Garante per la protezione dei dati personali: Parere su una nuova versione dello schema di decreto del Presidente della Repubblica recante Regolamento concernente la disciplina delle procedure di raccolta, accesso, comunicazione, correzione, cancellazione ed integrazione dei dati e delle informazioni registrati nel Centro elaborazione dati – 6 maggio 2019
Fatto
Nel parere in esame, il Garante per la protezione dei dati personali si è espresso in ordine a una richiesta proveniente dal Ministero dell’ interno in ordine alla conformità alla normativa in materia di protezione dei dati personali di una nuova versione dello schema di decreto del Presidente della Repubblica recante “Regolamento concernente la disciplina delle procedure di raccolta, accesso, comunicazione, correzione, cancellazione ed integrazione dei dati e delle informazioni registrati nel Centro elaborazione dati di cui all’articolo 8 della legge 1 aprile 1981, n. 121, che sostituisce il precedente schema sul quale il Garante aveva già espresso un proprio parere il 26 luglio 2017.
Il Ministero ha realizzato questo nuovo schema in considerazione del fatto che ha dovuto aggiornare il suddetto Regolamento al fine di recepire i più recenti sviluppi normativi in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali (introdotta dal decreto legislativo 18 maggio 2018, n. 51, che ha dato attuazione alla direttiva UE 2016/680), i quali hanno previsto l’accesso al Centro elaborazione dati interforze del Dipartimento della pubblica sicurezza da parte del personale dei Corpi e servizi di polizia municipale, per verificare eventuali provvedimenti di ricerca o di rintraccio nei riguardi delle persone controllate.
Approfondisci con:”Il nuovo codice della privacy”
Il parere del Garante
Lo schema inviato dal Ministero al Garante si compone di 24 articoli, suddivisi in 5 Capi, i quali – secondo il Garante – tengono conto in larga parte delle osservazioni che erano già state fornite dallo stesso Garante nel proprio parere del 26 luglio 2017 nonché della disciplina della recente normativa in materia di trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali. Tuttavia, l’autorità di controllo ha ritenuto opportuno fornire alcune osservazioni circa modifiche ed integrazioni da compiere sullo schema di regolamento affinchè questo possa ritenersi pienamente conforme ai principi in materia di protezione dei dati personali e ai presupposti di liceità previsti dal citato decreto legislativo n. 51/2018.
Il primo articolo sul quale il garante ha ritenuto di formulare le proprie osservazioni è l’articolo 4, il quale si occupa del titolare del trattamento, dei soggetti autorizzati al trattamento e del responsabile della protezione dei dati, individuando diverse forme di autorizzazione al trattamento dei dati a favore del personale che agisce sotto l’autorità del titolare. Secondo quanto previsto dal comma 2 dell’art. 4 dello schema di regolamento, il personale può essere autorizzato, di regola, “per iscritto….specificandone puntualmente l’ambito consentito, dopo aver impartito ….le opportune istruzioni”. Anche se, ai sensi del terzo comma, tale autorizzazione possa essere data anche attraverso una “documentata assegnazione all’unità organizzativa di uffici o comandi per la quale è analogamente individuato, per iscritto, l’ambito di trattamento consentito al personale” oppure, secondo il comma 4, possa semplicemente “basarsi su un’attestazione del responsabile dell’ufficio o del comando nella quale sono definite le esigenze di trattamento”.
Ebbene, secondo il Garante è opportuno integrare detto ultimo comma 4 prevedendo che: “l’ambito di trattamento consentito al personale è comunque individuato per iscritto” e “A prescindere dalle modalità di autorizzazione al trattamento dei dati, il titolare del trattamento deve fornire a tutti i soggetti autorizzati le opportune istruzioni in merito alle modalità del trattamento”. In conseguenza di tali integrazioni, sarebbe altrettanto opportuno eliminare, al comma 2, le parole “dopo avere impartito alle stesse le opportune istruzioni”.
Il secondo articolo esaminato dal Garante nel suo parere è l’articolo 22 dello schema, che si occupa dei compiti del Servizio per il sistema informativo interforze, prevedendo, al comma 2, lettera b), che il servizio gestisce, tra l’altro, le attività di istruzione e autorizzazione degli operatori incaricati del trattamento dati direttamente dal titolare. Secondo il Garante tale disposizione omette di stabilire a chi spetti la gestione di dette attività qualora gli incaricati siano autorizzati per assegnazione a specifica unità oppure per attestazione dei responsabili degli uffici. In secondo luogo, è stata omessa l’indicazione per quanto riguarda la gestione delle procedure di autorizzazione per il personale del Corpo delle capitanerie di porto e dei Corpi e servizi di polizia municipale.
Per quanto riguarda, invece, la figura del responsabile della protezione dei dati, posto che la citata direttiva UE 2016/680 ha stabilito che “i responsabili della protezione dei dati dovrebbero poter adempiere le funzioni e ai loro incombenti in maniera indipendente conformemente al diritto dello Stato membro”, il Garante ha ritenuto che lo schema di regolamento dovrebbe essere integrato inserendo al comma 5 la seguente locuzione: “che svolge le sue funzioni in maniera indipendente.”.
Il terzo articolo su cui il Garante concentra la propria attenzione è l’articolo 14 dello schema di Regolamento, che si occupa della comunicazione dei dati a pubbliche amministrazioni o enti pubblici. Secondo il Garante, in considerazione del fatto che le informazioni acquisibili dal Centro elaborazione dati da parte di soggetti pubblici possono essere solo quelle previste dalla legge, la disposizione non appare conforme nella misura in cui lascia al soggetto che richiede i dati la definizione dei “criteri di selezione dei dati”. Pertanto, dovrà essere eliminato il secondo periodo di detta disposizione.
L’articolo 17 dello schema di regolamento si occupa dei diritti dell’interessato e prevede un rinvio agli articoli 8, 11, 12, 13 e 14 del decreto legislativo n. 51 del 2018. Tuttavia, secondo il Garante, appare non conforme alla normativa vigente in materia di protezione dei dati personali il mancato inserimento, all’interno di detto rinvio, agli articoli 9 e 10 del medesimo decreto legislativo. Detti ultimi articoli, infatti, riguardano, rispettivamente, le comunicazioni e le modalità per l’esercizio dei diritti e le informazioni da rendere all’interessato da parte del titolare del trattamento. Ebbene, posto che la direttiva UE 2016/680 prevede che i diritti dell’interessato possano essere limitati soltanto quando sussistono le esigenze di non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari oppure di non compromettere la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali oppure di proteggere la sicurezza pubblica oppure di proteggere la sicurezza nazionale oppure, infine, di proteggere i diritti e le libertà altrui, la disposizione esaminata, non richiamando i citati artt. 9 e 10, permette di ridurre i diritti dell’interessato in maniera generalizzata e indipendentemente dalla esistenza delle esigenze di cui sopra. Pertanto, il Garante suggerisce di ricomprendere nel rinvio anche i suddetti articoli, in modo da poter applicare la disciplina ivi prevista e quindi limitare i diritti dell’interessato solo in presenza delle esigenze di cui sopra.
Volume consigliato
Il nuovo codice della privacyIl 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica amministrazione, ente o società, impresa o professionista sono tenuti a dare piena e integrale applicazione alla disciplina. Agile e completa, quest’opera fornisce a tutti gli operatori, pubblici e privati, gli strumenti per comprendere in modo chiaro e semplice le novitàintrodotte dal decreto attuativo, attraverso una lettura integrata con i relativi riferimenti alle disposizioni del GDPR, per consentire al Professionista di adempiere ai vari obblighi relativi alla protezione dei dati personali.Con un linguaggio semplice e chiaro, l’autore analizza i singoli articoli del decreto attuativo corredati da un primo commento esplicativo in combinato con l’esame delle disposizioni del codice privacy ancora in vigore, attraverso i necessari richiami alle disposizioni del GDPR che la nuova disciplina va ad attuare.PIER PAOLO MUIÀ Dopo aver conseguito la maturità classica, si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di diritto di internet, pri- vacy e IP, nonché responsabilità medica. È autore di diverse monografie sulle materie di sua competenza nonché di numerose pubblicazioni sulle principali riviste giuridiche nazionali ed è referente di dette materie per il portale telematico giuridico Diritto.it. È stato relatore in diversi convegni. Pier Paolo Muià | 2019 Maggioli Editore 19.00 € 18.05 € |
Scrivi un commento
Accedi per poter inserire un commento