Trattamento di dati personali per finalità di polizia. Schema di decreto del Presidente della Repubblica.

Pubblichiamo il parere favorevole fornito dal Consiglio di Stato sullo schema di decreto del Presidente della Repubblica, a norma dell’articolo 57 del decreto legislativo 30 giugno 2003, nr. 196, recante l’individuazione delle modalità di attuazione del Codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per le finalità di polizia, da organi, uffici e comandi di polizia.

Numero 02039/2017 e data 25/09/2017 Spedizione

REPUBBLICA ITALIANA

Consiglio di Stato

Sezione Consultiva per gli Atti Normativi

Adunanza di Sezione del 31 agosto 2017

 

NUMERO AFFARE 01525/2017

OGGETTO:

Ministero dell’interno, Ufficio legislativo.

Schema di decreto del Presidente della Repubblica, a norma dell’articolo 57 del decreto legislativo 30 giugno 2003, nr. 196, recante l’individuazione delle modalità di attuazione del Codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per le finalità di polizia, da organi, uffici e comandi di polizia.

LA SEZIONE

Vista la nota di trasmissione della relazione prot. nr. 15935, in data 16 agosto 2017, con la quale il Ministero dell’interno – Ufficio legislativo ha chiesto il parere del Consiglio di Stato sull’affare consultivo in oggetto;

Esaminati gli atti e udito il relatore, Consigliere Raffaele Greco;

Premesso:

1. L’Ufficio legislativo del Ministero dell’interno ha chiesto a questo Consiglio di Stato di esprimere il proprio parere, ai sensi dell’articolo 17, comma 1, della legge 23 agosto 1988, nr. 400, sullo schema di decreto del Presidente della Repubblica, predisposto di concerto con il Ministero della giustizia, recante l’individuazione delle modalità di attuazione del Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, nr. 196) relativamente al trattamento dei dati effettuato, per le finalità di polizia, da organi, uffici e comandi di polizia.

2. In particolare, è l’articolo 57 del Codice a demandare a un decreto del Presidente della Repubblica, previa deliberazione del Consiglio dei ministri, su proposta del Ministro dell’interno, di concerto con il Ministro della giustizia, l’individuazione delle modalità di attuazione del Codice stesso con riguardo al trattamento dei dati effettuato, per le predette finalità, non solo dagli organi, uffici o comandi di polizia, ma anche dal Centro elaborazioni dati (C.E.D.) dello stesso Ministero dell’interno.

Il precedente articolo 53, nel definire il peculiare ambito di applicazione dei trattamenti di dati effettuati per le dette modalità, escludendo l’applicazione di specifiche norme del Codice, precisa altresì che agli effetti della normativa de qua si intendono effettuati per finalità di polizia i trattamenti di dati personali direttamente correlati all’esercizio dei compiti di polizia di prevenzione dei reati, di tutela dell’ordine e della sicurezza pubblica, nonché di polizia giudiziaria, svolti, ai sensi del codice di procedura penale, per la prevenzione e repressione dei reati”.

Pertanto, la disciplina in esame è destinata ad applicarsi ad entrambe le macro-categorie che è possibile distinguere nell’ambito dell’ordinaria attività delle forze dell’ordine: non solo all’attività di prevenzione e di ordine pubblico, ma anche a quella di indagine svolta in dipendenza funzionale dall’autorità giudiziaria requirente.

3. Come precisato nella relazione con cui è stato chiesto il parere del Consiglio di Stato, l’opzione attuativa del suindicato articolo 57, per ragioni di ordine pratico, è stata indirizzata a predisporre due distinti regolamenti: quello oggi all’esame, di ordine generale ed esteso a tutti i trattamenti effettuati da “organi, uffici e comandi di polizia” (incluso il C.E.D.), ed un altro, destinato a regolare in maggior dettaglio i trattamenti effettuati da quest’ultimo nell’ambito di una più generale disciplina del C.E.D., in attuazione dell’articolo 11 della legge 1 aprile 1981, nr. 121, in sostituzione dell’ormai risalente decreto del Presidente della Repubblica 3 maggio 1982, nr. 378.

4. Sempre nella relazione ministeriale, sono altresì richiamati gli ulteriori atti di fonte europea che medio tempore hanno arricchito il quadro normativo di riferimento nel quale il presente schema di decreto è destinato a iscriversi; in particolare, in tema di protezione dei dati personali e di cooperazione tra forze di polizia sono intervenuti:

– la decisione quadro 2006/960/GAI del Consiglio del 18 dicembre 2006 (attuata con il decreto legislativo 23 aprile 2015, nr. 54);

– le decisioni 2008/615/GAI e 2008/615/GAI del Consiglio del 23 giugno 2008 (c.d. decisioni di Prüm);

– la decisione quadro 2008/977/GAI del Consiglio del 27 novembre 2008;

– la direttiva 2016/680/UE del Parlamento europeo e del Consiglio del 27 aprile 2016.

In relazione alle due suindicate decisioni del 23 giugno 2008, in materia di potenziamento della cooperazione transfrontaliera, risulta che la Commissione europea abbia avviato una procedura di infrazione per il loro mancato recepimento da parte dello Stato italiano.

5. Lo schema di decreto oggi all’esame della Sezione, predisposto previa condivisione con le rappresentanze delle Forze di polizia, è stato poi sottoposto, ai sensi dell’articolo 154, comma 4, del Codice, al parere dell’Autorità garante per la protezione dei dati personali, la quale ne aveva già informalmente anticipato l’idoneità ad assicurare la compiuta attuazione della decisioni di Prüm (e, quindi, a superare la procedura di infrazione), trattandosi di una compiuta regolamentazione ad hoc della materia.

Nel proprio parere, reso il 2 marzo 2017, il Garante si è espresso favorevolmente sul provvedimento, ancorché formulando una serie di osservazioni e ponendo talune condizioni: di queste si è poi tenuto conto nella quasi totalità dei casi, con alcune eccezioni sulle quali ci si soffermerà in appresso (con particolare riguardo agli artt. 10 e 30 dello schema).

6. Lo schema di regolamento, approvato in sede preliminare dal Consiglio dei ministri in data 28 luglio 2017, risulta essere onnicomprensivo, riferendosi a una pluralità di trattamenti di dati personali anche eterogenei con riguardo ai titolari, ai presupposti normativi, alle metodologie impiegate, all’assetto delle unità organizzative che vi procedono.

Il provvedimento è corredato, oltre che dalla Relazione di accompagnamento, di Relazione tecnica, AIR ed ATN; l’istruttoria tecnica che lo ha preceduto risulta dunque completa.

Esso si articola in otto capi ed è composto di trentuno articoli, il cui contenuto può sinteticamente riassumersi come segue.

6.1. Il Capo I, composto da nove articoli, è dedicato alle disposizioni generali.

6.1.1. L’articolo 1, al comma 1, individua l’oggetto del regolamento nella “individuazione delle modalità di attuazione dei principi del Codice in materia di protezione dei dati personali (…) relativamente ai trattamenti effettuati anche senza l’ausilio di strumenti elettronici, da organi, uffici e comandi di polizia, per le finalità di polizia”, rinviando al già citato articolo 53 del Codice per la definizione di queste ultime.

Il comma 2 definisce meglio l’ambito di applicazione del regolamento precisando che lo stesso “non si applica ai trattamenti di dati personali effettuati per finalità amministrative”, e richiamando l’articolo 54 del Codice quanto alle modalità di conservazione dei dati acquisiti per dette finalità ed al loro possibile impiego per attività di sicurezza o di indagine di polizia giudiziaria.

6.1.2. L’articolo 2 reca la definizione di alcuni termini impiegati nel testo.

6.1.3. L’articolo 3 individua le finalità dei trattamenti: il comma 1 ricalca pedissequamente l’articolo 53, comma 1, del Codice quanto alla definizione delle “finalità di polizia”; i successivi commi 2 e 3 sono invece dedicati all’ulteriore trattamento dei dati originariamente raccolti per le ridette finalità per finalità “storiche”, “scientifiche” e “statistiche” (in quest’ultimo caso, previa anonimizzazione dei dati medesimi), introducendo anche specifiche limitazioni di accesso ai dati in tali ipotesi, in esecuzione dell’articolo 3, paragrafo 2, della citata decisione quadro 2008/977/GAI del Consiglio.

6.1.4. L’articolo 4, al comma 1, richiama l’articolo 11 del Codice con riguardo ai requisiti che devono possedere i dati personali oggetto di trattamento (esattezza, aggiornamento, completezza, pertinenza e non eccedenza rispetto alle finalità perseguite dal trattamento).

Il comma 2, richiamando il comma 4 dell’articolo 54 del Codice, sancisce l’obbligo degli organi, uffici e comandi di polizia di verificare il rispetto dei suindicati requisiti, per quanto possibile, in occasione dell’utilizzo dei dati effettuato nell’ambito della propria attività; il successivo comma 3 impone al titolare o al responsabile del trattamento di informare il Garante delle direttive impartite in merito alle predette verifiche.

6.1.5. L’articolo 5 pone i principi fondamentali sulla configurazione dei sistemi informativi e dei programmi informatici con cui è effettuato il trattamento dei dati: il comma 1 evoca il principio, di cui all’articolo 3 del Codice, secondo cui i predetti sistemi e programmi devono essere configurati in modo da ridurre al minimo l’utilizzo di dati personali e identificativi; il comma 2, inoltre, dispone che i nuovi sistemi informativi e programmi informatici siano progettati in modo che i dati personali siano automaticamente cancellati o resi anonimi allo scadere di termini predefiniti (e, segnatamente, dei termini di conservazione stabiliti al successivo articolo 10), nonché che gli accessi e le operazioni eseguiti dagli operatori abilitati siano registrati in appositi registri (file di log).

6.1.6. L’articolo 6 è riferito ai trattamenti di dati personali che comportano particolari rischi per la persona interessata.

Il comma 1 individua tali categorie di trattamenti con riguardo alle banche di dati genetici e biologici, alle tecniche basate su dati relativi all’ubicazione ed alle banche dati e ai trattamenti di cui al successivo articolo 7 basati su particolari tecniche di elaborazione dell’immagine o su particolari tecnologie, stabilendo che in tali casi si applicano le maggiori garanzie previste dall’articolo 55 del Codice: pertanto, di tali trattamenti dovrà darsi preventiva comunicazione al Garante, il quale potrà impartire prescrizioni riguardanti specifiche misure e accorgimenti a tutela della riservatezza degli interessati.

I commi 2 e 3 stabiliscono, rispettivamente, l’obbligo di conservazione in appositi registri (file di log) degli accessi e delle operazioni effettuate dagli operatori abilitati sui dati di cui al comma 1, e i limiti entro cui sono possibili gli accessi a tali registri (ai soli fini della verifica della liceità del trattamento, del controllo interno, per garantire l’integrità e la sicurezza dei dati personali e nell’ambito del procedimento penale).

6.1.7. L’articolo 7 detta disposizioni sull’uso di particolari tecniche di elaborazione delle informazioni, incluso il ricorso a sistemi di indice, stabilendo:

– che lo stesso sia consentito solo ad operatori a ciò espressamente abilitati, secondo profili di autorizzazioni definiti sulla base di indicazioni della figura di vertice dell’ufficio o del reparto, nell’ambito di specifiche attività di polizia (comma 1);

– che, al pari di quanto previsto negli articoli precedenti, gli accessi e le operazioni effettuate siano registrati e conservati in appositi registri (comma 2);

– che a tali ultimi registri (file di log) sia possibile accedere solo per particolari finalità (comma 3).

6.1.8. L’articolo 8 disciplina il trattamento dei dati personali acquisiti per esigenze temporanee o in relazione a situazioni particolari, consentendolo in via generale solo allorché le dette esigenze siano direttamente correlate ad attività riconducibili alle finalità di polizia di cui all’articolo 53 del Codice (comma 1).

Il comma 2 precisa che in tali casi il trattamento dei dati deve avvenire comunque nel rispetto dei principi del Codice richiamati dai precedenti articoli 4, 5 e 6.

Per i dati acquisiti nei casi de quibus, è poi prevista la conservazione “separata”, per un periodo non superiore a quello necessario per gli scopi per i quali essi sono stati raccolti e, comunque, non oltre 10 anni dal venir meno delle circostanze che hanno reso necessario il trattamento, salva l’applicazione dei diversi (e maggiori) termini di cui all’articolo 10, qualora si tratti di dati rientranti nella categorie dallo stesso previste (comma 3).

Infine, sono previste limitazioni all’accesso ai dati in questione, una volta cessata la situazione o l’esigenza particolare che ne ha determinato l’acquisizione, stabilendosi che l’accesso medesimo è consentito ai soli incaricati del trattamento, secondo profili di autorizzazione predefiniti in base alle indicazioni del comandante del reparto e nell’ambito di attività informative, di sicurezza o di indagine di polizia giudiziaria (comma 4).

6.1.9. L’articolo 9, richiamando l’articolo 54 del Codice, disciplina la possibilità per gli organi, uffici e comandi di polizia di acquisire dati collegandosi con banche dati gestite da soggetti pubblici e privati estranei alle forze di polizia: in via generale, tale modalità di accesso è consentita “in conformità alle disposizioni di legge o di regolamento” e nel rispetto dei principi del Codice richiamati agli articoli 3 e 4 (comma 1).

Il comma 2 ammette che l’acquisizione dei dati, nei casi in esame, possa avvenire mediante “consultazione per mezzo di tecnologie dell’informazione e della comunicazione”, con l’accortezza di evitare ogni duplicazione di archivi e banche dati.

Il comma 3, in puntuale applicazione del comma 1 dell’articolo 54 del Codice, introduce la nozione di “accesso selettivo”, stabilendo che i collegamenti con le altre banche dati debbano essere attivati con modalità tali da consentire l’accesso ai soli dati e informazioni necessari per il conseguimento delle finalità di polizia di cui all’articolo 3.

Riproduttivo di disposizione contenuta nell’articolo 54 del Codice è anche il comma 4, che prevede la facoltà di regolare le modalità di attivazione dei collegamenti attraverso convenzioni sottoscritte sulla base di schemi adottati dal Ministero dell’interno, su conforme parere del Garante.

6.2. Il Capo II del decreto concerne i termini di conservazione dei dati, ed è composto dal solo articolo 10, che dà attuazione nel settore de quo alla previsione generale dell’articolo 11, comma 1, lettera c), del Codice, secondo cui i dati personali sono “conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati” (c.d. diritto all’oblio), oltre che al successivo articolo 57, comma 1, lettera d), che individua fra i contenuti necessari del regolamento la fissazione di specifici termini di conservazione dei dati in relazione alla loro natura, ai procedimenti nel cui ambito sono acquisiti etc.

Ecco quindi che il comma 1 ribadisce il fondamentale principio per cui la conservazione dei dati personali è limitata al tempo necessario per il conseguimento delle finalità di polizia di cui all’articolo 3 (donde, come evidenziato nella relazione ministeriale, il correlativo diritto dell’interessato alla cancellazione o anonimizzazione dei dati, una volta scaduti i predetti termini).

Il comma 2 è disposizione di contemperamento fra il diritto all’oblio degli interessati e gli interessi pubblici, connessi elle finalità di polizia, che legittimano la conservazione dei dati: esso prevede che, una volta trascorsa la metà del tempo di conservazione dei dati come stabilito dal comma successivo, se superiore a 15 anni, ai dati stessi possano accedere solo gli operatori di polizia incaricati del trattamento ai sensi dell’articolo 30 del Codice, secondo profili di autorizzazione predefiniti e unicamente per il compimento di specifiche operazioni nell’ambito di attività informative, di sicurezza o di indagine di polizia giudiziaria.

Il comma 3 contiene poi l’elencazione dei diversi termini massimi di conservazione dei dati, diversificati in ragione delle diverse categorie di “finalità di polizia” per le quali sono stati acquisiti e trattati, e quindi dei diversi procedimenti in cui il trattamento è avvenuto.

Il comma 4 recepisce un suggerimento del Garante, stabilendo che i termini indicati al comma precedente siano aumentati di due terzi quando i dati personali siano stati acquisiti nell’ambito di attività preventiva o repressiva di reati di particolare gravità (segnatamente, quelli di criminalità organizzata, con finalità di terrorismo e informatici di cui all’articolo 51, commi 3-bis, 3-quater e 3-quinquies cod. proc. pen., nonché quelli di particolare allarme sociale per i quali l’articolo 407, comma 2, lettera a), del medesimo codice prevede termini di durata massima delle indagini preliminari più lunghi di quelli ordinari).

Anche col successivo comma 5 è stato accolto un suggerimento del Garante, stabilendosi che – evidentemente al di fuori dei casi di cui al comma precedente – i termini massimi di conservazione indicati al comma 3 possano essere aumentati di due terzi su disposizione del capo dell’ufficio o del reparto, impartita prima della scadenza dei termini medesimi, ove ciò sia strettamente necessario per il conseguimento delle finalità di polizia di cui all’articolo 3. Al fine di assicurare l’omogeneità di applicazione di questa disposizione, è altresì previsto che appositi criteri applicativi valevoli sull’intero territorio nazionale e per tutte le Forze di polizia siano adottati con provvedimento del Capo della polizia – Direttore generale della pubblica sicurezza (o, in sua vece, del Vice Direttore generale – Direttore centrale della polizia criminale).

Il comma 6 ha la funzione di raccordare le previsioni dell’articolo in esame con la normativa in materia di scarto dei documenti di archivio: con riferimento ai trattamenti non automatizzati, è stabilito che la conservazione dei dati possa prolungarsi per un periodo di tempo superiore a quello riveniente dall’applicazione del comma 3, quando ciò sia imposto dalla suindicata normativa sullo scarto dei documenti d’archivio.

Il comma 7 fa salvi i diversi termini e modalità di conservazione previsti da disposizioni di legge, di regolamento o da atti normativi comunitari o dal diritto internazionale in relazione a specifici trattamenti.

Il comma 8 disciplina gli effetti dello spirare dei termini di conservazione, stabilendo:

– che i dati soggetti a trattamento automatizzato siano cancellati o resi anonimi;

– che per i dati non soggetti a trattamento automatizzato continuino ad applicarsi le disposizioni in materia di scarto dei documenti d’archivio delle pubbliche amministrazioni.

6.3. Il Capo III, dedicato alla raccolta, comunicazione e diffusione dei dati, è composto da cinque articoli.

6.3.1. L’articolo 11, dedicato alle limitazioni alla raccolta dei dati, contiene innanzi tutto due disposizioni attuative di principi sanciti a livello internazionali nell’Allegato alla Raccomandazione del Consiglio d’Europa nr. R (87) 15 (come pure dalla decisione quadro 2008/977/GAI), prevedendosi:

– il divieto di raccolta e trattamento di dati sulle persone, inclusi quelli genetici e biometrici, per il solo fatto della loro origine razziale o etnica, fede religiosa, opinione politica, orientamento sessuale, stato di salute e delle loro convinzioni filosofiche o di altro genere o della loro adesione ai principi di movimenti sindacali, nonché per la legittima attività che svolgono come appartenenti ad organizzazioni legalmente operanti nei settori suindicati (comma 1);

– la possibilità, in via eccezionale, di raccolta e trattamento dei predetti dati quando ciò sia necessario per le esigenze di un’attività informativa, di sicurezza o di indagine di polizia giudiziaria o di tutela dell’ordine e della sicurezza, purché a integrazione di altri dati personali (comma 2).

Il comma 3 richiama comunque il divieto, contenuto nell’articolo 14 del Codice, di basare sul solo trattamento automatizzato di dati personali atti o decisioni implicanti una valutazione del comportamento umano.

6.3.2. L’articolo 12, relativo alla comunicazione dei fati tra le Forze di polizia, precisa innanzi tutto che questa è possibile tra le Forze di cui all’articolo 16 della legge nr. 121 del 1981 ed è consentita, per le finalità di polizia di cui all’articolo 3, quando è necessaria per lo svolgimento dei compiti istituzionali e comunque “nel rispetto delle disposizioni del codice di procedura penale” (su questo punto si tornerà appresso).

6.3.3. L’articolo 13 ha ad oggetto la comunicazione dei dati a soggetti terzi (ossia, come da definizione di cui all’articolo 4, comma 1, lettera l), del Codice, il “dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato (…) anche mediante la loro messa a disposizione o consultazione”), stabilendo – innanzi tutto – che la comunicazione a pubbliche amministrazioni o enti pubblici è consentita esclusivamente nei casi previsti da disposizioni di legge o di regolamento o, nel rispetto dei principi del Codice richiamati dall’articolo 4, quando è necessaria per l’adempimento di uno specifico compito istituzionale dell’organo, ufficio o comando e i dati personali sono necessari per lo svolgimento dei compiti istituzionali del soggetto ricevente (comma 1).

La comunicazione di dati personali a soggetti privati, invece, è consentita unicamente quando è necessaria per lo svolgimento di uno specifico compito istituzionale da parte dell’organo, ufficio o comando per le finalità di polizia di cui all’articolo 3 (comma 2).

Il comma 3 prevede le ulteriori ipotesi in cui la comunicazione di dati personali a soggetti terzi, pubblici o privati, può avvenire, consentendola quando risponda all’interesse della persona cui i dati si riferiscono e, comunque, quando sia necessaria per evitare un pericolo grave e imminente alla sicurezza pubblica, o per la salvaguardia della vita o dell’incolumità fisica di un terzo.

Il comma 4 fa salvi, in ogni caso, l’obbligo del segreto di cui all’articolo 329 cod. proc. pen. e gli ulteriori divieti previsti da disposizioni di legge o di regolamento.

6.3.4. L’articolo 14 è dedicato alla diffusione di dati e di immagini personali, e pertanto richiama la definizione di “diffusione” contenuta nell’articolo 4 del Codice, che la qualifica come il “dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”.

Il comma 1 si occupa della diffusione di dati personali, consentendola quando è necessaria per le finalità di polizia di cui all’articolo 3, fermo restando l’obbligo del segreto di cui all’articolo 329 cod. proc. pen. e fatti salvi i divieti previsti da altre disposizioni di legge o di regolamento; essa è comunque effettuata nel rispetto della dignità della persona.

Quanto alla diffusione di immagini personali (ossia di ogni tipo di rappresentazione – fotografia, filmato etc. – che permetta la riconoscibilità della persona raffigurata), il comma 2 la consente, conformemente all’ordinamento vigente (in particolare, nella relazione ministeriale sono richiamate le norme a tutela del diritto d’autore di cui alla legge 22 aprile 1941, nr. 633), solo qualora la persona interessata abbia espresso il proprio consenso o se è necessaria per la salvaguardia della vita o dell’incolumità fisica, ovvero se è giustificata da necessità di giustizia o di polizia, fermo restando che essa debba essere comunque effettuata con modalità tali da preservare la dignità della persona.

Il comma 3 prevede che siano comunicate al Garante le direttive adottate in ambito nazionale in materia di diffusione dei dati o delle immagini personali.

6.3.5. L’articolo 15, dedicato alle “condizioni” della comunicazione e della diffusione dei dati di cui ai precedenti articoli, al comma 1 richiama i principi di esattezza, aggiornamento e completezza dei dati personali, precisando che gli stessi debbano essere assicurati anche quando il trattamento assuma le modalità della “comunicazione” o della “diffusione”.

I commi 2 e 3 prevedono l’obbligo di provvedere adeguatamente nei casi in cui sia verificato che i dati oggetto di comunicazione o diffusione non risultino conformi ai suindicati principi, fatto salvo, nella sola ipotesi di diffusione, il caso in cui ciò sia materialmente impossibile o necessiti un impegno di mezzi sproporzionato.

6.4. Il Capo IV è dedicato al trattamento dei dati nell’ambito dell’attività di cooperazione internazionale di polizia, ed è composto da sei articoli.

6.4.1. L’articolo 16 regolamenta lo scambio di dati personali con le autorità competenti degli Stati membri dell’Unione europea e con gli organismi dell’Unione medesima, consentendolo nei casi, alle condizioni e con le modalità stabilite da disposizioni di legge o di regolamento o da atti normativi dell’Unione europea (comma 1) e facendo salvi gli accordi e le intese ratificati e resi esecutivi con Stati membri o con organismi comunitari, purché non in contrasto con la normativa nazionale e comunitaria (comma 2).

Di tali ultimi accordi e intese è disposta poi (comma 3) la comunicazione periodica all’Autorità garante per la protezione dei dati personali.

6.4.2. L’articolo 17 disciplina la comunicazione di dati personali alle autorità competenti di Stati terzi o ad organismi internazionali, consentendola soltanto nel quadro di accordi o intese sottoscritti con lo Stato o con l’organismo internazionale interessato (comma 1), salvo che sia necessaria per evitare un pericolo grave e imminente alla sicurezza pubblica di uno Stato membro o di un Paese terzo, o agli interessi essenziali di uno Stato membro, o per la salvaguardia della vita o dell’incolumità fisica di un terzo (comma 2).

Il comma 3 prevede la possibilità per le Forze di polizia di effettuare la “comunicazione” in modalità automatizzata, o comunque secondo canali di comunicazione codificati a livello internazionale, assicurando in ogni caso l’adozione di misure appropriate, compresa la cifratura, volte a garantire la riservatezza e l’integrità dei dati trasmessi.

Il comma 4 prevede anche in questo caso che le operazioni di comunicazione in questione siano registrate e conservate in appositi registri (file di log), mentre il comma 5, a tutela della riservatezza degli operatori abilitati, definisce le specifiche finalità per le quali è consentito l’accesso ai registri suindicati.

6.4.3. L’articolo 18 contiene disposizioni intese ad assicurare il rispetto dei più volte evocati principi di esattezza, aggiornamento e completezza nei dati oggetto delle comunicazioni disciplinate dal precedente articolo 17, predisponendo altresì i rimedi da attuare laddove se ne verifichi il mancato rispetto.

6.4.4. L’articolo 19 si occupa del trattamento dei dati personali “in entrata”, ossia di quelli trasmessi dalle autorità competenti di Stati terzi o da organismi internazionali, prevedendo che tale trattamento avvenga esclusivamente per le finalità per cui sono stati trasmessi (comma 1) e che l’organo, ufficio o comando di polizia che li riceve sia tenuto al rispetto delle limitazioni al trattamento dei dato poste dall’organismo estero che li ha trasmessi, salve le deroghe previste da disposizioni di legge, di regolamento o da atti normativi comunitari o dal diritto internazionale (comma 2).

6.4.5. L’articolo 20 regolamenta il trasferimento dei dati ad autorità competenti degli Stati membri dell’Unione europea o di Stati terzi o ad organismi dell’Unione europea o altri organismi internazionali, consentendolo esclusivamente nei casi previsti da disposizioni di legge o di regolamento o da atti normativi dell’Unione europea o di diritto internazionale.

6.4.6. L’articolo 21, invece, regola nei medesimi termini la trasmissione dei dati ricevuti dalle autorità competenti degli Stati terzi o da organismi internazionali a soggetti privati.

6.5. Il Capo V, composto da tre articoli, disciplina il trattamento dei dati attraverso sistemi di videosorveglianza e di ripresa audio e video.

6.5.1. Con riguardo all’articolo 22, dedicato alla “videosorveglianza”, nella relazione ministeriale si evidenzia come ad oggi non si rinvenga – né nel Codice né altrove – una definizione di tale trattamento (comunque definibile come la rilevazione o registrazione a distanza, svolta in modo continuativo, di immagini riproducenti persone che possano essere direttamente o indirettamente identificate), né tanto meno una analitica disciplina, la quale pertanto deve ricavarsi dai principi e dalle regola generali fissate dallo stesso Codice, oltre che dalla “giurisprudenza” del Garante.

Per questo, i due commi dell’articolo in esame declinano con riguardo allo specifico trattamento de quo i suddetti principi generali, stabilendo rispettivamente che l’utilizzo dei sistemi di videosorveglianza è consentito ove necessario per le finalità di polizia di cui all’articolo 3 e a condizione che non comporti un’ingerenza ingiustificata nei diritti e nelle libertà fondamentali delle persone interessate e che debbano essere raccolti esclusivamente i dati strettamente necessari per le anzi dette finalità, registrando esclusivamente le immagini indispensabili.

6.5.2. Le stesse considerazioni, in ordine alla carenza di una specifica disciplina nel Codice, valgono per le attività di ripresa fotografica, video e audio effettuata per finalità di polizia di cui si occupa l’articolo 23.

Il comma 1 di tale articolo ammette tale modalità di trattamento dei dati quando sia necessario per documentare specifiche attività preventive o repressive di reati, situazioni suscettibili di causare minacce per l’ordine e la sicurezza pubblica o pericolo per la vita o l’incolumità dell’operatore ovvero specifiche attività poste in essere durante il servizio che siano espressione di “poteri autoritativi” degli organi, uffici o comandi di polizia.

Il comma 2 contiene una disposizione, in tema di indispensabilità, pertinenza e non eccedenza, del trattamento, analoga a quella contenuta nel comma 2 del precedente articolo 22.

Il comma 3, inserito in ossequio alle indicazioni contenute in un parere del Garante, dedica una specifica previsione alle riprese effettuate attraverso aeromobili a pilotaggio remoto (c.d. “droni”), stabilendo, in considerazione della particolare invasività e pericolosità di tale modalità di captazione delle immagini, che detti trattamenti debbano intendersi ricompresi tra quelli comportanti rischi specifici ai sensi del precedente articolo 6.

Per tale modalità di ripresa, il comma 4 stabilisce poi, a maggior garanzia delle persone interessate, che essa debba essere autorizzato al livello gerarchico non inferiore a quello di capo ufficio o comandante di reparto.

6.5.3. L’articolo 24 detta misure particolari per il trattamento di dati effettuato con le modalità di cui ai due articoli precedenti.

In particolare:

– il comma 1, in applicazione del principio di stretta necessità, stabilisce che il trattamento debba avvenire in modo da ridurre al minimo l’utilizzazione di dati relativi a persone identificabili;

– il comma 2 prevede che siano individuati diversificati livelli di visibilità e di trattamento delle immagini da parte degli incaricati del trattamento, i quali potranno essere autorizzati, in ragione degli specifici compiti svolti, esclusivamente al compimento di determinate operazioni;

– il comma 3 dispone l’adozione di specifiche misure di sicurezza contro i rischi di accesso abusivo sanzionabile ai sensi dell’articolo 615-ter cod. pen.;

– il comma 4 introduce anche in questo caso la specifica garanzia della registrazione degli accessi e delle operazioni effettuate sui dati de quibus in appositi registri (file di log);

– il comma 5 definisce i limiti e le condizioni alle quali è possibile l’accesso ai predetti registri;

– il comma 6 fa rinvio al comma 1 dell’articolo 6 per quei trattamenti di dati acquisiti con modalità tali da comportare maggiori rischi di danno alla persona interessata (in ragione della natura dei dati stessi, delle modalità del trattamento o degli effetti che esso può determinare).

6.6. Il Capo VI è dedicato alla sicurezza dei dati e dei sistemi, ed è composto da un solo articolo: si tratta dell’articolo 25, rubricato “Obblighi di sicurezza”, il cui comma 1, attraverso l’implicito richiamo all’articolo 31 del Codice, impone al titolare o al responsabile del trattamento – per l’appunto – l’adozione di misure preventive, individuate anche in relazione al progresso tecnologico, alla natura dei dati e alle caratteristiche del singolo trattamento, idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito ovvero non conforme alle finalità di cui all’articolo 3 ed a garantire, nel contempo, un’agevole fruibilità dei dati stessi.

Il comma 2 richiama, anche per i trattamenti di cui al presente regolamento, le “misure di sicurezza obbligatorie” previste negli articoli 33, 34 e 35 del Codice e regolate nelle modalità operative dal disciplinare tecnico contenuto nell’allegato B al Codice medesimo.

6.7. Il Capo VII, composto da quattro articoli, disciplina i diritti delle persone interessate e il controllo dei trattamenti: in tali norme, come evidenziato nella relazione ministeriale, è innanzi tutto richiamato l’articolo 56 del Codice, laddove le garanzie a favore dell’interessato sono individuate con rinvio all’articolo 10, commi 3, 4 e 5, della legge nr. 121 del 1981 (previste specificamente per il CDE, e che pertanto sono così rese applicabili anche ai trattamenti regolati dal presente decreto).

6.7.1. L’articolo 26 enuncia i diritti dell’interessato, il quale può chiedere conferma dell’esistenza di dati che lo riguardano, la loro comunicazione in forma intelligibile e, in caso di violazioni, il loro aggiornamento, rettifica, cancellazione o trasformazione in forma anonima.

Di tali diritti, affermati dal comma 1 della norma, i commi successivi disciplinano le modalità di esercizio; di particolare rilievo è il comma 6, secondo cui l’organo, ufficio o comando di polizia investito della richiesta può omettere di provvedere sulla stessa, dandone informazione al Garante, ove ciò possa pregiudicare azioni o operazioni a tutela dell’ordine o della sicurezza pubblica o di prevenzione e repressione dei reati o esporre a rischio la sicurezza dello Stato, la persona interessata o i diritti e le libertà di terzi.

6.7.2. L’articolo 27 disciplina la possibilità per l’interessato, il quale venga a conoscenza di violazioni commesse nel trattamento di dati che lo riguardano, di adire l’autorità giudiziaria territorialmente competente: quest’ultima, esperiti gli opportuni accertamenti, può ordinare l’aggiornamento, la rettifica, l’integrazione, il blocco o l’anonimizzazione dei dati (comma 1).

Si precisa altresì che si applica l’articolo 152, comma 1-bis, del Codice, e pertanto la procedura giurisdizionale segue il c.d. rito del lavoro.

Nel comma 2 è contemplato un meccanismo di autotutela amministrativa attraverso il quale l’organo, ufficio o comando di polizia, il quale venga a conoscenza del contenzioso instaurato da un soggetto a norma del comma 1, può procedere alle opportune verifiche e intervenire immediatamente sui dati interessati, informandone l’autorità giudiziaria.

6.7.3. L’articolo 28, in relazione al trattamento dei dati relativi a procedimenti penali, sanzionatori o di prevenzione, esclude l’applicabilità delle garanzie previste nei precedenti articoli 26 e 27, precisando che in tali casi la tutela dell’interessato è garantita nelle forme previste dall’ordinamento per ciascuno dei procedimenti stessi.

6.7.4. L’articolo 29, dedicato alla disciplina dei controlli, fa innanzi tutto richiamo anche per i trattamenti disciplinati da presente regolamento all’articolo 160 del Codice (e, quindi, alla necessità che gli accertamenti siano effettuati attraverso un componente designato dal Garante, piuttosto che dal personale dell’ufficio interessato (come avviene per i controlli ordinari); in secondo luogo è fissato l’obbligo per i titolari o responsabili del trattamento di adottare tutte le iniziative necessarie per date tempestiva attuazione alle indicazioni del Garante.

6.8. Il Capo VIII, composto da due articoli, è dedicato alle disposizioni transitorie e finali.

6.8.1. Le disposizioni propriamente transitorie sono contenute nell’articolo 30, che si occupa dei trattamenti automatizzati già in uso al momento dell’entrata in vigore del regolamento qui all’esame, al fine di assicurarne un graduale adeguamento alle prescrizioni del regolamento medesimo.

Al riguardo, il problema principale è costituito dalla necessità di adeguare i sistemi informativi in uso per i detti trattamenti, i quali sono molto eterogenei anche dal punto di vista tecnologico e pertanto dovranno essere corretti e implementati attraverso un complessivo processo di “reingegnerizzazione” (così si esprime la relazione ministeriale); per questo, l’articolo in esame detta i tempi per l’effettuazione del detto adeguamento, curando al tempo stesso che siano adottate cautele idonee a prevenire trattamenti contra legem nelle more di esso.

6.8.2. Infine, l’articolo 31 contiene la clausola di invarianza finanziaria.

Considerato:

7. Tutto ciò premesso, e tenuto conto della finalità e dei limiti del presente parere, la Sezione non ravvisa seri profili di criticità nello schema di decreto in esame, il quale appare aderente alla normativa primaria di riferimento (la quale, in molti punti, è espressamente richiamata o riprodotta in modo pedissequo), oltre che puntualmente rispettoso della sopravvenuta disciplina riveniente dagli atti comunitari che si è più sopra richiamata.

Inoltre, a livello contenutistico la regolamentazione dei trattamenti di dati in questione appare analitica ed esaustiva, e il testo risulta anche sufficientemente chiaro e corretto sotto il profilo redazionale, pur tenendo conto del notevole tasso di tecnicismo e della “trasversalità” degli ambiti cui afferiscono le attività trattate.

8. Pertanto, in questa sede ci si limita a segnalare, nei termini che seguono, alcuni aspetti recanti margini di miglioramento del testo normativo in esame, nel contempo invitando l’Amministrazione a riconsiderare attentamente alcune puntuali osservazioni del Garante non del tutto recepite.

8.1. Molta attenzione si raccomanda, inoltre, al Ministero proponente nell’opzione attuativa perseguita (doppio testo) e quindi nella predisposizione del secondo testo regolamentare (riservato al CED ma destinato a contenere ulteriori e più dettagliate disposizioni attuative relative al trattamento in argomento), dovendosi necessariamente evitare, in una materia così delicata, sovrapposizioni, incertezze e comunque mancanza di coordinamento tra norme, alla stregua anche della considerazione della concreta operatività delle norme stesse.

8.2. In relazione alla premessa, non si comprende perché nell’ambito dei richiami normativi preliminari, i quali pure contengono un completo e accurato riferimento alla retrostante normativa europea, non sia stato richiamato anche il Regolamento 27 aprile 2016, nr. 2016/679/UE del Parlamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), che costituisce oggi il principale testo normativo a livello europeo in materia di trattamento di dati personali e correlativa tutela della privacy.

Si invita pertanto a valutare l’opportunità di inserire il predetto richiamo.

8.3. Con riguardo all’articolo 1, anche sulla scorta di quanto precisato nella relazione di accompagnamento al testo, potrebbe essere opportuno distinguere, attraverso l’adozione di un ulteriore comma, tra l’ambito oggettivo e quello soggettivo di applicazione del regolamento.

Attualmente, il comma 2 richiama il disposto dell’articolo 54, comma 2, del Codice, escludendo dall’applicazione del regolamento i trattamenti effettuati per finalità amministrative (e, quindi, non riconducibili alle finalità di polizia propriamente dette): pertanto, la disposizione si preoccupa esclusivamente di delimitare l’ambito oggettivo di applicazione del decreto.

Tuttavia, nella relazione ministeriale (e la questione è stata affrontata anche dal Garante) opportunamente si precisa – anche con richiamo a giurisprudenza costituzionale – cosa debba intendersi, ai sensi dell’articolo 57, comma 1, del Codice, per “organi, uffici e comandi di polizia”, sottolineandone la differenza rispetto a quella di “organi di pubblica sicurezza o altri soggetti pubblici” di cui al precedente articolo 53; in particolare, si sottolinea che una limitata attività di polizia giudiziaria viene svolta anche da uffici, come quelli di Polizia Municipale, che pacificamente rientrano nella seconda delle nozioni suindicate, e non nella prima.

Pertanto, sembra pacifico che l’applicabilità del presente regolamento presuppone la sussistenza sia della condizione oggettiva (finalità di polizia, e non meramente amministrativa, dell’attività svolta) che di quella soggettiva (riconducibilità dei soggetti operanti alle categorie di cui all’articolo 57 del Codice, e non a quelle di cui all’articolo 53).

Si invita, dunque, a valutare l’opportunità dell’inserimento di una ulteriore disposizione la quale chiarisca che il presente regolamento non si applica, ancorché l’attività svolta possa essere riconducibile alle finalità di polizia di cui all’articolo 3, agli organi e uffici non riconducibili alle categorie degli “organi, uffici e comandi di polizia” di cui all’articolo 57 del Codice.

8.4. All’articolo 2, ai fini di una migliore intelligibilità del testo normativo nel suo complesso, si suggerisce di chiarire che agli effetti dello stesso, oltre alle definizioni contenute nell’articolo stesso, si applicano anche quelle contenute nell’articolo 4 del Codice, ove – beninteso – non si intenda riportarle anche nella presente sede, integrando opportunamente la disposizione.

Infatti, molte delle disposizioni dello schema di decreto in esame impiegano, presupponendone la conoscenza del significato, nozioni la cui definizione è contenuta nella norma primaria suindicata (p.es. quella di “profilo di autorizzazione”).

8.5. Passando all’articolo 10, contenente i termini di conservazione dei dati personali distinti per categorie di procedimenti, sono stati solo parzialmente accolti i suggerimenti del Garante intesi ad una complessiva riduzione dei detti termini rispetto alle originarie previsioni, che contemplavano termini di durata ritenuta complessivamente eccessiva.

In particolare, non è stato condiviso il suggerimento di ridurre a soli 90 giorni il termine di conservazione di dati ed immagini acquisite nel corso di accertamenti relativi a persone nei cui confronti nulla sia poi emerso; la ragione del mancato accoglimento, come evidenziato nella relazione di accompagnamento al testo normativo, risiederebbe nell’eccessiva brevità del termine proposto dal Garante, non potendo escludersi che anche dopo un lasso di tempo più lungo possa emergere l’utilità delle immagini e dei dati così acquisiti a fini di prevenzione o repressione di reati.

Al riguardo, la Sezione è dell’avviso che la predetta giustificazione possa essere condivisa solo per alcune delle ipotesi cui è riferibile il suggerimento del Garante, ad esempio per il caso in cui si tratti di dati acquisiti nel corso di attività investigativa relativa a ipotesi di reato per le quali il procedimento penale si sia concluso con archiviazione; non altrettanto può dirsi, invece, per altre delle ipotesi divisate, che appaiono del tutto eterogenee rispetto alle altre, come ad esempio quella della captazione del tutto casuale dell’immagine di persone identificabili nel corso di attività di prevenzione o di tutela dell’ordine pubblico.

Pertanto, si invita l’Amministrazione a voler valutare la possibilità di accogliere il suggerimento generale del Garante nel senso di una ulteriore riduzione dei termini di conservazione e/o, nello specifico, quanto meno in ordine all’adozione di un termine più breve per alcune ipotesi-limite nella quali la conservazione dei dati palesemente non presenti alcuna utilità anche de futuro.

8.6. All’articolo 12, il richiamo finale al “rispetto delle disposizioni del codice di procedura penale”, ove riferito – come chiarito nella relazione illustrativa – alla disciplina del segreto investigativo imposto agli ufficiali e agenti di polizia giudiziaria, appare generico e poco chiaro; si suggerisce pertanto di impiegare la formula “fermi restando gli obblighi di segretezza incombenti sugli ufficiali e agenti di polizia giudiziaria in relazione alle indagini svolte, come stabilito dal codice di procedura penale”.

8.7. Al comma 3 dell’articolo 16, laddove, in accoglimento di un suggerimento del Garante, è stato stabilito l’obbligo di trasmissione al Garante stesso dell’elenco degli accordi e delle intese di cui al comma 1 e dei loro successivi aggiornamenti, si suggerisce di precisare la previsione, specificando a quale organo o struttura dell’Amministrazione incomba tale obbligo.

8.8. All’articolo 30, con riguardo ai tempi fissati per l’adeguamento dei sistemi informativi, è stato solo parzialmente condiviso il suggerimento del Garante di ridurre i predetti termini, considerati eccessivamente lunghi e tali da determinare il prolungarsi ad libitum del regime transitorio.

In questo caso, la giustificazione addotta nella relazione ministeriale risiede nell’eccessiva complessità delle operazioni tecnologiche necessarie per implementare e adeguare i sistemi informativi oggi esistenti, peraltro non omogenei tra loro.

La Sezione reputa però che, compatibilmente con ogni approfondimento delle dette problematiche tecniche (e salva ogni ulteriore determinazione in termini di possibilità, se del caso, di prolungamento dei termini), debba essere tenuto in maggiore considerazione il suggerimento del Garante, e pertanto invita l’Amministrazione a un supplemento di valutazione sul punto, in quanto i termini intermedio (maggio 2023) e finale (maggio 2026) di adeguamento dei sistemi informatici appaiono oggettivamente troppo lunghi.

P.Q.M.

Nei termini sopra precisati, e con le osservazioni riportate, è il parere favorevole della Sezione.

L’ESTENSORE IL PRESIDENTE
Raffaele Greco Gerardo Mastrandrea

IL SEGRETARIO

Cinzia Giglio

 

Lascia un commento