Parere approvato dalla Camera dei Deputati il 20 Giugno 2018 - Schema di decreto legislativo recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Atto n. 22.

CAMERA DEI DEPUTATI - PARERE APPROVATO

La Commissione speciale per l'esame di atti del Governo,

   esaminato lo Schema di decreto legislativo recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (Atto n.22);

   premesso che:

    lo schema di decreto legislativo in esame reca disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;

    il Parlamento, con legge di delegazione europea 25 ottobre 2017, n.163, in vigore dal 21 novembre 2017, ha delegato il Governo ad adottare uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del Regolamento, «acquisiti i pareri delle competenti Commissioni parlamentari e del Garante per la protezione dei dati personali»;

    l'articolo 13 della citata legge n.163 del 2017 stabilisce i princìpi e criteri direttivi a cui l'esercizio della delega deve attenersi;

    nel dicembre 2017 è stata nominata presso il Ministero della giustizia la commissione di esperti incaricata di elaborare il testo del provvedimento;

    i lavori della commissione, a cui ha preso parte il Garante per la protezione dei dati personali, sono stati avviati nel gennaio 2018 e sono stati conclusi a metà marzo 2018;

    il Consiglio dei ministri ha approvato, in esame preliminare, uno schema di decreto legislativo in attuazione dell'articolo 13 della predetta legge di delegazione europea, che è stato trasmesso alle Camere soltanto il 10 maggio 2018;

    il termine per l'esercizio della delega è scaduto il 21 maggio 2018 e che tuttavia esso è stato prorogato di tre mesi, ai sensi dell'articolo 31 della legge n.234 del 2012, mentre il Regolamento (UE) 2016/679, risultando direttamente applicabile, è entrato comunque in vigore il 25 maggio 2018;

    al momento coesistono, pertanto, due fonti normative in materia di privacy: il Regolamento UE ed il Codice della privacy;

    il Garante per la protezione dei dati personali, in data 22 maggio 2018, ha espresso un articolato parere nel quale sono sollevate criticità di cui si deve necessariamente dar conto anche nella sede consultiva parlamentare;

    dati i tempi entro cui si è dovuto svolgere il lavoro parlamentare a causa dei tempi di predisposizione e trasmissione dello schema di decreto da parte del Governo, rispetto alla scadenza della delega, il 23 maggio 2018 gli Uffici di presidenza, integrati dai rappresentanti dei gruppi, delle Commissioni speciali della Camera e del Senato, al fine di acquisire i necessari elementi istruttori per l'esame del provvedimento, hanno congiuntamente proceduto in modo tempestivo all'audizione di esperti, soggetti della società civile, professionisti, operatori dei settori coinvolti e destinatari delle disposizioni in tema di privacy;

   considerato che lo schema di decreto:

    si compone di 28 articoli, raggruppati in sei Capi, che abrogano o modificano in maniera rilevante gran parte degli articoli del Codice della privacy di cui al decreto legislativo n.196 del 2003;

    prevede la sostituzione generalizzata delle sanzioni penali con sanzioni amministrative e mantiene la rilevanza penale del trattamento illecito dei dati di cui all'articolo 167 del Codice della privacy, aggiungendo due fattispecie autonome di reato: la comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone, di cui all'articolo 167-bis, e l'acquisizione fraudolenta di dati personali, di cui all'articolo 167-ter;

    prevede una stabilizzazione dell'aumento dell'organico del Garante a 162 unità, come già gradualmente previsto da norme recenti, e opera una parificazione delle relative retribuzioni a quelle dell'Autorità per le garanzie nelle comunicazioni;

    prevede la possibilità di uso dei social network da parte dei minori di 16 anni con il consenso prestato da chi esercita la potestà genitoriale;

    per garantire la continuità delle situazioni giuridiche, fa salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di un successivo riordino da parte del Garante stesso, nonché i codici deontologici vigenti;

    prevede, per le micro, piccole e medie imprese, che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento dei dati personali;

    non apporta modifiche, infine, alle disposizioni concernenti le comunicazioni elettroniche, in attesa che venga emanato il regolamento europeo in materia;

   considerato altresì che:

    lo schema di decreto in esame deve essere valutato alla luce di due parametri: da un lato, il rispetto della delega conferita dall'articolo 13, comma 3, della legge di delegazione europea 25 ottobre 2017, n.163, ivi compresa la previsione dell'assenza di oneri per la finanza pubblica, e dei principi e criteri direttivi generali di cui all'articolo 32 della legge n.234 del 2012, dall'altro, la rispondenza al Regolamento (UE) 2016/679;

    il citato schema è stato trasmesso alle Camere quasi allo scadere del termine per l'esercizio della delega e nell'imminenza della diretta applicazione del Regolamento (UE) 2016/679 nel nostro ordinamento e che, ciò nonostante, gli Uffici di presidenza delle Commissioni speciali hanno svolto, come detto, un'ampia attività conoscitiva le cui risultanze sono prese in larga considerazione ai fini della formulazione del presente parere;

    per escludere il rischio di un eccesso di delega – con riferimento, in particolare, all'articolo 13, comma 3, lettera b), della legge n.163 del 2017 – il precedente Governo ha ritenuto di non procedere all'abrogazione del Codice della privacy o alla sua intera sostituzione, limitandosi ad apportare modifiche e integrazioni al Codice stesso;

    uno degli elementi da tenere in considerazione è il coordinamento tra il Regolamento (UE) 2016/679 e l'ordinamento interno, al fine di dare ai cittadini, alle imprese e alle amministrazioni coinvolte a vario titolo un quadro di certezza normativa rispetto a diritti, doveri, adempimenti, responsabilità, procedure e sanzioni;

    in alcuni punti dello schema di decreto in oggetto si ravvisa un difficile coordinamento con il quasi contemporaneo decreto legislativo n.51 del 2018 recante attuazione della direttiva (UE) 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI, il che espone alla possibilità di successivi interventi correttivi da adottare con appositi decreti, in conformità alle procedure previste dall'articolo 31 della legge n.234 del 2012, richiamate dalla norma di delega di cui all'articolo 13 della legge n.163 del 2017;

    un altro elemento, emerso anche nel corso dell'attività conoscitiva, attiene alla compatibilità costituzionale e ordinamentale del quadro sanzionatorio recato dallo schema di decreto;

    ciò vale in primo luogo – ma non esclusivamente – per la retroattività della sanzione amministrativa che sostituisce la sanzione penale, ai sensi dell'articolo 24 dello schema, che potrebbe risultare in contrasto con il principio di irretroattività della legge penale sancito dall'articolo 25, secondo comma, della Costituzione, e – per il tramite dell'articolo 117 della Costituzione – dall'articolo 7 CEDU;

    un profilo di tipo ordinamentale che potrebbe essere coordinato meglio – con effetti potenziali sulla certezza del diritto e sulla ragionevolezza del trattamento destinato alle corrispondenti situazioni soggettive – deriverebbe dal fatto che le sanzioni amministrative introdotte siano prive del minimo edittale;

    il Codice della privacy prevedeva un sistema di sanzioni che operavano da un minimo ad un massimo, così consentendo la definizione agevolata anticipata tipica del regime interno delle sanzioni amministrative;

    nello schema di decreto in esame la cosiddetta oblazione amministrativa si applica invece – ai sensi dell'articolo 25, comma 5 – ai soli fatti passati e non alle sanzioni comminate successivamente all'entrata in vigore della nuova disciplina;

    l'articolo 166 del decreto legislativo 30 giugno 2003 n.196, recante criteri di applicazione delle sanzioni amministrative e pecuniarie e procedimento per l'adozione dei provvedimenti correttivi e sanzionatori, come modificato dall'articolo 15 del presente schema di decreto, al comma 8 esclude espressamente che si applichi l'articolo 16 della legge n.689 del 1981, limitandosi a prevedere, al comma 9, che il trasgressore possa pagare la metà della sanzione irrogata dal Garante, senza stabilire, tuttavia, l'entità cui commisurare con certezza la definizione agevolata;

    si potrebbe tuttavia prevedere, compatibilmente con il rispetto dei principi e criteri direttivi della delega, al fine di salvaguardare soprattutto la posizione delle micro, piccole e medie imprese, che nell'adozione dei provvedimenti sanzionatori il Garante ha riguardo alla gravità della violazione, all'opera svolta dall'agente per l'eliminazione o attenuazione delle conseguenze della violazione, al grado di responsabilità o eventuali precedenti violazioni pertinenti, nonché alla personalità dello stesso, alle sue condizioni economiche ovvero alla dimensione dell'impresa;

    i trattamenti di dati posti in essere dal datore di lavoro privato in forza di un obbligo di legge o del contratto di lavoro sono autorizzati, in via generale, dall'articolo 6, paragrafo 1, lettera b), del Regolamento (UE) 2016/679;

    l'articolo 110-bis del decreto legislativo 30 giugno 2003 n.196, in materia di riutilizzo dei dati a fini di ricerca scientifica o a fini statistici, come modificato dall'articolo 8, comma 1, lettera s), del presente schema di decreto, sebbene volto a inquadrare a livello sistematico le citate norme sul riutilizzo dei dati con quelle introdotte dall'articolo 28 della legge europea n.167 del 2017, appare suscettibile di sollevare dubbi interpretativi e perplessità, laddove non consente al Garante di autorizzare il riutilizzo dei dati genetici a fini di ricerca scientifica o a fini statistici da parte di soggetti che svolgano principalmente tali attività;

    la formulazione dell'articolo 154-ter del decreto legislativo 30 giugno 2003 n.196, inserito dall'articolo 14, comma 1, lettera d), del presente schema di decreto, in materia di potere di agire e rappresentanza in giudizio, appare poco chiara con riferimento al patrocinio obbligatorio dell'Avvocatura dello Stato e al patrocinio facoltativo;

    con riferimento agli articoli successivi, che devono essere coordinati con le sanzioni amministrative di cui sopra, si dovrebbe incidere sulla chiarezza dell'intervento di depenalizzazione conseguente alle abrogazioni recate dall'articolo 27 dello schema di decreto, pur in presenza dell'introduzione di sanzioni pecuniarie che possono assumere notevolissima entità;

    all'articolo 166 del decreto legislativo 30 giugno 2003 n.196, recante criteri di applicazione delle sanzioni amministrative e pecuniarie e procedimento per l'adozione dei provvedimenti correttivi e sanzionatori, come modificato dall'articolo 15 del presente schema di decreto, al comma 9 appare opportuno specificare quale sia la disciplina del ricorso e, dunque, quale sia il termine entro il quale procedere al pagamento, anche tenuto conto che la richiamata legge n.689 del 1981, come rilevato dal Garante, non usa l'espressione ricorso bensì quella «opposizione all'ordinanza di pagamento»;

    con riferimento agli illeciti penali e amministrativi, in ordine all'elemento soggettivo del delitto di trattamento illecito di dati, di cui al novellato articolo 167 del decreto legislativo 30 giugno 2003 n.196, appare necessario riflettere sulla scelta di non considerare, quale oggetto alternativo del dolo specifico, anche il nocumento, nonché garantire la continuità normativa con la fattispecie vigente, esponendosi altrimenti agli effetti dell’abolitio criminis;

    appare necessario coordinare la disposizione di cui all'articolo 167, comma 6, del decreto legislativo 30 giugno 2003 n.196, con quanto previsto dall'articolo 187-terdecies del decreto legislativo n.58 del 1998, che limita l'esazione della pena pecuniaria «alla parte eccedente quella riscossa dall'Autorità amministrativa», circostanza che non ricorre nella disposizione in esame;

    in relazione alle fattispecie di reato introdotte all'articolo 167-bis del decreto legislativo 30 giugno 2003 n.196, in materia di comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone, appare preferibile inserire tra i soggetti attivi del reato le persone che possono operare quali autorizzate al trattamento nonché includere – quale oggetto alternativo del dolo specifico – il nocumento, così non limitando la condotta sanzionata al solo dolo di profitto;

    all'articolo 167, comma 2, del decreto legislativo 30 giugno 2003 n.196, è omesso il riferimento alle misure di garanzia previste dall'articolo 2-septies del medesimo decreto legislativo, inserito dall'articolo 2, comma 1, lettera e), del presente schema, per i dati genetici, biometrici e relativi alla salute;

    appare necessario coordinare l'articolo 167-bis e l'articolo 167-ter del decreto legislativo 30 giugno 2003 n.196, giacché, mentre l'articolo 167-ter punisce l'acquisizione fraudolenta di dati da parte di chiunque, ma non la loro successiva diffusione, l'articolo 167-bis limita invece la punibilità della comunicazione e della diffusione illecita di dati personali riferibile ad un rilevante numero di persone ai soli titolare responsabile e incaricato;

    l'abrogazione dell'articolo 170 – in controtendenza rispetto alle scelte compiute quasi contemporaneamente in sede di recepimento della direttiva (UE) 2016/680 e, in particolare, all'introduzione, in quella sede disposta, di una norma incriminatrice dell'inosservanza dei provvedimenti del Garante – è suscettibile di determinare una irragionevole disparità di trattamento, posto che l'inadempimento del medesimo provvedimento del Garante verrebbe ad essere privo di sanzione o coperto da sanzione a seconda del soggetto che pone in essere la condotta lesiva;

    i richiami operati con riferimento all'articolo 124 del decreto legislativo 30 giugno 2003, n.196, in materia di fatturazione dettagliata, non rendono agevole capire se la relativa violazione è sanzionata ai sensi del paragrafo 5 dell'articolo 83 del Regolamento (UE) 2016/679, come sembrerebbe tenuto conto della diretta applicabilità del Regolamento stesso;

    tra le finalità di rilevante interesse pubblico elencate dall'articolo 2-sexies del decreto legislativo 30 giugno 2003, n.196, concernente il trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante, inserito dall'articolo 2, comma 1, lettera e), del presente schema di decreto, non se ne rinvengono, né secondo l'Autorità garante sembra possibile ricavarle in via interpretativa, alcune di particolare rilevanza, con la conseguenza di rendere difficile il corretto trattamento dei relativi dati ai sensi dell'articolo 9, paragrafo 1, lettera g), del Regolamento (UE) 2016/679, tanto che la stessa Agenzia delle entrate, come segnalato dal rappresentante del Governo nella seduta della Commissione speciale del Senato del 23 maggio 2018, ha evidenziato una lacuna riguardo alla omissione della tenuta dei registri pubblici relativi a beni immobili o mobili;

    all'articolo 2-septies del decreto legislativo 30 giugno 2003, n.196, recante misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute, inserito dall'articolo 2, comma 1, lettera e), del presente schema di decreto, non sono indicate le misure di garanzia che potranno essere adottate dal Garante;

    infatti, l'elencazione a titolo meramente esemplificativo, di cui al comma 4 del citato articolo 2-septies, delle materie rispetto alle quali il Garante può adottare misure di garanzia, lascia all'interprete margini di discrezionalità suscettibili di pregiudicare, secondo lo stesso Garante, la necessaria certezza del diritto;

    potrebbero peraltro non essere ritenute legittime, ai sensi dell'articolo 9, paragrafi 1 e 2, lettera b), del Regolamento (UE) 2016/679, le tecniche di riconoscimento biometrico per specifiche finalità di sicurezza, in aggiunta o in sostituzione degli ordinari sistemi di autenticazione informatica;

    al fine di evitare incertezze di carattere interpretativo, si potrebbe pertanto autorizzare il trattamento di dati biometrici quando le esigenze di sicurezza e integrità dei sistemi o delle aree (ad esempio, dei locali ove sono custoditi dati e informazioni di particolare delicatezza) richiedono un maggior grado di certezza dell'identità del soggetto legittimato all'utilizzo di sistemi o all'accesso alle aree indicate, anche al fine di scongiurare il rischio di cessione illegittima o di furto di credenziali;

    in relazione alle modalità di verifica delle autorizzazioni generali, di cui all'articolo 21 del presente schema di decreto, i termini di soli novanta giorni, stabiliti per consentire al Garante l'adozione del provvedimento generale con il quale si individuano le prescrizioni delle autorizzazioni generali compatibili con il Regolamento (UE) 2016/679, appaiono eccessivamente brevi, anche in considerazione del necessario svolgimento del procedimento di consultazione pubblica;

    all'articolo 2-novies del decreto legislativo 30 giugno 2003, n.196, in materia di inutilizzabilità dei dati, inserito dall'articolo 2, comma 1, lettera e), del presente schema di decreto, appare opportuno coordinare la disciplina in esso contenuta con quella sulla valutazione, in sede giudiziaria, della validità, efficacia e utilizzabilità di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a norme legislative o regolamentari;

    all'articolo 2-quaterdecies del decreto legislativo 30 giugno 2003, n.196, concernente il trattamento che presenta rischi specifici per l'esecuzione di un compito di interesse pubblico, inserito dall'articolo 2, comma 1, lettera e), del presente schema di decreto, appare opportuno introdurre un parametro valutativo per i «rischi particolarmente elevati», ivi richiamati;

    peraltro, a questo proposito, il Garante nazionale ha sottolineato che la disposizione, facendo riferimento a «rischi particolarmente elevati», sembra introdurre una nuova categoria di trattamenti i quali richiederebbero un intervento interpretativo per individuare le fattispecie soggette all'autorizzazione preliminare, di difficile apprezzamento per i titolari e di dubbia compatibilità con il Regolamento (UE) 2016/679, giacché quest'ultimo, agli articoli 35 e 36, fa riferimento solo a «rischi elevati», e ha pertanto suggerito di espungere l'avverbio «particolarmente» dal medesimo articolo 2-quaterdecies;

    all'articolo 2-quinquiesdecies del decreto legislativo 30 giugno 2003, n.196, in materia di organismo nazionale di accreditamento, inserito dall'articolo 2, comma 1, lettera e), del presente schema di decreto, si potrebbe valutare l'opportunità di definire puntualmente la distinzione tra i ruoli svolti dall'ente nazionale di accreditamento (Accredia) e l'autorità di supervisione (Garante), anche al fine di evitare sovrapposizioni, contenziosi e conflitti di interesse, precisando i criteri sulla base dei quali sono individuate dal Garante le categorie di trattamento in relazione alle quali il Garante stesso riserva a sé le funzioni di accreditamento, riservando a quest'ultimo le funzioni di accreditamento relative ai dati genetici, biometrici e relativi alla salute;

    all'articolo 122 del decreto legislativo 30 giugno 2003, n.196, in materia di informazioni raccolte nei riguardi del contraente o dell'utente, come modificato dall'articolo 11 del presente schema di decreto, al comma 1 appare irragionevole la mancata previsione della possibilità di informare gli interessati «con modalità semplificate» nell'ambito dei servizi di comunicazione elettronica, che includono anche il trattamento attraverso siti internet, con modalità tali da rendere comprensibili agli utenti il trattamento che si intende effettuare;

    all'articolo 18 del presente schema di decreto, il dies ad quem per la definizione dei procedimenti sanzionatori da parte del Garante è individuato al 21 marzo 2018 anziché alla data di entrata in vigore del presente schema di decreto o a quella del Regolamento (UE) 2016/679;

    al fine di tutelare i soggetti maggiormente vulnerabili, potrebbe essere opportuno prevedere più diffusamente il ricorso ad un linguaggio chiaro, idoneo ed adeguato, con particolare riguardo ai minori, sia in relazione alle informazioni e comunicazioni, sia alla modulistica, alle regole deontologiche e alle procedure previste;

    la norma transitoria di cui all'articolo 139, comma 2, del decreto legislativo 30 giugno 2003, n.196, recante regole deontologiche relative ad attività giornalistiche, come modificata dall'articolo 12, comma 1, lettera f), del presente schema di decreto, non appare coordinata con la disciplina transitoria di cui all'articolo 20 del medesimo schema, che prende in specifica considerazione anche il vigente Codice per il trattamento dei dati in ambito giornalistico;

    all'articolo 142 del decreto legislativo 30 giugno 2003, n.196, concernente la proposizione del reclamo, come modificato dall'articolo 12, comma 1, lettera e), del presente schema di decreto, lo svolgimento del procedimento davanti al Garante viene demandato ad un regolamento amministrativo senza che vengano definiti i principi del contraddittorio tipici delle norme di procedura, stabilite con leggi primarie, delle altre Authority pubbliche, con ciò determinando una possibile violazione dei principi di cui all'articolo 6 della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali;

    l'articolo 11 del presente schema di decreto reca limitate modifiche agli articoli da 121 a 134 del decreto legislativo 30 giugno 2003, n.196, in materia di comunicazioni elettroniche, a suo tempo inseriti in attuazione della direttiva 2002/58/CE, come successivamente modificata, le cui disposizioni, pur non essendo oggetto della nuova disciplina sulla protezione dei dati, hanno rilevato, nel corso dell'attività conoscitiva, diverse criticità;

    nel corso dell'attività conoscitiva sono emersi dubbi in ordine alla figura del Data Protection Officer (DPO), il Responsabile del trattamento dei dati, di cui all'articolo 37 del Regolamento (UE) 2016/679;

    in particolare, non risulta chiaro se anche le piccole imprese debbano provvedere alla designazione del responsabile per la protezione dei dati e alla tenuta del registro per le operazioni relative al trattamento dei dati, posto che i corrispondenti obblighi valgono per quelle strutture che debbono provvedere a un trattamento di dati «su larga scala»;

    si potrebbe pertanto valutare l'opportunità di precisare più puntualmente la nozione di dati su larga scala o, in alternativa, si potrebbe escludere dall'obbligo di designazione del DPO una serie di soggetti in ragione del tipo di attività da essi svolta o del volume dell'attività da essi realizzata, ovvero si potrebbe prevedere una semplificazione di tale obbligo;

    nel caso delle scuole, il Garante ha tracciato il profilo delle competenze professionali a cui il DPO/RPD deve rispondere, trattandosi di una figura che non può essere reperita tra le professionalità a disposizione di una scuola, ma soltanto attraverso una onerosa ricerca di mercato;

    in questo quadro, si dovrebbe pertanto garantire che la nomina del RPD sia effettuata a livello di amministrazione centrale o periferica e non dalla singola scuola, individuando un apposito ufficio (regionale o nazionale) dotato di personale in grado di fornire la necessaria consulenza, fermo restando che, in merito alla soluzione di tale problematica, peraltro emersa nel corso dell'attività conoscitiva, non residuano spazi di intervento per il legislatore delegato;

    è stato comunque sollecitato nel corso dell'attività conoscitiva un chiarimento sul fatto che tale valutazione non deve essere effettuata da parte delle singole scuole, che temono di essere lasciate sole nella gestione di tale problematica, ma dall'amministrazione centrale (il MIUR), in ragione della sua contitolarità nella responsabilità del trattamento e gestione dei dati;

    poiché in materia di sanzioni potrebbe esservi incertezza sui poteri del Garante, si potrebbe indicare più precisamente l'applicazione progressiva dei poteri correttivi del Garante medesimo, tenendo conto della proporzionalità e della gravità delle eventuali violazioni rilevate e dell'eventuale recidiva;

    il Regolamento (UE) 2016/679 introduce, all'articolo 40, il codice di condotta, che tuttavia non è al momento utilizzabile senza le indicazioni uniformi sul funzionamento del monitoraggio dei codici di condotta approvati, previsto dall'articolo 41 del medesimo Regolamento;

    ciò stante, in caso di violazione dei nuovi adempimenti introdotti dal citato Regolamento, si potrebbero applicare solo i poteri correttivi attribuiti al Garante ai sensi dell'articolo 58, paragrafo 2, del Regolamento medesimo, in luogo delle sanzioni economiche;

    il Regolamento introduce il principio della accountability, in virtù del quale il titolare del trattamento dei dati è responsabile dell'adozione di misure appropriate ed efficaci per la protezione dei dati, senza la previsione di obblighi formali a suo carico;

    pertanto, poiché la valutazione di tali misure è rimessa al titolare ed esse non sono più soggette all'autorizzazione del Garante, emerge la necessità di dare indicazioni coerenti anche agli organi di controllo;

    non essendo previsto un minimo edittale e non potendosi quindi applicare l'istituto del pagamento in misura ridotta, di cui all'articolo 16 della legge n.689 del 1981, aumenta il potere discrezionale del Garante;

    al riguardo, fermo restando che l'apparato sanzionatorio deve essere progressivo ed adeguato, andrebbe valutata la coerenza dell'applicazione di sanzioni amministrative, che possono giungere fino al 4 per cento del fatturato mondiale totale annuo, con la giurisprudenza della Corte europea dei diritti dell'uomo, giacché sanzioni pecuniarie così elevate e incisive denotano una valenza afflittiva assimilabile, ai fini delle garanzie, a quella delle sanzioni penali;

    sarebbe opportuno stabilire, analogamente a quanto già previsto in altri settori in cui Autorità amministrative indipendenti irrogano rilevanti sanzioni amministrative (ad esempio, Consob, Banca d'Italia, IVASS), che i procedimenti di controllo a carattere contenzioso e sanzionatori per violazione della normativa sulla privacy siano svolti nel rispetto dei principi della piena conoscenza degli atti istruttori, del contraddittorio, della verbalizzazione nonché della distinzione tra funzioni istruttorie e funzioni decisorie rispetto all'irrogazione della sanzione;

    con riguardo all'articolo 2-decies del decreto legislativo 30 giugno 2003, n.196, recante limitazioni ai diritti dell'interessato, inserito dall'articolo 2, comma 1, lettera e), del presente schema di decreto, sarebbe opportuno valutare se tra i casi al ricorrere dei quali l'esercizio dei diritti può essere limitato, si possa inserire anche un riferimento alle disposizioni di contrasto al finanziamento del terrorismo e alla proliferazione delle armi di distruzione di massa, compatibilmente con l'elenco delle situazioni, individuate dall'articolo 23 del Regolamento (UE) 2016/679, al ricorrere delle quali l'esercizio dei diritti dell'interessato – di accesso, cancellazione, portabilità – può essere limitato dallo Stato membro;

    con riguardo all'articolo 2-septies del decreto legislativo 30 giugno 2003, n.196, recante misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute, inserito dall'articolo 2, comma 1, lettera e), del presente schema di decreto, nonostante le preoccupazioni e considerazioni emerse nel corso dell'attività conoscitiva, si è ritenuto di non precisare che le misure di garanzia recate dal Garante, da cui derivano quelle di sicurezza per le imprese (ad esempio cifratura, crittografia, minimizzazione), siano applicabili limitatamente ai trattamenti su larga scala, per non determinare trattamenti differenziati non conciliabili con le previsioni del predetto Regolamento;

    con riguardo all'articolo 52 del decreto legislativo 30 giugno 2003, n.196, in materia di dati identificativi degli interessati, come modificato dall'articolo 3, comma 2, lettera c), del presente schema di decreto, si ritiene utile mantenere l'attuale formulazione della disposizione dello schema, che garantisce una più ampia tutela del diritto alla riservatezza nell'ambito degli atti giudiziari, posto che l'attività di cancellazione dei dati dei soggetti coinvolti da atti giudiziari e simili viene in ogni caso rimessa all'iniziativa dell'interessato, il quale, con specifica manifestazione di interesse, può attivare o meno la procedura, senza aggravio di oneri in capo agli uffici giudiziari e alle altre autorità eventualmente competenti;

    con riguardo all'articolo 96 del decreto legislativo 30 giugno 2003, n.196, in materia di trattamento di dati relativo a studenti, come modificato dall'articolo 7, comma 1, del presente schema di decreto, nel corso dell'attività conoscitiva è emersa l'esigenza di consentire agli istituti scolastici l'uso di foto ed immagini degli studenti anche attraverso forme di pubblicazione sul sito istituzionale, previa adeguata informativa agli interessati e nel rispetto del principio di minimizzazione dei trattamenti;

    in questa sede, alla luce dei principi e criteri direttivi della legge di delega n.163 del 2017, non è invece possibile intervenire sulla eventuale compensazione economica, anche tramite una maggiore retribuzione, a beneficio dei dirigenti scolastici a fronte delle nuove responsabilità che gravano su di essi;

    all'articolo 142 del decreto legislativo 30 giugno 2003, n.196, in materia di proposizione del reclamo, come modificato dall'articolo 13, comma 1, lettera e), del presente schema di decreto, si potrebbe valutare l'opportunità di integrare le disposizioni del comma 5 con un richiamo ai principi del giusto processo, posto che la disposizione demanda ad un regolamento del Garante la disciplina del «processo» dinnanzi al Garante medesimo, senza salvaguardare i principi del contraddittorio e del giusto processo;

    potrebbe pertanto determinarsi il rischio di un abbassamento degli standard di tutela e partecipazione degli interessati al procedimento, anche in considerazione del fatto che non vi è una chiara separazione tra funzioni istruttorie e di accusa e funzioni decisorie e non risultano richiami al principio della piena conoscibilità degli addebiti, di accesso ai documenti contenuti nel fascicolo e di esercizio dei poteri di difesa;

    con riguardo all'articolo 22, comma 12, del presente schema di decreto, recante disposizioni transitorie e finali, sarebbe auspicabile specificare quali norme contenute nel decreto legislativo n.196 del 2003, in materia di trattamento di dati genetici, biometrici o relativi alla salute, e che risultano oggetto di abrogazione, ai sensi del medesimo schema di decreto, resteranno applicabili nel periodo transitorio, anche al fine di favorire una interpretazione più agevole delle disposizioni applicabili;

    con riferimento specifico alla salvaguardia dei diritti del minore in materia di protezione dei dati personali e salvaguardia dei suoi diritti e libertà fondamentali, in un'ottica di maggior tutela di tale categoria di soggetti, sarebbe opportuna la previsione di una serie di strumenti semplificati e una revisione dei criteri di legittimazione per interagire con il Garante;

    con riguardo all'impianto sanzionatorio, nel corso dell'attività conoscitiva è emerso un contrasto dottrinario sulla possibile violazione del divieto di bis in idem, alla luce della giurisprudenza della Corte europea dei diritti dell'uomo, della Corte di giustizia dell'Unione europea, nonché delle supreme autorità giurisdizionali italiane;

    l'articolo 27 del presente schema di decreto prevede, tra l'altro, l'abrogazione dell'articolo 22 del decreto legislativo n.196 del 2003 in tema di principi applicabili al trattamento dei dati sensibili o giudiziari, che, al comma 12, stabilisce che «Le disposizioni di cui al presente articolo recano principi applicabili, in conformità ai rispettivi ordinamenti, ai trattamenti disciplinati dalla Presidenza della repubblica, dalla Camera dei deputati, dal Senato della Repubblica e dalla Corte costituzionale»;

    la norma in vigore non appare contrastare in alcun modo il Regolamento (UE) 2016/679, nel quale è prevista la valorizzazione dell'interesse pubblico e delle finalità istituzionali ai fini del trattamento dei dati personali ivi compresi i «dati sensibili», ridenominati dal Regolamento «categorie particolari di dati personali»;

    in tale contesto, in ossequio ai noti principi di autonomia degli Organi costituzionali, appare necessario prevedere espressamente, nello schema di decreto in esame, che siano gli stessi Organi costituzionali ad adeguare i propri ordinamenti al Regolamento europeo;

   tutto ciò considerato, appare pertanto necessario apportare profonde correzioni e integrazioni allo schema di decreto, sulla base delle precedenti considerazioni e delle condizioni e delle osservazioni che seguono, in modo da far sì che il testo definitivo risulti elaborato in un linguaggio chiaro, che consenta una facile applicazione della nuova disciplina, senza richiedere l'intervento di consulenti giuridici chiamati a chiarirne la portata e gli effetti, in modo da escludere ulteriori oneri economici in capo ai destinatari;

   tenuto conto della complessità della materia e della costante e rapida evoluzione tecnologica e sociale, tuttavia, è opportuno sottolineare che la legislazione non può comunque individuare ex ante tutti i profili critici che richiedono regolamentazione e non è quindi escluso che nel prossimo futuro, anche alla luce delle prime esperienze applicative, saranno necessari interventi integrativi e modificativi della nuova disciplina da adottare con decreti correttivi, in conformità alle procedure previste dall'articolo 31 della legge n.234 del 2012, richiamate dalla norma di delega di cui all'articolo 13 della legge n.163 del 2017;

esprime:

PARERE FAVOREVOLE

  con le seguenti condizioni:

   1) all'articolo 2-quinquies del decreto legislativo 30 giugno 2003, n.196, in materia di consenso del minore in relazione ai servizi della società dell'informazione, inserito dall'articolo 2, comma 1, lettera e), del presente schema di decreto, al comma 1 sia sostituita la parola: «sedici» con la seguente: «quattordici»;

   2) all'articolo 2-sexies del decreto legislativo 30 giugno 2003, n.196, concernente il trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante, inserito dall'articolo 2, comma 1, lettera e), del presente schema di decreto, al comma 2, siano apportate le seguenti modificazioni:

    dopo la lettera b), inserire la seguente: «b-bis) tenuta di registri pubblici relativi a beni immobili o mobili»;

    alla lettera e), aggiungere in fine le seguenti parole: «esercizio del mandato degli organi rappresentativi, ivi compresa la loro sospensione o il loro scioglimento, nonché l'accertamento delle cause di ineleggibilità, incompatibilità o di decadenza, ovvero di rimozione o sospensione da cariche pubbliche»;

    dopo la lettera e), aggiungere le seguenti:

   «e-bis) documentazione dell'attività istituzionale di organi pubblici, con particolare riguardo alla redazione di verbali e resoconti dell'attività di assemblee rappresentative, commissioni e di altri organi collegiali o assembleari;

   e-ter) svolgimento delle funzioni di controllo, indirizzo politico, inchiesta parlamentare o sindacato ispettivo e l'accesso a documenti riconosciuto dalla legge e dai regolamenti degli organi interessati per esclusive finalità direttamente connesse all'espletamento di un mandato elettivo»;

    dopo la lettera v), aggiungere la seguente: «v-bis) programmazione, gestione, controllo e valutazione dell'assistenza sanitaria, nonché vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all'immissione in commercio e all'importazione di medicinali e di altri prodotti di rilevanza sanitaria»;

   3) all'articolo 2-septies del decreto legislativo 30 giugno 2003, n.196, recante misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute, inserito dall'articolo 2, comma 1, lettera e), del presente schema di decreto, siano apportate le seguenti modificazioni:

    siano specificate, in un elenco tassativo e non meramente esemplificativo, le materie rispetto alle quali il Garante può adottare misure di garanzia, prevedendo altresì che tali misure individuano quelle di sicurezza, ivi comprese tecniche di cifratura e di pseudonimizzazione, misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati;

    dopo il comma 6, aggiungere il seguente: «6-bis. Fatto salvo quanto previsto dall'articolo 9, paragrafo 1, del Regolamento, ai fini del rispetto dei principi in materia di protezione dei dati personali, con riferimento agli obblighi di cui all'articolo 32 del Regolamento, è ammesso l'utilizzo dei dati biometrici con riguardo alla protezione dei supporti informatici e alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia e nei casi individuati ai sensi del presente articolo»;

   4) dopo l'articolo 2-octies del decreto legislativo 30 giugno 2003, n.196, inserito dall'articolo 2, comma 1, lettera e), del presente schema di decreto, aggiungere il seguente: «2-octies.1 Le disposizioni degli articoli 2-sexies, 2-septies e 2-octies del presente decreto legislativo recano principi applicabili, in conformità ai rispettivi ordinamenti, ai trattamenti delle categorie di dati personali di cui agli articoli 9, paragrafo 1, e 10 del Regolamento, disciplinati dalla Presidenza della Repubblica, dal Senato della Repubblica, dalla Camera dei deputati e dalla Corte costituzionale».

   5) l'articolo 2-decies del decreto legislativo 30 giugno 2003, n.196, recante limitazioni ai diritti dell'interessato, inserito dall'articolo 2, comma 1, lettera e), del presente schema di decreto, sia coordinato con la recente disciplina in materia di whistleblowing, di cui alla legge 30 novembre 2017, n.179, che tutela, a determinate condizioni, la riservatezza del segnalante;

   6) all'articolo 136 del decreto legislativo 30 giugno 2003, n.196, come modificato dall'articolo 12, comma 1, lettera b), del presente schema di decreto, sia soppressa la parola «occasionale», al fine di adeguare più compiutamente il disposto del medesimo articolo 136 a quanto previsto dall'articolo 85 del Regolamento (UE) 2016/679;

   7) all'articolo 166 del decreto legislativo 30 giugno 2003, n.196, recante criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l'adozione dei provvedimenti correttivi e sanzionatori, come modificato dall'articolo 15, comma 1, lettera a), del presente schema di decreto, siano apportate le seguenti modificazioni:

    al comma 2, sia soppresso il seguente numero: «152»;

    al comma 6, si preveda la notificazione della contestazione all'interessato anziché la mera comunicazione, giacché quest'ultima risulta priva delle caratteristiche di certezza necessarie nell'ambito dei procedimenti sanzionatori e prescrittivi amministrativi;

    al comma 8, si preveda che i proventi delle sanzioni, nella misura del 50 per cento del totale annuo, siano riassegnati al fondo di cui all'articolo 156, comma 8, per essere destinati alle specifiche attività di sensibilizzazione e di ispezione nonché di attuazione del Regolamento svolte dal Garante;

    al comma 9, al fine di allineare il termine ivi previsto alla disciplina vigente in materia di ricorsi avverso i provvedimenti del Garante, dopo le parole: «Entro il termine» inserire le seguenti: «di cui all'articolo 10, comma 3, del decreto legislativo n.150 del 2011»; inoltre, dopo le parole: «prescrizioni del Garante», aggiungere le seguenti: «, ove impartite,»;

   8) all'articolo 167 del decreto legislativo 30 giugno 2003, n.196, in materia di trattamento illecito dei dati, come modificato dall'articolo 15, comma 1, lettera b), del presente schema di decreto, al comma 2, sostituire le parole: «ad esso relative» con le seguenti: «di cui all'articolo 2-septies»;

   9) all'articolo 171 del decreto legislativo 30 giugno 2003, n.196, recante violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori, come modificato dall'articolo 15, comma 1, lettera e), del presente schema di decreto, sostituire le parole: «commi 1 e 2» con le seguenti: «comma 1», giacché il comma 2 dell'articolo 4 della legge n.300 del 1970, concernente gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi e delle presenze, risulta di carattere concessorio e non limitativo e pertanto dovrebbe essere espunto;

   10) agli articoli 167, 167-bis e 167-ter del decreto legislativo 30 giugno 2003, n.196, rispettivamente in materia di trattamento illecito di dati, comunicazione e diffusione illecita di dati riferibili a un rilevante numero di persone e acquisizione fraudolenta di dati personali, quali risultanti dalle modifiche e integrazioni introdotte dall'articolo 15, comma 1, lettere b) e c), del presente schema di decreto, sia inserita, oltre alla finalità del profitto per sé o per altri, anche quella del danno all'interessato, al fine di evitare di affievolire la tutela contro fatti incresciosi come il «revenge porn» o lo «slut shaming», che dovrebbero al contrario essere oggetto di attenta tutela;

   11) sia ripristinato l'articolo 170 del decreto legislativo 30 giugno 2003, n.196, recante il delitto di inosservanza di provvedimenti del Garante, abrogato dall'articolo 27 del presente schema di decreto, in rapporto alle scelte compiute in sede di recepimento della direttiva (UE) 2016/680 e, in particolare, all'introduzione, in quella sede, di una norma incriminatrice dell'inosservanza dei provvedimenti del Garante, del tutto analoga all'attuale articolo 170, posto che, qualora tale ultima norma venisse abrogata, si determinerebbe l'irragionevole conseguenza per cui l'inadempimento del medesimo provvedimento del Garante, se imputabile ad organi incaricati di funzioni di accertamento, prevenzione e repressione dei reati, integrerebbe gli estremi di tale delitto, mentre se imputabile a qualsiasi altro soggetto rileverebbe esclusivamente ai fini sanzionatori amministrativi;

   12) all'articolo 10 del decreto legislativo 1o settembre 2011, n.150, concernente la disciplina delle controversie relative all'applicazione delle disposizioni in materia di protezione dei dati personali, come modificato dall'articolo 17 del presente schema di decreto, al fine di precisare che il Garante presenta osservazioni, nel caso in cui non sia parte in giudizio, quando il giudice lo richiede, al comma 9 sia aggiunto, in fine, il seguente periodo: «Il Garante rende le osservazioni di cui al periodo precedente quando il giudice lo richiede.»;

   13) all'articolo 21 del presente schema di decreto, concernente le autorizzazioni generali del Garante per la protezione dei dati personali, apportare le seguenti modificazioni:

    al comma 1, siano sostituite le parole: «9, paragrafo 4» con le seguenti: «9, paragrafo 2, lettera b), e 4», al fine di richiamare anche la disciplina del trattamento di dati particolari nel campo del lavoro e della protezione sociale, materia anch'essa oggetto di autorizzazione generale suscettibile di verifica;

    il comma 2 sia sostituito dal seguente: «2. Le autorizzazioni generali, sottoposte a verifica a norma del comma 1, che sono state ritenute incompatibili con le disposizioni del Regolamento (UE) 2016/679 cessano di produrre effetti al momento della pubblicazione in Gazzetta Ufficiale del provvedimento di cui al comma 1.», al fine di prevedere che la cessazione degli effetti delle autorizzazioni generali ritenute incompatibili si produca al momento della pubblicazione nella Gazzetta Ufficiale della versione finale del provvedimento;

  e con le seguenti osservazioni:

   a) si valuti l'opportunità di sopprimere l'articolo 2, comma 1, lettere b) e c), del presente schema di decreto, in modo da ripristinare il testo degli articoli 1 e 2 del decreto legislativo 30 giugno 2003, n.196, recanti rispettivamente diritto alla protezione dei dati personali e finalità;

   b) all'articolo 2-quinquies del decreto legislativo 30 giugno 2003, n.196, in materia di consenso del minore in relazione ai servizi della società dell'informazione, inserito dall'articolo 2, comma 1, lettera e), del presente schema di decreto, si valuti l'opportunità di sostituire il comma 2 con il seguente: «2. In relazione all'offerta diretta ai minori dei servizi di cui al comma 1, il titolare del trattamento redige con linguaggio particolarmente chiaro, semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest'ultimo, le informazioni e le comunicazioni relative al trattamento che lo riguardi.»;

   c) all'articolo 2-novies del decreto legislativo 30 giugno 2003, n.196, in materia di inutilizzabilità dei dati, inserito dall'articolo 2, comma 1, lettera e), del presente schema di decreto, si valuti l'opportunità di precisare che in ogni caso l'utilizzazione processuale dei dati, comunque raccolti, ai fini della prova è consentita ai sensi dell'articolo 160, in materia di particolari accertamenti svolti dal Garante;

   d) all'articolo 2-duodecies del decreto legislativo 30 giugno 2003, n.196, concernente diritti riguardanti le persone decedute, inserito dall'articolo 2, comma 1, lettera e) del presente schema di decreto, si valuti l'opportunità di specificare se l'interessato per il quale si agisce a tutela sia il deceduto ovvero un altro soggetto portatore di un interesse proprio;

   e) all'articolo 2-quinquiesdecies del decreto legislativo 30 giugno 2003, n.196, in materia di organismo nazionale di accreditamento, inserito dall'articolo 2, comma 1, lettera e), del presente schema di decreto, si valuti l'opportunità di definire puntualmente la distinzione tra i ruoli svolti dall'ente nazionale di accreditamento (Accredia) e l'autorità di supervisione (Garante), anche al fine di evitare sovrapposizioni, contenziosi e conflitti di interesse, precisando i criteri sulla base dei quali sono individuate dal Garante le categorie di trattamento in relazione alle quali il Garante stesso riserva a sé le funzioni di accreditamento, riservando a quest'ultimo le funzioni di accreditamento relative ai dati genetici, biometrici e relativi alla salute;

   f) all'articolo 110-bis del decreto legislativo 30 giugno 2003, n.196, in materia di riutilizzo dei dati a fini di ricerca scientifica o a fini statistici, come modificato dall'articolo 7, comma 1, lettera s), del presente schema di decreto, si valuti l'opportunità di:

    sostituire il termine «riutilizzo», ovunque ricorra, con quello di «trattamento ulteriore da parte di terzi», conformemente al considerando n.50 del Regolamento (UE) 2016/679, specificando che l'autorizzazione del Garante può essere rilasciata anche in relazione a determinate categorie di titolari e di trattamenti e che, in questo caso, essa è pubblicata nella Gazzetta Ufficiale;

    al comma 1, di sopprimere le parole: «ad esclusione di quelli genetici»;

    modificare il comma 3 specificando che il trattamento a fini di ricerca da parte degli IRCSS dei dati raccolti per l'attività clinica è effettuato nel rispetto di quanto previsto dall'articolo 89 del Regolamento (UE) 2016/679, che disciplina garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;

   g) all'articolo 139 del decreto legislativo 30 giugno 2003, n.196, in materia di regole deontologiche relative ad attività giornalistiche, come modificato dall'articolo 12, comma 1, lettera f) del presente schema di decreto, si valuti l'opportunità di specificare che la norma è destinata ad avere effetti anche oltre il periodo transitorio, sopprimendo, al comma 2, le parole da: «Nel periodo compreso» fino a: «successivamente», ricollocando conseguentemente la disposizione risultante come comma aggiuntivo del medesimo articolo 139;

   h) si valuti l'opportunità, compatibilmente con il rispetto dei principi e criteri direttivi della delega legislativa, di introdurre una procedura di evidenza pubblica ai fini dell'acquisizione delle candidature a componente del Garante, analogamente a quanto già previsto per la nomina dei componenti del consiglio di amministrazione della Rai designati dal Parlamento, riformulando l'articolo 153 del decreto legislativo 30 giugno 2003, n.196, come modificato dall'articolo 14, comma 1, lettera b), del presente schema di decreto, nel senso di sostituire il secondo periodo del comma 1 con il seguente: «I componenti devono essere eletti tra coloro che presentano la propria candidatura nell'ambito di una procedura di selezione il cui avviso deve essere pubblicato nei siti internet della Camera, del Senato e del Garante almeno sessanta giorni prima della nomina. Le candidature devono pervenire almeno trenta giorni prima della nomina e i curricula devono essere pubblicati negli stessi siti internet. Le candidature possono essere avanzate da persone che assicurino indipendenza e che risultino di comprovata esperienza nel settore della protezione dei dati personali, con particolare riferimento alle discipline giuridiche o dell'informatica»;

   i) all'articolo 154-bis del decreto legislativo 30 giugno 2003, n.196, concernente i poteri del Garante, inserito dall'articolo 14, comma 1, lettera d) del presente schema di decreto, si valuti l'opportunità di aggiungere, dopo il comma 3, un ulteriore comma di contenuto analogo al comma 10 dell'articolo 22, con conseguente soppressione di quest'ultimo comma, prevedendo che il Garante possa adottare linee guida di indirizzo riguardanti misure di organizzazione e tecniche di attuazione del Regolamento, tenendo conto delle esigenze di semplificazione di micro, piccole e medie imprese, anche in relazione al trattamento del personale;

   j) all'articolo 156 del decreto legislativo 30 giugno 2003, n.196, sulla composizione e dotazione del personale del Garante, come modificato dall'articolo 14, comma 1, lettera f), del presente schema di decreto, al comma 3, lettera d), si valuti l'opportunità di sopprimere le parole «al fine di adempiere ai nuovi e più onerosi compiti» fino alla fine della medesima lettera, giacché tale disposizione non appare rientrare tra i principi e criteri direttivi della delega;

   k) all'articolo 166 del decreto legislativo 30 giugno 2003, n.196, concernente i criteri di applicazione delle sanzioni amministrative pecuniarie e il procedimento per l'adozione dei provvedimenti correttivi e sanzionatori, come modificato dall'articolo 15, comma 1, lettera a), del presente schema di decreto, dopo il comma 8, al fine di adeguare in modo più compiuto l'ordinamento a quanto prescritto dall'articolo 83, comma 9, del Regolamento, in merito alla necessità che le sanzioni amministrative pecuniarie irrogate dall'autorità di controllo siano in ogni caso effettive, proporzionate e dissuasive, considerando altresì la specifica situazione delle micro, piccole e medie imprese, si valuti la possibilità di aggiungere, compatibilmente con il rispetto dei principi e criteri direttivi della delega, il seguente: «8-bis. Nell'adozione dei provvedimenti sanzionatori, il Garante ha riguardo alla gravità della violazione, all'opera svolta dall'agente per l'eliminazione o attenuazione delle conseguenze della violazione, al grado di responsabilità o a eventuali precedenti violazioni pertinenti, nonché alla personalità dello stesso, alle sue condizioni economiche ovvero alla dimensione dell'impresa con particolare riguardo alle micro, piccole e medie imprese»;

   l) si valuti l'opportunità di prevedere, compatibilmente con il rispetto dei principi e criteri direttivi della delega e con le previsioni del Regolamento (UE) 2016/679, un minimo edittale alle sanzioni previste dal nuovo Regolamento, anche ai fini dell'accesso all'oblazione;

   m) si valuti la possibilità di prevedere, compatibilmente con il rispetto dei principi e criteri direttivi della delega, il ricorso a sanzioni penali solo in presenza di violazioni gravi e rispetto a fattispecie che non siano già presidiate da sanzioni amministrative comminate ai sensi del Regolamento (UE) 2016/679;

   n) all'articolo 166 del decreto legislativo 30 giugno 2003, n.196, concernente i criteri di applicazione delle sanzioni amministrative pecuniarie e il procedimento per l'adozione dei provvedimenti correttivi e sanzionatori, come modificato dall'articolo 15, comma 1, lettera a), del presente schema di decreto, al fine di chiarire che le sanzioni non si applicano, per espressa esclusione prevista dal Regolamento (UE) 2016/679, ai trattamenti in ambito giudiziario, si valuti l'opportunità di aggiungere, dopo il comma 11, il seguente: «11-bis. Le disposizioni relative a sanzioni amministrative previste dal presente Codice e dall'articolo 83 del Regolamento non si applicano in relazione ai trattamenti svolti in ambito giudiziario.»;

   o) all'articolo 167-bis del decreto legislativo 30 giugno 2003, n.196, in materia di comunicazione e diffusione illecita dei dati personali riferibili a un rilevante numero di persone, inserito dall'articolo 15, comma 1, lettera c) del presente schema di decreto, si valuti l'opportunità di:

    riformulare la previsione che individua nel titolare e nel soggetto responsabile del trattamento, nonché nel soggetto designato a norma dell'articolo 2-terdecies, gli unici soggetti attivi del reato, definendo invece il novero dei soggetti attivi – analogamente a quanto disposto per le altre fattispecie, anche in sede di recepimento della direttiva (UE) 2016/680 – con il termine generale «chiunque»;

    sostituire le parole: «rilevante numero di persone» con altra formulazione che possa salvaguardare maggiormente la tassatività della disposizione;

   p) all'articolo 167-ter del decreto legislativo 30 giugno 2003, n.196, in materia di acquisizione fraudolenta di dati personali, inserito dall'articolo 15, comma 1, lettera c), del presente schema di decreto, si valuti l'opportunità di sostituire le parole: «rilevante numero di persone» con altra formulazione che possa salvaguardare maggiormente la tassatività della disposizione;

   q) all'articolo 21 del presente schema di decreto si valuti l'opportunità di:

    rivedere i termini stabiliti al comma 1, prevedendo che il Garante predisponga lo schema di provvedimento da porre in consultazione pubblica entro novanta giorni dalla data di entrata in vigore del decreto e che il medesimo provvedimento venga adottato entro sessanta giorni dall'esito della consultazione pubblica, sostituendo, al primo periodo, le parole: «con provvedimento di carattere generale da adottarsi entro novanta giorni» con le seguenti: «con provvedimento di carattere generale da porre in consultazione pubblica entro novanta giorni» e, al secondo periodo, le parole: «è adottato all'esito di procedimento di consultazione pubblica» con le seguenti: «è adottato entro sessanta giorni dall'esito del procedimento di consultazione pubblica»;

    riformulare i commi 4 e 5 – in considerazione del fatto che le disposizioni delle autorizzazioni generali vigenti compatibili con il Regolamento sono destinate a confluire nel provvedimento generale di cui al comma 1 – nei seguenti termini:

  «4. Sino all'adozione delle regole deontologiche e delle misure di garanzia di cui agli articoli 2-quater, 2-septies del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n.196 producono effetti per la corrispondente categoria di dati e di trattamenti le autorizzazioni generali di cui al comma 1 e le pertinenti prescrizioni del provvedimento di cui al comma 1.

  5. Le violazioni delle prescrizioni contenute nelle autorizzazioni generali di cui al presente articolo e nel provvedimento generale di cui al comma 1 sono soggette alla sanzione amministrativa di cui all'articolo 83, paragrafo 5, del Regolamento (UE) 2016/679.».

   r) al fine di tenere conto di quanto previsto dall'articolo 2-quaterdecies del decreto legislativo 30 giugno 2003, n.196, inserito dall'articolo 2, comma 1, lettera e), del presente schema di decreto, con riferimento a trattamenti svolti per l'esecuzione di un compito di interesse pubblico che può presentare rischi particolarmente elevati ai sensi dell'articolo 35 del Regolamento (UE) 2016/679, nonché di quanto altresì previsto per i minorenni nel presente schema di decreto, all'articolo 22 dello schema medesimo, recante altre disposizioni transitorie e finali, si valuti l'opportunità di riformulare il comma 5 nei seguenti termini: «A decorrere dal 25 maggio 2018, le disposizioni di cui ai commi 1022 e 1023 dell'articolo 1 della legge 27 dicembre 2017, n.205 si applicano esclusivamente ai trattamenti dei dati personali funzionali all'autorizzazione del cambiamento del nome e/o del cognome dei minorenni. Con riferimento a tali trattamenti, il Garante per la protezione dei dati personali può, nei limiti e con le modalità di cui all'articolo 36 del Regolamento (UE) 2016/679, adottare provvedimenti di carattere generale. Al fine di semplificare gli oneri amministrativi, i soggetti che rispettano le misure di sicurezza e gli accorgimenti prescritti ai sensi dell'articolo 2-quaterdecies sono esonerati dall'invio al Garante dell'informativa di cui al citato comma 1022. In sede di prima applicazione, le suddette informative sono inviate entro 60 giorni dalla pubblicazione in Gazzetta Ufficiale del provvedimento del Garante.»;

   s) si valuti la possibilità che il Garante, in una fase transitoria, in ogni caso non inferiore a 8 mesi, successiva all'entrata in vigore del decreto legislativo, non irroghi sanzioni alle imprese, ma disponga ammonimenti o prescrizioni di adeguamento alla nuova disciplina, in base al principio di proporzionalità e di gradualità della sanzione, nonché ai principi dello small business act.


 

 

 

Contenuto pubblico