Dopo il GDPR, anche la Direttiva (UE) 2016/680 prende il via in Italia. Lo scorso 24 maggio, infatti, è stato pubblicato nella Gazzetta Ufficiale n. 119, il Decreto Legislativo 18 maggio 2018, n. 51 finalizzato a recepire nell’ordinamento interno la “direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio”.

Il provvedimento, che entrerà in vigore il prossimo 8 giugno, completa il quadro generale introdotto dal cosiddetto “pacchetto protezione dati”, volto ad introdurre un sistema di regole armonizzato in materia di tutela delle persone fisiche con riguardo al trattamento dei dati personali.

Il D. Lgs. 18 maggio 2018, n. 51, in conformità alla delega parlamentare prevista dall’art. 11 della Legge 25 ottobre 2017, n. 163 (Legge di delegazione europea 2016-2017), ha ad oggetto il trattamento di dati personali delle persone fisiche svolti dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica. Il Decreto, quindi, supera e sostituisce in gran parte la disciplina prevista dal D. Lgs. 30 giugno 2003, n. 196 (Codice della Privacy) dedicata a specifici settori, in particolare quello giudiziario e quello dei trattamenti da parte delle forze di polizia. Tuttavia, per avere un quadro più completo ed omogeneo della disciplina interna in materia di tutela della privacy, bisognerà attendere l’adozione del decreto di armonizzazione e modifica del Codice della Privacy alle disposizioni del Regolamento (UE) 2016/679 (GDPR), il cui termine è di recente slittato al prossimo 21 agosto 2018.

Il provvedimento, composto da cinquanta articoli suddivisi in otto capi, fa propri numerosi principi e regole già note e disciplinate nel GDPR; anche il quadro delle definizioni, previsto all’art. 2 del Decreto, riporta in modo pressoché identico le nozioni previste dal Regolamento.

Particolare rilevanza assume il principio sancito all’art. 4, secondo cui il titolare del trattamento, tenuto conto della finalità del trattamento e per quanto possibile, ha l’obbligo di distinguere i dati personali in relazione alle diverse categorie di interessati previste dalla legge, fra cui: persone sottoposte a indagine; imputati; persone sottoposte a indagine o imputate in procedimento connesso o collegato; persone condannate con sentenza definitiva; persone offese dal reato; parti civili; persone informate sui fatti; testimoni. Inoltre, per quanto possibile e se la finalità lo consente, è obbligatorio distinguere i dati personali fondati su fatti da quelli fondati su valutazioni.

Un ulteriore profilo di novità è rappresentato dalla previsione dell’obbligo di registrazione dei log file generati dalle operazioni di raccolta, modifica, consultazione, comunicazione, trasferimento, interconnessione e cancellazione di dati eseguiti con strumenti automatizzati (art. 21). Tali registrazioni devono riportare la data, l’ora di esecuzione delle operazioni e, se possibile, devono consentire l’identificazione dell’operatore e dei destinatari dei dati, al solo fine di verificare la liceità del trattamento per finalità di controllo interno, per garantire l’integrità e la sicurezza dei dati personali e nell’ambito di procedimenti penali. La durata della conservazione dei suddetti files di log dovrà essere stabilita con Decreto del Presidente della Repubblica ai sensi dell’art. 5, comma 2 del Decreto, il quale dovrà anche prevedere i termini di conservazione dei dati personali, ove non già stabiliti da una legge o da un regolamento, le condizioni per l’accesso, le modalità di consultazione dei dati, nonché le modalità e le condizioni per l’esercizio dei diritti degli interessati.

Tra gli obblighi previsti in capo al titolare del trattamento, numerosi sono quelli in comune con il GDPR. In particolare, tutte le autorità competenti coinvolte nelle attività di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, sono tenute ad attuare misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato in conformità alle norme del Decreto (art. 15), nonché a rispettare il principio della “data protection by design and by default” (art. 16).

Sotto il profilo organizzativo il Decreto non introduce particolari elementi nuovi rispetto a quanto già disciplinato dal GDPR. Nello specifico, oltre a prevedere la contitolarità del trattamento (art. 17), il rapporto fra titolare e responsabile del trattamento deve sempre essere disciplinato da un contratto o altro atto stipulato per iscritto (anche in formato elettronico) e tutti i soggetti che effettuano operazioni di trattamento devono essere sempre autorizzati e istruiti dal titolare del trattamento (art. 18 e 19).

Seppur con qualche elemento di differenza, permane anche l’obbligo del registro delle attività di trattamento (art. 20), la valutazione di impatto (art. 23), la consultazione preventiva del Garante (art. 24) e tutti gli obblighi in materia di sicurezza che, rispetto al GDPR, sono maggiormente dettagliati nella parte in cui sono descritti puntualmente gli obiettivi di sicurezza per i trattamenti automatizzati e gli eventi di rischio che dovrebbero essere impediti. In ogni caso, l’approccio richiesto non potrà prescindere (anche in questo caso) dalla valutazione dei rischi da parte di ciascun titolare del trattamento (art. 25).

Infine, tra le principali novità introdotte con il GDPR, anche nel settore penale le autorità competenti dovranno dotarsi di procedure interne per la gestione del cosiddetto “data breach”, al fine di garantire la notifica della violazione dei dati personali al Garante (art. 26) e la comunicazione all’interessato (art. 27), e dovranno altresì nominare un Responsabile della Protezione dei Dati (artt. 28, 29 e 30) con possibilità di designarne uno per più autorità competenti.