Le News di CONSULENZE DIGITALI - Consulenti Digitali

Vai ai contenuti

Il parere del Garante sul nuovo Regolamento in materia di Trattamento dei dati registrati nel Ced

Consulenti Digitali
Pubblicato da in News Privacy Europea · 22 Luglio 2019
Garante per la protezione dei dati personali: Parere su una nuova versione dello schema di decreto del Presidente della Repubblica recante Regolamento concernente la disciplina delle procedure di raccolta, accesso, comunicazione, correzione, cancellazione ed integrazione dei dati e delle informazioni registrati nel Centro elaborazione dati – 6 maggio 2019
Fonte diritto.it Avv. Pier Paolo Muià – Dott.ssa Maria Muià
Fatto
Nel parere in esame, il Garante per la protezione dei dati personali si è espresso in ordine a una richiesta proveniente dal Ministero dell’ interno in ordine alla conformità alla normativa in materia di protezione dei dati personali di una nuova versione dello schema di decreto del Presidente della Repubblica recante “Regolamento concernente la disciplina delle procedure di raccolta, accesso, comunicazione, correzione, cancellazione ed integrazione dei dati e delle informazioni registrati nel Centro elaborazione dati di cui all’articolo 8 della legge 1 aprile 1981, n. 121, che sostituisce il precedente schema sul quale il Garante aveva già espresso un proprio parere il 26 luglio 2017.
Il Ministero ha realizzato questo nuovo schema in considerazione del fatto che ha dovuto aggiornare il suddetto Regolamento al fine di recepire i più recenti sviluppi normativi in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali (introdotta dal decreto legislativo 18 maggio 2018, n. 51, che ha dato attuazione alla direttiva UE 2016/680), i quali hanno previsto l’accesso al Centro elaborazione dati interforze del Dipartimento della pubblica sicurezza da parte del personale dei Corpi e servizi di polizia municipale, per verificare eventuali provvedimenti di ricerca o di rintraccio nei riguardi delle persone controllate.
Il parere del Garante
Lo schema inviato dal Ministero al Garante si compone di 24 articoli, suddivisi in 5 Capi, i quali – secondo il Garante – tengono conto in larga parte delle osservazioni che erano già state fornite dallo stesso Garante nel proprio parere del 26 luglio 2017 nonché della disciplina della recente normativa in materia di trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali. Tuttavia, l’autorità di controllo ha ritenuto opportuno fornire alcune osservazioni circa modifiche ed integrazioni da compiere sullo schema di regolamento affinchè questo possa ritenersi pienamente conforme ai principi in materia di protezione dei dati personali e ai presupposti di liceità previsti dal citato decreto legislativo n. 51/2018.
Il primo articolo sul quale il garante ha ritenuto di formulare le proprie osservazioni è l’articolo 4, il quale si occupa del titolare del trattamento, dei soggetti autorizzati al trattamento e del responsabile della protezione dei dati, individuando diverse forme di autorizzazione al trattamento dei dati a favore del personale che agisce sotto l’autorità del titolare. Secondo quanto previsto dal comma 2 dell’art. 4 dello schema di regolamento, il personale può essere autorizzato, di regola, “per iscritto….specificandone puntualmente l’ambito consentito, dopo aver impartito ….le opportune istruzioni”. Anche se, ai sensi del terzo comma, tale autorizzazione possa essere data anche attraverso una “documentata assegnazione all’unità organizzativa di uffici o comandi per la quale è analogamente individuato, per iscritto, l’ambito di trattamento consentito al personale” oppure, secondo il comma 4, possa semplicemente “basarsi su un’attestazione del responsabile dell’ufficio o del comando nella quale sono definite le esigenze di trattamento”.
Ebbene, secondo il Garante è opportuno integrare detto ultimo comma 4 prevedendo che: “l’ambito di trattamento consentito al personale è comunque individuato per iscritto” e “A prescindere dalle modalità di autorizzazione al trattamento dei dati, il titolare del trattamento deve fornire a tutti i soggetti autorizzati le opportune istruzioni in merito alle modalità del trattamento. In conseguenza di tali integrazioni, sarebbe altrettanto opportuno eliminare, al comma 2, le parole “dopo avere impartito alle stesse le opportune istruzioni”.
Il secondo articolo esaminato dal Garante nel suo parere è l’articolo 22 dello schema, che si occupa dei compiti del Servizio per il sistema informativo interforze, prevedendo, al comma 2, lettera b), che il servizio gestisce, tra l’altro, le attività di istruzione e autorizzazione degli operatori incaricati del trattamento dati direttamente dal titolare. Secondo il Garante tale disposizione omette di stabilire a chi spetti la gestione di dette attività qualora gli incaricati siano autorizzati per assegnazione a specifica unità oppure per attestazione dei responsabili degli uffici. In secondo luogo, è stata omessa l’indicazione per quanto riguarda la gestione delle procedure di autorizzazione per il personale del Corpo delle capitanerie di porto e dei Corpi e servizi di polizia municipale.
Per quanto riguarda, invece, la figura del responsabile della protezione dei dati, posto che la citata direttiva UE 2016/680 ha stabilito che “i responsabili della protezione dei dati dovrebbero poter adempiere le funzioni e ai loro incombenti in maniera indipendente conformemente al diritto dello Stato membro”, il Garante ha ritenuto che lo schema di regolamento dovrebbe essere integrato inserendo al comma 5 la seguente locuzione: “che svolge le sue funzioni in maniera indipendente.”.
Il terzo articolo su cui il Garante concentra la propria attenzione è l’articolo 14 dello schema di Regolamento, che si occupa della comunicazione dei dati a pubbliche amministrazioni o enti pubblici. Secondo il Garante, in considerazione del fatto che le informazioni acquisibili dal Centro elaborazione dati da parte di soggetti pubblici possono essere solo quelle previste dalla legge, la disposizione non appare conforme nella misura in cui lascia al soggetto che richiede i dati la definizione dei “criteri di selezione dei dati. Pertanto, dovrà essere eliminato il secondo periodo di detta disposizione.
L’articolo 17 dello schema di regolamento si occupa dei diritti dell’interessato e prevede un rinvio agli articoli 8, 11, 12, 13 e 14 del decreto legislativo n. 51 del 2018. Tuttavia, secondo il Garante, appare non conforme alla normativa vigente in materia di protezione dei dati personali il mancato inserimento, all’interno di detto rinvio, agli articoli 9 e 10 del medesimo decreto legislativo. Detti ultimi articoli, infatti, riguardano, rispettivamente, le comunicazioni e le modalità per l’esercizio dei diritti e le informazioni da rendere all’interessato da parte del titolare del trattamento. Ebbene, posto che la direttiva UE 2016/680 prevede che i diritti dell’interessato possano essere limitati soltanto quando sussistono le esigenze di non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari oppure di non compromettere la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali oppure di proteggere la sicurezza pubblica oppure di proteggere la sicurezza nazionale oppure, infine, di proteggere i diritti e le libertà altrui, la disposizione esaminata, non richiamando i citati artt. 9 e 10, permette di ridurre i diritti dell’interessato in maniera generalizzata e indipendentemente dalla esistenza delle esigenze di cui sopra. Pertanto, il Garante suggerisce di ricomprendere nel rinvio anche i suddetti articoli, in modo da poter applicare la disciplina ivi prevista e quindi limitare i diritti dell’interessato solo in presenza delle esigenze di cui sopra.



Torna ai contenuti