Il rispetto della norma della privacy

Il parere del Garante sul nuovo Regolamento in materia di Trattamento dei dati registrati nel Ced

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Avv. Pier Paolo Muià – Dott.ssa Maria Muià

Garante per la protezione dei dati personali: Parere su una nuova versione dello schema di decreto del Presidente della Repubblica recante Regolamento concernente la disciplina delle procedure di raccolta, accesso, comunicazione, correzione, cancellazione ed integrazione dei dati e delle informazioni registrati nel Centro elaborazione dati – 6 maggio 2019

Fatto

Nel parere in esame, il Garante per la protezione dei dati personali si è espresso in ordine a una richiesta proveniente dal Ministero dell’ interno in ordine alla conformità alla normativa in materia di protezione dei dati personali di una nuova versione dello schema di decreto del Presidente della Repubblica recante “Regolamento concernente la disciplina delle procedure di raccolta, accesso, comunicazione, correzione, cancellazione ed integrazione dei dati e delle informazioni registrati nel Centro elaborazione dati di cui all’articolo 8 della legge 1 aprile 1981, n. 121, che sostituisce il precedente schema sul quale il Garante aveva già espresso un proprio parere il 26 luglio 2017.

Il Ministero ha realizzato questo nuovo schema in considerazione del fatto che ha dovuto aggiornare il suddetto Regolamento al fine di recepire i più recenti sviluppi normativi in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali (introdotta dal decreto legislativo 18 maggio 2018, n. 51, che ha dato attuazione alla direttiva UE 2016/680), i quali hanno previsto l’accesso al Centro elaborazione dati interforze del Dipartimento della pubblica sicurezza da parte del personale dei Corpi e servizi di polizia municipale, per verificare eventuali provvedimenti di ricerca o di rintraccio nei riguardi delle persone controllate.

Approfondisci con:”Il nuovo codice della privacy”

Il parere del Garante

Lo schema inviato dal Ministero al Garante si compone di 24 articoli, suddivisi in 5 Capi, i quali – secondo il Garante – tengono conto in larga parte delle osservazioni che erano già state fornite dallo stesso Garante nel proprio parere del 26 luglio 2017 nonché della disciplina della recente normativa in materia di trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali. Tuttavia, l’autorità di controllo ha ritenuto opportuno fornire alcune osservazioni circa modifiche ed integrazioni da compiere sullo schema di regolamento affinchè questo possa ritenersi pienamente conforme ai principi in materia di protezione dei dati personali e ai presupposti di liceità previsti dal citato decreto legislativo n. 51/2018.

Il primo articolo sul quale il garante ha ritenuto di formulare le proprie osservazioni è l’articolo 4, il quale si occupa del titolare del trattamento, dei soggetti autorizzati al trattamento e del responsabile della protezione dei dati, individuando diverse forme di autorizzazione al trattamento dei dati a favore del personale che agisce sotto l’autorità del titolare. Secondo quanto previsto dal comma 2 dell’art. 4 dello schema di regolamento, il personale può essere autorizzato, di regola, “per iscritto….specificandone puntualmente l’ambito consentito, dopo aver impartito ….le opportune istruzioni”. Anche se, ai sensi del terzo comma, tale autorizzazione possa essere data anche attraverso una “documentata assegnazione all’unità organizzativa di uffici o comandi per la quale è analogamente individuato, per iscritto, l’ambito di trattamento consentito al personale” oppure, secondo il comma 4, possa semplicemente “basarsi su un’attestazione del responsabile dell’ufficio o del comando nella quale sono definite le esigenze di trattamento”.

Ebbene, secondo il Garante è opportuno integrare detto ultimo comma 4 prevedendo che: “l’ambito di trattamento consentito al personale è comunque individuato per iscritto” e “A prescindere dalle modalità di autorizzazione al trattamento dei dati, il titolare del trattamento deve fornire a tutti i soggetti autorizzati le opportune istruzioni in merito alle modalità del trattamento. In conseguenza di tali integrazioni, sarebbe altrettanto opportuno eliminare, al comma 2, le parole “dopo avere impartito alle stesse le opportune istruzioni”.

Il secondo articolo esaminato dal Garante nel suo parere è l’articolo 22 dello schema, che si occupa dei compiti del Servizio per il sistema informativo interforze, prevedendo, al comma 2, lettera b), che il servizio gestisce, tra l’altro, le attività di istruzione e autorizzazione degli operatori incaricati del trattamento dati direttamente dal titolare. Secondo il Garante tale disposizione omette di stabilire a chi spetti la gestione di dette attività qualora gli incaricati siano autorizzati per assegnazione a specifica unità oppure per attestazione dei responsabili degli uffici. In secondo luogo, è stata omessa l’indicazione per quanto riguarda la gestione delle procedure di autorizzazione per il personale del Corpo delle capitanerie di porto e dei Corpi e servizi di polizia municipale.

Per quanto riguarda, invece, la figura del responsabile della protezione dei dati, posto che la citata direttiva UE 2016/680 ha stabilito che “i responsabili della protezione dei dati dovrebbero poter adempiere le funzioni e ai loro incombenti in maniera indipendente conformemente al diritto dello Stato membro”, il Garante ha ritenuto che lo schema di regolamento dovrebbe essere integrato inserendo al comma 5 la seguente locuzione: “che svolge le sue funzioni in maniera indipendente.”.

Il terzo articolo su cui il Garante concentra la propria attenzione è l’articolo 14 dello schema di Regolamento, che si occupa della comunicazione dei dati a pubbliche amministrazioni o enti pubblici. Secondo il Garante, in considerazione del fatto che le informazioni acquisibili dal Centro elaborazione dati da parte di soggetti pubblici possono essere solo quelle previste dalla legge, la disposizione non appare conforme nella misura in cui lascia al soggetto che richiede i dati la definizione dei “criteri di selezione dei dati. Pertanto, dovrà essere eliminato il secondo periodo di detta disposizione.

L’articolo 17 dello schema di regolamento si occupa dei diritti dell’interessato e prevede un rinvio agli articoli 8, 11, 12, 13 e 14 del decreto legislativo n. 51 del 2018. Tuttavia, secondo il Garante, appare non conforme alla normativa vigente in materia di protezione dei dati personali il mancato inserimento, all’interno di detto rinvio, agli articoli 9 e 10 del medesimo decreto legislativo. Detti ultimi articoli, infatti, riguardano, rispettivamente, le comunicazioni e le modalità per l’esercizio dei diritti e le informazioni da rendere all’interessato da parte del titolare del trattamento. Ebbene, posto che la direttiva UE 2016/680 prevede che i diritti dell’interessato possano essere limitati soltanto quando sussistono le esigenze di non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari oppure di non compromettere la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali oppure di proteggere la sicurezza pubblica oppure di proteggere la sicurezza nazionale oppure, infine, di proteggere i diritti e le libertà altrui, la disposizione esaminata, non richiamando i citati artt. 9 e 10, permette di ridurre i diritti dell’interessato in maniera generalizzata e indipendentemente dalla esistenza delle esigenze di cui sopra. Pertanto, il Garante suggerisce di ricomprendere nel rinvio anche i suddetti articoli, in modo da poter applicare la disciplina ivi prevista e quindi limitare i diritti dell’interessato solo in presenza delle esigenze di cui sopra.

Volume consigliato

Il nuovo codice della privacy

Il nuovo codice della privacy

Pier Paolo Muià, 2019, Maggioli Editore

Il 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

Muia' Pier Paolo

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it