L’esperto | Articoli

Il coordinamento della privacy con la sicurezza integrata

12 ottobre 2018 | Autore:


> L’esperto Pubblicato il 12 ottobre 2018



Sicurezza integrata delle città e Codice della Privacy: le novità introdotte dal Pacchetto UE.

Il Codice della Privacy e le novità introdotte dal Pacchetto UE

Con l’espressione Codice della Privacy [1] si intende comunemente il D.Lgs. 30-6-2003, n. 196, recante “Codice in materia di protezione dei dati personali”. Con l’avvento del nuovo millennio e l’evoluzione delle tecnologie dell’informazione e della comunicazione si è reso necessario raccogliere la previgente normativa [2], integrandola e aggiornandola alle mutate esigenze in unico provvedimento, entrato in vigore il 1-1-2004.

A partire dal 25-5-2008, con l’entrata in vigore del Regolamento europeo in materia di protezione dei dati personali [3] si giungerà alla conclusione dell’iter di allineamento della normativa nazionale ed europea, già avviato nel 2012 e culminato nel maggio 2016 con la pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea del citato Regolamento [4] e della Direttiva [5].

Questi due provvedimenti normativi, comunemente indicati con l’espressione “pacchetto europeo protezione dati”, consentono così il completo raccordo della vigente normativa statale con la disciplina dettata dall’Unione Europea, oltre a prevedere nuovi istituti di forte impatto nell’ambito del trattamento delle informazioni, di cui è senz’altro esempio la neonata figura del Responsabile della protezione dei dati.

La vigente normativa, fondamentalmente, ispira il trattamento dei dati personali su alcuni principi cardine, già introdotti con la direttiva 95/46/CE e quindi dal Codice, per poi essere ribaditi dal nuovo Regolamento europeo.

I principi su cui si basa il trattamento dei dati personali:

Liceità e Correttezza: Il trattamento deve avvenire nei limiti stabiliti dalla normativa e nelle sole situazioni prescritte. Anche nel caso di trattamento da parte di enti pubblici con fini istituzionali il trattamento potrà avvenire solo con bilanciamento degli interessi dei soggetti coinvolti.

Trasparenza: Le modalità di trattamento dei dati e di accesso da parte dell’interessato devono essere trasparenti e facilmente conoscibili

Necessità: Il trattamento deve essere limitato alle esigenze effettive e non deve mai eccedere le finalità prestabilite

Proporzionalità Il trattamento dei dati personali deve avvenire quando non vi siano alternative sufficienti a raggiungere lo scopo e meno impattanti sui diritti dell’interessato

Finalità: L’obiettivo del trattamento deve essere legittimo, determinato e esplicito.

Esattezza: I dati trattati devono sempre essere esatti e mantenuti aggiornati.

Integrità e riservatezza: Il trattamento deve garantire modalità e misure di sicurezza tali da garantire la protezione e il mantenimento dei dati: la protezione è un principio che deve essere garantito sin dalla fase di progettazione.

Responsabilità: Intesa come accountability ossia il dovere del titolare di “rendere conto” della bontà del trattamento (sia all’interno che all’esterno dell’organizzazione).

Il Codice della Privacy e i provvedimenti del Garante

La prima definizione [6] che fornisce il Codice è quella di “trattamento”, ossia il cuore della normativa in materia di privacy. Per trattamento si intende quindi qualsiasi operazione, semplice o complessa, con o senza l’ausilio di strumenti elettronici, capace di integrare

un qualsiasi tipo di consultazione, gestione, trasmissione o elaborazione di informazioni.

L’art. 11 del Codice impone tuttavia che i dati vengano trattati in modo lecito e secondo correttezza; che siano raccolti ed utilizzati per scopi legittimi e definiti,in modo completo e aggiornato e nella misura strettamente necessaria alle finalità predeterminate.

Ogni trattamento effettuato in violazione di tali principi, determina l’inutilizzabilità dei dati.

Ciò conduce quindi all’esigenza di definire quali informazioni sono rilevanti nell’ambito del Codice: i dati personali, ossia “…qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi

altra informazione…[7].

I dati personali tuttavia possono essere di diversa natura.

I dati identificativi sono quelle informazioni capaci di consentire l’identificazione della persona: tra questi non possono non rientrare le immagini delle persone riprese dai sistemi di videosorveglianza.

Diversamente i dati sensibili, spesso confusi nel linguaggio comune, sono le informazioni che possono fornire indicazioni sulle origini etniche e razziali di una persona, sulle ideologie e adesioni in ambito religioso, politico e associativo, nonché sulle condizioni di salute e della vita sessuale. Come è evidente le immagini della videosorveglianza, oltre a fornire la possibilità di identificare un soggetto (dato identificativo), possono costituire anche informazioni in ordine alle proprie ideologie e condizioni di vita (dato sensibile).

Infine, per dati giudiziari si intendono sia le informazioni relative all’applicazione di provvedimenti giudiziari definitivi iscrivibili nel casellario giudiziale [8],sia quelli capaci di rivelare la qualità di indagato o imputato in un procedimento penale.

Definite le tipologie dei dati trattati, il Codice individua i soggetti coinvolti nel loro trattamento. Infatti se per “interessato” intende la persona cui le informazioni si riferiscono, più articolata è la definizione dei soggetti cui il trattamento è demandato.

Secondo l’attuale Codice, la figura apicale nell’ambito della gestione e della protezione dei dati personali è il “titolare” [9] del trattamento delle informazioni, ossia il soggetto [10] a cui spetta adottare le decisioni in ordine alle finalità e alle modalità del trattamento, ma anche relative ai sistemi idonei e necessari allo scopo e a garantire i livelli di sicurezza opportuni.

In capo al titolare sussistono le responsabilità civili [11], amministrative [12] e penali [13] in caso di trattamenti illegittimi.

Al fine di perseguire le finalità del trattamento e assicurarne il corretto e sicuro svolgimento delle operazioni necessarie, il titolare può individuare uno o più “responsabili” [14], ai quali affidare per iscritto espliciti compiti, che possono essere differenziati nel caso di individuazione di diversi soggetti.

Poiché il trattamento, dal punto di vista operativo, non può avvenire se non mediante persone fisiche addette, a ciò vengono preposti gli “incaricati” [15].

Questi operatori vengono designati per iscritto dal titolare o dal responsabile, in modo differenziato in funzione delle operazioni loro demandate.

La struttura gestionale sin qui descritta consente una suddivisione delle responsabilità tra i vari soggetti in base alle reali mansioni affidate, determinando un sistema di controllo a cascata e di accesso ai dati e alle operazioni di trattamento esclusivamente sulla base delle necessità effettive determinate dall’incarico.

Altro importante istituto disciplinati dalla Parte I del Codice, di particolare interesse nell’ambito del trattamento di dati derivanti da riprese di impianti di videosorveglianza è la “informativa”. Questa, prevista dall’art. 13 del Codice, è lo strumento mediante il quale l’interessato viene informato dal titolare circa le finalità e le modalità secondo cui avviene la raccolta e la gestione dei dati, dell’obbligatorietà o facoltatività del conferimento delle informazioni richieste, i diritti dell’interessato e gli estremi identificativi del titolare e di almeno uno dei responsabili.

Lo stesso art. 13, al comma 3, prevede che il Garante per la protezione dei dati personali possa con proprio provvedimento prevedere modalità semplificate per fornire l’informativa. Al riguardo è importante citare il provvedimento in materia di videosorveglianza 8-4-2010, mediante il quale il Garante prescrive al punto 3.1 modelli semplificati di informativa minima,

da integrarsi con informative complete rese disponibili senza particolari oneri (ad esempio mediante sito web). Per quanto riguarda il caso di trattamenti effettuati da organi di pubblica sicurezza o altri soggetti pubblici per finalità di tutela dell’ordine e della sicurezza pubblica, prevenzione, accertamento o repressione dei reati, lo stesso provvedimento del Garante esclude l’obbligatorietà di adempimenti di informativa, pur esortando (quando ciò non pregiudichi le finalità), la realizzazione quanto meno di una informativa semplificata e minima mediante installazione di apposita cartellonistica.

Il Titolo V della Parte I del Codice è dedicata alla sicurezza dei sistemi e di conseguenza dei dati in essi raccolti ed elaborati.

Al fine di aderire agli obblighi di sicurezza imposti dall’art. 31, tesi ad evitare accessi abusivi ai sistemi e perdita o distruzione, anche accidentale dei dati, i titolari del trattamento sono tenuti a osservare misure minime di sicurezza da adottarsi in funzione delle esigenze specifiche e dello sviluppo tecnologico attuale.

Se per quanto riguarda la gestione analogica dei dati, nel senso di trattamenti effettuati senza l’ausilio di dispositivi elettronici e informatici, le misure minime indicate dall’art. 35 del Codice sono sommariamente tese all’individuazione di procedure di archiviazione e accesso agli atti, l’art. 34 dettaglia maggiormente le esigenze di sicurezza per i sistemi digitali. Infatti prevede l’adozione di procedure di autenticazione informatica complesse, capaci di gestire

in modo differenziale le credenziali di accesso in funzione dei parametri di autorizzazione all’accesso al sistema, oltre a metodi di custodia dei dati che prevedano backup e ripristino degli archivi, nonché tecniche protezione dell’accesso ai dati sensibili mediante cifratura o codici identificativi.

Nel dettaglio, le misure di sicurezza previste dall’art. 33 e seguenti sono specificate nel “Disciplinare tecnico in materia di misure minime di sicurezza”, contenuto nell’Allegato B) del Codice.

Da ultimo, tra le previsioni della Parte I del Codice, si ritiene necessario fare un brevissimo cenno all’istituto della notificazione del trattamento dei dati al Garante, contenuta nell’art. 37.

Questa disposizione prevede che il titolare notifichi al Garante l’intenzione di procedere al trattamento di dati personali sensibili, quali informazioni genetiche,biometriche, relative alla localizzazione dell’interessato, ovvero dati sanitari o relativi alla personalità e alle ideologie, alla solvibilità o alla situazione patrimoniale della persona, nonché a comportamenti illeciti o fraudolenti.

Sul tema il Garante ha precisato [16] che, nonostante tale notificazione non sia prevista nel caso di trattamenti effettuati per finalità di sicurezza, dovrà tuttavia essere eseguita nel caso di trattamenti mediante sistemi di videosorveglianza di informazioni comunque riconducibili alla previsione dell’art. 37 del Codice.

La Parte II del Codice disciplina il trattamento dei dati in particolari settori pubblici: nell’ambito giudiziario, sanitario, della difesa, e così via.

Tra questi, quello che in modo particolare interessa in quest’opera è quello disciplinato dal Titolo II , ossia il trattamento eseguito da parte delle forze di polizia.

Benché la rubrica citi le forze di polizia e quindi richiami alla memoria l’art. 16 della L. 1-4-1981, n. 121, l’art. 53 del Codice permette considerazioni di più ampio respiro. Di fatto, al comma 1 definisce il trattamento dei dati personali per finalità di polizia, non solo quello destinato alla tutela della sicurezza e dell’ordine pubblico, ma anche quello finalizzato

ai compiti di polizia giudiziaria di prevenzione e repressione dei reati. Allo stesso modo, il successivo comma 2, esenta dall’applicazione forze di polizia, che effettuano il trattamento per le medesime finalità.

Infine, la Parte II del Codice si occupa di definire le opportunità di tutela per la persona cui i dati si riferiscono, prevedendo sia modelli di ricorso al Garante che in sede giurisdizionale.

Inoltre, il Titolo II prevede l’applicazione in capo al titolare del trattamento di gravi sanzioni amministrative pecuniarie in caso di mancato rispetto delle procedure a garanzia dell’interessato, nonché di ipotesi di reato (sia di natura contravvenzionale che delittuosa) punite con pene sino a tre anni di reclusione e con la pena accessoria della pubblicazione della sentenza di condanna.

Trattando questa ultima parte del Codice, non può non farsi menzione alla figura del Garante, prevista dall’art. 153 e seguenti.

L’Autorità Garante per la protezione dei dati personali, già istituita con la L. 31-12-1996, n. 675 [17], è un organo collegiale di valutazione e giudizio autonomo e indipendente. I membri sono quattro esperti in materie di diritto e informatica, eletti due dalla Camera dei Deputati e due dal Senato della Repubblica.

Il Garante, tramite il dipendente Ufficio [18], oltre a svolgere l’attività di controllo del rispetto della normativa in materia di protezione dei dati personali, anche in ordine a reclami e segnalazioni ricevute, adotta provvedimenti, esprime pareri e indica agli organi politici dello Stato la necessità di mantenere aggiornata la normativa vigente altresì in funzione dell’evoluzione tecnologica.

Il Pacchetto dell’Unione Europea: il Regolamento UE 2016/679

Il Regolamento UE 2016/679 [19], con la Direttiva 2016/680 [20], integreranno e raccorderanno la vigente normativa nazionale, costituita principalmente dal Codice.

Il Regolamento nei suoi novantanove articoli, fornisce numerose conferme dei principi già presenti della disciplina nazionale, ma non manca di introdurre novità di cui dovrà tenere presente chi ha a che fare con il trattamento dei dati personali.

In prima analisi vi è da dire che, nell’ottica di una maggiore responsabilizzazione dei soggetti che effettuano il trattamento delle informazioni, spetta ora al titolare e non già all’Autorità effettuare una valutazione sul bilanciamento tra l’interesse legittimo di gestione dei dati personali e i diritti dell’interessato, permanendo la necessaria prevalenza del primo.

Anche in materia di informativa e consenso il Regolamento apporta novità all’ordinamento nazionale.

In particolare il regolamento disciplina in modo più dettagliato le modalità e i contenuti dell’informativa, in un ottica di maggiore tutela e trasparenza nei confronti dell’interessato. I contenuti dell’informativa, redatta per iscritto [21], sono specificati in modo preciso [22] e devono essere facilmente accessibili e comprensibili al destinatario-interessato. Tra i contenuti non dovranno mancare l’indicazione dell’interesse legittimo del titolare, ossia del fondamento giuridico su cui si fonda il trattamento, nonché i riferimenti della neo-introdotta figura del Responsabile della Protezione dei Dati.

Per quanto riguarda il consenso, il quale invece non è necessaria la forma scritta, il Regolamento conferma la necessità che venga manifestato in modo positivo, libero ed esplicito, prescrivendo inoltre che il titolare sia in grado di dimostrarlo.

Nell’art. 12 e seguenti, oltre all’informativa di cui si è già accennato, il Regolamento prevede numerosi diritti a favore dell’interessato: il diritto di accesso [23] dell’interessato ai dati personali raccolti dal titolare, il diritto di rettifica [24] o cancellazione [25] dei dati, il diritto di limitazione del trattamento [26] e il diritto alla portabilità, ossia la possibilità per l’interessato di trasferire i propri dati personali ad un altro interessato.

Tuttavia, l’art. 23 del Regolamento pone delle eccezioni alla garanzia di tali diritti: infatti la loro portata può essere limitata in presenza di particolari interessi dello Stato, purché ciò rispetti i diritti e le libertà fondamentali e sia necessario e proporzionato. In particolare, le lettere c) e d) dell’articolo in questione consentono la limitazione dei diritti dell’interessato al fine di salvaguardare, rispettivamente, la sicurezza pubblica e l’attività di prevenzione, accertamento e repressione dei reati.

Il Regolamento europeo non manca altresì di disciplinare in modo più puntuale le figure che effettuano il trattamento.

La titolarità del trattamento può essere in capo anche a più soggetti, i quali sono portatori degli stessi obblighi e a cui l’interessato può rivolgersi indifferentemente.

Il titolare può nominare i responsabili del trattamento solo con atto giuridico tipico del diritto nazionale, come ad esempio il contratto, nel quale vengono specificate le effettive attività loro demandate.

Il responsabile del trattamento, incaricato tra l’altro dell’adozione di misure di sicurezza e di protezione dei dati, oltre che della tenuta del registro dei trattamenti, ha altresì il compito di nominare un Responsabile della Protezione dei Dati quando previsto [27].

Quando previsti, i registri delle attività di trattamento [28], poc’anzi citati, forniscono un valido strumento di controllo interno dell’attività di trattamento, ma anche per la sorveglianza da  parte dell’Autorità Garante.

Per quanto attiene le misure di sicurezza, queste subiscono una importante rivisitazione: come già detto, nell’ottica di una maggiore responsabilizzazione del titolare e del responsabile del trattamento, saranno proprio questi a valutare i rischi specifici e ad adottare idonee misure a protezione del sistema e dei dati. Ciò implica che le misure indicate dall’art. 32 del Regolamento non siano da intendersi esemplificative, ed anzi non risultano nemmeno applicabili le misure minime previste dal Codice, di cui si è trattato nel Paragrafo 1, lett. A).

Tra le novità apportate dal Regolamento vi è inoltre la Valutazione d’impatto sulla protezione dei dati prevista dall’art. 35. Tale incombenza, posta in capo al titolare del trattamento [29], è prevista per particolari tipologie di raccolta e gestione di dati che possano comportare un elevato rischio per i diritti e le libertà delle persone fisiche interessate. Tra questi rientrano sicuramente i trattamenti mediante sistemi i videosorveglianza di cui tratta la presente opera.

Infine, l’art. 37 del Regolamento introduce una nuova figura nell’ambito del trattamento di dati personali: il Responsabile della Protezione dei Dati, ossia un soggetto di altro profilo, cui spettano funzioni di valutazione, controllo e consulenza/informazione, sia nei confronti del titolare e del responsabile del trattamento, sia degli incaricati.

Il comma 1 del citato art. 37 indica le ipotesi in cui è necessaria la nomina del Responsabile della Protezione dei Dati: alla lettera a) prescrive la designazione nel caso di trattamenti effettuati da autorità o organismi pubblici.

Time line del Pacchetto protezione dati dell’Unione Europea”

Gennaio 2012: La Commissione Europea presenta il “Pacchetto protezione dati”, costituito da una proposta di Regolamento (a sostituzione della precedente Direttiva 95/46) e da una proposta di Direttiva.

18 Dicembre 2015: Il Consiglio europeo raggiunge l’accordo sul testo dei due provvedimenti.

14 Aprile 2016: Il Parlamento ha adottato i testi già approvati dal Consiglio.

4 Maggio 2016: Il testo del Regolamento e della Direttiva vengono pubblicati sulla Gazzetta Ufficiale dell’Unione Europea.

5 Maggio 2016: La Direttiva entra in vigore e dovrà essere recepita dagli Stati membri entro il 5 Maggio 2018.

24 Maggio 2016: Il Regolamento è entrato in vigore, direttamente applicabile negli Stati membri dal 25 Maggio 2018.

Il Pacchetto dell’Unione Europea: la Direttiva UE 2016/680

La Direttiva, che in Italia entrerà in vigore con l’imminente adozione di un provvedimento legislativo entro il 5 Maggio 2018, disciplina nello specifico i dati personali trattati dalle Amministrazioni Pubbliche ai fini di prevenzione, accertamento e perseguimento dei reati: in questo senso i dati in questione sarebbero quelli trattati ai fini giudiziari e di polizia.

Se da un lato i sistemi di videosorveglianza tradizionale rientrerebbero solo eventualmente in questa categoria e pertanto rimangono soggetti alla disciplina del Codice e del Regolamento, dall’altro i moderni sistemi dotati di lettura targhe, ovvero di altre particolari tecnologie di analisi video, non possono che ricadere invece nella disciplina della Direttiva e di conseguenza del provvedimento nazionale che né darà attuazione.

La Direttiva è strutturata in modo sostanzialmente speculare al Regolamento, andando tuttavia a disciplinare un ambito peculiare del trattamento dei dati, sia in funzione delle finalità perseguite, sia in ordine agli interessati coinvolti.

Quanto alle finalità giudiziarie e di polizia accennate, già l’art. 1 della Direttiva individua gli ambiti operativi in cui il legislatore nazionale deve adeguare la normativa. Innanzitutto spetterà a quest’ultimo di indicare, nell’odierno ordinamento, le “autorità competenti”

alle attività cui fa riferimento la Direttiva: ossia quelle che svolgono trattamento di dati ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica.

Come è evidente questo ambito operativo coincide di fatto con quello già individuato dall’art. 53 del Codice.

Di fatto, con il provvedimento in esame verranno introdotte nell’ordinamento dell’Unione Europea norme comuni in ordine al trattamento dei dati giudiziari e di interesse di polizia.

Se i sistemi di videosorveglianza tradizionale ricadono senza dubbio nella disciplina del Codice e del Regolamento, diversamente i sistemi evoluti dotati di analisi video (ad esempio quelli dotati di dispositivi di lettura targhe) rientreranno invece nell’ambito della Direttiva

L’architettura di un moderno impianto di videosorveglianza urbana integrata dovrà dunque tenere conto delle diverse prerogative riconosciute dal Codice (con le deroghe previste per le attività di polizia dall’art. 53) e dal provvedimento di attuazione nazionale della Direttiva, differenziando le attività di trattamento dei dati per finalità di sicurezza urbana di cui è titolare il comune da quelle squisitamente di polizia di cui sarà titolare la prefettura.

Il caso più evidente sui cui interferisce questa differenziazione è rappresentato dal tempo di conservazione dei dati delle targhe dei veicoli transitati sotto alle telecamere dotate di lettore OCR.

Per normale attività di sicurezza urbana il comune non potrà conservare questi dati per un lasso temporale superiore a sette giorni, ma per garantire l’attività investigativa delle forze di polizia sarà necessario conservare i transiti per un tempo maggiore. Al riguardo sarà opportuno disciplinare l’uso interforze delle tecnologie con uno specifico rapporto convenzionale per garantire anche il rispetto del trattamento dei dati.

A dire il vero, anche la Polizia Locale può agire saltuariamente in deroga al codice della privacy limitatamente allo svolgimento di particolari attività di indagine.

Ma non c’è traccia di queste prerogative nel regolamento appena pubblicato in gazzetta ai sensi del Codice, mentre si attende l’imminente recepimento della Direttiva UE 2016/680 che dovrà occuparsi del trattamento dei dati per finalità di indagine e di polizia. Ed è anche possibile che il codice privacy possa essere interamente abrogato con l’imminente entrata in vigore del nuovo regolamento europeo. Il D.P.R. 15-1-2018, n. 15, regolamento adottato a norma dell’art. 57 del D.Lgs. 30-6-2003, n. 196, recante l’individuazione delle modalità di attuazione dei principi del codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato per le finalità di polizia, da organi, uffici o comandi di polizia, pubblicato sulla Gazzetta Ufficiale n. 61 del 14/3/2018, non si applica alla Polizia Locale. Questa esclusione emerge chiaramente dai lavori preparatori del provvedimento. Il codice privacy richiede l’adozione di un decreto recante l’individuazione delle modalità di trattamento dei dati personali per finalità di polizia che ai sensi dell’art. 53 del codice

risultano affrancati da numerose formalità. Dunque attività di prevenzione e di ordine pubblico ma anche attività di indagine e di polizia giudiziaria. Il regolamento innanzitutto non riguarda i trattamenti effettuati per finalità amministrative. Ovvero per la maggior parte delle attività di polizia locale. L’art. 9 del regolamento disciplina la possibilità per gli organi di polizia di acquisire dati collegandosi alle banche dati pubbliche e private estranee alle forze dell’ordine.

È il caso dei varchi lettura targhe in dotazione alla polizia locale ad ai comuni. Sui tempi per la conservazione dei dati per finalità di polizia il dispositivo risulta molto flessibile, in conformità alle diverse esigenze di polizia. Con ulteriori deroghe in caso di indagini particolarmente importanti in materia di terrorismo e criminalità organizzata. L’art. 12 dedicato alla comunicazione dei dati tra le forze di polizia esclude a priori la Polizia Locale, nonostante le diverse indicazioni contenute nella L. 48/2017, di conversione del D.L. 14/2017. L’art. 22 tratta specificamente della videosorveglianza. L’utilizzo di questa tecnologia per finalità di polizia è scontato a condizione che non comporti una ingerenza ingiustificata nei diritti e nelle libertà fondamentali. Ma la maggior parte degli impianti di videosorveglianza sono di proprietà comunale e questa norma non trova dunque applicazione diretta, eccetto il caso in cui l’amministrazione abbia sottoscritto un patto per la sicurezza urbana integrata. Diversamente, nel caso di normali attività di polizia locale e amministrativa troverà applicazione il nuovo regolamento europeo che entrerà in vigore il 25 maggio 2018. A tal proposito sarà molto interessante osservare l’imminente recepimento della Direttiva UE 2016/680 che riguarda i dati trattati dalle pubbliche amministrazioni ai fini di prevenzione, accertamento e perseguimento dei reati.

Il provvedimento è stato approvato in via preliminare dal Consiglio dei Ministri l’8 febbraio 2018 e dovrà essere perfezionato entro il 5 maggio 2018. Ma sarà anche utile osservare il percorso a quanto pare accidentato dello schema di D.Lgs. approvato in via preliminare dal Governo il 21 marzo scorso e finalizzato ad abrogare il testo unico della privacy, in concomitanza con l’entrata in vigore del nuovo regolamento europeo.

Normativa di riferimento

D.P.R. 15/2018: Non riguarda l’attività della Polizia Locale ma solo il trattamento dei dati personali effettuato dalle forze di polizia dello stato.

D.Lgs. 196/2003: Potrebbe essere abrogato dal D.Lgs. approvato in via preliminare dal Consiglio dei ministri del 21 marzo 2018. Il provvedimento però ha scarse probabilità di essere perfezionato in tempo utile rispetto alla scadenza della delega (19 maggio). Regolamento UE 2016/679: Entrerà in vigore automaticamente in ogni caso il 25 Maggio 2018 e riguarderà l’attività ordinaria della Polizia Locale.

Direttiva UE 2016/680: Entrerà in vigore con l’imminente recepimento di un Decreto Legislativo, entro il 5 Maggio 2018, e riguarderà il trattamento dei dati per attività di polizia in generale.

note

[1] Da ora semplicemente “Codice”.

[2] La disciplina previgente era perlopiù riconducibile alla L. 31-12-1996, n. 675. Il successivo “Codice della Privacy” è stato originato dalla Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12-7-2002.

[3] Regolamento 2016/679 del Parlamento Europeo e del Consiglio del 27-4-2016.

[4] Appare opportuno ricordare che i Regolamenti dell’Unione Europea sono atti vincolanti per ogni Stato membro, senza necessità di provvedimenti nazionali di ratifica o recepimento.

[5] Le Direttive dell’Unione Europea vincolano gli stati membri alla conformazione agli intenti e ai risultati in essa prescritti, da raggiungersi mediante recepimento ed adozione di normativa nazionale ad essa ispirata.

[6] Art. 4 del D.Lgs. 30-6-2003, n. 196, modificato con D.Lgs. 28- 5-2012, n. 69.

[7] Art. 4 comma 1, lettera b), del D.Lgs. 30-6-2003, n. 196.

[8] Art. 3 co. 1, lettere da a) a o) e da r) a u) del D.P.R. 14-11-2002, n. 313.

[9] Art. 28 del D.Lgs. 30-6-2003, n. 196.

[10] Con qualunque natura giuridica, anche unitamente ad altro titolare.

[11] Art. 15 del D.Lgs. 30-6-2003, n. 196.

[12] Art. 161 e ss. del D.Lgs. 30-6-2003, n. 196.

[13] Art. 167 e ss. del D.Lgs. 30-6-2003, n. 196.

[14] Art. 29 del D.Lgs. 30-6-2003, n. 196.

[15] Art. 30 del D.Lgs. 30-6-2003, n. 196.

[16] Provvedimento in materia di videosorveglianza 8-4-2010.

[17] In attuazione della direttiva della Comunità Europea 95/46/CE.

[18] Disciplinato dall’ art. 156 del D.Lgs. 30-6-2003, n. 196.

[19] Da ora semplicemente “Regolamento”.

[20] Da ora semplicemente “Direttiva”.

[21] Meglio se in formato elettronico.

[22] Artt. 13 e 14 del Regolamento UE 2016/679.

[23] Art. 15 del Regolamento UE 2016/679.

[24] Art. 16 del Regolamento UE 2016/679.

[25] Art. 17 del Regolamento UE 2016/679.

[26] Art. 19 del Regolamento UE 2016/679.

[27] Art. 37 del Regolamento UE 2016/679.

[28] Art. 30 del Regolamento UE 2016/679.

[29] Anche non in proprio e con eventuale parere del Responsabile della Protezione dei Dati, quando designato.


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI