1. Il decreto
Il decreto legislativo 7/2016 ha abrogato una serie di reati ed ha introdotto al loro posto degli illeciti civili con sanzioni pecuniarie. Inoltre, ha disciplinato la reiterazione dell’illecito, che si verifica allorquando, entro 4 anni dalla commissione di un illecito, la stessa persona compia un’altra violazione sottoposta a sanzione pecuniaria civile della stessa indole della prima, accertata con provvedimento esecutivo. Per verificare la presenza di una reiterazione dell’illecito, infine, il citato decreto legislativo ha previsto l’istituzione di un apposito registro informatizzato dove sono conservati tutti i provvedimenti in materia di sanzioni pecuniarie, demandando ad un apposito decreto del Ministro della giustizia la disciplina della sua tenuta.
In applicazione di detto decreto legislativo, quindi, il Ministero della Giustizia ha richiesto al Garante per la protezione dei dati personali un parere sullo schema di decreto emanato per disciplinare la tenuta del suddetto registro.
2. Lo schema di decreto sul registro
Lo schema di decreto sottoposto all’esame del Garante si compone di 6 articoli.
Nel primo articolo è previsto che il registro dei provvedimenti di applicazione delle sanzioni pecuniarie civili sia istituito per poter applicare la norma sulla reiterazione dell’illecito, su base nazionale.
L’articolo 2 stabilisce che il sistema informativo del registro debba permettere agli uffici competenti di poter iscrivere, eliminare, trasmettere e conservare i dati in questione attraverso delle tecnologie informatiche nonché tutte le attività che riguardano la formazione dei relativi certificati e i rapporti con gli utenti, in modo tale da garantire il rispetto dei principi di completezza, aggiornamento, esattezza e sicurezza dei dati.
L’articolo 3 prevede che il capo di ciascun ufficio giudiziario, con riferimento a tutte le utenze che sono assegnate all’ufficio, debba individuare uno o più funzionari abilitati ad operare sul registro e tra questi un referente che assume la responsabilità della gestione degli accessi al sistema e che rilasci i certificati delle iscrizioni contenute nel registro. Inoltre, viene previsto che ogni operazione compiuta sul registro debba essere memorizzata in appositi file di log e conservata per cinque anni.
L’articolo 4 stabilisce che devono essere iscritti nel registro i provvedimenti di applicazioni delle sanzioni pecuniarie che siano passati in giudicato (cioè rispetto ai quali non sia più possibile esperire l’appello o il ricorso in cassazione) e che tali provvedimenti siano iscritti solo per estratto contenente i dati indicati nel comma 2 dell’art. 6 del citato decreto legislativo 7/2016. Inoltre, il soggetto abilitato a procedere all’iscrizione nel registro deve verificare che il provvedimento di applicazione della sanzione pecuniaria contenga i dati utili per l’estratto da iscrivere nel registro e se verifica che ci sono dati mancanti o incompleti deve segnalare la cosa al giudice che ha emesso il provvedimento ai fini della sua correzione.
L’articolo 5 stabilisce che le iscrizioni debbono essere eliminate dal registro dopo che sono decorsi 10 anni dalla commissione della violazione oppure in caso di morte della persona a cui essi si riferiscono oppure se il provvedimento iscritto è stato revocato oppure lo stesso non fosse ancora passato in giudicato.
Infine, l’articolo 6 prevede che gli uffici che esercitano la giurisdizione acquisiscono dal registro il certificato di tutte le iscrizioni esistenti riferite ad un determinato soggetto e lo inseriscono nel fascicolo del processo in cui si discute dell’irrogazione di una sanzione pecuniaria nei confronti di tale soggetto. Inoltre, la norma prevede che l’interessato abbia il diritto di ottenere il certificato relativo alle iscrizioni che lo riguardano, rivolgendosi a qualunque ufficio giudiziario di primo grado.
3. Il parere del Garante
In primo luogo, il Garante ha ritenuto non in linea con la normativa privacy l’art. 5 dello schema di decreto, disciplinante la durata di conservazione nel registro dei dati relativi ai provvedimenti di applicazione delle sanzioni pecuniarie.
Infatti, secondo il Garante, il decreto legislativo 7/2016 stabilisce che la reiterazione dell’illecito sussiste soltanto qualora il soggetto abbia compiuto una violazione della stessa indole nei 4 anni precedenti a quella oggetto del procedimento dove si discute dell’applicazione di una sanzione pecuniaria. Pertanto, il termine decennale di conservazione delle iscrizioni nel registro appare non in linea con il principio della limitazione della conservazione dei dati rispetto alla finalità perseguita, come previsto dal Regolamento europeo per la protezione dei dati personali (GDPR).
In secondo luogo, il Garante ha ritenuto che il medesimo articolo 5 non rispetti il principio della privacy by default previsto dal citato GDPR. Infatti, posto che viene ivi previsto che sia il soggetto abilitato della cancelleria del giudice che ha emesso il provvedimento a curare l’eliminazione delle iscrizioni obsolete, sarebbe invece più in linea con il citato principio della protezione dei dati per impostazione predefinita che tale cancellazione avvenisse attraverso un procedimento automatizzato al termine dello scadere del periodo di conservazione dei dati sopra previsto.
In terzo luogo, il Garante ha evidenziato come il decreto in esame dovrebbe prevedere delle specifiche garanzie per permettere agli interessati di esercitare i diritti di cui agli art. 15-22 del GDPR, soprattutto per permettere di assicurare il rispetto del principio di esattezza dei dati. A tal fine, quindi, il decreto dovrebbe stabilire le modalità per individuare il soggetto competente a fornire riscontro alle richieste di esercizio dei diritti da parte degli interessati e a disciplinare con apposite procedure la gestione delle relative istanze nonché a fornire a detti interessati l’informativa sui loro diritti e sulle modalità per esercitarli.
In quarto luogo, il Garante inviata il Ministero a inviargli la bozza del Decreto del direttore dei sistemi informativi automatizzati del ministero stesso che questi dovrà adottare per disciplinare le regole di funzionamento tecniche del sistema informativo del registro.
Infine, il Garante ha richiesto al Ministero di effettuare una valutazione di impatto del trattamento sulla protezione dei dati personali, prima di dare inizio al trattamento (quindi alla tenuta del registro), in quanto i dati che saranno ivi conservati sono a tutti gli effetti ritenuti dati relativi a “reati” ai sensi dell’art. 10 del GDPR.
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento