Non solo GDPR
La nuova protezione dei dati personali nel settore giustizia, nei trattamenti svolti per finalità di indagine, prevenzione, repressione e accertamento dei reati.
Nell’ambito delle nuove norme comunitarie dettate in materia di protezione dei dati personali particolare attenzione deve essere riservata, in ragione, da una parte, alle modalità tecnologicamente sempre più evolute nella disponibilità delle forze dell’Ordine, e, dall’altra, alle specifiche finalità per le quali le operazioni di trattamento sono effettuate, come si evince dalla Direttiva UE 2016/680 del 27 aprile 2016 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali (omissis), recepita nell’ordinamento italiano con il Decreto Legislativo n. 51 del 18 maggio 2018, entrato in vigore lo scorso 8 giugno. Si tratta di un testo unitario, dedicato alla disciplina del trattamento di dati personali in ambito penale, nel suo insieme mosso dall’intento di realizzare un vero e proprio corpus autonomo di norme, contenente sia principi e istituti di carattere generale di regolamentazione della materia, sia disposizioni di dettaglio, specializzanti, in relazione ai vari ambiti nei quali si esprimono le operazioni di trattamento di dati personali per finalità di Giustizia. Integrazioni e modifiche alla normativa precedente La nuova disciplina integra e modifica, in modo sostanziale quella, allo stato, contenuta nel Codice Privacy. In particolare, il testo, mutuando molti dei suoi principi, dalle disposizioni del Reg. Gen. 679/2016, precisa che i dati debbano essere conservati per il tempo necessario al conseguimento delle finalità del trattamento, sottoposti a esame periodico per verificare che persista la necessità della loro conservazione e cancellati ovvero anonimizzati una volta decorso tale termine. Molto significativa risulta altresì la norma contenuta all’art. 4 del citato Decreto, che obbliga i Titolari che di volta in volta effettuano le operazioni a un trattamento differenziato in ragione delle diverse categorie di interessati, tra le quali rientrano le persone sottoposte a indagine, gli imputati, le persone sottoposte a indagine o imputate in procedimento connesso o collegato, le persone condannate con sentenza definitiva, le persone offese dal reato, le parti civili, le persone informate sui fatti e, infine, i testimoni.
Distinguere i ruoli
In tal senso, si precisa al considerando nr. 31 della Direttiva che: “dovrebbe essere operata, se del caso e per quanto possibile, una chiara distinzione tra i dati personali relativi a diverse categorie di interessati (omissis). Ciò non dovrebbe impedire l’applicazione del diritto alla presunzione di innocenza garantito dalla Carta e dalla CEDU, come interpretato nella giurisprudenza rispettivamente della Corte di giustizia e della Corte europea dei diritti dell’uomo”. Dal punto di vista applicativo, il Decreto, all’art. 28, sancisce l’obbligatorietà della designazione del Responsabile della Protezione dei Dati (RPD o DPO) per le autorità pubbliche dello Stato, di uno Stato membro dell’Unione Europea o di uno Stato terzo competente in materia di prevenzione, indagine, accertamento e perseguimento dei reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, nonché per qualsiasi altro organismo o entità incaricato dagli ordinamenti interni di esercitare l’autorità pubblica e i poteri pubblici ai medesimi fini, nel caso in cui tali soggetti determinino le finalità e i mezzi del trattamento.
L’obbligo di designare il DPO
Mentre la Direttiva Europea riteneva facoltativa la possibilità di estendere l’obbligo di nomina di un Responsabile della Protezione dei Dati (DPO) alle autorità giurisdizionali e altre autorità giudiziarie indipendenti nell’esercizio delle loro funzioni giurisdizionali, il legislatore italiano ha previsto l’estensione di detto obbligo prevedendo, tuttavia, l’incompetenza del Garante in ordine al controllo del rispetto delle medesime disposizioni legislative, limitatamente ai trattamenti effettuati dall’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali, nonché di quelle giudiziarie del Pubblico Ministero. La designazione del DPO, a favore di un soggetto già in organico del Titolare, che, ove compatibile con il rispetto dei menzionati requisiti, può anche essere effettuata per più autorità competenti, tenuto sempre conto della loro struttura organizzativa e della loro dimensione, deve tenere in considerazione le qualità professionali, con particolare riguardo alla conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e della capacità di assolvere ai compiti assegnatigli.
Servono competenze specifiche
Vista la tipologia di dati trattati, la complessità dei trattamenti e la quantità dei dati sottoposti a trattamento, il DPO dovrà presentare un livello molto elevato di conoscenze specialistiche in materia di protezione dei dati personali, un’ottima conoscenza delle operazioni di trattamento svolte, della struttura organizzativa, dei sistemi informatici e delle esigenze di sicurezza del Titolare. Il Titolare, nominato il DPO, deve, in virtù dell’applicazione dei principii di privacy by design e by default, assicurare che egli sia adeguatamente e tempestivamente coinvolto in tutte le questioni attinenti la protezione dei dati, nonché cooperare nell’esecuzione dei compiti assegnatigli fornendogli le risorse necessarie per assolvere i medesimi compiti. Il DPO deve essere incaricato di informare il Titolare e i soggetti autorizzati al trattamento degli obblighi dettati in materia di protezione dei dati personali; di vigilare sull’osservanza di tali previsioni e di quelle poste dal medesimo Titolare, ivi compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; di fornire il parere in merito alla Valutazione d’Impatto sulla Protezione dei Dati e di sorvegliarne lo svolgimento. Deve, inoltre, cooperare con il Garante e fungere da punto di contatto con la stessa Autorità per le questioni connesse al trattamento dei dati.
Obbligo di registrazione dei file
Un ulteriore profilo di novità è rappresentato dalla previsione dell’obbligo di registrazione dei log file generati dalle operazioni di raccolta, modifica, consultazione, comunicazione, trasferimento, interconnessione e cancellazione di dati eseguiti con strumenti automatizzati (art. 21). Tali registrazioni devono riportare la data, l’ora di esecuzione delle operazioni e, se possibile, devono consentire l’identificazione dell’operatore e dei destinatari dei dati, al solo fine di verificare la liceità del trattamento per finalità di controllo interno, per garantire l’integrità e la sicurezza dei dati personali e nell’ambito di procedimenti penali.
Coautrice dell’articolo: Barbara Santi Avvocato del Foro di Arezzo