saranno escluse.
In proposito si segnala
l’opportunità di acquisire l’avviso del Governo circa il possibile impatto
dell’obbligo previsto.
L’articolo 39
(certificazione) stabilisce che, gli Stati membri e la Commissione incoraggiano l’istituzione di meccanismi di certificazione della protezione
dei dati nonché di sigilli e marchi di protezione dei dati che consentano
agli interessati di valutare rapidamente il livello di protezione dei dati
garantito dai responsabili del trattamento e dagli incaricati del trattamento.
Nella citata risoluzione del 6 luglio 2011 il Parlamento europeo ritiene che qualsiasi sistema di certificazione o marcatura
debba essere garantito sotto il profilo dell'integrità e dell'affidabilità,
debba essere neutro sul piano tecnologico e riconoscibile a livello mondiale ed
accessibile, al fine di non creare ostacoli all'accesso.
Riprendendo le disposizioni della
direttiva vigente, l’articolo 41 stabilisce che il trasferimento
di dati verso paesi terzi è ammesso se la Commissione ha deciso, attraverso l’adozione di un atto di esecuzione, che il paese
terzo, o un territorio o settore di trattamento all’interno del paese terzo, o
l’organizzazione internazionale in questione garantisce un livello di
protezione adeguato. Nel valutare l’adeguatezza del livello di protezione la Commissione prende in considerazione i seguenti elementi:
a) lo stato di diritto,
la pertinente legislazione generale e settoriale vigente, anche in materia
penale, di pubblica sicurezza, difesa e sicurezza nazionale, le regole
professionali e le misure di sicurezza osservate nel paese terzo o dall’organizzazione
internazionale in questione, nonché i diritti effettivi e azionabili, compreso
il diritto degli interessati a un ricorso effettivo in sede amministrativa e
giudiziaria, in particolare quelli che risiedono nell’Unione e i cui dati
personali sono oggetto di trasferimento;
b) l’esistenza e l’effettivo
funzionamento di una o più autorità di controllo indipendenti nel paese
terzo o nell’organizzazione internazionale in questione, incaricate di
garantire il rispetto delle norme di protezione dei dati, assistere e
consigliare gli interessati in merito all’esercizio dei loro diritti e
cooperare con le autorità di controllo dell’Unione e degli Stati membri, e
c) gli impegni internazionali
assunti dal paese terzo o dall’organizzazione internazionale in questione.
Qualora la Commissione assuma una decisione di non adeguatezza, il trasferimento dei dati è vietato
e la Commissione avvia, al momento opportuno, consultazioni con il paese terzo
o l’organizzazione internazionale per porre rimedio alla situazione risultante
dalla decisione in questione.
Ampliando il contenuto della
direttiva vigente, in base all’articolo 42, qualora la Commissione non abbia preso alcuna preventiva decisione di adeguatezza ai sensi dell’articolo
41, il responsabile del trattamento o l’incaricato del trattamento può
trasferire dati personali verso un paese terzo o un’organizzazione
internazionale solo se ha offerto garanzie adeguate per la protezione dei
dati personali in uno strumento giuridicamente vincolante. Costituiscono in particolare
garanzie adeguate:
a) le norme vincolanti
d’impresa , oppure
b) le clausole tipo di
protezione dei dati adottate dalla Commissione., con atti di esecuzione
c) le clausole tipo di
protezione dei dati adottate da un’autorità di controllo in conformità del
meccanismo di coerenza di cui all’articolo 57, qualora siano dichiarate
generalmente valide dalla Commissione ai sensi dell’articolo 62, paragrafo 1,
lettera b), oppure
d) le clausole contrattuali tra
il responsabile del trattamento o l’incaricato del trattamento e il
destinatario dei dati autorizzate da un’autorità di controllo.
Se non sono offerte garanzie
adeguate per la protezione dei dati personali in uno strumento giuridicamente
vincolante, il responsabile del trattamento o l’incaricato del trattamento deve
ottenere l’autorizzazione preventiva al trasferimento o a un complesso di
trasferimenti, o all’inserimento di disposizioni in accordi amministrativi
costituenti la base del trasferimento.
L’articolo 44 precisa e
chiarisce le deroghe per il trasferimento di dati, partendo dalle attuali
disposizioni dell’articolo 26 della direttiva 95/46/CE. Ciò vale in particolare
per i trasferimenti di dati richiesti e necessari per motivi di interesse
pubblico rilevante, per esempio in casi di scambi internazionali di dati tra
amministrazioni fiscali o doganali oppure tra servizi competenti per la
sicurezza sociale. Inoltre, una trasmissione di dati può, in circostanze
limitate, essere giustificata dall’interesse legittimo del responsabile
del trattamento o dell’incaricato del trattamento, ma solo dopo che siano state
valutate e documentate le circostanze del trasferimento.
Si segnala l’opportunità di
acquisire l’avviso del Governo sul combinato disposto degli articoli 41 e 42,
con particolare riguardo alla idoneità del relativo dettato normativo a
rispondere adeguatamente alle obiezioni sollevate in ordine al trasferimento di
dati a paesi terzi, sia relativamente alle esigenze di omogeneità
dell’ordinamento sia con riferimento al rischio di determinare situazioni assai
differenziate in via di fatto nei diversi ordinamenti.
L’articolo 45 prevede
espressamente lo sviluppo di meccanismi di cooperazione internazionale per
la protezione dei dati personali tra la Commissione e le autorità di controllo di paesi terzi, in particolare quelli che si ritiene
offrano un adeguato livello di protezione, tenendo conto della raccomandazione
dell’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) sulla
cooperazione transfrontaliera nell’applicazione delle legislazioni in materia
di privacy del 12 giugno 2007.
L’articolo 46 obbliga gli
Stati membri a istituire autorità di controllo, come già previsto
dall’articolo 28, paragrafo 1, della direttiva 95/46/CE, e ad ampliarne i compiti
includendo la cooperazione reciproca e con la Commissione. L’autorità di controllo esercita i suoi poteri e le sue funzioni in piena
indipendenza (art.47)
L’articolo 51 stabilisce
le competenze delle autorità di controllo. La norma generale, secondo cui ogni
autorità di controllo esercita, nel territorio del suo Stato membro, i poteri
di cui gode a norma del presente regolamento, già prevista dalla direttiva
95/46/CE (è integrata dalla nuova competenza di autorità capofila nel caso di
un responsabile del trattamento o incaricato del trattamento stabilito in più
Stati membri, al fine di assicurare un’attuazione uniforme (“sportello unico”).
L’articolo 53 stabilisce i poteri dell’autorità di controllo, in parte sulla
base dell’articolo 28, paragrafo 3, della direttiva 95/46/CE e dell’articolo 47
del regolamento (CE) n. 45/2001, e inserisce alcuni nuovi elementi, tra cui
il potere di sanzionare gli illeciti amministrativi.
La Commissioneosserva che la
chiarificazione e la semplificazione delle norme attraverso la definizione di
un’unica legge applicabile in tutta l’Unione e la creazione di uno “sportello
unico” per il controllo della protezione dei dati rafforzeranno il mercato
interno, in particolare grazie all’eliminazione delle divergenze tra le formalità
amministrative a carico delle autorità di protezione dei dati. Solo in termini
di onere amministrativo, ciò dovrebbe comportare un risparmio globale di circa
2,3 miliardi di euro all’anno.
L’articolo 64 istituisce
il Comitato europeo per la protezione dei dati, composto dal
responsabile delle autorità di controllo di ciascuno Stato membro e dal Garante
europeo della protezione dei dati.
La figura del Garante europeo della protezione dei
dati (GEPD) è stata istituita nel 2001. Suo compito è garantire il
rispetto del diritto alla vita privata nel trattamento dei dati personali da
parte delle istituzioni e degli organi dell’UE nonché svolgere attività
consultiva nei confronti delle istituzioni UE sull’impatto delle proposte,
legislative e non, per quanto riguarda la tutela dei dati personali.
L’articolo precisa che
la Commissione non è membro del Comitato europeo per la protezione dei dati,
ma ha il diritto di partecipare alle attività e designa un rappresentante.
Il Comitato europeo per la
protezione dei dati sostituirà il gruppo per la tutela delle persone con
riguardo al trattamento dei dati personali istituito dall’articolo 29 della
direttiva 95/46/CE.
Il cosiddetto Gruppo “articolo 29” è un organo indipendente, avente carattere consultivo con riguardo alla tutela dei dati e della
vita privata. E’ composto da un rappresentante delle autorità di controllo
degli Stati membri, da un rappresentante delle autorità di controllo create per
le istituzioni e gli organismi dell’Unione nonché da un rappresentante della
Commissione. I suoi compiti sono definiti dall'articolo 30 della direttiva
95/46/CE.
Gli articoli da 57 a 61 introducono il cosiddetto “meccanismo di coerenza” volto a garantire l’uniformità di
applicazione in relazione alle attività di trattamento dati che possono
riguardare interessati in vari Stati membri. In particolare ciascuna
autorità di controllo è tenuta a comunicare preliminarmente al Comitato
europeo per la protezione dei dati e alla Commissione europea i progetti di
misure che :
·
riguardano attività di trattamento finalizzate all’offerta di
beni o servizi a interessati in più Stati membri o al controllo del loro
comportamento, oppure
·
possono incidere significativamente sulla libera circolazione dei
dati personali all’interno dell’Unione, oppure
·
sono finalizzate a stabilire un elenco di trattamenti soggetti a
consultazione preventiva ai sensi dell’articolo 34, paragrafo 5 (ossia elenchi
di attività di trattamento finalizzate all’offerta di beni o servizi a
interessati in più Stati membri o al controllo del loro comportamento, o
attività di trattamento che possono incidere significativamente sulla libera
circolazione dei dati personali all’interno dell’Unione), oppure
·
sono finalizzate a determinare clausole tipo di protezione dei
dati, ad autorizzare clausole contrattuali o ad approvare norme vincolanti di
impresa, in caso di trasferimento a paesi terzi
Il Comitato europeo per la
protezione dei dati e la Commissione possono adottare pareri sui progetti di
misure in questione, pareri che devono essere tenuti in debito conto
dall’autorità di controllo. In base all’articolo 60, qualora dubiti
seriamente che il progetto di misura garantisca la corretta applicazione del
regolamento e ritenga che esso rischi invece di portare a una sua applicazione
non coerente, la Commissione, può adottare una decisione motivata e
ingiungere all’autorità di controllo di sospendere l’adozione del progetto
di misura.
Gli articoli da 73 a 77, sanciscono rispettivamente il diritto di proporre reclamo all’autorità di controllo, il
diritto a un ricorso giurisdizionale contro l’autorità di controllo, il diritto
a un ricorso giurisdizionale contro il responsabile del trattamento o
l’incaricato del trattamento, norme comuni per i procedimenti giurisdizionali e
il diritto al risarcimento e responsabilità.
Si segnala in proposito che nella risoluzione del 6 luglio 2011 su un approccio globale alla protezione dei dati personali nell'Unione
europea, il Parlamento europeo ha chiesto l’introduzione di un
meccanismo di ricorso collettivo in caso di violazione delle norme sulla
protezione dei dati, che consenta alle persone interessate di ottenere un
risarcimento dei danni subiti, specificando, tuttavia, che tali azioni legali
collettive dovrebbero essere soggette a precise limitazioni onde evitare
abusi.
L’articolo 78
impone agli Stati membri di definire le sanzioni applicabili alle
violazioni del regolamento e di garantirne l’effettiva attuazione.
L’articolo 79 stabilisce
che ogni autorità di controllo è abilitata a imporre sanzioni amministrative.
In particolare l’articolo stabilisce che la sanzione amministrativa deve essere
efficace, proporzionata e dissuasiva. L’articolo prevede che in caso di prima
inosservanza non intenzionale del regolamento possa essere inviato un
avvertimento scritto, senza l’imposizione di sanzioni, qualora: una persona
fisica tratti dati personali senza un interesse commerciale, oppure un’impresa
o un’organizzazione con meno di 250 dipendenti tratti dati personali solo
accessoriamente rispetto alle attività principali.
L’articolo specifica poi 3
livelli massimi (da 250.000 a un milione di euro, e per le imprese, dallo
0,5% al 2% del fatturato mondiale annuo) per le sanzioni pecuniarie
amministrative, a seconda del tipo di violazione.
Appare opportuno acquisire la
valutazione del Governo in merito all’entità delle sanzioni con riguardo alla
possibilità che le percentuali individuate nella proposta possano determinare
un onere eccessivo per i soggetti interessati.
L’articolo 80 è dedicato
al rapporto tra il trattamento dei dati personali e la libertà di espressione.
In particolare l’articolo stabilisce che gli Stati membri prevedano esenzioni e
deroghe alla disciplina fissata dal regolamento, per il trattamento dei dati
personali effettuato esclusivamente a scopi giornalistici o di espressione
artistica o letteraria, al fine di conciliare il diritto alla protezione
dei dati personali e le norme sulla libertà d’espressione.
L’articolo 81 stabilisce
che il trattamento di dati personali relativi alla salute deve essere
effettuato sulla base di disposizioni del diritto dell’Unione o degli Stati
membri che prevedano misure appropriate e specifiche a tutela dei legittimi
interessi dell’interessato, In base all’articolo 82 gli Stati membri
possono adottare con legge norme specifiche per il trattamento dei dati
personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per
finalità di assunzione, esecuzione del contratto di lavoro, compreso
l’adempimento degli obblighi stabiliti dalla legge o da accordi collettivi, di
gestione, pianificazione e organizzazione del lavoro, salute e sicurezza sul
lavoro, e ai fini dell’esercizio e del godimento, individuale o collettivo, dei
diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione
del rapporto di lavoro.
L’articolo 85 (Norme di
protezione dei dati vigenti presso chiese e associazioni religiose) stabilisce
che qualora in uno Stato membro chiese e associazioni o comunità religiose
applichino, al momento dell’entrata in vigore del regolamento, corpus completi
di norme a tutela delle persone fisiche con riguardo al trattamento dei dati
personali, tali corpus possono continuare ad applicarsi purché siano
conformi alle disposizioni del presente regolamento.
Si segnala infine che all’articolo
87, al fine di conseguire gli obiettivi del regolamento, la proposta
prevede che sia conferito alla Commissione il potere di adottare atti
delegati a norma dell’articolo 290 del TFUE, al fine di definire,tra le
altre cose i criteri e le condizioni relativi al consenso dei minori; il
trattamento di categorie particolari di dati; i criteri e le condizioni per le
richieste manifestamente eccessive e il contributo spese per l’esercizio dei
diritti dell’interessato; i criteri e i requisiti applicabili all’informazione
dell’interessato e al diritto di accesso; il diritto all’oblio e alla
cancellazione; le misure basate sulla profilazione; i criteri e requisiti per i
trasferimenti in presenza di norme vincolanti d’impresa; le deroghe al
trasferimento; le sanzioni amministrative; il trattamento a fini sanitari; il
trattamento nel contesto del rapporto di lavoro e il trattamento per finalità
storiche, statistiche e di ricerca scientifica.
In base all’articolo 1 della
proposta (Oggetto e finalità) la direttiva è volta a stabilire le norme
relative alla protezione delle persone fisiche con riguardo al trattamento dei
dati di carattere personale da parte delle autorità competenti a fini di prevenzione,
indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.
In particolare gli Stati membri sono tenuti a tutelare i diritti e le libertà
fondamentali delle persone fisiche, in particolare il diritto alla protezione
dei dati personali, e a garantire che lo scambio dei dati personali da parte
delle autorità competenti all’interno dell’Unione non sia limitato né vietato
per motivi attinenti alla tutela delle persone fisiche con riguardo al
trattamento dei dati personali.
Innovando
rispetto alla decisione quadro vigente, l’articolo 2 (campo di
applicazione) non limita l’applicazione della direttiva al trattamento
transfrontaliero dei dati, estendendola pertanto a tutte le attività di
trattamento svolte da “autorità competenti” La direttiva non si applica
né al trattamento di dati nel corso di un’attività che non rientra nell’ambito
di applicazione del diritto dell’Unione, né al trattamento di dati da parte
di istituzioni, organi, uffici e agenzie dell’Unione, che sono soggetti al
regolamento (CE) n. 45/2001 e ad altre norme specifiche.
L’articolo 5 impone agli
Stati membri l’obbligo di disporre che, nella misura del possibile, il
responsabile del trattamento operi una chiara distinzione tra i dati
personali di diverse categorie di interessati, quali:
·
le persone per le quali vi sono fondati motivi di ritenere che
abbiano commesso o stiano per commettere un reato;
·
le persone condannate per un reato;
·
le vittime di reato o le persone che alcuni fatti autorizzano a
considerare potenziali vittime di reato;
·
i terzi coinvolti nel reato, quali le persone che potrebbero
essere chiamate a testimoniare nel corso di indagini su reati o di procedimenti
penali conseguenti, le persone che possono fornire informazioni su reati, o le
persone in contatto o collegate alle persone di cui alle lettere a) e b), e
·
le persone che non rientrano in nessuna delle precedenti
categorie.
In base all’articolo
7, il trattamento dei dati personali è lecito solo se e nella misura
in cui è necessario:
·
per l’esecuzione di un compito di un’autorità competente,
previsto per legge per le finalità di cui all’articolo 1, oppure
·
per adempiere un obbligo legale al quale è soggetto il
responsabile del trattamento, oppure
·
per la salvaguardia degli interessi vitali dell’interessato o
di un terzo, oppure
·
per la prevenzione di un’immediata e grave minaccia alla
sicurezza pubblica.
L’articolo 8 pone
un divieto generale al trattamento di categorie particolari di dati
personali, (dati personali che rivelino la razza, l’origine etnica, le
opinioni politiche, la religione o le convinzioni personali, l’appartenenza
sindacale, come pure il trattamento di dati genetici o dati relativi
alla salute e alla vita sessuale). Come già nella proposta di regolamento
COM(2011)11, rispetto alla decisione quadro vigente, vengono citati anche i
dati genetici.
L’articolo 9 (Misure
basate sulla profilazione e trattamento automatizzato) stabilisce che sia
vietata qualunque misura che produca effetti giuridici negativi o
significativamente incida sull’interessato basata unicamente su un trattamento
automatizzato di dati personali destinato a valutarne aspetti della
personalità, salvo che essa sia autorizzata da disposizioni di legge che
precisino misure a salvaguardia dei legittimi interessi dell’interessato.
Il trattamento automatizzato di dati personali destinato a valutare taluni
aspetti della personalità dell’interessato non potrà in nessun caso basarsi
unicamente sulle categorie particolari di dati personali di cui all’articolo 8.
L’articolo 10 introduce
l’obbligo per gli Stati membri di garantire informazioni comprensibili e
facilmente accessibili.
L’articolo 12 prevede
l’obbligo per gli Stati membri di garantire il diritto di accesso
dell’interessato ai propri dati personali.
L’articolo 13 dispone che
gli Stati Gli Stati membri possono adottare misure legislative volte a
limitare, in tutto o in parte, il diritto di accesso dell’interessato nella
misura in cui tale limitazione totale o parziale costituisca una misura
necessaria e proporzionata in una società democratica, tenuto debito
conto dei legittimi interessi dell’interessato:
·
per non compromettere indagini, inchieste o procedimenti
ufficiali o giudiziari;
·
per non compromettere la prevenzione, l’indagine, l’accertamento
o il perseguimento di reati o l’esecuzione di sanzioni penali;
·
per proteggere la sicurezza pubblica;
·
per proteggere la sicurezza dello Stato; per proteggere i diritti
e le libertà di terzi.
L’articolo 14 introduce la
disposizione secondo la quale, nei casi in cui l’accesso diretto è limitato, l’interessato
deve essere informato della possibilità di un accesso indiretto per il tramite
dell’autorità di controllo.
Gli articoli da 15 a 17 tutelano il diritto di rettifica e di cancellazione.
Gli articoli da 18 a 26 chiariscono gli obblighi del responsabile del trattamento.
Per quanto riguarda il trasferimento
dei dati personali verso i paesi terzi o le organizzazioni internazionali,
compreso il trasferimento successivo verso un altro paese terzo o un'altra
organizzazione internazionale, esso è disciplinato dagli articoli da 33 a 38 della proposta. In particolare si prevede che tale trasferimento sia ammesso solo se
necessario a fini di prevenzione, indagine, accertamento e perseguimento di
reati o esecuzione di sanzioni penali e solo se la Commissione abbia adottato una decisione di adeguatezza ai sensi della proposta di
regolamento generale sulla protezione dei dati (art.34) o, in mancanza di
tale decisione, se sono state poste in essere adeguate garanzie. In deroga
agli articoli 34 e 35, l’articolo 36 stabilisce che gli Stati
membri dispongono che sia ammesso il trasferimento di dati personali verso un
paese terzo o un’organizzazione internazionale soltanto a condizione che:
a) il trasferimento sia
necessario per salvaguardare un interesse vitale dell’interessato o di un
terzo, oppure
b) il trasferimento sia
necessario per salvaguardare i legittimi interessi dell’interessato qualora lo
preveda la legislazione dello Stato membro che trasferisce i dati personali,
oppure
c) il trasferimento dei dati
sia essenziale per prevenire una minaccia grave e immediata alla sicurezza
pubblica di uno Stato membro o di un paese terzo, oppure
d) il trasferimento sia
necessario, in singoli casi, per prevenire, indagare, accertare o perseguire
reati o eseguire sanzioni penali, oppure
e) il trasferimento sia
necessario, in singoli casi, per accertare, esercitare o difendere un diritto
in sede giudiziaria in relazione alla prevenzione, all’indagine,
all’accertamento o al perseguimento di uno specifico reato o all’esecuzione di
una specifica sanzione penale.
L’articolo 39
obbliga gli Stati membri a istituire una o più autorità di controllo;
tale autorità può essere la stessa istituita a norma del regolamento
generale sulla protezione dei dati.
L’autorità dovrà disporre (art.
46) di: poteri investigativi, come la facoltà di accedere a dati
oggetto di trattamento e di raccogliere qualsiasi informazione necessaria
all’esercizio della sua funzione di controllo; poteri effettivi
d’intervento, come quello di esprimere pareri prima dell’avvio di
trattamenti e di dar loro adeguata pubblicità, o quello di ordinare la
limitazione, la cancellazione o la distruzione dei dati o di vietare a titolo
provvisorio o definitivo un trattamento, oppure quello di rivolgere un
avvertimento o un monito al responsabile del trattamento o di adire i
parlamenti o altre istituzioni politiche nazionali; il potere di agire in
sede giudiziale o stragiudiziale in caso di violazione delle disposizioni
adottate ai sensi della presente direttiva.
L’articolo 49 prevede che
il Comitato consultivo europeo per la protezione dei dati, di cui alla proposta
di regolamento generale sulla protezione dei dati, eserciti le sue funzioni
anche in relazione ai trattamenti rientranti nel campo di applicazione della
direttiva.
L’articolo 50 stabilisce
il diritto di proporre reclamo all’autorità di controllo. L’articolo
specifica anche gli organismi, le organizzazioni o associazioni che possono
presentare reclamo per conto dell’interessato o, in caso di violazione di dati
personali, indipendentemente dal reclamo dell’interessato.
Gli articoli 51 e 52
riguardano in particolare il diritto di proporre ricorso giurisdizionale.
L’articolo 52 riguarda il diritto di proporre ricorso giurisdizionale
rispettivamente contro un’autorità di controllo o contro un responsabile del
trattamento o un incaricato del trattamento.
L’articolo 54 obbliga gli
Stati membri a prevedere il diritto al risarcimento.
L’articolo 55 impone agli
Stati membri di definire le sanzioni applicabili alle violazioni della
direttiva e di garantirne l’effettiva attuazione.
La proposta di regolamento
COM(2012)11 si basa sull’articolo 16 del TFUE secondo il quale ogni
persona ha diritto alla protezione dei dati di carattere personale che la
riguardano (paragrafo 1). Il Parlamento europeo e il Consiglio,
deliberando secondo la procedura legislativa ordinaria, stabiliscono le norme
relative alla protezione delle persone fisiche con riguardo al trattamento dei
dati di carattere personale da parte delle istituzioni e degli organismi
dell’Unione, nonché da parte degli Stati membri nell’esercizion di attività che
rientrano nel campo di applicazione del diritto dell’Unione, e le norme
relative alla libera circolazione di tali dati. Il rispetto di tali norme è
soggetto al controllo di autorità indipendenti (paragrafo 2). Come
specificato al paragrafo 3, tale norma non si applica al settore della
politica estera e di sicurezza comune dell’Unione, per il quale, la competenza
legislativa in materia di protezione delle persone fisiche con riguardo al
trattamento dei dati personali spetta esclusivamente al Consiglio.
La proposta di direttiva
(COM(2012)10 si basa sull’articolo 16, paragrafo 2, del TFUE.
Si segnala inoltre che nella dichiarazione
n. 21 allegata ai Trattati, la conferenza intergovernativa “riconosce che
potrebbero rivelarsi necessarie, in considerazione della specificità dei
settori in questione, norme specifiche sulla protezione dei dati personali e
sulla libera circolazione di tali dati nei settori della cooperazione
giudiziaria in materia penale e della cooperazione di poliziai, in bse all’articolo
16 del Trattato sul funzionamento dell’Unione europea”.
Per quanto riguarda il rispetto
del principio di sussidiarietà la Commissione afferma che:
·
il diritto alla protezione dei dati personali, sancito
dall’articolo 8 della Carta dei diritti fondamentali, richiede il medesimo
livello di protezione dei dati in tutta l’Unione: in mancanza di una
normativa dell’Unione si rischierebbe di instaurare livelli diversi di
protezione negli Stati membri e di creare restrizioni nei flussi transfrontalieri
di dati personali tra gli Stati membri dotati di norme differenti;
·
in considerazione del fatto che i dati personali sono trasferiti
attraverso le frontiere nazionali ad un ritmo sempre crescente, occorre
stabilire una cooperazione tra gli Stati membri e le autorità nazionali a
livello di Unione, per garantire uniformità nell’applicazione del diritto
dell’UE;
·
l’Unione si trova nella posizione migliore per garantire in
maniera efficace e coerente lo stesso livello di protezione alle persone
fisiche i cui dati personali siano trasferiti verso paesi terzi;
·
le proposte legislative dell’UE risulteranno più efficaci
rispetto ad analoghi provvedimenti adottati dai singoli Stati membri, a motivo
della natura e della dimensione dei problemi che non sono confinati a uno o più
Stati membri.
Nella
valutazione di impatto che accompagna la proposta la Commissione europea sottolinea di aver valutato tre opzioni:
Opzione 1: misure
leggere comprendenti principalmente comunicazioni interpretative della Commissione,
strumenti di supporto tecnico e finanziamenti – oltre alla promozione della
normalizzazione e dell’autoregolazione – al fine di rafforzare l’applicazione
pratica delle norme esistenti da parte dei responsabili del trattamento e aumentare
la consapevolezza delle persone.
Opzione 2: modernizzazione del
quadro normativo vigente attraverso modifiche legislative volte ad armonizzare
ulteriormente le norme sostanziali, chiarire disposizioni specifiche ed
eliminare le incoerenze derivanti dai diversi approcci adottati dagli Stati
membri. Per quanto riguarda la protezione dei dati nel settore della
cooperazione di polizia e giudiziaria in materia penale, l’opzione 2 ha previsto di sostituire la decisione quadro con un nuovo strumento dal campo di applicazione più
ampio, tenendo conto delle particolarità del settore delle attività di
contrasto.
Opzione 3: norme giuridiche
dettagliate dell’Unione. Tale opzione comprende gli elementi dell’opzione
2, l’elaborazione di una normativa dell’Unione molto più dettagliata, anche di
tipo settoriale (ad esempio in campo medico e sanitario), e una struttura
centralizzata a livello di Unione per il controllo dell’applicazione (creazione
di un’autorità europea di protezione dei dati).
E’ stata prescelta l’opzione 2, in combinazione con la soppressione
degli obblighi di notificazione prevista dall’opzione 3, e alcune misure
leggere previste dall’opzione 1 (incentivazione di tecnologie che rafforzano
la protezione della vita privata e di regimi di certificazione e campagne di
sensibilizzazione).
In un comunicato
pubblicato il 7 marzo 2012, il Garante europeo per la protezione dei
dati ha sottolinea come, pur rafforzando il diritto alla protezione dei
dati, la normativa proposta dalla Commissione non realizzi l’auspicato
approccio globale al tema, anche a causa della diversità degli strumenti
giuridici utilizzati.
In particolare,
pur condividendo la scelta dello strumento del regolamento per la
normativa generale in materia di protezione dei dati, il Garante esprime
alcune riserve in relazione ai seguenti aspetti:
·
le possibilità di restrizione dei principi e dei diritti di base;
·
le deroghe possibili nel quadro dei trasferimenti di dati ai
paesi terzi;
·
i poteri, giudicati eccessivi, accordati alla Commissione europea
nel meccanismo di coerenza;
·
alle nuove eccezioni al principio di limitazione della finalità.
Per quanto
riguarda la proposta di direttiva, il Garante europeo ritiene che le
regole per la protezione dei dati in materia penale siano troppo deboli e
abbassino il livello di protezione come definito nella proposta di regolamento generale.
Il Garante
esprime in particolare preoccupazione per:
·
la mancanza di certezza giuridica per quanto riguarda
l’utilizzazione ulteriore dei dati a carattere personale da parte delle
autorità di polizia e giudiziarie;
·
l’assenza di un obbligo generale per le autorità giudiziarie e di
polizia di dimostrare la conformità con le esigenze di protezione dei dati;
·
le condizioni insufficienti per il trasferimento verso paesi
terzi;
·
i poteri limitati delle autorità di controllo.
Sulla base dei dati forniti dal
sito IPEX, l’esame della
proposta di regolamento e della proposta di direttiva risulta avviato da parte
delle assemblee parlamentari di Austria (Bundesrat), Belgio (Senato),
Repubblica ceca (Senato), Germania (Bundesrat), Polonia (Senato e Camera dei
deputati), Romania (Camera dei deputati), Svezia. La proposta di direttiva è
inoltre all’esame dei parlamenti finlandese e spagnolo.
In merito alla proposta di
regolamento, il Senato francese ha adottato un parere motivato
per violazione del principio di sussidiarietà, in base alle seguenti
motivazioni:
·
in un ambito che coinvolge direttamente i diritti dei cittadini,
la proposta di regolamento non dovrebbe privare gli Stati membri della
possibilità di mantenere transitoriamente disposizioni nazionali più
favorevoli, così da evitare che l’armonizzazione a livello UE si trasformi in
una diminuzione delle garanzie;
·
l’elevato numero di deleghe conferite alla Commissione europea
(art. 87) sembrerebbe andare al di là della natura stessa degli atti delegati
come definita nell’articolo 290 TFUE. Il diritto all’oblio, in particolare,
dovrebbe essere regolato direttamente dal legislatore europeo. Gli oggetti di
alcune deleghe potrebbero rientrare più correttamente nella competenza delle
autorità di controllo nazionali o nei loro raggruppamenti a livello europeo;
·
la norma relativa allo “sportello unico” (art.51) priverebbe gli
interessati della possibilità di rivolgersi all’autorità di controllo nazionale
dello Stato membro in cui risiedono e produrrebbe situazioni estremamente
complesse in ragione della asimmetria tra i ricorsi amministrativi presentati
presso l’autorità di controllo straniera e i ricorsi giurisdizionali contro il
responsabile del trattamento presentati presso il giudice nazionale.
Il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) riunisce in un unico corpo
normativo una materia, quella della protezione dei dati, la cui disciplina si
era formata nel tempo con vari interventi integrativi e modificativi, apportati
in attuazione della delega originariamente contenuta nella legge n. 676 del
1996.
Il Codice, che ha anche recepito la direttiva n. 2002/58/CE
in tema di tutela della vita privata nel settore delle comunicazioni, si
compone di tre parti:
·
la prima, recante le disposizioni generali applicabili a tutti i
trattamenti ed alcune ulteriori regole specifiche per i trattamenti effettuati
da soggetti pubblici o privati;
·
la seconda, nella quale sono riunite disposizioni particolari
esclusive per alcuni trattamenti, che integrano o in qualche caso derogano alle
disposizioni generali della parte prima;
·
la terza, concernente la tutela amministrativa e giurisdizionale
dell'interessato, i controlli ed il sistema delle sanzioni.
In
particolare, la prima parte reca le disposizioni di carattere generale: i
principi generali; i diritti dell’interessato; le regole generali per il
trattamento dei dati, ivi comprese le regole ulteriori per i soggetti pubblici
e quelle per privati ed enti pubblici economici; i soggetti che effettuano il
trattamento; la sicurezza dei dati e dei sistemi; gli adempimenti; il
trasferimento dei dati all’estero.
La seconda parte reca disposizioni relative a
specifici settori, con riguardo ai trattamenti in àmbito giudiziario, ai
trattamenti da parte di forze di polizia, alla difesa e sicurezza dello Stato,
ai trattamenti in àmbito pubblico (accesso a documenti amministrativi, registri
pubblici e albi professionali, stato civile, anagrafi e liste elettorali,
finalità di rilevante interesse pubblico, particolari contrassegni), al trattamento
di dati personali in àmbito sanitario (tra cui i dati genetici), all’
istruzione, al trattamento per scopi storici, statistici o scientifici, al lavoro
e previdenza sociale, al sistema bancario, finanziario ed assicurativo, alle
comunicazioni elettroniche, alle libere professioni e all’investigazione
privata, al giornalismo e all’espressione letteraria ed artistica, al marketing
diretto.
La terza parte interessa la tutela dell'interessato e
le sanzioni, con riguardo alla tutela amministrativa e giurisdizionale, alle
autorità preposte (segnatamente, il garante per la protezione dei dati
personali), le violazioni amministrative e gli illeciti penali.
Il Codice della privacy ha dunque attualmente un contenuto
molto più ampio di quello della proposta di regolamento; si pone allora il
problema di stabilire:
·
se la proposta di regolamento contiene disposizioni innovative
rispetto alla disciplina interna;
·
se, in caso affermativo, vi sono disposizioni del Codice
incompatibili con la proposta di regolamento.
Il confronto tra il Codice della privacy e la proposta di regolamento: le
principali differenze
La proposta di regolamento ricalca in molti punti la precedente
direttiva comunitaria del 1995, che ha dato occasione anche al nostro
legislatore di introdurre una disciplina interna a tutela della riservatezza.
I principali profili di novità della proposta di
regolamento attengono ai seguenti ambiti:
·
le definizioni;
·
le modalità del consenso;
·
la specifica tutela dei minori;
·
gli obblighi di informazione;
·
il diritto all’oblio;
·
il diritto alla portabilità dei dati;
·
l’obbligo di notificare le violazioni dei dati personali;
·
la valutazione d’impatto sulla protezione dei dati;
·
l’eliminazione dell’obbligo di notificare il trattamento e la
nomina di un responsabile della protezione dei dati;
·
la cooperazione tra le autorità di controllo dei diversi Stati;
·
il quadro sanzionatorio.
Le definizioni
La proposta di regolamento, pur riprendendo in gran parte il
quadro definitorio della direttiva del 1995, contiene alcune novità rispetto
all’articolo 4, comma 1, del Codice della privacy:
·
la definizione di trattamento viene ampliata,
comprendendo anche «la strutturazione, la memorizzazione, l’adattamento o la
modifica, l’estrazione» di dati personali;
·
vengono definiti i dati genetici (tutti i dati, di
qualsiasi natura, riguardanti le caratteristiche di una persona fisica che
siano ereditarie o acquisite in uno stadio precoce di sviluppo prenatale) ed i dati
biometrici (relativi alle caratteristiche fisiche, fisiologiche o
comportamentali di una persona che ne consentono l’identificazione univoca,
quali l’immagine facciale o i rilievi dattiloscopici) mentre si esplicita il
contenuto dei dati relativi alla salute (qualsiasi informazione
attinente alla salute fisica o mentale di una persona o alla prestazione di
servizi sanitari a detta persona);
Si osserva, peraltro, che pur non essendo definiti
all’art. 4, i dati genetici e biometrici sono già previsti dal Codice
della privacy che, agli articoli 37 e 55, prevede che il trattamento di
tali dati possa essere effettuato solo previa notificazione al Garante e che
debbano essere applicate particolari tecnologie.
·
per disciplinare più compiutamente il trasferimento dei dati
all’interno dell’Unione, e fuori dai suoi confini, si specifica che il
responsabile del trattamento può avere uno «stabilimento principale»,
ovvero il luogo di stabilimento nell’Unione in cui sono prese le principali decisioni
sulle finalità, le condizioni e i mezzi del trattamento di dati personali (per
l’incaricato del trattamento con “stabilimento principale” si intende il luogo
in cui ha sede la sua amministrazione centrale nell’Unione). Inoltre, quando un
responsabile del trattamento non è stabilito nell’Unione europea, ma tratta
dati personali di residenti in UE, egli può designare un suo «rappresentante»,
ovvero la persona fisica o giuridica stabilita nell’Unione che agisce e può,
per quanto concerne gli obblighi incombenti al responsabile del trattamento a
norma del regolamento, essere interpellata al suo posto dalle autorità di
controllo e da altri organismi nell’Unione.
In generale, si osserva che il quadro definitorio del
Codice della privacy è più ampio rispetto a quello della proposta di
regolamento in quanto il Codice ricomprende anche tutte le definizioni previste
dalla Direttiva 2002/58/CE,
relativa alla vita privata e alle comunicazioni elettroniche.
L’articolo 23 del Codice della privacy dispone che il
trattamento di dati personali da parte di privati o di enti pubblici economici
è ammesso solo con il consenso espresso dell'interessato, che può riguardare
l'intero trattamento ovvero una o più operazioni dello stesso.
La normativa italiana chiarisce che «il consenso è
validamente prestato solo se è espresso liberamente e specificamente in
riferimento ad un trattamento chiaramente individuato, se è documentato per
iscritto, e se sono state rese all'interessato le informazioni di cui
all'articolo 13». Quando il trattamento riguarda dati sensibili il consenso è
manifestato in forma scritta.
Rispetto a questo quadro, l’articolo 7 della proposta di
regolamento aggiunge:
·
che l’onere di dimostrare che l’interessato ha espresso il
consenso al trattamento dei suoi dati personali incombe sul responsabile del
trattamento;
·
che l’interessato ha diritto di revocare il proprio consenso in
qualsiasi momento;
·
che anche il consenso non è sufficiente a legittimare il
trattamento se c’è «un notevole squilibrio tra la posizione dell’interessato e
del responsabile del trattamento.
Il Considerando n. 34 della proposta di
regolamento chiarisce che si ha squilibrio, ad esempio, quando l’interessato si
trova in situazione di dipendenza dal responsabile del trattamento, tra l’altro
quando i dati personali di un dipendente sono trattati dal suo datore di lavoro
nel contesto dei rapporti di lavoro. Se il responsabile del trattamento è
un’autorità pubblica, vi è squilibrio soltanto nelle specifiche operazioni di
trattamento in cui l’autorità pubblica può imporre un obbligo in forza dei suoi
pubblici poteri; in tal caso, il consenso non può essere considerato libero,
tenuto conto degli interessi dell’interessato.
Si osserva che occorre valutare l’impatto sulla normativa
nazionale, considerando l’eventualità che, in presenza un “notevole squilibrio”
tra la posizione dell’interessato e quella del responsabile del trattamento, si
produca un impedimento assoluto al trattamento dei dati.
La specifica tutela dei minori
Il Codice della privacy non contiene alcuna
previsione espressa sul trattamento dei dati personali dei minori.
L’articolo 50 del Codice, collocato nel titolo
relativo ai trattamenti in ambito giudiziario, si limita ad affermare che il
divieto di pubblicazione e divulgazione con qualsiasi mezzo di notizie o
immagini idonee a consentire l'identificazione di un minore si osserva anche in
caso di coinvolgimento a qualunque titolo del minore in procedimenti giudiziari
in materie diverse da quella penale.
La proposta di regolamento, invece, muove dalla
convinzione che i minori necessitino di una specifica protezione dei loro dati
personali, in quanto possono essere meno consapevoli dei rischi, delle
conseguenze, delle misure di protezione e dei loro diritti in relazione al
trattamento dei dati personali. Per questa
ragione la proposta definisce i minori (riprendendo la definizione stabilita
dalla convenzione delle Nazioni Unite sui diritti del fanciullo) e,
all’articolo 8, dispone che per quanto riguarda l’offerta diretta di servizi
della società dell’informazione ai minori, il trattamento di dati personali di minori
di età inferiore ai tredici anni è lecito se e nella misura in cui il consenso
è espresso o autorizzato dal genitore o dal tutore del minore. Il responsabile
del trattamento dovrà adoperarsi in ogni modo ragionevole per ottenere un
consenso verificabile, in considerazione delle tecnologie disponibili.
Si osserva che non sono esplicitate le tutele previste in
favore dei minori ultratredicenni e che pare utile valutare se nei loro
confronti debba essere applicata la stessa disciplina dei maggiorenni.
L’articolo 13 del Codice della privacy disciplina
l’informativa (orale o scritta) che deve essere resa all’interessato al trattamento
dei dati, prevedendo che questa includa:
a) le finalità e le modalità del trattamento cui sono
destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei
dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati
personali possono essere comunicati e l'àmbito di diffusione dei dati medesimi;
e) i diritti di accesso, di aggiornamento, rettifica e di
cancellazione dei dati;
f) gli estremi identificativi del titolare e, se designati,
del rappresentante nel territorio dello Stato.
L’articolo 14 della proposta di regolamento aggiunge,
rispetto alla normativa vigente, specifiche informazioni:
·
sul periodo di conservazione dei dati;
·
sul diritto di presentare reclamo;
·
sugli eventuali trasferimenti internazionali dei dati stessi.
Attualmente, il d.lgs n. 196 del 2003 inserisce tra i
diritti dell’interessato, il diritto di ottenere «la cancellazione, la
trasformazione in forma anonima o il blocco dei dati trattati in violazione di
legge, compresi quelli di cui non è necessaria la conservazione in relazione
agli scopi per i quali i dati sono stati raccolti o successivamente trattati»
(art. 7, comma 3, lett. b)). Conseguentemente, vieta la comunicazione e diffusione
dei «dati personali dei quali è stata ordinata la cancellazione» (art. 25,
comma 1, lett. a)).
La proposta
di regolamento disciplina il diritto all’oblio e alla cancellazione
all’articolo 17, approfondendo quanto già previsto dalla direttiva del 1995 e,
conseguentemente, dal Codice della privacy. In particolare, la proposta
sottolinea che se i dati sono stati trattati sulla base del consenso
espresso da un minore, quindi non pienamente consapevole dei rischi
derivanti dal trattamento, questi possa ottenere la cancellazione e la rinuncia
all’ulteriore diffusione dei dati.
Inoltre, la proposta introduce l’obbligo per il
responsabile del trattamento che abbia divulgato dati personali di informare
i terzi della richiesta dell’interessato di cancellare tutti i link
verso tali dati, le loro copie o riproduzioni.
Attualmente l’articolo 7, comma 3, del Codice della
privacy prevede il diritto dell’interessato di ottenere l’attestazione che le
operazioni di cancellazione sono state portate a conoscenza di coloro ai quali
i dati sono stati comunicati o diffusi «eccettuato il caso in cui tale
adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente
sproporzionato rispetto al diritto tutelato».
La proposta di regolamento disciplina il diritto
dell’interessato - se i dati personali sono trattati con mezzi elettronici e in
un formato strutturato e di uso comune - alla portabilità dei dati, che
rappresenta una novità nel nostro ordinamento.
In particolare, l’articolo 18 della proposta prevede il
diritto di trasferire i propri dati da un sistema di trattamento elettronico a
un altro, senza che il responsabile del trattamento possa impedirlo. Come
presupposto e al fine di migliorare l’accesso dell’interessato ai dati
personali che lo riguardano, è previsto il diritto di ottenere tali dati dal
responsabile del trattamento in un formato elettronico strutturato e di uso
comune.
La proposta di regolamento introduce, agli articoli 31 e 32,
l’obbligo per il responsabile del trattamento di notificare entro 24 ore
all’autorità di controllo ogni violazione dei dati di cui sia venuto a
conoscenza; subito dopo, se la violazione rischia di pregiudicare i dati
personali o la vita privata dell’interessato, il responsabile dovrà comunicare
l’evento anche all’interessato. Previsioni analoghe non sono contenute nel Codice
della privacy.
La proposta dell’Unione europea muove dalla convinzione che
una violazione di dati personali può, se non affrontata in modo adeguato e
tempestivo, provocare un grave danno economico e sociale all’interessato, tra
cui l’usurpazione dell’identità. Per
questo è opportuno che le persone i cui dati o la cui vita privata potrebbero essere
compromessi da una siffatta violazione siano informate tempestivamente affinché
possano prendere le precauzioni del caso.
Gli articoli 33 e 34 della proposta di regolamento
introducono l’obbligo per i responsabili e incaricati del trattamento di
effettuare una valutazione d’impatto in materia di protezione dei dati prima di
trattamenti che presentino specifici rischi.
La proposta muove infatti dalla convinzione che vi
siano circostanze in cui può essere ragionevole ed economico effettuare una
valutazione d’impatto sulla protezione dei dati che verta su un oggetto più
ampio di un unico progetto, per esempio quando autorità o enti pubblici
intendono istituire un’applicazione o una piattaforma di trattamento comune o
quando diversi responsabili del trattamento progettano di introdurre
un’applicazione o un ambiente di trattamento comune in un settore o segmento
industriale o per una attività trasversale ampiamente utilizzata.
Tale previsione
rappresenta una novità rispetto alla normativa vigente.
La proposta di regolamento elimina l’obbligo per i
titolari di notificare i trattamenti di dati personali, ritenendo che
si tratti di un obbligo che comporta oneri amministrativi e finanziari senza
per questo aver mai veramente contribuito a migliorare la protezione dei dati
personali.
Con l’approvazione del regolamento saranno conseguentemente superate
le disposizioni degli articoli 37 e 38 del Codice della Privacy che
prevedono che il titolare debba notificare al Garante il trattamento di dati
personali cui intende procedere, se il trattamento riguarda specifici dati.
Si tratta di:
a) dati genetici, biometrici o dati che indicano la
posizione geografica di persone od oggetti mediante una rete di comunicazione
elettronica;
b) dati idonei a rivelare lo stato di salute e la
vita sessuale, trattati a fini di procreazione assistita, prestazione di
servizi sanitari per via telematica relativi a banche di dati o alla fornitura
di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e
diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della
spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera
psichica trattati da associazioni, enti od organismi senza scopo di lucro,
anche non riconosciuti, a carattere politico, filosofico, religioso o
sindacale;
d) dati trattati con l'ausilio di strumenti
elettronici volti a definire il profilo o la personalità dell'interessato, o ad
analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di
servizi di comunicazione elettronica con esclusione dei trattamenti
tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini
di selezione del personale per conto terzi, nonché dati sensibili utilizzati
per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite
con strumenti elettronici e relative al rischio sulla solvibilità economica,
alla situazione patrimoniale, al corretto adempimento di obbligazioni, a
comportamenti illeciti o fraudolenti.
La notificazione del trattamento è presentata al
Garante prima dell'inizio del trattamento ed una sola volta, a prescindere dal
numero delle operazioni e della durata del trattamento da effettuare, e può
anche riguardare uno o più trattamenti con finalità correlate.
La proposta (articolo 35) sostituisce alla notificazione l’obbligo
di nominare un responsabile della protezione dati, per tutti i soggetti
pubblici e, nel settore privato, per le grandi imprese (con più di 250
dipendenti) o allorquando le attività principali del responsabile del
trattamento e dell’incaricato del trattamento consistono in trattamenti che
richiedono il controllo regolare e sistematico degli interessati. Il
responsabile della protezione dei dati, dipendente o meno del responsabile del
trattamento, deve essere in grado di esercitare le proprie funzioni e compiti
in modo indipendente.
Si osserva che l’entrata in vigore della disposizione
comporterà alcuni adeguamenti e aggravamenti organizzativi, tanto nel settore
pubblico quanto in quello privato di maggiori dimensioni.
La proposta di regolamento definisce analiticamente i poteri
(anche sanzionatori) ed i requisiti di indipendenza delle autorità nazionali di
controllo, il cui parere sarà indispensabile qualora si intendano adottare
strumenti normativi, comprese le leggi, che impattino sulla protezione dei dati
personali.
Il versante maggiormente innovativo è quello che attiene
alla cooperazione tra le autorità di controllo dei diversi Stati, in quanto la
proposta prevede (articoli 55 e 56) che le autorità debbano prestarsi reciproca
assistenza nell’esercizio delle loro funzioni, in modo da garantire la coerente
applicazione e attuazione del regolamento e che debbano avere diritto di
partecipare alle operazioni congiunte. In particolare, la proposta disciplina
le attività di controllo che l’autorità nazionale deve svolgere, entro un
termine definito, anche su richiesta di altra autorità.
L’articolo 78 della proposta di regolamento stabilisce che gli
Stati possono determinare le sanzioni per la violazione delle disposizioni
del regolamento e che le stesse devono essere efficaci, proporzionate e
dissuasive.
L’articolo successivo, peraltro, introduce specifiche
sanzioni amministrative pecuniarie per la violazione delle proprie
disposizioni.
Il quadro sanzionatorio delineato dall’articolo 79 del
regolamento presenta le seguenti caratteristiche:
·
sono previste solo sanzioni amministrative pecuniarie;
·
l’irrogazione delle sanzioni compete all’autorità nazionale di
controllo che dovrà anche determinarne l’ammontare per garantire che la
sanzione sia «efficace, proporzionata e dissuasiva»;
Per stabilire l’ammontare
l’autorità dovrà rispettare i seguenti indici:
-natura della
violazione;
-gravità
della violazione;
-durata della
violazione;
-carattere
doloso o colposo dell’illecito;
-grado si
responsabilità della persona fisica o giuridica;
-precedenti
violazioni già commesse;
-misure
tecniche ed organizzative adottate;
-grado di
cooperazione con l’autorità per porre rimedio alla violazione
·
le sanzioni pecuniarie sono determinate nel massimo (es. 500.000
euro). Per garantire la loro effettiva dissuasività la proposta individua in
alternativa al massimo prefissato una percentuale (es. fino all’1%) sul
fatturato mondiale annuo dell’impresa.
Il quadro sanzionatorio del Codice della privacy è
profondamente diverso.
Preliminarmente si sottolinea che nel nostro ordinamento
degli illeciti amministrativi si risponde senza dover verificare l’elemento soggettivo
del dolo o della colpa.
Conseguentemente, nel nostro ordinamento l’autorità di
controllo non potrebbe determinare l’ammontare della sanzione pecuniaria
tenendo conto dell’elemento soggettivo del contravventore, come richiesto dal
regolamento.
Peraltro, la differenza principale rispetto alle sanzioni
previste dalla proposta risiede nel fatto che il d.lgs. n. 196 del 2003
prevede, a fronte della violazione delle disposizioni sul trattamento dei dati
personali, tanto illeciti amministrativi (artt. 161-166) quanto illeciti
penali (artt. 167-172).
Se, ad esempio, la violazione delle disposizioni sugli
obblighi di informazione all’interessato al trattamento è sanzionata dall’art.
161 del Codice con il pagamento di una sanzione amministrativa da 6.000 a 36.000 euro, la violazione delle disposizioni sul consenso dell’interessato può determinare –
se è motivata dal fine di trarre profitto o di recare ad altri un danno – la
pena della reclusione da 6 a 24 mesi (articolo 167).
Per analoghe condotte la proposta di regolamento prevede
invece:
·
la sanzione pecuniaria fino a 250.000 euro o fino allo 0,5% del
fatturato per le imprese (violazione degli obblighi di informazione);
·
la sanzione pecuniaria fino a un milione di euro o fino al 2% del
fatturato per le imprese (violazione degli obblighi relativi al consenso).
Occorre pertanto valutare il rapporto tra le disposizioni
sanzionatorie penali del Codice della privacy e le disposizioni sanzionatorie
amministrative della proposta di regolamento, soprattutto per quegli ambiti nei
quali, a fronte di un illecito penale già previsto dalla normativa nazionale,
il regolamento individua una sanzione amministrativa.
Occorre inoltre approfondire il rapporto tra l’articolo
78 e l’articolo 79 del regolamento perché, mentre il primo autorizza gli Stati
a determinare le sanzioni, il successivo le introduce direttamente, senza
affermare il suo carattere recessivo rispetto all’intervento statale. Potrebbe
a tal fine risultare utile l’inserimento di una disposizione che indichi il rapporto
di specialità tra le diverse norme.
La proposta di direttiva disciplina i trattamenti di dati
personali da parte delle autorità competenti a fini di prevenzione, indagine,
accertamento e perseguimento di reati o esecuzione di sanzioni penali.
Tale disciplina, che dovrà essere recepita, va valutata alla
luce della Parte II del Codice della privacy (Disposizioni relative a
specifici settori) e specificamente del Titolo I, Trattamenti in àmbito
giudiziario e del Titolo II, Trattamenti da parte di forze di polizia.
I dati giudiziari sono considerati dal Codice
della privacy dati sensibili: l’articolo 21 ne consente il trattamento solo
previa autorizzazione espressa di legge o provvedimento del Garante, che
specifichino le finalità di rilevante interesse pubblico del trattamento, i
tipi di dati trattati e di operazioni eseguibili.
Per quanto riguarda i trattamenti di dati in
ambito giudiziario, l’art. 46 del Codice della privacy stabilisce che
titolari dei trattamenti sono gli uffici giudiziari, il Consiglio superiore
della magistratura, gli altri organi di autogoverno e il Ministero della
giustizia, ciascuno per le rispettive attribuzioni.
Quando il trattamento è effettuato per ragioni di
giustizia – ovvero si tratta di dati personali direttamente correlati alla
trattazione giudiziaria di affari e di controversie, o di attività ispettive su
uffici giudiziari - l’art. 47 esclude l’applicazione di una serie di obblighi
previsti dal Codice.
L’articolo 48 disciplina infine le banche dati degli
uffici giudiziari.
Per quanto riguarda la c.d. informatica giuridica,
l’articolo 51 dispone che i dati identificativi delle questioni pendenti
dinanzi all'autorità giudiziaria di ogni ordine e grado sono resi accessibili a
chi vi abbia interesse anche mediante reti di comunicazione elettronica, ivi
compreso il sito istituzionale della medesima autorità nella rete Internet. Le
sentenze e le altre decisioni dell'autorità giudiziaria di ogni ordine e grado
depositate in cancelleria o segreteria sono rese accessibili anche attraverso
il sistema informativo e il sito istituzionale della medesima autorità nella
rete Internet, osservando specifiche cautele. Peraltro, il codice dispone che
l'interessato possa ottenere – in caso di riproduzione del provvedimento
giurisdizionale che lo riguarda – l’omissione dell'indicazione delle
generalità.
Per quanto riguarda invece il trattamento di dati
personali da parte di forze di polizia, il Codice della privacy:
- esclude
l’applicazione di una serie di obblighi al trattamento effettuato dal Centro
elaborazione dati del Dipartimento di pubblica sicurezza o da forze di polizia
o altri soggetti pubblici per finalità di tutela dell'ordine e della sicurezza
pubblica, prevenzione, accertamento o repressione dei reati;
- consente
l’acquisizione di dati per via telematica;
- prevede
l’adozione di particolari garanzie per il trattamento di dati genetici o
biometrici (art. 55);
- demanda
ad un regolamento l’individuazione delle modalità di attuazione dei principi
elaborati dal Codice (art. 57).
Si ricorda, inoltre, con la legge n. 85 del 2009
l’Italia ha ratificato il Trattato di Prüm - concluso tra alcuni Paesi UE allo
scopo di contrastare il terrorismo, la criminalità transfrontaliera e la
migrazione illegale - ed ha istituito la banca dati del DNA ed il
laboratorio centrale per la banca dati nazionale del DNA. La finalità
dell'istituzione della banca dati e del laboratorio centrale è quella di
facilitare l'identificazione degli autori di delitti, in particolare
permettendo la comparazione dei profili del DNA di persone già implicate in
procedimenti penali con gli analoghi profili ottenuti dalle tracce biologiche
rinvenute sulla scena di un reato.
La banca dati nazionale provvede, nei casi tipizzati,
alla raccolta dei profili del DNA:
- dei
soggetti sottoposti a misure restrittive della libertà personale;
- relativi
a reperti biologici acquisiti nel corso di procedimenti penali;
- di
persone scomparse o loro consanguinei e di cadaveri e resti cadaverici non
identificati.
La legge n. 85 del 2009 regola il trattamento dei
dati, l'accesso e la tracciabilità dei campioni e, in particolare, stabilisce
che i profili ed i relativi campioni non contengono le informazioni che
consentono la diretta identificazione del soggetto cui sono riferiti.
L’accesso alle banche dati si configura di secondo
livello: la polizia giudiziaria e la stessa autorità giudiziaria dovranno prima
richiedere di effettuare il confronto e, solo se esso è positivo, potranno
essere autorizzate a conoscere il nominativo del soggetto cui appartiene il
profilo. Inoltre, si introduce la necessità di identificare sempre e comunque
l'operatore che ha consultato la banca dati, nonché di registrare ogni attività
concernente i profili e i campioni.
Sono, infine, specificamente disciplinati i casi di
cancellazione del profilo del DNA e di distruzione del relativo campione
biologico e posti limiti temporali massimi per la conservazione nella banca
dati nazionale del profilo del DNA (quarant’anni) e del campione biologico
(venti anni).
Rispetto al quadro normativo vigente, i principali
profili di novità della direttiva risiedono:
·
nell’art. 5, che impone agli Stati l’obbligo di disporre che,
nella misura del possibile, il responsabile del trattamento operi una chiara
distinzione tra i dati personali di diverse categorie di interessati (le
persone per le quali vi sono fondati motivi di ritenere che abbiano commesso o
stiano per commettere un reato; le persone condannate per un reato; le vittime
di reato; i terzi coinvolti nel reato; le persone che non rientrano in nessuna
delle precedenti categorie);
·
nell’art. 9, sul divieto di profilazione ovvero sul
divieto di qualunque misura che produca effetti giuridici negativi o significativamente
incida sull’interessato basata unicamente su un trattamento automatizzato di
dati personali destinato a valutarne aspetti della personalità, salvo
che essa sia autorizzata da disposizioni di legge che precisino misure a
salvaguardia dei legittimi interessi dell’interessato.
