Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

La Commissione Speciale per gli atti urgenti del Governo ha iniziato l’esame dello schema di decreto legislativo per l’adeguamento della legislazione nazionale al Regolamento (UE) 2016/679.

Si comunica che durante la 14ª seduta di giovedì 17 maggio 2018, la Commissione speciale per l’esame degli atti urgenti presentati dal Governo Schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

Master Sole 24ore privacy officerVi proponiamo qui l’articolo di Giusella Finocchiaro e Oreste Pollicino, pubblicato su il Sole 24 Ore il 12 maggio 2018.

È stato finalmente trasmesso alle Camere lo schema di decreto elaborato dalla Presidenza del consiglio sulla base della proposta ricevuta dalla Commissione incaricata di adeguare la normativa italiana a quella europea. Tempi molto lunghi, anche per la situazione politica che non ha inserito certamente una normativa apparentemente di tipo tecnico, come quella sul Gdpr, fra le priorità.

Cosa è cambiato nello schema? Il contenitore e le norme penali. Mentre il contenuto è fondamentalmente rimasto il medesimo, salvo alcuni aggiustamenti, in parte condivisibili.

Con riguardo alla tecnica normativa, è stato scelto di inserire le modifiche apportate dal decreto nel Codice per la protezione dei dati personali, le cui disposizioni sono però perlopiù abrogate e di cui molte altre sono modificate. Ne risulta un testo di inutile complessità, che non apporta alcuna tutela sostanziale in più per il diritto alla protezione dei dati personali. La semplificazione è abbandonata e la leggibilità certamente ne risente.

La nuova tecnica normativa sembra sia stata motivata dal timore del rischio di un eccesso di delega se si fosse confermato l’approccio della Commissione di abrogare il codice. Il problema dell’eccesso di delega sembra essere stato amplificato rispetto alla sua reale portata. A differenza di numerosi casi in cui la legge delega fornisce dei principi e criteri direttivi dettagliati andando ad individuare questioni specifiche, in questo caso, si è di fronte ad espressioni di maggior respiro finalizzate più ad un riordino, anzi, ad un adeguamento della disciplina esistente rispetto alla nuova legislazione europea piuttosto che ad interventi di chirurgia legislativa. C’era dunque l’esigenza di dare piena applicazione ad una fonte di diritto dell’Unione europea che la Corte costituzionale, già dagli anni Settanta, ha riconosciuto prevalente sul diritto interno. In questi casi la Consulta è assai prudente nella identificazione di possibili vizi di costituzionalità.

L’impressione è, in altre parole, che l’adeguamento a cui mirava la legge delega sarebbe potuto passare, senza troppi problemi di possibile conformità costituzionale dello schema di decreto e un risultato di maggiore chiarezza e leggibilità dello stesso, anche per la scelta dell’abrogazione fatta dalla Commissione.

Sono state ampiamente riviste le disposizioni penali presenti nel Codice per la protezione dei dati personali e sono stati creati due nuovi reati, concernenti la cessione di rilevanti quantità di dati e l’acquisizione fraudolenta di dati. La formulazione delle nuove fattispecie di reato va ora verificata con la massima attenzione. Il principio di tassatività in materia penale non è solo tutelato dalla nostra Costituzione, ma anche dalla Carta dei diritti fondamentali dell’Unione europea. Trattandosi di materia in cui gli Stati membri hanno un margine di discrezionalità, sono comunque rilevanti i vincoli provenienti dal diritto dell’Unione, poiché si sta dando attuazione ad un regolamento comunitario. Ancora, la versione dello schema di decreto inviato alle Camere non ha tenuto in considerazione, a differenza di quanto faceva il testo licenziato dalla Commissione, della giurisprudenza della stessa Corte in tema di raccolta e conservazione di dati personali per finalità di sicurezza e di prevenzione di gravi reati.

Il bilanciamento tra sicurezza e privacy che emerge dal testo finale non sembra perfettamente in linea con il principio di proporzionalità delle restrizioni alla tutela dei dati personali su cui ha sempre insistito la Corte di giustizia.

In sintesi, uno schema di decreto che crea un raccordo fra la normativa italiana e quella europea ed effettua una verifica di compatibilità che contribuisce a creare una maggiore certezza del diritto. Ma su alcune scelte si sarebbe potuto avere più coraggio.

Unione_EuropeaIl 21 marzo 2018 il Consiglio dei Ministri ha approvato, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.

carta-didentitàIl regolamento privacy (Regolamento (UE) 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Chi è il Data Protection Officer?

Il Data Protection Officer, o più comunemente D.P.O. (in italiano, “Responsabile della protezione dei dati”), è la figura nominata dal titolare o dal responsabile del trattamento avente, principalmente, un duplice ruolo: da un lato, quello di sorvegliare e coordinare l’osservanza della disciplina privacy all’interno dell’organizzazione del soggetto che l’ha designato; dall’altro, quello di interfaccia esterna con le autorità e con i soggetti interessati.

Quando deve essere nominato il D.P.O.?

La designazione del D.P.O. è obbligatoria quando: a) il trattamento è effettuato da un soggetto pubblico (eccettuate le autorità giurisdizionali); b) il trattamento richiede il monitoraggio sistematico degli interessati su larga scala; c) viene effettuato il trattamento su larga scala di particolari categorie di dati (ad esempio: dati sensibili, dati genetici, biometrici, dati giudiziari o dati riferiti a minori). Tuttavia, la legge nazionale o il diritto europeo possono prevedere ulteriori casi di designazione obbligatoria.

Al di fuori di queste ipotesi, la nomina del D.P.O. è facoltativa ma è comunque fortemente raccomandata, data la rilevante funzione di ausilio e di supporto nell’osservanza del GDPR.

Quali sono i requisiti necessari per essere nominati D.P.O.?

Il D.P.O. deve possedere conoscenze specialistiche proporzionate alla sensibilità, complessità e quantità dei dati sottoposti a trattamento. In particolare, deve padroneggiare la normativa e le prassi nazionali ed europee in materia di protezione dei dati e avere un’approfondita conoscenza del GDPR, così come del settore di attività e della struttura organizzativa del titolare del trattamento.

Infine, deve avere una buona familiarità con le operazioni di trattamento svolte, nonché con i sistemi informativi e le esigenze di sicurezza e protezione dei dati manifestate dal titolare/responsabile.

Quali compiti può svolgere il D.P.O.?

Oltre alla funzione di coordinamento interno e di interfaccia esterna, il D.P.O. deve occuparsi della formazione continua dell’organico del titolare/responsabile del trattamento in materia privacy, monitorare il rispetto del GDPR, nonché fornire – ove richiesto – un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento. L’elenco delle mansioni non è esaustivo e il titolare o il responsabile del trattamento possono decidere di affidargli ulteriori compiti, come ad esempio la tenuta del registro delle attività di trattamento.

Il D.P.O. può essere un dipendente?

Il titolare o il responsabile del trattamento possono decidere di nominare D.P.O. un soggetto interno alla propria organizzazione ovvero di affidare la mansione ad un soggetto esterno (mediante outsourcing o un contratto di servizi). In entrambi i casi, occorrerà garantire la piena autonomia e indipendenza del D.P.O., così come l’assenza di conflitti di interesse. Per questo motivo, il D.P.O. non può ricevere istruzioni né essere rimosso o penalizzato per l’adempimento dei propri compiti.

Il D.P.O. può avvalersi di ausiliari?

È obbligo del titolare o del responsabile del trattamento fornire al D.P.O. tutte le risorse necessarie in termini di tempo e budget sufficienti per espletare i propri compiti, infrastrutture (sede, attrezzature, strumentazione) e personale. Il D.P.O. può infatti avvalersi di un team di collaboratori che lo coadiuvino nei propri compiti. In tal caso, occorrerà ripartire chiaramente i compiti all’interno del team e prevedere che sia un solo soggetto identificato a fungere da referente.

Chi è responsabile delle violazioni del GDPR?

Il controllo del rispetto del GDPR non significa che il D.P.O. sia personalmente responsabile in caso di inosservanza. Il titolare e il responsabile del trattamento continueranno a rispondere delle eventuali violazioni in materia privacy derivanti dal loro trattamento.

Il titolare/responsabile deve rendere pubblica la nomina del D.P.O.?

La nomina del D.P.O. deve essere resa nota tanto all’interno, quanto all’esterno dell’organizzazione del titolare o del responsabile del trattamento. In particolare, sul sito del titolare/responsabile del trattamento andranno pubblicati i dati di contatto del D.P.O., tra cui recapito postale, numero telefonico dedicato e/o indirizzo dedicato di posta elettronica. I medesimi dati di contatto dovranno poi essere comunicati all’Autorità Garante per la protezione dei dati personali, nonché resi noti ai soggetti interessati per il tramite dell’informativa (vd. scheda sull’informativa).

Security_cybercrimeIl primo dicembre 2017 il Consiglio dei Ministri ha approvato, in esame definitivo, un regolamento che individua le modalità di attuazione dei principi del Codice di protezione dei dati personali nei casi di trattamento dei dati effettuati per finalità di polizia dal Centro elaborazioni dati (CED) e da organi, uffici o comandi di polizia.

Il regolamento stabilisce il divieto alla raccolta e al trattamento dei dati sulle persone per il solo fatto della loro origine razziale o etnica (inclusi quelli genetici e biometrici), la fede religiosa, l’opinione politica, l’orientamento sessuale, lo stato di salute, le convinzioni filosofiche o di altro genere, l’adesione a movimenti sindacali. È consentito il trattamento di tale particolare categoria di dati ad integrazione di altri dati personali qualora vi siano esigenze correlate ad attività informative, di sicurezza, o di indagine di polizia giudiziaria o di tutela dell’ordine e della sicurezza pubblica.

Sono poi disciplinati i casi in cui è consentita la comunicazione dei dati tra Forze di polizia, a pubbliche amministrazioni o enti pubblici e a privati, consistenti, sostanzialmente, nell’esigenza di evitare pericoli gravi e imminenti alla sicurezza pubblica e di assicurare lo svolgimento dei compiti istituzionali per le finalità di polizia.

Il regolamento definisce i parametri dell’utilizzo di sistemi di videosorveglianza, di ripresa fotografica, video e audio, che è consentito per finalità di polizia, quando necessario per documentare specifiche attività preventive e repressive di reati. La diffusione di dati ed immagini è consentita solo nei casi in cui sia necessaria per le finalità di polizia, fermo restando il rispetto degli obblighi di segretezza e, in ogni caso, con modalità tali da preservare la dignità della persona interessata.

Sono stabiliti i termini massimi di conservazione dei dati, quantificati in relazione a distinte categorie e si dispone che tali termini siano aumentati di due terzi quando i dati personali sono trattati nell’ambito di attività preventiva o repressiva relativa ai reati di criminalità organizzata, con finalità di terrorismo e informatici. Decorsi i termini di conservazione fissati, i dati personali, se soggetti a trattamento automatizzato, sono cancellati o resi anonimi, mentre continuano ad essere disciplinati dalle disposizioni sullo scarto dei documenti d’archivio delle pubbliche amministrazioni i dati non soggetti a trattamento automatizzato.

Si prevede poi che la persona interessata possa chiedere la conferma dell’esistenza di dati personali che la riguardano, la loro comunicazione in forma intelligibile e, se i dati sono trattati in violazione di vigenti disposizioni di legge o di regolamento, il loro aggiornamento, la rettifica, la cancellazione, il blocco o la trasformazione in forma anonima.

Pubblicato per Giappichelli editore il commento al regolamento UE 910/2014 a cura di Giusella Finocchiaro e Francesco Delfini.

Il Regolamento eIDAS si inserisce nella strategia europea volta a rafforzare la fiducia nelle transazioni elettroniche e, quindi, a potenziare la realizzazione di un mercato unico digitale. “Identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, commento al regolamento UE 910/2014” è un commentario diretto all’analisi delle innovazioni introdotte nel panorama giuridico europeo dal regolamento e-IDAS.

Il regolamento, che a partire dal 1° luglio 2016 è direttamente applicabile, mira alla creazione di un regime di interoperabilità dei sistemi di identificazione elettronica e dei servizi fiduciari, tra i rispettivi Stati membri.

Articolo per articolo, il volume indaga le questioni giuridiche emergenti dalla nuova disciplina analizzando temi quali l’identificazione elettronica, le firme e i sigilli elettronici, nonché le novità in ambito di servizi fiduciari e dei loro prestatori, anche attraverso un confronto con la previgente normativa europea e l’attuale Codice dell’Amministrazione digitale.

Il volume rappresenta quindi un utile strumento di lavoro per i professionisti interessati ad uno studio approfondito della materia.

È possibile acquistare il volume, anche in formato digitale, collegandosi alla pagina di Giappichelli editore.

Dopo oltre quattro anni dalla proposta della Commissione, il 14 aprile 2016 il Parlamento europeo ha approvato in seconda lettura il Regolamento europeo concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione dei dati.

Gli incessanti progressi tecnologici degli ultimi anni, frutto di una società dell’informazione sempre più intrusiva nella sfera privata degli individui, avevano evidenziato da un lato l’inadeguatezza di una normativa europea a protezione dei dati personali, la Direttiva 95/46/CE, elaborata nelle prime fasi dell’evoluzione digitale e, dall’altro lato, la frammentazione normativa causata dal recepimento della stessa nelle legislazioni degli Stati membri.

Il Regolamento risponde quindi all’esigenza, da tempo avvertita, di riformare la disciplina a tutela dei dati personali ampliando il novero dei diritti dell’interessato, rispetto a quanto previsto dalla Direttiva, e di uniformare la normativa degli Stati, anche nell’ottica di rafforzare il mercato unico interno. Significativa in tal senso è la scelta del legislatore europeo di adottare lo strumento del regolamento, che a differenza della direttiva non richiede alcun atto di recepimento, essendo di diretta e identica applicabilità in ogni Stato membro.

Tra le principali indicazioni introdotte dal Regolamento (Per una rassegna delle principali novità del Regolamento si rimanda a QUESTA PAGINA) pare rilevare il nuovo campo di applicazione territoriale di cui all’art. 3. In precedenza la Direttiva 95/46/CE prevedeva che la disciplina fosse applicabile, per il tramite delle legislazioni nazionali, quando il trattamento di dati personali fosse effettuato nel contesto delle attività di uno stabilimento del titolare situato nell’Unione europea. Criterio centrale per la determinazione dell’ambito di applicazione della Direttiva era, dunque, il luogo fisico in cui i dati venivano trattati. Ad oggi tale criterio sembra essere stato rovesciato dall’art. 3, comma 1° del Regolamento, il quale specifica l’applicabilità dell’atto “indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”.

Già negli ultimi due anni, a partire dalla decisione Google Spain fino alla recente Schrems, gli orientamenti delineatisi nella giurisprudenza della Corte di giustizia europea hanno evidenziato la tendenza ad un’interpretazione meno restrittiva di tale criterio. Sembra infatti che sia emersa la volontà di estendere la normativa europea anche a casi in cui i titolari di trattamento sono soggetti non europei e i dati sono trattati principalmente fuori dall’Europa. Ora, l’art. 3 del Regolamento sembra avere, per così dire, codificato l’interpretazione estensiva della Corte attraverso la previsione di molteplici criteri di collegamento, che consentono di attrarre nell’ambito di applicazione della normativa europea anche trattamenti che prima era difficile includere. Il Regolamento è, infatti, applicabile non solo ai trattamenti effettuati nell’ambito delle attività di uno stabilimento del titolare situato nell’Unione, ma anche nel caso si tratti di uno stabilimento del responsabile. Inoltre, è applicabile quando l’attività di trattamento riguardi l’offerta di beni o la prestazione di servizi rivolti, anche gratuitamente, a interessati situati in territorio europeo o quando l’attività sia volta al monitoraggio del comportamento di questi ultimi, anche se i titolari o responsabili non siano stabiliti nell’Unione.

Diverse sono poi le novità introdotte dalla riforma, tra cui si annovera la previsione di nuovi diritti dell’interessato (tra cui il diritto all’oblio e il diritto alla portabilità dei dati), la responsabilizzazione dei soggetti coinvolti nel trattamento dei dati personali (in particolare l’obbligo per i titolari di effettuare la c.d. privacy impact assesment e di notificare le violazioni dei dati), nuove garanzie per i trasferimenti di dati all’estero, nonché la conferma delle due figure di vigilanza rappresentate dal Data Protection Officer e dalla Supervisory Authority.

Quanto al coordinamento con la normativa europea (il Regolamento sarà applicabile decorsi due anni dalla data di entrata in vigore) il legislatore italiano dovrà scegliere tra le due strade ora percorribili: l’applicazione diretta del Regolamento, con la conseguente abrogazione di tutte le disposizioni nazionali incompatibili con la norma europea, o l’integrazione dell’attuale Codice in materia di protezione dei dati personali, con gli inevitabili rischi di erronee trasposizioni o interpretazioni del dettato europeo.

L’Ente nazionale di aviazione civile ha aggiornato le regole riguardanti i mezzi aerei a pilotaggio remoto.

L’aggiornamento, che riguarda i sistemi aeromobili di pilotaggio di uso professionale e amatoriale, si propone di garantire la sicurezza dei cittadini tenendo conto delle ”caratteristiche tecniche ed operative dei sistemi a pilotaggio remoto, delle modalità di occupazione dello spazio aereo, del contributo conferito dalla capacità di gestione dell’operatore e dalla qualificazione dei piloti di tali mezzi”.

Tra le novità, la possibilità per gli operatori autorizzati Enac di sorvolare le città, evitando però “assembramenti anomali di persone”, e la possibilità del trasporto autorizzato di merci pericolose.

Per l’uso amatoriale dei droni, l’aggiornamento ne specifica la limitazione alle zone autorizzate. L’utilizzo in luogo pubblico prevede il divieto di installazione di dispositivi o strumenti supplementari atti a configurare l’apparecchio per operazioni specializzate quali riprese cinematografiche, televisive, servizi fotografici, sorveglianza, monitoraggio, l’impiego agricolo, la fotogrammetria, pubblicità o addestramento.

Le sanzioni previste in tema di violazione della privacy, rimangono immutate: l’omessa o inidonea informativa privacy è punita con una sanzione amministrativa, il trattamento illecito di dati personali con la reclusione fino a 3 anni, l’interferenza illecita nella vita privata dei cittadini con la reclusione da sei mesi a quattro anni.

Il nuovo regolamento Enac entrerà in vigore dal prossimo 15 settembre.

Ve proponiamo qui l’articolo di Giusella Finocchiaro apparso su Nòva24, la cui versione online è stata pubblicata sul sito di Nòva il 20 Aprile 2014.

“On the Internet, nobody knows you’re a dog” recitava la storica vignetta di Peter Steiner pubblicata nel periodico “The New Yorker” il 5 luglio 1993. La vignetta raffigurava due cani: l’uno seduto su una sedia davanti a un computer; l’altro, a cui questa frase era rivolta, seduto sul pavimento.

Da allora Internet è cambiata, ma il problema dell’identità è rimasto.

Gli ostacoli giuridici alla completa digitalizzazione dei processi sono stati rimossi, le norme sul documento informatico e sulle firme elettroniche consentono di fare nel digitale sostanzialmente tutto quello che si può fare nel cartaceo, ma l’identificazione on line è un problema cruciale oggi più di allora, soprattutto per lo sviluppo di alcuni servizi che richiedono un accertamento dell’identità (ad esempio: servizi erogati dalla pubblica amministrazione e servizi bancari).

È questo il problema che la proposta di Regolamento europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno vuole risolvere.

La proposta di Regolamento è stata approvata dal Parlamento europeo il 3 aprile ed è attesa in Gazzetta Ufficiale per il mese di giugno.

La più importante novità del Regolamento è nello strumento giuridico prescelto: non più una direttiva, ma un Regolamento. La conseguenza è che una volta approvato dal Parlamento sarà direttamente applicabile negli Stati membri, senza atti di recepimento, come invece accade per le direttive europee. Non più uno strumento di armonizzazione, ma uno strumento di uniformazione del diritto. Un’identica legge europea per i 28 Stati. Senza le piccole differenze che rendono difficile realizzare compiutamente un mercato unico, perché, come si sa…il diavolo è nei dettagli…

Lo scopo principale del Regolamento è quello realizzare l’interoperabilità giuridica e tecnica fra i Paesi dell’Unione europea degli strumenti elettronici di identificazione, autenticazione e firma (in inglese, electronic identification, authentication, signature, da cui l’acronimo eIDAS usato per indicare il Regolamento). Gli Stati membri hanno facoltà di notificare alla Commissione sistemi di identificazione che, una volta accettati dalla Commissione e pubblicati, devono essere riconosciuti da tutti gli Stati membri, a determinate condizioni.

Negli schemi di identificazione deve esser precisato il livello di sicurezza per l’identificazione: basso, medio, alto. Il livello di sicurezza dipende dal processo di identificazione e di verifica, dall’attività svolta, dai controlli implementati anche sotto il profilo tecnologico.

L’obbligo di riconoscere on line un soggetto identificato in un altro Stato sussiste soltanto se il livello di sicurezza è almeno il medesimo e se è almeno medio o alto. A ben vedere, non tutti i processi richiedono la modalità di identificazione più sicura che richiede, per esempio, la presenza fisica o la copia del documento di identità. Infatti, è diverso il livello di sicurezza nell’identificazione richiesto in banca o nell’e-commerce.

Il riconoscimento del sistema di identificazione on line che è stato accettato dalla Commissione è obbligatorio se l’interessato vuole identificarsi presso un soggetto pubblico (es.: partecipazione ad una gara d’appalto).

In questo caso, i “dogs” citati al’inizio dell’articolo dovrebbero essere riconosciuti.