Con la sentenza Policejní prezidium (C-57/23), la Corte di giustizia dell’Unione europea torna a pronunciarsi su un tema centrale per chi opera nel diritto penale e nella protezione dei dati: la raccolta e la conservazione dei dati biometrici e genetici da parte delle autorità di polizia. Il caso, sorto in Repubblica Ceca, offre l’occasione per definire meglio il ruolo del diritto nazionale nell’attuazione della direttiva (UE) 2016/680 e i margini di discrezionalità concessi agli Stati membri. Il comunicato stampa della Corte fornisce indicazioni utili anche per avvocati, DPO, consulenti e funzionari pubblici. In materia di cybersicurezza, abbiamo organizzato il corso Linee guida per la governance dei dati e dell’intelligenza artificiale. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon
Indice
- 1. Il contesto del rinvio e il ruolo del “diritto dello Stato membro”
- 2. Raccolta dei dati biometrici: ammissibile anche in forma indifferenziata
- 3. Conservazione dei dati senza periodo massimo: quando è possibile
- 4. Ricadute pratiche per professionisti e amministrazioni
- Formazione in materia per professionisti
- Vuoi ricevere aggiornamenti costanti?
1. Il contesto del rinvio e il ruolo del “diritto dello Stato membro”
La vicenda nasce dal ricorso di un funzionario pubblico ceco, sottoposto a misure di identificazione (impronte digitali, profilo genetico, fotografie e descrizione personale) inserite successivamente nelle banche dati di polizia. Ritenendo tali operazioni un’ingerenza illegittima nella propria vita privata, l’interessato aveva chiesto la cancellazione dei dati, ottenendo un primo accoglimento da parte del giudice nazionale.
La Cassazione amministrativa ceca, investita del ricorso delle autorità di polizia, ha sollevato questioni interpretative sulla direttiva 2016/680. La Corte di giustizia chiarisce innanzitutto che la nozione di “diritto dello Stato membro”, ai sensi dell’articolo 8 della direttiva, comprende anche l’elaborazione giurisprudenziale. Questa, tuttavia, deve essere accessibile e prevedibile, costituendo in sostanza una cornice normativa idonea a porre condizioni minime sulla raccolta, conservazione e cancellazione dei dati biometrici e genetici.
Il messaggio della Corte è chiaro: gli Stati membri possono articolare il quadro normativo anche attraverso la giurisprudenza, purché tale quadro sia sufficientemente stabile e conoscibile. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon.
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti• Gestione del personale: smart working, telelavoro e whistleblowing• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria Tripodiattualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.Cristian ErcolanoPartner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2025
58.90 €
2. Raccolta dei dati biometrici: ammissibile anche in forma indifferenziata
Uno dei profili più sensibili riguarda la possibilità di raccogliere tali dati in maniera indifferenziata per chiunque sia perseguito o sospettato di reato doloso. La Corte adotta un approccio pragmatico. Il diritto UE – in particolare gli articoli 4, 6 e 10 della direttiva 2016/680 – non vieta in astratto una normativa che consenta la raccolta indistinta di dati biometrici e genetici per queste categorie di persone.
Tale conclusione è però subordinata a due condizioni fondamentali:
- La finalità del trattamento deve essere tale da non richiedere una distinzione tra indagati e condannati: se la raccolta serve a fini di identificazione e prevenzione dei reati, un trattamento uniforme può essere giustificato.
- I titolari del trattamento devono rispettare i principi e i requisiti propri dei dati sensibili, tra cui necessità, proporzionalità, minimizzazione e sicurezza.
La Corte, dunque, non chiude la porta alle pratiche investigative, ma ribadisce che devono rientrare in un sistema di garanzie stringenti.
3. Conservazione dei dati senza periodo massimo: quando è possibile
Il punto più innovativo della sentenza riguarda la conservazione dei dati biometrici e genetici. La Corte afferma che il diritto UE consente l’esistenza di una normativa nazionale che non preveda un periodo massimo di conservazione, purché siano rispettati alcuni presidi essenziali.
In particolare, deve essere previsto:
- un termine adeguato di verifica periodica della necessità della conservazione;
- una valutazione rigorosa della “stretta necessità” di continuare a mantenere i dati in archivio;
- un obbligo effettivo per le autorità di motivare il mantenimento dei dati caso per caso.
La sentenza si muove quindi in un equilibrio tra esigenze di investigazione e tutela della privacy: il limite non è temporale, ma funzionale e motivazionale. Non è ammissibile un mantenimento “inerziale” o automatico; occorre una verifica attenta e documentata.
Potrebbero interessarti anche:
4. Ricadute pratiche per professionisti e amministrazioni
La decisione offre spunti applicativi immediati per chi, a vario titolo, si occupa di trattamento di dati nel settore penale.
Per le autorità di polizia, la sentenza ribadisce la necessità di strutturare procedure interne che documentino le verifiche periodiche sulla conservazione dei dati. Non basta la conformità formale alla normativa nazionale: occorre dimostrare il rispetto dei principi di stretta necessità e proporzionalità.
Per gli avvocati penalisti, la sentenza rappresenta un parametro interpretativo utile: la mancanza di un termine massimo di conservazione non è, di per sé, indice di illegittimità, ma può esserlo l’assenza di controlli effettivi o la conservazione ingiustificata dopo la cessazione delle finalità di trattamento.
Per i DPO e i consulenti privacy, è essenziale verificare che le procedure interne delle amministrazioni rientrino nella cornice delineata dalla direttiva e dalla giurisprudenza. L’onere probatorio sul rispetto dei principi di trattamento rimane in capo al titolare.
Infine, per i giudici nazionali, la decisione offre un’indicazione metodologica: la valutazione deve essere concreta, orientata alla funzione del trattamento e non alla mera durata.
Formazione in materia per professionisti
Linee guida per la governance dei dati e dell’intelligenza artificiale
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizione<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Iscriviti alla newsletter
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento