Privacy - Senato della Repubblica – Parere approvato il 20 Giugno 2018 - Schema di decreto legislativo recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (n. 22)

 

PARERE APPROVATO DALLA COMMISSIONE DEL SENATO SULL'ATTO DEL GOVERNO N. 22

La Commissione, esaminato lo schema di decreto legislativo in titolo,

premesso che:

- lo schema di decreto legislativo in esame reca disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) n. 679 del 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati;

- il Parlamento, con legge di delegazione europea n. 163 del 25 ottobre 2017, vigente dal 21 novembre 2017, ha delegato il Governo ad adottare uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del regolamento, "acquisiti i pareri delle competenti Commissioni parlamentari e del Garante per la protezione dei dati personali" (comma 1);

- l'articolo 13 della legge n. 163 del 2017 stabilisce i princìpi e criteri direttivi a cui l'esercizio della delega deve attenersi ed in particolare al comma 3 dispone che è necessario abrogare espressamente le disposizioni del codice in materia di trattamento dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, incompatibili con le disposizioni contenute nel regolamento (UE) n. 679 del 2016 (lettera a); modificare il codice di cui al decreto legislativo 30 giugno 2003, n. 196, limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento (UE) n. 679 del 2016 (lettera b); coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal regolamento (UE) n. 679 del 2016 (lettera c); prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali nell'ambito e per le finalità previsti dal regolamento (UE) 2016/679 (lettera d); l'articolo 13, comma 3, legge n. 163 del 2017 rinvia altresì "ai princìpi e criteri direttivi generali di cui all'articolo 32 della legge 24 dicembre 2012, n. 234";

- nel dicembre 2017 è stata nominata, presso il Ministero della giustizia, la commissione di esperti incaricata di elaborare il testo, che ha iniziato i lavori nel gennaio 2018, ai quali ha partecipato personalmente il Garante per la protezione dei dati personali, lavori di fatto conclusi a metà marzo 2018;

- il Consiglio dei ministri ha approvato, in esame preliminare, uno schema di decreto legislativo in attuazione dell’articolo 13 della legge di delegazione europea, che soltanto il 10 maggio 2018 è stato trasmesso alle Camere, in particolare alla presidenza del Senato; il 14 maggio è stato assegnato alla Commissione speciale, costituita il 4 aprile 2018;

- il 21 maggio 2018 è scaduta la delega conferita dalle Camere al Governo; tuttavia il termine è risultato prorogato di tre mesi, ai sensi dell'articolo 31 della legge n. 234 del 2012; il 25 maggio 2018 è entrato comunque in vigore il regolamento UE, direttamente applicabile, le cui disposizioni hanno efficacia diretta;

- oggi coesistono, dunque, due fonti in materia di privacy: il regolamento UE ed il codice della privacy, il 22 maggio 2018 il Garante per la protezione dei dati personali - che è peraltro l'ente individuato come autorità di riferimento per l'applicazione del Regolamento, nonché soggetto direttamente interessato ad alcune modifiche organizzative recate dal testo in esame - ha espresso un articolato parere nel quale sono sollevate criticità di cui si deve necessariamente dar conto anche nella sede consultiva parlamentare;

- il 23 maggio 2018, dati i tempi entro cui si è dovuto svolgere il lavoro parlamentare in seguito al ritardo del Governo nella predisposizione e trasmissione dello schema rispetto alla scadenza della delega, la Commissione Speciale si è trovata a recuperare, in sede consultiva, alcuni profili di istruttoria, procedendo all'audizione di esperti, soggetti della società civile, operatori dei settori coinvolti e destinatari, oltre che professionisti, delle disposizioni in tema di privacy; il 31 maggio 2018 sono stati auditi innanzi alla Commissione speciale i seguenti soggetti: ABI - Associazione Bancaria Italiana; ASSTEL - Assotelecomunicazioni; CGIL - Confederazione generale italiana del lavoro; CNA - Confederazione nazionale dell'artigianato e della piccola e media impresa; CONFARTIGIANATO; CONFCOMMERCIO; CONFESERCENTI; CONFINDUSTRIA; CONFINDUSTRIA Radio Televisioni; CONFPROFESSIONI; Consiglio Nazionale Forense; Movimento Forense; UGL - Unione generale del lavoro; il 7 giugno 2018 sono stati auditi innanzi alla Commissione speciale i seguenti soggetti: ANP - Associazione nazionale dirigenti pubblici e alte professionalità della scuola; Associazione Italiana Internet Provider; Istituto Italiano Privacy; Osservatorio 679; Telefono Azzurro Onlus; il Garante europeo della protezione dei dati, Giovanni Buttarelli; il Garante per la protezione dei dati personali, Antonello Soro; alcuni esperti in materia; tra l'11 e il 12 giugno 2018 sono stati acquisiti dalla Commissione i pareri di AIGA - Associazione Italiana Giovani Avvocati; ASSOFIN - Associazione Italiana del Credito al Consumo e Immobiliare; ANCE - Associazione Nazionale Costruttori Edili; CASARTIGIANI; CNF - Consiglio Nazionale Forense; altri esperti in materia,

considerato che:

- il provvedimento si compone di 28 articoli, raggruppati in sei Capi, che abrogano o modificano in maniera rilevante gran parte degli articoli del codice della privacy di cui al decreto legislativo n. 196 del 2003;

- in generale lo schema di decreto prevede la sostituzione generalizzata delle sanzioni penali con sanzioni amministrative e mantiene la rilevanza penale dell’articolo 167 del codice sul trattamento illecito dei dati. Si aggiungono anche due fattispecie autonome: la comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone, di cui all'articolo 167-bis, e l'acquisizione fraudolenta di dati personali, di cui all'articolo 167-ter. Inoltre, si rinviene una stabilizzazione dell’aumento dell’organico del Garante a 162 unità, come già gradualmente previsto da norme recenti, e si opera una parificazione delle relative retribuzioni a quelle dell'Autorità per le comunicazioni. Si prevede, altresì, la possibilità di uso dei social network per i minori di 16 anni con il consenso prestato da chi esercita la potestà genitoriale;

- lo schema di decreto legislativo, per garantire la continuità delle situazioni giuridiche, fa salvi, per un periodo transitorio, i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di un successivo riordino da parte del Garante stesso, nonché i codici deontologici vigenti. Per le piccole e medie imprese, si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento dei dati personali. Non sono state modificate, infine, le disposizioni concernenti le comunicazioni elettroniche, in attesa che venga emanato il regolamento europeo in materia;

- lo schema di decreto in esame deve essere valutato alla luce di due parametri:

a) il rispetto della delega conferita con l'articolo 13, comma 3, legge di delegazione europea, dei principi e criteri direttivi generali di cui all'articolo 32 della legge n. 234 del 2012, nonché della previsione dell'assenza di oneri per la finanza pubblica come previsto dalla legge n. 163 del 2017;

b) la rispondenza al Regolamento (UE) n. 679 del 2016, che è direttamente applicabile, dal 25 maggio 2018, nell'ordinamento interno e le cui disposizioni hanno efficacia diretta;

- il testo, trasmesso alle Camere praticamente allo scadere del termine per l'esercizio della delega e nell'imminenza della diretta applicazione del Regolamento UE nel nostro ordinamento, avrebbe richiesto una istruttoria approfondita e condivisa, parzialmente recuperata con le audizioni di soggetti qualificati e di esperti del settore, le cui risultanze costituiscono il cuore dell'istruttoria e pertanto sono prese inevitabilmente in larga considerazione ai fini del seguente parere;

- per non determinare un eventuale eccesso di delega (in particolare con riferimento all'articolo 13, comma 3, lettera b), il precedente Governo ha accolto la tesi dell'impraticabilità dell'ipotesi di procedere ad una abrogazione del codice della privacy o alla sua intera sostituzione;

- uno degli elementi da tenere in considerazione è il coordinamento non sempre agile con il Regolamento e l'ordinamento interno, laddove la delega presenta tale profilo quale criterio direttivo, al fine di dare ai cittadini, alle imprese e alle amministrazioni coinvolte a vario titolo un quadro di certezza normativa rispetto a diritti, doveri, adempimenti, responsabilità, procedure e sanzioni. In alcuni punti si ravvisa un difficile coordinamento con il quasi contemporaneo decreto legislativo n. 51 del 2018, recante attuazione della direttiva (UE) n. 680 del 2016 relativa alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI. Questa situazione espone l'operazione legislativa a successivi interventi in sede di decreti correttivi o integrativi, sempre ai sensi della legge n. 163 del 2017;

- altro elemento, sollevato nel corso della indagine conoscitiva sulla formulazione del testo, attiene ad alcuni profili di compatibilità costituzionale ed ordinamentale, rispetto al quadro sanzionatorio recato dallo schema di decreto. Ciò vale in primo luogo - ma non esclusivamente - per la retroattività della sanzione amministrativa che sostituisce la sanzione penale, ai sensi dell’articolo 24 dello schema. In sede di audizioni è emersa, da parte di cultori della materia, la preoccupazione che ove la disciplina transitoria recata dal testo dovesse essere giudicata in contrasto con il principio di irretroattività della legge penale sancito dall'articolo 25, comma secondo, della Costituzione, e – per il tramite dell’articolo 117 della Costituzione - dall’articolo 7 CEDU, ciò potrebbe determinare il venir meno della sanzione penale sinora prevista dal Codice della privacy - abrogata dal decreto in esame per la gran parte dei casi in questione - e anche delle nuove sanzioni amministrative maggiormente afflittive per l’autore del fatto rispetto al regime che era applicabile al momento del fatto. Sul punto giova considerare che le diverse leggi di depenalizzazione intervenute sinora (tra cui legge n. 689 del 1981 e decreto legislativo n. 8 del 2016), hanno già previsto una simile disciplina transitoria, finalizzata a non lasciare spazi di impunità, la quale è pacificamente compatibile con l'ordinamento costituzionale e CEDU;

- un profilo di tipo ordinamentale che potrebbe essere coordinato meglio - con effetti potenziali sulla certezza del diritto e sulla ragionevolezza del trattamento destinato alle corrispondenti situazioni soggettive - deriverebbe dal fatto che le sanzioni amministrative introdotte siano prive del minimo edittale. Il Codice per la protezione dei dati personali prevede attualmente un sistema di sanzioni che operavano da un minimo ad un massimo, così consentendo la definizione agevolata anticipata tipica del regime interno delle sanzioni amministrative. Nello schema di decreto in esame la cosiddetta oblazione amministrativa si applica invece - ai sensi dell’articolo 25, comma 5 - ai soli fatti passati e non alle sanzioni comminate successivamente all'entrata in vigore della nuova disciplina. L'articolo 166 novellato, al comma 8 esclude espressamente che si applichi l’articolo 16 della legge 689, limitandosi a prevedere (comma 9) che il trasgressore possa pagare la metà della sanzione irrogata dal Garante. Tuttavia non è stabilita l’entità cui commisurare con certezza la definizione agevolata;

- riguardo all'articolo 110-bis, pur apprezzando l'intenzione del legislatore di inquadrare a livello sistematico le norme sul riutilizzo dei dati a fini di ricerca scientifica o a fini statistici introdotte dall'articolo 28 della legge europea n. 167 del 2017, tale disposizione, per la sua formulazione, solleva alcuni dubbi interpretativi. In primo luogo, riguardo alla nozione di "riutilizzo", che non viene definita dal decreto e che pare incompatibile con quella contenuta nella normativa vigente sul riutilizzo delle informazioni del settore pubblico. II riutilizzo a norma della predetta disciplina, richiamata peraltro anche nel considerando 154 del Regolamento, coincide infatti con l'utilizzo da parte di terzi, a fini commerciali o non commerciali, diversi da quelli iniziali per i quali le informazioni sono state prodotte, e riguarda soltanto i documenti contenenti dati pubblici (indipendentemente dal fatto che si tratti di dati personali o meno) nella disponibilità di pubbliche amministrazioni e di organismi di diritto pubblico. Sono quindi esclusi dal campo di applicazione del riutilizzo, così inteso, i dati personali che non godono di un generale regime di conoscibilità, ovvero quelli la cui conoscibilità è subordinata al rispetto di determinati limiti o modalità, in base alle leggi, ai regolamenti o alla normativa dell'Unione europea. Pertanto, se la nozione di riutilizzo andasse interpretata alla luce della predetta disciplina essa non potrebbe estendersi, in generale, ai dati sensibili e giudiziari e, in particolare, a quelli attinenti alla salute e alla vita sessuale, per il trattamento dei quali il Regolamento individua particolari condizioni e limiti (cfr. articoli 9 e 10). Tale interpretazione contrasterebbe inoltre con quanto affermato, al comma 3 del medesimo articolo 110-bis che, nell'escludere dal concetto di riutilizzo il trattamento a fini di ricerca effettuato dagli IRCSS con dati raccolti nell'ambito dell'attività clinica, fa riferimento a casi di utilizzo ulteriore di dati non da parte di terzi, bensì del medesimo titolare del trattamento. Se con tale nozione si vuole, invece, fare riferimento a trattamenti ulteriori, a fini di ricerca scientifica o a fini statistici, di dati personali inizialmente raccolti per altri scopi (ai sensi dell'articolo 6, paragrafo 4 del Regolamento), indipendentemente dal fatto che questo sia effettuato dal medesimo titolare o da titolari diversi (distinzione che peraltro non si rinviene nel nuovo quadro giuridico introdotto dal Regolamento), la disposizione contenuta nell'articolo 110-bis appare superflua, in quanto l'articolo 5, paragrafo 1, lettera b), del Regolamento qualifica già le ulteriori finalità di ricerca scientifica e statistiche eventualmente perseguite come compatibili con quelle iniziali, purché l'ulteriore trattamento sia effettuato in conformità alle garanzie previste dall'articolo 89 del Regolamento. Inoltre, l'ulteriore trattamento a fini scientifici o statistici di dati raccolti per altri scopi è già consentita sulla base dei presupposti di liceità del trattamento individuati dagli articoli 6 e 9 del Regolamento (cfr. in particolare, articolo 6, paragrafo 1, lettera a, o f e articolo 9 paragrafo 2 lettera j) e secondo le modalità previste dall'articolo 89 dello stesso, dalla disciplina del Codice, così come emendata dallo schema di decreto in esame (cfr. articoli 104-110 e articolo 20, commi 3 e 4, che fa salve le regole deontologiche vigenti per i trattamenti a fini scientifici e statistici, ferma restando la verifica della loro compatibilità con il nuovo quadro giuridico europeo da parte del Garante), nonché dalle altre rilevanti disposizioni di settore (cfr. per l'accesso di soggetti terzi ai dati raccolti a fini statistici, articolo 5-ier del decreto legislativo n. 33 del 2013, nonché, più in generale, per i trattamenti a fini statistici, decreto legislativo n. 322 del 1989). Conseguentemente, il potere del Garante di autorizzare i trattamenti ulteriori non dovrebbe essere escluso per i dati genetici. Infine, la previsione di un'autorizzazione specifica da parte del Garante per ciascun trattamento ulteriore, a fini di ricerca scientifica o a fini statistici, di dati personali inizialmente raccolti per altri scopi, non accompagnata dalla possibilità di rilasciare altresì, ove possibile, provvedimenti autorizzativi di tipo generale, in relazione a determinate categorie di titolari e di trattamenti, rischia di irrigidire eccessivamente le attività poste in essere in questo settore;

- la formulazione dell'articolo 154-ter del Codice, così come modificato dallo schema di decreto legislativo ("Potere di agire e rappresentanza in giudizio"), appare poco chiaro con riferimento al patrocinio obbligatorio dell'Avvocatura dello Stato e al patrocinio facoltativo. Inoltre, occorre valutare la compatibilità con la delega in materia di non onerosità delle disposizioni in esame, gli interventi sugli emolumenti del Garante e il relativo organico;

- con riferimento agli articoli successivi, che comunque devono essere coordinati con le sanzioni amministrative di cui sopra, si dovrebbe incidere sulla chiarezza dell'intervento di depenalizzazione conseguente alle abrogazioni recate dall'articolo 27, pur in presenza della sua sostituzione con sanzioni pecuniarie che possono assumere notevolissima entità;

- all'articolo 166, comma 9, sarebbe opportuno specificare quale sia la disciplina del ricorso e, dunque, quale sia il termine entro il quale procedere al pagamento, anche tenuto conto che la richiamata legge n. 689 del 1981, come rilevato dal Garante, non usa l’espressionericorso bensì quella "opposizione all’ordinanza di pagamento";

- con riferimento agli illeciti penali e amministrativi, in ordine all'elemento soggettivo del delitto di trattamento illecito di dati, di cui al novellato articolo 167 del Codice, è necessario riflettere sulla scelta di non considerare, quale oggetto alternativo del dolo specifico, anche il nocumento; si deve inoltre assicurare meglio la continuità normativa con la fattispecie vigente, esponendosi altrimenti agli effetti dell'abolitio criminis;

- in relazione alla disposizione di cui al comma 6 dell'articolo 167, essa è da coordinare con quanto previsto dall'articolo 187-terdecies del decreto legislativo n. 58 del 1998, che limita l'esazione della pena pecuniaria "alla parte eccedente quella riscossa dall'Autorità amministrativa", circostanza che non ricorre nella disposizione in esame. In relazione alle fattispecie di reato introdotte all'articolo 167-bis del Codice, appare preferibile inserire, tra i soggetti attivi del reato, le persone suscettibili di operare quali autorizzate al trattamento ed anche - quale oggetto alternativo del dolo specifico - includere il nocumento, così non limitando la condotta sanzionata al solo dolo di profitto;

- al comma 2 dell’articolo 167 è omesso il riferimento alle misure di garanzia previste dall’articolo 2-septies per i dati genetici, biometrici e relativi alla salute. Il medesimo articolo punisce l’acquisizione fraudolenta di dati, ma non la loro successiva diffusione; la fattispecie di cui all’articolo 167-bis, sulla diffusione, non potrà infatti trovare applicazione quando il delitto ècommesso da un soggetto diverso da titolare, responsabile e incaricato;

- l'abrogazione dell'articolo 170 - in controtendenza rispetto alle scelte compiute in sede di quasi contemporaneo recepimento della direttiva (UE) n. 680 del 2016 e, in particolare, all'introduzione, in quella sede disposta, di una norma incriminatrice dell'inosservanza dei provvedimenti del Garante - è suscettibile di determinare una irragionevole disparità di trattamento, in quanto l'inadempimento del medesimo provvedimento del Garante verrebbe ad essere privo di sanzione o coperto da sanzione a seconda del soggetto che pone in essere la condotta lesiva;

- i richiami operati con riferimento all'articolo 124 in materia di fatturazione dettagliata non rendono agevole capire se la relativa violazione è sanzionata ai sensi del paragrafo 5 dell'articolo 83 del Regolamento, come sembrerebbe in considerazione della diretta applicabilità del Regolamento. Al comma 1, mancano, tra le condotte sanzionabili, quelle che si pongono in contrasto con il comma 1 dell'articolo 110, con l'effetto di far rimanere priva di conseguenze una condotta assai delicata per l'ambito e gli interessi in gioco. Non è altresì prevista la sanzionabilità anche della violazione delle disposizioni del comma 2 dell'articolo 110-bis, che richiedono l'autorizzazione del Garante, nonché della violazione delle prescrizioni impartite con tale autorizzazione, che non risulta inserita nel comma 2 dell'articolo 166. Non risulta tra le fattispecie sanzionate di cui all'articolo 166, comma 2, la mancata osservanza dell'articolo 157 del Codice, in difformità con quanto previsto dal Regolamento. Incompatibile con l'ordinamento è il mancato richiamo tra le fattispecie sanzionate, oltre a quelle individuate al comma 3, quelle di cui all'articolo 5-ter del decreto legislativo 14 marzo 2013, n. 33;

- tra le finalità di rilevante interesse pubblico elencate dall'articolo 2-sexies non si rinvengono, né secondo l'Autorità garante sembra possibile ricavarle in via interpretativa, alcune di particolare rilevanza, con la conseguenza di rendere difficile il corretto trattamento dei relativi dati ai sensi dell'articolo 9, paragrafo 1, lettera g) del Regolamento. Si prende atto che la stessa Agenzia delle Entrate ha evidenziato una lacuna riguardo alla omissione della tenuta dei registri pubblici relativi a beni immobili o mobili;

- all'articolo 2-septies non sono indicate le misure che potranno essere adottate dal Garante. Peraltro, l'elencazione, al comma 4, con finalità meramente esemplificativa, delle materie rispetto alle quali il Garante possa adottare misure di garanzia, concede margini di discrezionalità dell'interprete suscettibile, secondo lo stesso Garante, di pregiudicare la necessaria certezza del diritto, il che fa dubitare della stessa tenuta giuridica dell'articolo in questione, che pure dovrebbe attuare l’articolo 9, paragrafo 4, del Regolamento, prevedendo che il trattamento dei dati biometrici, genetici e relativi alla salute sia subordinato all’osservanza di misure di garanzia, stabilite dal Garante con provvedimento a seguito di consultazione pubblica. Potrebbe essere chiarito meglio l'effetto del combinato disposto del Regolamento UE e dello schema di decreto legislativo sul consenso e sul presupposto di liceità per tutti i dati personali diversi dai dati particolari, per i dati particolari e, nello specifico, per i dati relativi alla salute;

- stando al testo del decreto, non sembrerebbero legittime, ai sensi dell'articolo 9, paragrafo 2 lettera b) del Regolamento, le tecniche di riconoscimento biometrico per specifiche finalità di sicurezza, in aggiunta o in sostituzione degli ordinari sistemi di autenticazione informatica, basati su informazioni nella disponibilità cognitiva o su dispositivi, con possibili effetti negativi per situazioni che richiedono un maggior grado di certezza dell'identità del soggetto legittimato all'utilizzo di sistemi o all'accesso alle aree indicate, anche al fine di scongiurare il rischio dì cessione illegittima o di furto di credenziali;

- in relazione alle modalità di verifica delle autorizzazioni generali, i termini di soli novanta giorni, stabiliti per consentire al Garante l'adozione del provvedimento generale con il quale si individuano le prescrizioni delle autorizzazioni generali compatibili con il Regolamento, appaiono eccessivamente ristretti, tanto più alla luce dell'obbligatorio procedimento di consultazione pubblica. Tale tempistica, di pressoché impossibile realizzazione, avrà conseguenze negative anche sul momento di cessazione degli effetti delle autorizzazioni ivi previste. Sembra coerente un ordine di misura intorno ai 120 giorni, ovvero 150 per concludere l'intera procedura;

- all'articolo 2-novies, è utile apprestare il coordinamento con la disciplina sulla valutazione, in sede giudiziaria, della validità, efficacia e utilizzabilità di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a norme legislative o regolamentari. All'articolo 2-quaterdecies, sarebbe utile un parametro valutativo per i "rischi particolarmente elevati", ivi richiamati. Con riferimento all'articolo 11, che modifica l'articolo 122, comma 1, del Codice, appare irragionevole l'impossibilità di informare gli interessati "con modalità semplificate" nell'ambito dei servizi di comunicazione elettronica, che includono anche il trattamento attraverso siti internet, naturalmente con modalità tali da rendere comprensibili agli utenti il trattamento che si intende effettuare;

- all'articolo 18, il dies ad quem per la definizione dei procedimenti sanzionatori da parte del Garante è individuato nel 21 marzo 2018 senza una ragione apparente, in luogo del momento di entrata in vigore dello schema di decreto o di applicazione diretta del Regolamento;

- al fine di tutelare i soggetti maggiormente vulnerabili, potrebbe essere opportuno prevedere più diffusamente il ricorso ad un linguaggio chiaro, idoneo ed adeguato, con particolare attenzione in caso di minori di età, sia in relazioni alle informazioni e comunicazioni, sia alla modulistica, alle regole deontologiche e alle procedure previste;

- la norma transitoria prevista dal comma 2 dell’articolo 139 non appare coordinata con la disciplina transitoria, di cui all’articolo 20 del medesimo schema, che prende in specifica considerazione anche il vigente Codice per il trattamento dei dati in ambito giornalistico;

- in relazione al parametro di conformità con la Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali all’articolo 142 dello schema, lo svolgimento del procedimento davanti alla Autorità garante viene demandato ad un regolamento amministrativo senza che vengano definiti i principi del contraddittorio tipici delle norme di procedura stabilite con leggi primarie delle altre Authority pubbliche, in una possibile violazione dei principi di cui all'articolo 6 CEDU;

- l'articolo 11 dello schema di decreto interviene sugli articoli da 121 a 134 del Codice, relativi alle comunicazioni elettroniche e inseriti in attuazione della direttiva 2002/58/CE. Si tratta di disposizioni che non sono oggetto della nuova disciplina sulla protezione dei dati. Si riportano le preoccupazioni espresse in sede di audizioni, precisando che il punto non rientra nell’ambito della delega. In particolare, il predetto articolo 11:

a) all’articolo 122, relativo ai cookies, ovvero all’archiviazione delle informazioni nell’apparecchio terminale di un utente, conferma la necessità di raccogliere il consenso dell’interessato, ma sopprime le disposizioni sulle modalità semplificate di informativa all’utente. Si tratta delle modalità attualmente disciplinate dall’articolo 13 comma 3, del Codice, abrogato dalla riforma. Occorrerebbe invece - come già evidenziato - una previsione volta a rendere di immediata comprensione per gli interessati il trattamento che si intende effettuare;

b) all’articolo 125, relativo all’identificazione della linea chiamante, e all’articolo 130, relativo alle chiamate indesiderate, aggiunge una disposizione volta a garantire il rispetto dell’articolo 2, comma 1, della legge n. 5 del 2018, che impone l’identificazione della linea chiamante anche ai call center. Con riferimento al richiamo all'articolo 2 della legge n. 5 del 2018, occorre segnalare che non risulta che l'AGCOM abbia ancora individuato i due codici o prefissi specifici atti a distinguere in modo univoco le chiamate telefoniche finalizzate ad attività statistiche da quelle finalizzate al compimento di ricerche di mercato e ad attività di pubblicità, vendita e comunicazione commerciale;

c) all'articolo 130, comma 1, del Codice reca un riferimento all'articolo 2, comma 14, della legge 11 gennaio 2018, n. 5, palesemente errato, tenuto conto che l'articolo 2 consta di un solo comma. Il riferimento normativo corretto parrebbe dunque essere l'articolo 1, comma 14, della medesima legge n. 5 del 2018, con cui si è disposto il divieto di utilizzo di compositori telefonici per la ricerca automatica di numeri anche non inseriti negli elenchi di abbonati;

d) non reca modifiche al comma 4 del citato articolo 130, relativo alla cosiddetta "eccezione del soft spam", perdendo l'occasione di occuparsi anche di profili di natura sostanziale relativi al coordinamento e all’adeguamento della disciplina, tenuto conto di quanto dispone l'articolo 6 del Regolamento in riferimento alle condizioni di liceità del trattamento;

- vi è incertezza tra i soggetti istituzionali e gli operatori economici rispetto agli obblighi di adeguamento all'articolo 37 del Regolamento, sulla figura del Data Protection Officer, il Responsabile del trattamento dei dati. Occorre chiarire se sia necessario per le piccole imprese provvedere alla designazione del responsabile per la protezione dei dati (DPO - Data Protection Officer), nonché tenere il registro per le operazioni relative al trattamento dei dati. Essendo obbligatorio dotarsene per quelle strutture che implicano un trattamento di dati "su larga scala" (articolo 37 Regolamento). Si potrebbe specificare questo termine per evitare ambiguità e vaghezza. Ovvero si potrebbero escludere una serie di soggetti in ragione del tipo di attività svolta o del volume dell'attività stessa, dall'obbligo di designazione del DPO; ovvero in subordine, semplificarlo. Nel caso delle scuole, il Garante ha tracciato il profilo di competenze professionali a cui il DPO/RPD deve rispondere. Si tratta di una figura che non può essere reperita tra le professionalità a disposizione di una scuola. Rivolgendosi alla "ricerca di mercato", è emerso che profili simili comporterebbero notevoli costi per le scuole: si dovrebbe garantire che la nomina del RPD sia effettuata a livello di amministrazione centrale o periferica e non dalla singola scuola, individuando un apposito ufficio (regionale o nazionale) con personale in grado di fornire anche consulenza;

- si rappresenta la questione sollevata in sede di audizioni, sulla quale tuttavia non residuano spazi di intervento per il legislatore, sul tema relativo all’aggravio funzionale delle scuole derivante dall'adeguamento alla normativa. È stato sollecitato un chiarimento sul fatto che tale valutazione non è da effettuare da parte della singola scuola, ma deve procedere centralmente l'amministrazione (il MIUR), in ragione della contitolarità della responsabilità del trattamento e gestione dei dati tra scuole e MIUR. Le scuole temono di essere lasciate sole sia in senso funzionale che organizzativo;

- sui poteri del Garante in materia di sanzioni vi è incertezza; al riguardo si potrebbe indicare precisamente l'applicazione progressiva dei poteri correttivi del Garante, tenendo conto della proporzionalità e della gravità delle eventuali violazioni rilevate e dell'eventuale recidiva. Il Regolamento introduce (articolo 40) il codice di condotta, strumento per le imprese con meno di 250 addetti, che non è al momento utilizzabile senza le indicazioni uniformi sul funzionamento del monitoraggio previsto dall'articolo 41 del Regolamento. In sostanza, in caso di violazione dei nuovi adempimenti introdotti dal Regolamento UE, si applicano solo i poteri correttivi attribuiti al Garante (di cui all'articolo 58, paragrafo 2, del Regolamento) in luogo delle sanzioni economiche. Vigente il nuovo sistema sul principio della accountability (in virtù del quale è responsabile ogni singolo soggetto titolare del trattamento dei dati in relazione a misure appropriate ed efficaci per la protezione dei dati e le valutazioni in materia di protezione dei dati sono rimesse al titolare e non più soggette ad autorizzazione del Garante) e non più della previsione di obblighi formali, emerge la necessità di dare indicazioni coerenti anche agli organi di controllo. Evitare che questioni considerate buone prassi in un certo contesto diventino standard generali. Non è previsto un minimo edittale, quindi non è possibile applicare l'istituto del pagamento in misura ridotta, di cui all'articolo 16 della legge n. 689 del 1981, non richiamato infatti. Inoltre aumenta il potere discrezionale del Garante. L'apparato sanzionatorio deve essere progressivo e adeguato. Nel valutare la sanzione che può arrivare al 4 per cento del fatturato mondiale totale annuo, in base alla giurisprudenza della Corte europea dei diritti dell’uomo, si tenga conto che le sanzioni amministrative pecuniarie così elevate e incisive denotano una valenza afflittiva assimilabile, ai fini delle garanzie, a quella delle sanzioni penali. In linea con quanto già previsto in altri settori in cui Autorità amministrative indipendenti irrogano rilevanti sanzioni amministrative (es. Consob, Banca d’Italia, IVASS), sarebbe opportuno stabilire che i procedimenti di controllo a carattere contenzioso e sanzionatori per violazione della normativa privacy siano svolti nel rispetto dei principi della piena conoscenza degli atti istruttori, del contraddittorio, della verbalizzazione nonché della distinzione tra funzioni istruttorie e funzioni decisorie rispetto all'irrogazione della sanzione (sul punto, vedi articolo 24, legge n. 262 del 2005);

- con riguardo all'articolo 2, comma 1, lettera e), rispetto al testo del nuovo articolo 2- quaterdecies, il Garante nazionale sottolinea che la disposizione contiene la locuzione "rischio particolarmente elevato", che sembra introdurre una nuova categoria di trattamenti i quali richiederebbero un intervento interpretativo per individuare le fattispecie soggette all'autorizzazione preliminare, di difficile apprezzamento dei titolari e di dubbia compatibilità con il Regolamento. Il Regolamento agli articoli 35 e 36, dei quali la disposizione in questione costituisce diretta attuazione, fanno riferimento solo a "rischi elevati". Pertanto, si suggerisce di sopprimere l'avverbio "particolarmente" dal citato articolo 2-quaterdecies;

- si noti che, con riguardo all'articolo 2, comma 1, lettera e), rispetto al testo del nuovo dell'articolo 2-decies, sarebbe opportuno valutare se, tra i casi a ricorrere dei quali l'esercizio dei diritti può essere limitato, inserire anche un riferimento alle disposizioni di contrasto al finanziamento del terrorismo e alla proliferazione delle armi di distruzione di massa all'elenco delle situazioni individuate dall'articolo 23 del Regolamento, al ricorrere delle quali l'esercizio dei diritti dell'interessato (di accesso, cancellazione, portabilità) possono essere limitati dallo Stato membro;

- con riguardo all'articolo 2, comma 1, lettera e), rispetto al testo del nuovo testo dell'articolo 2-septies, alla luce delle preoccupazioni e considerazioni manifestate da alcuni soggetti intervenuti nell'ambito delle audizioni, si è ritenuto di non poter chiarire che le misure di garanzia recate dal garante, da cui derivano misure di sicurezza (ad esempio cifratura, crittografia, minimizzazione) per le imprese, siano applicabili limitatamente ai trattamenti su larga scala per non determinare discriminazioni aprioristiche difficilmente coordinabili con gli spazi normativi lasciati liberi dal Regolamento;

- con riguardo all'articolo 3, comma 2, lettera a), che interviene sull'articolo 2-sexiesdecies, comma 1, lettera c), n. 1, si ritiene utile mantenere l'attuale formulazione della disposizione dello schema, che garantisce una più ampia tutela del diritto alla riservatezza nell'ambito degli atti giudiziari. L'attività di cancellazione dei dati dei soggetti coinvolti da atti giudiziari e simili sarebbe in ogni caso rimessa all'iniziativa dell'interessato, il quale con specifica manifestazione di interesse può attivare o meno la procedura. Non sembrano determinarsi, pertanto, maggiori oneri in capo agli uffici giudiziari e alle altre autorità eventualmente competenti;

- con riguardo all'articolo 7, comma 1, rispetto al testo del nuovo articolo 96, è emersa l'esigenza di consentire agli istituti scolastici l'uso di foto ed immagini degli studenti anche attraverso forme di pubblicazione sul sito istituzionale, previa adeguata informativa agli interessati e nel rispetto del principio di minimizzazione dei trattamenti. Invece, in questa sede, alla luce dei principi e criteri direttivi della legge di delega n. 163 del 2017, non è possibile intervenire sulla eventuale compensazione economica (anche tramite una maggiore retribuzione) per la responsabilità di cui sarebbe titolare il dirigente scolastico per il trattamento dei suddetti dati;

- con riguardo all'articolo 13, comma 1, lettera e), potrebbe essere utile un supplemento di riflessione sulla possibilità di aggiungere qualche riferimento, al comma 5 dell'articolo 142, ai principi del giusto processo. Infatti la disposizione demanda ad un regolamento amministrativo la disciplina del "processo" dinnanzi all'Autorità, senza salvaguardare i principi del contraddittorio e del giusto processo. Potrebbe determinarsi il rischio di un abbassamento degli standard di tutela e partecipazione degli interessati al procedimento. Inoltre, sembra non prevedere una chiara separazione tra funzioni istruttorie e di accusa e funzione decisorie. Sono, infine, omessi riferimenti anche al principio di piena conoscibilità degli addebiti, di accesso ai documenti contenuti nel fascicolo e di esercizio dei poteri di difesa;

- con riguardo all'articolo 22, comma 12, sarebbe auspicabile specificare quali norme contenute nella vecchia formulazione del decreto legislativo. 196 del 2003 e già abrogate, resteranno applicabili nel periodo transitorio, anche per favorire una lettura ed una interpretazione più agevole;

- con riferimento specifico alla salvaguardia dei diritti del minore in materia di protezione dei dati personali e salvaguardia dei suoi diritti e libertà fondamentali, in un'ottica di maggior tutela di tale categoria di soggetti, sarebbe opportuna la previsione di una serie di strumenti semplificati e una revisione dei criteri di legittimazione per interagire con il Garante privacy, di cui sarebbe opportuno tenere conto;

- con riguardo all'impianto sanzionatorio, è emerso in sede di audizioni un contrasto dottrinario sulla possibile violazione del divieto di bis in idem, alla luce della giurisprudenza della Corte Europea dei Diritti dell'Uomo, della Corte di Giustizia dell'Unione Europea, nonché delle supreme autorità giurisdizionali italiane;

- è importante che il decreto legislativo finale rechi un linguaggio chiaro, sia di facile applicazione e non comporti ulteriori oneri economici (anche a causa dell'eventuale ricorso a consulenti giuridici chiamati a chiarirne la portata e gli effetti) in capo ai destinatari;

- tenuto conto della complessità della materia e della costante e rapida evoluzione tecnologica e sociale, si ritiene che la legislazione non possa individuare ex ante tutti i profili critici che richiedono regolamentazione. Pertanto, nella consapevolezza che sarà necessario l'intervento degli interpreti per definire l'esatta portata delle norme dello schema di decreto, si auspica un futuro intervento normativo sulla materia,

esprime parere favorevole con le seguenti condizioni:

- con riguardo all'articolo 2, comma 1, lettera e), rispetto al testo del nuovo articolo 2-quinquies, si provveda a sostituire la parola "sedici" con "quattordici";

- si provveda ad introdurre, con riguardo all'articolo 2, comma 1, lettera e), nel nuovo articolo 2-sexies, tra le finalità di rilevante interesse pubblico elencate, quelle di "programmazione, gestione, controllo e valutazione dell'assistenza sanitaria" e quelle sulla "vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all'immissione in commercio e all'importazione di medicinali e di altri prodotti di rilevanza sanitaria" (articoli 85, comma 1, lettere b e c del Codice e 9, paragrafo 2, lettera h del Regolamento), che si suggerisce invece di prevedere. Analogamente, al comma 2, lettera della predetta disposizione, andrebbero menzionate anche le finalità di "documentazione dell'attività istituzionale di organi pubblici", di "esercizio del mandato degli organi rappresentativi, ivi compresa Io loro sospensione o il loro scioglimento, nonché l'accertamento delle cause di ineleggibilità, incompatibilità o di decadenza, ovvero di rimozione o sospensione da cariche pubbliche" (cfr. articolo 65 del Codice abrogato dallo schema in esame). L'articolo, infatti, disciplina il trattamento di dati particolari (già "sensibili" in base al previgente Codice) per "motivi di interesse pubblico rilevante" ai sensi dell'articolo 9, par. 1, lettera g) del Regolamento, che riproduce in maniera sostanzialmente inalterata il regime normativo previsto al previgente articolo 20 del Codice per i trattamenti di dati sensibili effettuati da soggetti pubblici;

- con riguardo all'articolo 2, comma 1, lettera e), rispetto al testo del nuovo articolo 2-septies, si provveda a specificare meglio quali ambiti siano esclusi o inclusi nella previsione di eliminare la necessità di consenso come base giuridica per il trattamento di dati per finalità di tutela della salute in ambito sanitario (ad esempio il dossier sanitario elettronico). Laddove non si intendesse espungere la disposizione, si valuti di inserire dopo le parole "è consentito" il seguente periodo: "In particolare, le misure di garanzia individuano le misure di sicurezza, ivi comprese tecniche di cifratura e di pseudonimizzazione, misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati". In subordine, voglia il Governo valutare l'opportunità di modificare tale disposizione, in quanto, pur nella consapevolezza della sua funzionalità, volta a confermare la vigenza di norme del Codice non incompatibili con il Regolamento, desta tuttavia perplessità l'elencazione, al comma 4, con finalità meramente esemplificativa, delle materie rispetto alle quali il Garante possa adottare misure di garanzia, dovendo come noto preferirsi, nei testi normativi, elencazioni tassative al fine di ridurre i margini di discrezionalità dell'interprete, suscettibile di pregiudicare la necessaria certezza del diritto. Al comma 6, secondo periodo, si valuti se sostituire le parole: "Per i" con le seguenti: "Limitatamente ai", al fine di chiarire che il consenso quale ulteriore misura di garanzia può essere previsto esclusivamente con riferimento ai dati genetici;

- con riguardo all'articolo 2, comma 1, lettera e), rispetto al testo del nuovo articolo 2-septies, si provveda ad aggiungere, al comma 6, dopo le parole "dati genetici", le seguenti parole "e dati relativi alla salute";

5) con riguardo all'articolo 2, comma 1, lettera e), rispetto al testo del nuovo articolo 2-septies, si provveda ad aggiungere il seguente comma:"6-bis. Fatto salvo quanto previsto dall’articolo 9 paragrafo 1 del Regolamento, ai fini del rispetto dei principi in materia di protezione dei dati personali, con riferimento agli obblighi di cui all’articolo 32 del Regolamento, è ammesso l’utilizzo dei dati biometrici con riguardo alla protezione dei supporti informatici, e alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia e nei casiindividuati ai sensi del presente articolo.";

- con riguardo all'articolo 2, comma 1, lettera e), rispetto al testo del nuovo articolo 2-decies, si provveda a coordinare la disposizione con la recente disciplina sul whistleblowing, che tutela, a certe condizioni, la riservatezza del segnalante;

- con riguardo all'articolo 2, comma 1, lettera e), rispetto al testo del nuovo articolo 2-quaterdecies, nel richiamo alle parole "rischi particolarmente elevati" si provveda a sopprimere la parola "particolarmente". Inoltre, conseguentemente, si provveda a riformulare la disposizione come segue: "Con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che presentano rischi elevati ai sensi dell’articolo 35 del Regolamento, il titolare consulta il Garante ai fini di ottenere l’autorizzazione preliminare sulla base di quanto disposto dall’articolo 36 paragrafo 5, del medesimo Regolamento. In tali casi il Garante può, anche con provvedimenti di carattere generale adottati d’ufficio, prescrivere misure e accorgimenti a garanzia dell’interessato che il titolare del trattamento è tenuto ad adottare.";

- con riguardo all'articolo 12, si valuti di coordinare il testo conl’articolo 85 del Regolamento, che accorda agli Stati membri di prevedere esenzioni o deroghe al trattamento effettuato a scopi giornalistici o di espressione accademica, artistica o letteraria. Peraltro, il lemma "occasionale" sembra problematico rispetto all'attività di chi non esercita in modo professionale il trattamento di dati nell'attività giornalistica, e tuttavia esercita i propri diritti di libertà di informazione ed espressione, soggetti che invece bisogna tutelare. A tal fine se ne propone la soppressione;

- con riferimento all'articolo 15, comma 1, lettera a), al nuovo art. 166, comma 2, si provveda ad eliminare il numero "152";

- con riguardo all'articolo 15, comma 1, lettera a), in ordine alla procedura descritta dall'articolo 166, al comma 8, si provveda a destinare le somme del 50 per cento dei proventi di cui al testo, alle specifiche attività di sensibilizzazione e di ispezione svolte dall’Autorità, nonché di attuazione del Regolamento;

- con riguardo all'articolo 15, comma 1, lettera a), in ordine all'articolo 166, comma 9, si provveda ad inserire dopo le parole "Entro il termine" le seguenti parole: "di cui all'art. 10, comma 3, del d.lgs. 150 del 2011"; si provveda altresì ad inserire dopo la parola "Garante" le parole "ove impartite";

- con riguardo all'articolo 15, comma 1, lettera a), in ordine alla procedura descritta dall'articolo 166, al comma 6 si valuti se prevedere la notificazione della contestazione all'interessato anziché una semplice comunicazione che, in quanto tale, è priva delle caratteristiche di certezza necessitate nell'ambito dei procedimenti sanzionatori e prescrittivi amministrativi;

- con riferimento all'articolo 15, comma 1, lettere b), che modifica l'art. 167 del codice privacy, al comma 2, si provveda ad inserire dopo le parole "delle misure di garanzia", le parole seguenti: "di cui all'articolo 2-septies";

- con riguardo all'articolo 15, lettera e), si provveda a sostituire il comma 1 dell'articolo 171 con il seguente: "1. La violazione delle disposizioni di cui agli articoli 4, comma 1, e 8 della legge 20 maggio 1970 n. 300, è punita con le sanzioni di cui all'articolo 38 della medesima legge";

- si provveda ad inserire le fattispecie di danno e di violazioni non lucrative, per non rischiare, altrimenti, di affievolire la tutela contro fatti incresciosi come il "revenge porn" o lo "slut shaming", che dovrebbero al contrario essere oggetto di attenta tutela. A tal fine agli articoli 167, 167-bis e 167-ter, dopo le parole "al fine di trarne profitto per sé o per altri", si provveda ad aggiungere le parole "ovvero al fine di arrecare danno all’interessato". Si provveda a riconsiderare l'abrogazione dell'articolo 170 - recante il delitto di inosservanza di provvedimenti del Garante - in rapporto alle scelte compiute in sede di recepimento della direttiva (UE) 2016/680 e, in particolare, all'introduzione, in quella sede disposta, di una norma incriminatrice dell'inosservanza dei provvedimenti del Garante, del tutto analoga all'attuale articolo 170. Qualora, quindi, tale ultima norma venisse abrogata, si determinerebbe l'irragionevole conseguenza per cui l'inadempimento del medesimo provvedimento del Garante, se imputabile ad organi incaricati di funzioni di accertamento, prevenzione, repressione dei reati, integrerebbe gli estremi di tale delitto, mentre se imputabile a qualsiasi altro soggetto rileverebbe esclusivamente ai fini sanzionatori amministrativi (articolo 83, paragrafo 5, lettera e), del Regolamento). Tale disparità di trattamento solleva perplessità, segnatamente, in ordine al rispetto del principio di eguaglianza e del canone di ragionevolezza, dal momento che alla medesima condotta, lesiva dello stesso bene giuridico (la piena effettività delle funzioni del Garante), si applicherebbero due regimi sanzionatori estremamente diversi, solo in ragione della natura soggettiva del titolare e del contesto in cui sia realizzato il trattamento (attività di polizia o giustizia penale, ovvero ogni altro ambito). Elementi, questi, inidonei a giustificare, di per sé soli, tali differente regime sanzionatorio. Si richiede pertanto una più attenta riflessione sul punto, al fine di adottare una soluzione che eviti ingiustificate disparità di trattamento, pur nel rispetto del divieto di bis in idem richiamato dal considerando 150 del Regolamento. Nel caso si intenda far rivivere la disposizione incriminatrice, si provveda ad individuare i provvedimenti del Garante così presidiati in ragione della loro rilevanza, richiamando, in particolare, l'articolo 58, paragrafo 2, lettera f), del Regolamento e gli articoli 2-septies, comma 1 del Codice, e 21, comma 1, dello schema di decreto legislativo;

- con riferimento all’articolo 17 dello schema di decreto, al nuovo articolo 10, comma 9 del decreto legislativo n. 150 del 2011, si provveda ad aggiungere in fine il seguente periodo: "Il Garante rende le osservazioni di cui al periodo precedente quando il giudice lo richiede.";

- con riguardo all'articolo 21, comma 1, si provveda a sostituire le parole "9, paragrafo 4" con le seguenti "9, paragrafo 2, lettera b) e 4"; inoltre si provveda a sostituire il comma 2 con il seguente: "2. Le autorizzazioni generali, sottoposte a verifica a norma del comma 1, che sono state ritenute incompatibili con le disposizioni del regolamento (UE) cessano di produrre effetti al momento della pubblicazione in Gazzetta Ufficiale del provvedimento di cui al comma 1.";

- si propone, in linea con quanto già previsto per la nomina dei componenti del Consiglio di Amministrazione della Rai designati dal Parlamento, di introdurre una procedura di evidenza pubblica per la raccolta delle candidature a componente della Autorità Garante. Pertanto, si provveda a sostituire, all’articolo 153, comma 1, il periodo ricompreso tra le parole "I componenti sono scelti" e "dell’informatica" con il seguente: "I componenti devono essere eletti tra coloro che presentano la propria candidatura nell'ambito di una procedura di selezione il cui avviso deve essere pubblicato nei siti internet della Camera, del Senato e dell’Autorità almeno sessanta giorni prima della nomina. Le candidature devono pervenire almeno trenta giorni prima della nomina e i curricula devono essere pubblicati negli stessi siti internet. Le candidature possono essere avanzate da persone che assicurano indipendenza e che risultano di comprovata esperienza nel settore della protezione dei dati personali, con particolare riferimento alle discipline giuridiche o dell’informatica".

Formula, altresì, le seguenti osservazioni:

- con riguardo all'articolo 2, comma 1, lettere b) e c), si valuti di non modificare i vigenti articoli 1 e 2 del decreto legislativo n. 196 del 2003; in ogni caso, qualora si intendano riformulare, si coordinino con il testo Regolamento;

- con riguardo all'articolo 2, comma 1, lettera e), rispetto al testo del nuovo articolo 2-quinquies, comma 2, si valuti se riformulare come segue: "2. In relazione all’offerta diretta ai minori dei servizi di cui al comma 1, il titolare del trattamento redige con linguaggio particolarmente chiaro, semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest’ultimo, le informazioni e le comunicazioni relative al trattamento che lo riguardi.";

- con riguardo all'articolo 2, comma 1, lettera e), rispetto al testo del nuovo articolo 2-novies, si valuti se aggiungere le seguenti parole: "In ogni caso, l'utilizzazione processuale dei dati, comunque raccolti, ai fini della prova è consentita ai sensi dell’articolo 160.";

- con riguardo all'articolo 2, comma 1, lettera e), in riferimento al testo del nuovo articolo 2-duodecies si consideri di specificare meglio, con riguardo alle parole "che agisce a tutela dell'interessato", di quale interessato si tratti, se del deceduto ovvero di un soggetto portatore di un interesse proprio;

- con riguardo all'articolo 2, comma 1, lettera e), rispetto al testo del nuovo articolo 2-quinquiesdecies, si valuti di definire chiaramente la distinzione tra i ruoli svolti dall’ente nazionale e di accreditamento (Accredia) e l'autorità di supervisione (Garante), anche per evitare sovrapposizioni, contenziosi e conflitti di interesse. Si valuti l’opportunità di precisare meglio i criteri sulla base dei quali sono individuati dal Garante le categorie di trattamento in relazione alle quali riserva a sé le funzioni di accreditamento;

- con riguardo all'articolo 8, comma 1, lettera s), con riferimento al testo del nuovo articolo 110-bis del codice privacy, si valuti quanto segue: qualora le disposizioni dell'articolo medesimo si volessero mantenere, il termine "riutilizzo" potrebbe essere innanzitutto sostituito, ovunque ricorra, con quello di "trattamento ulteriore da parte di terzi" (cfr. in tal senso, il considerando 50 del Regolamento). In secondo luogo, le predette disposizioni potrebbero essere coordinate meglio con le norme di settore sopra richiamate, specificando, in particolare, che l'autorizzazione del Garante può essere rilasciata anche in relazione a determinate categorie di titolari e di trattamenti e, in questo caso, è pubblicata nella Gazzetta Ufficiale. Infine, il terzo comma potrebbe essere riformulato, specificando che il trattamento a fini di ricerca da parte degli IRCSS dei dati raccolti per l'attività clinica è effettuato nel rispetto di quanto prevede il Regolamento e in particolare dell'articolo 89 dello stesso;

- con riguardo all'articolo 11, comma 1, lettera l), si valuti se riformulare il testo del nuovo articolo 132-quater, comma 1, come segue: "1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa gli abbonati e, ove possibile, gli utenti, mediante linguaggio chiaro, idoneo e adeguato rispetto alla categoria e alla fascia di età dell’interessato a cui siano fornite le suddette informazioni, con particolare attenzione in caso di minori di età, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio è al di fuori dell’ambito di applicazione delle misure che il fornitore stesso è tenuto ad adottare a norma dell’articolo 132-ter, commi 2, 3 e 5, tutti i possibili rimedi e i relativi costi presumibili. Analoghe informazioni sono rese al Garante e all’Autorità per le garanzie nelle comunicazioni.";

- con riferimento a quanto previsto per il codice deontologico dell'attività giornalistica dall'articolo 139, comma 2, si valuti se specificare meglio che la norma è destinata ad avere effetti anche oltre il periodo transitorio, sopprimendo le parole da: "Nel periodo compreso", fino a: "successivamente", conseguentemente collocando la disposizione all'ultimo comma dell'articolo;

- con riguardo all'articolo 14, comma 1, lettera d), che introduce l'articolo 154-bis, al comma 1, lettera a), al codice privacy, si valuti di adottare linee guida di indirizzo riguardanti misure organizzative e tecniche di attuazione dei principi del Regolamento, nonché volte a fornire adeguate forme di tutela agli interessati anche per singoli settori o categorie, quali i soggetti minori di età, e in applicazione dei principi e delle prescrizioni di cui agli articolo 6, 25, 35 e 36 del Regolamento, tenendo conto anche delle esigenze di semplificazione di micro, piccole e medie imprese come definite dalla raccomandazione 2003/361 CE. Conseguentemente, si sopprima tale riferimento dal testo dell’articolo 22, comma 10;

- con riguardo all'articolo 14, comma 1, lettera f), che modifica l'articolo 156 del codice privacy, sulla composizione e dotazione del personale del Garante, la disposizione appare eccedere i limiti della delega; si valuti, pertanto, l'esclusione della previsione;

- con riguardo all'articolo 15, comma 1, lettera a), si valuti se aggiungere, all’articolo 166 dello schema, un comma 11 del seguente tenore: "11. Le disposizioni relative a sanzioni amministrative previste dal presente codice e dall’articolo 83 del Regolamento non si applicano in relazione ai trattamenti svolti in ambito giudiziario.". Ciò al fine di chiarire che le sanzioni non operano, per espressa esclusione prevista dal Regolamento UE, per i trattamenti in ambito giudiziari;

- in relazione alle fattispecie di reato introdotte all'articolo 167-bis del Codice, si valuti di riformulare la disposizione relativa alla previsione del titolare e del responsabile del trattamento, nonché del soggetto designato a norma dell'articolo 2-terdecies, quali unici soggetti attivi del reato, in ragione della mancata considerazione delle persone suscettibili di operare quali autorizzate al trattamento. Si valuti, inoltre, l'opportunità di definire il novero dei soggetti attivi - analogamente a quanto disposto per le altre fattispecie, anche in sede di recepimento della direttiva (UE) 2016/680 - con il termine generale "chiunque", inserendo tale termine in tutte le fattispecie penali previste. Con riferimento all'articolo 15, comma 1, lettere b) e c) rispetto agli articoli 167-bis e 167-ter, si valuti di sostituire l’espressione "rilevante numero di persone", con altra espressione che possa tutelare maggiormente il principio di tassatività della norma;

- con riguardo all'articolo 21, comma 1, si valuti se sostituire le parole "con provvedimento di carattere generale da adottarsi entro novanta giorni" con le seguenti: "con provvedimento di carattere generale da porre in consultazione pubblica entro novanta giorni"; e, al secondo periodo del comma 1, di riformulare la norma come segue: "il provvedimento di cui al presente comma è adottato entro sessanta giorni dall'esito del procedimento di consultazione pubblica". I termini di novanta giorni, ivi stabiliti per consentire al Garante l'adozione del provvedimento generale con il quale si individuano le prescrizioni delle autorizzazioni generali compatibili con il Regolamento, appaiono troppo esigui. Ciò, soprattutto in considerazione degli adempimenti istruttori previsti ai fini dell'adozione che prevedono, in aggiunta, un ulteriore procedimento di consultazione pubblica. Tale procedimento aggiuntivo, infatti, - teso a consentire ai partecipanti la possibilità effettiva di concorrere a determinare la decisione finale grazie a un orizzonte temporale adeguato al processo di consultazione - non può (da solo) risultare inferiore a sessanta giorni (cfr. Linee guida sulla consultazione pubblica in Italia, pubblicate dalla Presidenza del Consiglio dei ministri. Ministro per la semplificazione e la pubblica amministrazione, 2017). Al riguardo, come indicato, sarebbe opportuno rivedere i termini stabiliti nell'articolo, prevedendo che il Garante predisponga lo schema di provvedimento da porre in consultazione pubblica entro novanta giorni dalla data di entrata in vigore del decreto e che il medesimo provvedimento venga adottato entro sessanta giorni dall'esito della consultazione pubblica. Si valuti, inoltre, se riformulare il comma 2 come segue: "2. Le autorizzazioni generali, sottoposte a verifica a norma del comma 1, che sono state ritenute incompatibili con le disposizioni del regolamento (UE) n. 679 del 2016 cessano di produrre effetti al momento della pubblicazione in Gazzetta Ufficiale del provvedimento di cui al comma 1.". Si valuti, al comma 3, anche di inserire analoga previsione in ordine al momento di cessazione degli effetti per le autorizzazioni ivi previste. Infatti, in coerenza con quanto osservato per il comma 1, al comma 3 potrebbe prevedersi che la cessazione degli effetti delle autorizzazioni generali ritenute incompatibili dovrà prodursi al momento della pubblicazione in Gazzetta Ufficiale della versione finale del provvedimento, al fine di evitare zone franche di tutela. Si valuti anche se inserire i seguenti mirati interventi ai commi 4 e 5, per un miglior coordinamento dell'intero articolo: "4. Sino all'adozione delle regole deontologiche e delle misure di garanzia di cui agli articoli 2-quater, 2-septies del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, producono effetti, per la corrispondente categoria di dati e di trattamenti, le autorizzazioni generali di cui al comma 1 e le pertinenti prescrizioni del provvedimento di cui al comma 1.

5. Le violazioni delle prescrizioni contenute nelle autorizzazioni generali di cui al presente articolo e nel provvedimento generale di cui al comma 1 sono soggette alla sanzione amministrativa di cui all'articolo 83, paragrafo 5, del regolamento (UE) n. 679 del 2016.".

Ciò in considerazione del fatto che le disposizioni delle autorizzazioni generali vigenti sono destinate a confluire (in parte, cioè quelle compatibili con il Regolamento) nel provvedimento generale di cui al comma 1;

- con riguardo all'articolo 22, comma 5, si valuti se riformulare la disposizione nei seguenti termini: "5. A decorrere dal 25 maggio 2018, le disposizioni di cui ai commi 1022 e 1023 dell'articolo 1 della legge 27 dicembre 2017, n. 205 si applicano esclusivamente ai trattamenti dei dati personali funzionali all'autorizzazione del cambiamento del nome e/o del cognome dei minorenni. Con riferimento a tali trattamenti, il Garante per la protezione dei dati personali può, nei limiti e con le modalità di cui all'articolo 36 del regolamento (UE) n. 679 del 2016 adottare provvedimenti di carattere generale. Al fine di semplificare gli oneri amministrativi, i soggetti che rispettano le misure di sicurezza e gli accorgimenti prescritti ai sensi dell'articolo 2-quaterdecies sono esonerati dall'invio al Garante dell'informativa di cui al comma 1022. In sede di prima applicazione, le suddette informative sono inviate entro 60 giorni dalla pubblicazione in Gazzetta Ufficiale del provvedimento del Garante.". Facendo opportuno riferimento a trattamenti svolti per l'esecuzione di un compito di interesse pubblico che può presentare rischi particolarmente elevati ai sensi dell'articolo 35 del Regolamento, disciplinati dallo schema nel nuovo articolo 2-quaterdecies del Codice, si tiene conto del disposto di tale ultimo articolo e del riferimento ai minorenni contenuti nel testo dello schema di decreto;

Si valuti la possibilità di stabilire, tramite provvedimenti del Garante, una fase transitoria, in ogni caso non inferiore a 8 mesi, successiva all'entrata in vigore del decreto legislativo, nel corso della quale il Garante non procederà ad irrogare sanzioni alle imprese, disponendo, invece, ammonimenti o prescrizioni di adeguamento alla nuova disciplina. Ciò anche in base al principio di proporzionalità e di gradualità della sanzione, anche osservando i principi dello small business act.

Contenuto pubblico