Direttiva 2016/680

Decreto su trattamento dati personali in ambito penale: le novità e i punti critici

Ecco dove si sta andando, dopo lo schema di Decreto Legislativo appena pubblicato per attuare in Italia la Direttiva 2016/680, per il trattamento dei dati personali per finalità di prevenzione e repressione di reati. Critiche in particolari le indicazioni su conservazione dati e sanzioni previste

19 Mar 2018
privacy_125855486

È stato finalmente pubblicato lo schema di Decreto Legislativo che dovrebbe attuare in Italia la Direttiva 2016/680 sul trattamento dei dati personali per finalità di prevenzione e repressione di reati e esecuzione di sanzioni penali.

Si tratta della “Direttiva sorella” del Regolamento Generale sulla protezione dei Dati Personali (GDPR) del quale riprende la gran parte degli obblighi e principi. Ecco alcuni rilievi critici sul testo del decreto di recepimento.

Lo schema di decreto

Lo schema di decreto legislativo pubblicato (Atto del Governo N. 517) intende creare un vero e proprio statuto dedicato alla regolamentazione del trattamento dei dati personali da parte delle autorità competenti in materia di prevenzione e repressione di reati e esecuzione di sanzioni penali (ossia forze di polizia, procuratori della Repubblica, ecc.). La Direttiva che lo schema di decreto recepisce è stata negoziata in parallelo al GDPR e ne riprende gran parte degli obblighi e principi.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Uno degli aspetti più interessanti che emergono dallo schema di decreto è che lo stesso segnala l’intenzione del legislatore di mantenere in vita (almeno in parte) l’attuale Codice della Privacy. Infatti, lo schema di decreto sostituisce in gran parte la normativa attualmente contemplata nei titoli primo e secondo della parte seconda del Codice (ossia i titoli sui trattamenti in ambito giudiziario e da parte di forze di polizia), ma rinvia ad altre parti del Codice per quanto riguarda, ad esempio, le funzioni del Garante della Privacy. Sembra quindi che, anche dopo maggio 2018 (ovvero dopo l’entrata in vigore definitiva del GDPR), alcune parti del Codice rimarranno in vigore.

In gran parte, lo schema di decreto legislativo ripropone le disposizioni contenute nella Direttiva che recepisce. Tuttavia, non mancano elementi innovativi, alcuni dei quali sembrano stridere con il diritto dell’Unione europea. In questo articolo ne verranno affrontati due: i termini e le modalità di conservazione dei dati (data retention); ed il regime sanzionatorio introdotto dallo schema di decreto.

 

Conservazione dei dati

L’articolo 5 della Direttiva 2016/680 impone agli Stati membri di fissare adeguati termini per la cancellazione dei dati. Per il recepimento dell’articolo 5 lo schema di decreto prevede l’adozione di norme regolamentari che disciplinino i termini e le modalità di conservazione dei dati. Lo schema fa però salvi i termini già stabiliti da disposizioni di legge o di regolamento vigenti. La Relazione Illustrativa dello schema di decreto chiarifica questo punto elencando le vigenti disposizioni di maggior rilievo che fissano termini di conservazione in ambito penale. Tra queste si segnalano, in particolare, l’Articolo 25 del D.P.R. 7 aprile 2016, n. 87 e l’Articolo 24 della Legge 20 Novembre 2017, n. 167. Il primo fissa a trent’anni il periodo di conservazione dei profili del DNA ottenuti da soggetti quali gli arrestati in flagranza di reato o i sottoposti a fermo di indiziato di delitto (ossia persone presunte innocenti), mentre il secondo fissa a 6 anni il termine di conservazione dei dati di traffico telefonico e telematico.

Si tratta di due termini che appaiono in contrasto con il diritto dell’Unione europea. Esemplificativo a tale riguardo è quanto stabilito dalla Corte Europea dei Diritti dell’Uomo nel caso S. e MARPER c. REGNO UNITO, un caso riguardante proprio la materia delle banche dati del DNA a scopo investigativo penale. Nel caso in questione, la Corte di Strasburgo ha ritenuto che la normativa del Regno Unito che prevedeva la conservazione illimitata dei profili genetici dei soggetti indagati violasse il diritto al rispetto della vita privata riconosciuto dalla Convenzione Europea dei Diritti dell’Uomo. Ciò in quanto: “il carattere generale ed indifferenziato con cui opera il meccanismo di conservazione … dei profili di DNA di individui sospettati della commissione di determinati reati che però non sono poi condannati … non garantisce un corretto bilanciamento dei concorrenti interessi pubblici e privati in gioco … Ne segue che [tale] conservazione dei dati personali … costituisce una ingerenza sproporzionata nel diritto dei ricorrenti al rispetto della vita privata; tale ingerenza non può essere considerata come necessaria in una società democratica”.

Ora, pur non trattandosi di una conservazione illimitata di dati genetici, il periodo di conservazione di trent’anni attualmente imposto in Italia appare largamente sproporzionato, in particolare se si pensa che tale periodo potrebbe superare la durata della vita stessa di molti dei soggetti i cui profili genetici sono conservati. Si noti che le pronunce della Corte di Strasburgo sono sistematicamente tenute in considerazione dalla Corte di Giustizia dell’Unione Europea per interpretare la portata dei diritti fondamentali tutelati dal diritto comunitario, quale quello alla protezione dei dati personali. Inoltre, la stessa Corte Costituzionale Italiana ha più volte ribadito come l’attività normativa del legislatore Italiano vada valutata sulla base delle norme della Convenzione, cosi come intrepretate dalla Corte di Strasburgo.

Sul tema della conservazione dei dati di traffico telefonico e telematico si è pronunciata invece la Corte di Lussemburgo nel caso Tele 2, ribadendo come Il diritto dell’Unione osti ad una conservazione generalizzata e indifferenziata dei dati di traffico, consentendo tuttavia agli Stati membri di prevedere, a titolo preventivo, la conservazione mirata dei dati di traffico al solo scopo di lottare contro gravi reati, a condizione che tale conservazione sia limitata allo stretto necessario. La durata di conservazione dei dati deve essere quindi conforme a canoni di stretta proporzionalità. La non proporzionalità di un termine di conservazione di 6 anni, e la sua difficile compatibilità con il diritto europeo, è stata peraltro sottolineata dallo stesso Garante della Privacy.

In definitiva, il legislatore Italiano sembra non aver voluto sfruttare l’occasione offerta dal recepimento della Direttiva 2016/680 per riallineare la normativa italiana sulla conservazione dei dati col il diritto dell’Unione.

Le sanzioni

La Direttiva 2016/680 lascia agli Stati membri un margine di discrezionalità riguardo al tipo e alla natura delle sanzioni applicabili in caso di violazione delle proprie disposizioni, a condizione che siano effettive, proporzionate e dissuasive. Nell’esercitare tale discrezionalità, Il governo ha ritenuto di stabilire sia sanzioni penali che amministrative per le violazioni del decreto di recepimento. L’aspetto più interessante riguarda le sanzioni amministrative, fissate nel massimo a 150.000 Euro. È evidente il forte disallineamento che esiste rispetto al regime sanzionatorio introdotto dal GDPR, il quale prevede sanzioni amministrative fino a 20 milioni di euro (o fino al 4% del fatturato totale annuo, se superiore).

Tale disallineamento sanzionatorio pare difficilmente compatibile con i canoni di effettività, proporzionalità e dissuasività imposti dal diritto comunitario. Sul punto, la Corte di Giustizia ha più volte sottolineato come gli Stati membri debbano “vegliare a che le violazioni del diritto comunitario siano sanzionate, sotto il profilo sostanziale e procedurale, in termini analoghi a quelli previsti per le violazioni del diritto interno simili per natura ed importanza e che, in ogni caso, conferiscano alla sanzione stessa un carattere di effettività, di proporzionalità e di capacità dissuasiva” (si veda ad esempio il caso C-68/88 – Commissione / Grecia). Da tale punto di vista, diventa difficile giustificare la differenza tra le sanzioni del GDPR e quelle previste dallo schema di decreto che recepisce la Direttiva 2016/680, soprattutto in ragione dell’omogeneità normativa che esiste tra i due strumenti. Il legislatore delegato sembra essere consapevole di questo problema visto che nella Relazione Illustrativa al decreto si è sentito in obbligo di indicare che “i limiti edittali delle sanzioni pecuniarie amministrative non possono … superare nel massimo 150.000 euro. E al riguardo non è invocabile il disallineamento con analoghe previsioni sanzionatorie del regolamento [ossia il GDPR]: la predisposizione in ipotesi di sanzioni pecuniarie amministrative più elevate si scontrerebbe con i limiti della delega legislativa”. Difatti, i limiti edittali fissati nello schema di decreto non sono altro che quelli fissati all’Articolo 32 della Legge 24 dicembre 2012, n. 234 che fissa i criteri direttivi generali per l’attuazione del diritto dell’Unione europea in Italia. Pertanto, il governo non avrebbe potuto introdurre sanzioni più elevate nello schema di decreto. Questo è tuttavia irrilevante per valutare la compatibilità della normativa interna di recepimento con il diritto dell’Unione. Si noti, tuttavia, che anche in altri Stati membri che hanno attuato la Direttiva 2016/680 esiste un disallineamento sanzionatorio rispetto al GDPR (si pensi, ad esempio, alla normativa di recepimento tedesca).

In conclusione, sarebbe auspicabile che le Commissioni parlamentari competenti prendano in considerazione le criticità rilevate durante l’esame parlamentare dello schema di decreto, prima che si proceda all’adozione definitiva dello stesso.

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati