01 Giu Privacy: recepita la direttiva 2016/680/UE sul trattamento dei dati personali in ambito penale (D.Lgs. 18 maggio 2018, n. 51, pubblicato in G.U., Serie Generale, n. 119 del 24 maggio 2018).
Con il D.Lgs. 18 maggio 2018, n. 51 è stata data attuazione alla Direttiva 2016/680/UE in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati.
L’obiettivo della Direttiva, che insieme al Regolamento (EU) 2016/679 (“GDPR”) compone il c.d. “pacchetto protezione dei dati”, è quello di agevolare lo scambio e l’impiego dei c.d. dati giudiziari al fine di rendere maggiormente efficaci la prevenzione e gli strumenti di contrasto della criminalità e terrorismo.
La nuova disciplina introdotta dal testo di recepimento italiano regolamenta in modo organico i trattamenti dei dati personali in ambito penale, sostituendo gran parte delle disposizioni dettate in materia dal D.Lgs. n. 196/2003 (“Codice Privacy”), ossia il titolo I e II della Parte Seconda.
Le disposizioni del Decreto si applicano ai “trattamenti interamente o parzialmente automatizzati di dati personali delle persone fisiche contenuti in un archivio o ad esso destinati, svolti dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica” (art. 1).
Tra i profili di maggior interesse rilevano i presupposti di liceità del trattamento. In particolare, il Decreto, in conformità a quanto previsto nel considerando n. 33 della Direttiva recepita, dispone che i trattamenti dei dati in ambito penale possano essere previsti e disciplinati sia dalla legge che da un regolamento, purché in tal caso siano adeguatamente garantiti i diritti e le libertà dell’interessato.
I trattamenti di tipo automatizzato, invece, debbono essere disciplinati espressamente dalla legge in quanto maggiormente rischiosi per il soggetto cui i dati personali si riferiscono.
Quanto ai diritti dell’interessato (ricezione di informazioni, accesso, rettifica, cancellazione, limitazione del trattamento) il Decreto prevede che questi possano essere limitati, ritardati o esclusi solo qualora ciò sia strettamente necessario per non compromettere le attività svolte da parte dell’autorità giudiziaria in ambito penale, la sicurezza pubblica e nazionale, nonché i diritti e le libertà degli individui.
Al fine di garantire e rafforzare la sicurezza delle operazioni di trattamento, è prevista inoltre la notifica in caso di violazione dei dati personali (c.d. “data breach“) e la designazione obbligatoria del Responsabile della Protezione dei Dati, il quale è chiamato a svolgere un ruolo chiave per quanto concerne l’osservanza della normativa nell’ambito di trattamenti che si configurano di particolare complessità in ragione della specifica natura dei dati oggetto degli stessi.
Il Decreto disciplina poi il trasferimento dei dati verso i Paesi Terzi o organizzazioni internazionali stabilendone le condizioni di ammissibilità tra cui la necessaria effettuazione nei confronti delle autorità competenti per finalità di pubblica sicurezza oggetto della Direttiva. Lo stesso, inoltre, affida all’Autorità di Controllo Nazionale il compito di vigilare sull’osservanza delle normative dettate in attuazione della Direttiva in una chiara prospettiva di tutela dei diritti e delle libertà dell’interessato, ad eccezione dei trattamenti svolti dall’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali, comprese quelle del Pubblico Ministero.
Infine, sono previste le sanzioni amministrative scaturenti dalle violazione delle disposizioni contenute nel suddetto Decreto, che nei casi più gravi variano da euro 50.000 a 150.000 euro, oltre ad aver introdotto sanzioni penali per le violazioni più rilevanti.
Il provvedimento entrerà in vigore in data 8 giugno 2018.
