L’8 giugno è entrato in vigore il Decreto Legislativo 18 maggio 2018, n. 51, che ha dato attuazione alla direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti in materia penale.

IL FATTO

La direttiva da leggersi a completamento del Regolamento (UE) 2016/679 (GDPR), è sorta dall’esigenza avvertita nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia, di stabilire norme specifiche sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, nel rispetto della natura specifica di tali attività.

Il decreto attuativo, approvato in via definitiva dal Consiglio dei Ministri ha l’obiettivo di creare un vero e proprio statuto in materia e ripropone in gran parte le disposizioni contenute nella direttiva e va a sostituire quasi totalmente la normativa contenuta nei titoli primo e secondo della parte seconda del Codice sul trattamento dei dati personali di cui al d.lgs. n.196/2003.

Il testo legislativo stabilisce le modalità ed i tempi di trattamento e conservazione dei dati personali, elenca i diritti del soggetto interessato ed illustra il procedimento attuabile per esercitarli, fissa norme per la sicurezza dei dati e per il loro trasferimento, prevede la designazione di un responsabile per la protezione e commina sanzioni amministrative e penali.

Ai sensi degli artt. 2 e 37 del decreto, l’autorità pubblica indipendente istituita dall’Italia ed incaricata di sorvegliare l’applicazione della normativa (autorità di controllo) è il Garante per la protezione dei dati personali.

I poteri conferiti al Garante dal nuovo statuto sono ampli e di diversa natura, includendo l’art. 37 poteri informativi, consultivi, di accertamento, collaborazione, vigilanza e altri, al fine di garantire un’effettiva attuazione delle disposizioni.

La funzione del Garante riveste particolare rilevanza anche in ambito penale. Infatti, tra le condotte penalmente rilevanti tipizzate al Capo VI del decreto, vi sono il trattamento illecito di dati (art. 43), la falsità in atti e dichiarazione al Garante (art. 44) e l’inosservanza di provvedimenti del Garante (art. 45). Tutte le fattispecie sono punite con la pena della reclusione e con la pena accessoria della pubblicazione della sentenza ex art. 36 c. 2 e 3 c.p.

Di particolare rilievo risulta la norma ex art. 4 del Decreto 51/2018, che prevede un trattamento dei dati personali differenziato in base alle diverse categorie di interessati, quali: persone  sottoposte  a  indagine;  imputati;  persone  sottoposte a indagine o imputate in procedimento  connesso o collegato;  persone condannate con sentenza definitiva; persone offese dal  reato;  parti civili; persone informate sui fatti; testimoni. Come osservato nel testo della direttiva, tale categorizzazione dovrebbe attuarsi  in modo conforme al diritto alla presunzione di innocenza garantito dalla Carta e dalla CEDU, come interpretato nella giurisprudenza rispettivamente della Corte di giustizia e della Corte europea dei diritti dell’uomo.

In via di sintesi, i dati reperiti nel contesto penale andranno:

• trattati in modo lecito e corretto;
• raccolti per finalità determinate, espresse e legittime e trattati in modo compatibile con tali finalità;
• adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono trattati;
• esatti e, se necessario, aggiornati;
• conservati con modalità che consentano l’identificazione degli interessati per il tempo necessario al conseguimento delle finalità per le quali sono trattati, sottoposti a esame periodico per verificarne la persistente necessità di conservazione, cancellati o anonimizzati una volta decorso tale termine;
• trattati in modo da garantire un’adeguata sicurezza e protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali, mediante l’adozione di misure tecniche e organizzative adeguate.

PERCHÈ È IMPORTANTE

Anche in sede penale pertanto vengono introdotte le cautele sempre più stringenti che il GDPR ha introdotto per i privati.

Sarà da verificare se i Palazzi di Giustizia sono effettivamente pronti a attuare le misure previste dal Decreto 51/2018.