Direttiva sulla protezione degli individui, in riferimento al trattamento di dati personali da parte di autorità competenti a fini di prevenzione, indagine, l’individuazione e di attività criminose o per la applicazione di sanzioni penali. Di A.Biasiotti.
L’attenzione che il regolamento europeo sulla protezione dei dati personali ha attirato può aver contribuito a far dimenticare che, in parallelo all’approvazione di tale regolamento, vi sarà anche la approvazione di una direttiva del Parlamento europeo e del consiglio che tratta un tema affatto specifico, ma non per questo meno interessante.
Proviamo a leggere integralmente il titolo di questa proposta di direttiva:
Proposta di direttiva del Parlamento europeo e del consiglio sulla protezione degli individui, in riferimento al trattamento di dati personali da parte di autorità competenti a fini di prevenzione, indagine, l’individuazione e di attività criminose o per la applicazione di sanzioni penali, e condizioni per il libero movimento di tali dati
Il testo definitivo è stato approvato il 18 dicembre 2015 e si spera che, in concomitanza con la approvazione pubblicazione del regolamento europeo, anche questa direttiva venga pubblicata.
Come di consueto, la direttiva è composta da 82 “considerando”, anche se in realtà le disposizioni sono poco più numerose.
In queste disposizioni iniziali si illustrano le ragioni che hanno portato alla elaborazione della direttiva ed si danno alcune indicazioni specifiche sulle modalità pratica di applicazione.
Il capitolo 1-indicazioni generali fa riferimento, di come di consueto, al tema trattato dalla direttiva e all’obiettivo che essa persegue. Come evidenziato nel titolo, è evidente che al trattamento di dati per finalità di indagine applicazione di sanzioni penali non possono applicarsi le regole generali che si applicano al trattamento di dati personali di specifici interessati. Ad esempio, il requisito dell’offerta di informativa e acquisizione del consenso non è certamente applicabile. Dubito che qualche malvivente potrebbe dare una sua approvazione alle indagini, da parte della polizia, che lo riguardino!
Un altro aspetto essenziale riguarda la possibilità di scambio di informazioni fra i vari paesi europei, per rendere sempre più efficiente ed efficace l’attività di indagine e perseguimento di atti criminosi.
L’articolo 3, come di consueto, passa in rassegna le principali definizioni, che sotto molti aspetti sono simili a quelle del regolamento.
Il capitolo 2-principi esamina invece le condizioni nell’ambito delle quali è possibile trattare dati personali per le finalità indicate dalla direttiva.
Un aspetto essenziale riguarda il fatto che sia consentito ad un altro data controller, che si trovi in un altro paese europeo, acquisire e trattare i dati che sono stati procurati in altro paese. Anche in questo caso, sono introdotti dei limiti alla durata di archiviazione dei dati, anche se ogni paese membro può organizzarsi come meglio crede. L’articolo 5 è importante perché introduce una differenza significativa tra diverse categorie di interessati ai dati. Vi sono infatti
· interessati sospettati di aver compiuto un crimine,
· interessati già condannati per qualche crimine,
· le vittime di atti criminosi ed infine
· soggetti terzi coinvolti in un atto criminoso, come ad esempio dei testimoni o dei complici delle prime due categorie di interessati.
Poiché è evidente che nel corso delle indagini si possono sommare dati oggettivi con dati che sono frutto dell’intuizione degli investigatori, è indispensabile introdurre una chiara separazione fra dati basati su fatti oggettivi e dati basati su intuizioni. È pertanto importante che ogni Stato europeo introduca delle regole che permettano di differenziare queste due categorie di dati, che dovranno essere tutelati in maniera diversa. È altrettanto importante il fatto che i dati personali, eventualmente acquisiti in modo erroneo, vengano prontamente rettificati.
Nell’articolo 7 viene introdotto un criterio vincolante, che prevede che i dati acquisiti per le finalità illustrate nella direttiva non possano essere utilizzati per attività che escano dal campo di applicazione. In qualche caso, è opportuno che l’autorità residente in un paese che trasmette dati a un’altra autorità ponga alcune condizioni al trasferimento all’utilizzo di questi dati.
L’articolo 8 presta attenzione al fatto che alcune categorie di dati devono essere trattati con particolare cautela, come ad esempio quelli afferenti alle opinioni politiche, convincimenti religiosi, affiliazioni sindacali, dati genetici e simili. Un’eccezione è consentita se, ad esempio per i dati afferenti al profilo sessuale, l’interessato coinvolto non fa alcun mistero di alcuni suoi particolari convincimenti o atteggiamenti (outing).
L’articolo 9 fa riferimento al fatto che le attività di trattamento automatico dei dati, con assunzione conseguente di decisioni operative, il cosiddetto “profiling”, non siano consentite, a meno che non vi siano delle regole specifiche che le governino.
Anche se limitati, gli interessati hanno comunque dei diritti, che sono elencati nel capitolo 3-diritti dell’interessato. Viene pertanto assegnato il compito al data controller di mettere a disposizione, in casi ben precisi, i dati che egli possiede, su richiesta dell’interessato.
Questi dati devono essere forniti senza oneri e il data controller ha il potere di rifiutare, o fornire a fronte di un corrispettivo, richieste che siano troppo ripetitive od onerose. Come sempre, occorre accertarsi dell’identità dell’interessato, prima di comunicare un dato qualsiasi.
L’articolo 10a offre alcune informazioni aggiuntive sulle modalità con cui deve essere resa l’informativa all’interessato. Naturalmente è prevista una serie di eccezioni, qualora questa richiesta possa intralciare le indagini in corso o possa avere riflessi negativi sulla sicurezza pubblica e nazionale. Si affida agli Stati membri il compito di elaborare provvedimenti legislativi che individuino quale categorie di dati sono esonerati dall’obbligo di resa di informazione all’interessato coinvolto.
Anche in questo caso, all’articolo 13 sono illustrati i limiti al diritto d’accesso, che sono da ricondurre essenzialmente alle stesse ragioni per le quali può essere negata o non offerta l’informativa.
Sempre con le eccezioni sopra illustrate, vale ancora, all’articolo 15, il diritto alla rettifica, cancellazione o la limitazione del trattamento, riconosciuto all’interessato.
In caso di contenzioso, come al solito l’interessato può rivolgersi all’autorità garante nazionale per ottenere tutela, se appropriato.
Passiamo adesso ad esaminare il capitolo 4-controller e processor.
La sezione 1-obblighi generali illustra quali sono gli obblighi che competono al controller e che non sono molto diversi da quelli che già abbiamo visto esaminando il regolamento. Successivamente si introduce anche in questa direttiva il principio generale, applicabile a trattamenti che presentino rischi particolari, della valutazione di data protection by design e by default. Non vengono date indicazioni specifiche su quali sono i trattamenti da sottoporre a questa valutazione, lasciando al data controller la responsabilità di tale decisione. L’articolo 20 fa riferimento ai contitolari, mentre l’articolo 21 illustra in dettaglio il profilo del data processor. Anche in questo caso, è sufficiente far riferimento al regolamento generale europeo per trovare molte analogie.
Molto importante è l’articolo 23, che impone una accuratissima documentazione di tutte le attività di trattamento, in modo da avere la possibilità di ricostruire, in ogni momento, le sequenze elaborative applicate ai dati personali. Un ulteriore vincolo, estremamente cogente, è illustrato nell’articolo 24, che impone il tracciamento di tutte le attività svolte in sistemi di trattamento automatico; l’autorità garante nazionale ha il potere di ispezionare queste registri di attività.
Anche in questo caso, quando vi sono nuove tecnologie o nuovi rischi occorre sviluppare un data protection impact assessment, illustrato all’articolo 25 a.
Se si deve iniziare una nuova attività di trattamento, nell’ambito di questa direttiva, è indispensabile fare un passo specifico, attivando una consultazione preventiva con l’autorità garante nazionale.
La sezione 2-sicurezza dei dati indica tutt’una serie di misure che devono essere attuate dal controller o dal processor, per essere certi che il trattamento raggiunga un soddisfacente livello di sicurezza. Le specifiche sono molto dettagliate, proprio in funzione della criticità dei dati che devono essere trattati. L’articolo 28, con i seguenti, fa riferimento alle modalità con cui un data breach può essere gestito.
Nella sezione 3-data protection officer, viene anche qui introdotto questo nuovo personaggio, abbondantemente illustrato nel regolamento europeo sulla protezione dei dati personali.
Trattandosi di attività che vengono svolte in un ambito istituzionale, non vengono imposti tutti i vincoli che sono imposti nel regolamento, ma non v’è dubbio che questo profilo professionale abbia un compito non trascurabile.
Il capitolo 5-trasferimento di dati personali a paesi terzi e organizzazioni internazionali ripercorre da vicino la traccia delle garanzie che debbono essere assicurate dal paese terzo. Queste garanzie possono essere legate al fatto che nel paese terzo sia già in vigore una legislazione sulla protezione dei dati, che la commissione ha ritenuto accettabile; diversamente, devono essere inserite delle appropriate salvaguardie. All’articolo 36 sono previste alcune deroghe, nonché alcuni casi in cui sia possibile il trasferimento di dati personali in paesi terzi, a fronte di situazioni critiche. Si raccomanda come al solito di stipulare accordi internazionali e, in ogni caso, di invocare la valutazione da parte dell’autorità garante nazionale.
Il capitolo 6 -autorità indipendenti di supervisione riprende da vicino quanto già previsto dal regolamento. A questo proposito può essere interessante sapere che in alcuni casi ed in alcuni paesi i garanti nazionali che sorvegliano il trattamento di dati, trattati nell’ambito del regolamento generale, possono essere diverse dalle autorità che sorvegliano i dati, trattati nell’ambito di questa direttiva.
Questa è la ragione perché nel regolamento europeo è già previsto il fatto che, ove in un paese vi sia più di una autorità garante, devono essere stabilite regole di competenza. In Italia, ad oggi, vi è una sola autorità garante, ma non è detto che questa situazione permanga anche in futuro. L’estensione dell’attività della nostra autorità garante è confermata dal fatto che, ad esempio, i componenti dell’autorità hanno potuto ispezionare dati riservati custoditi presso l’autorità nazionale per la sicurezza.
La sezione 1-condizioni di indipendenza è in tutto simile a quella del regolamento, come pure la sezione 2-competenze, compiti e poteri.
Anche in questo caso, l’autorità garante nazionale deve pubblicare annualmente un rapporto alle sue attività.
Il capitolo 7-cooperazione prevede clausole di mutua assistenza tra i vari paesi e affida al consiglio europeo per la protezione dei dati un incarico specifico di coordinamento e controllo delle attività svolte nei vari paesi.
Il capitolo 8-rimedi, responsabilità e sanzioni indica le modalità con cui è possibile far riferimento a un’autorità garante nazionale, senza toccare ovviamente il diritto di ricorrere alla tutela giudiziaria.
In questo caso l’articolo 54 non parla specificamente dell’importo delle sanzioni e all’articolo 55 delega alle leggi nazionali la definizione di eventuali sanzioni penali.
Il capitolo 9 -atti di implementazione prevede un solo articolo e delega alla commissione tutte le attività appropriate.
Il capitolo 10, disposizioni finali cancella alcune precedenti decisioni e affida, ancora una volta, alla commissione ogni attività di valutazione e attuazione.
A differenza di quanto previsto dal regolamento generale, questa direttiva entra in funzione il primo giorno seguente alla pubblicazione nel Gazzetta Ufficiale della Unione Europea.
Adalberto Biasiotti
Fonti: Puntosicuro.it, Adalberto Biasiotti