- lo schema di decreto si compone di 51 articoli, ed è suddiviso in 8 Capi, dedicati a specifici aspetti della materia, che rinviano al regolamento (UE) 2016/679 nelle parti in cui il contenuto di questo risulta coincidente con la direttiva;
- ritenuta la rilevanza dell'articolo 2, intitolato "Definizioni" in rapporto alle definizioni contenute nell'articolo 3 della direttiva 2016/680; nonché dell'articolo 3 sui "Principi applicabili al trattamento dei dati personali", muovendo dalla responsabilizzazione del titolare che rappresenta un elemento fondamentale della riforma;
- ritenuta altresì importante la conformità dell'articolo 4 in materia di conservazione e verifica della qualità dei dati, all'articolo 7 della direttiva; nonché la liceità del trattamento (articolo 5) anche in relazione alle esigenze investigative perseguite;
- l'articolo 7 dello schema di decreto legislativo disciplina il trattamento dei dati personali in conformità all'articolo 9 della direttiva e subordinandolo in ogni caso al rispetto delle garanzie dei diritti e delle libertà fondamentali degli interessati;
- l'articolo 10 dello schema di decreto, dando attuazione all'articolo 13 della direttiva in ordine alle informazioni che il titolare del trattamento deve fornire all'interessato, distingue tra quelle da rendere disponibili in via generale e inderogabile e quelle da fornire, invece, all'interessato, in "casi specifici";
- l'articolo 21 dello schema in esame definisce i termini di conservazione delle registrazioni delle operazioni;
- l'articolo 23 disciplina la valutazione di impatto sulla protezione dei dati;
a) in ordine alle "Definizioni" si suggerisce di modificare l'articolo 2, comma 1, lettera a) dello schema, sostituendo la definizione di "dati personali" con la seguente: "qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato")" e, conseguentemente, sopprimendo la lettera b) del medesimo comma al fine di rendere le definizioni omogenee a quelle contenute nell'articolo 3 della direttiva;
b) all'articolo 3, ultimo comma, dello schema, si suggerisce di aggiungere, in fine, le parole: ", che deve risultare dalla relativa documentazione o da altra modalità idonea", al fine di sancire espressamente il principio di responsabilizzazione del titolare che rappresenta uno dei punti qualificanti del nuovo quadro giuridico europeo;
c) all'articolo 4, comma 1, dello schema sarebbe opportuno sostituire le parole: " se necessario rispetto alla finalità del trattamento" con le seguenti: "tenuto conto della finalità del trattamento", al fine di specificare in maniera più precisa le modalità per l'adempimento dell'obbligo, per il titolare, di distinguere i dati in ragione della loro attinenza a fatti ovvero a valutazioni;
d) in ordine ai termini di conservazione dei dati, all'articolo 5, comma 2, dopo le parole: "conservazione dei dati", è opportuno inserire le seguenti: ", anche in relazione alla tipologia di reati considerati";
e) in riferimento a quanto previsto dall'articolo 7, si ritiene opportuno introdurre uno specifico richiamo alla necessità di valutazione dei rischi connessi al trattamento dei dati personali all'interno dell'articolo 16, recante la protezione dei dati fin dalla progettazione e la protezione per impostazione predefinita, e dell'articolo 23, recante la valutazione d'impatto sulla protezione dei dati;
f) al fine di dare più conforme attuazione all'articolo 10 della direttiva, in ordine alla valutazione dei rischi per il trattamento di particolari categorie di dati, sarebbe inoltre opportuno inserire all'articolo 7, dopo le parole: "solo se" le seguenti: "strettamente necessario e";
g) al fine di rendere il testo dell'articolo 10 maggiormente conforme all'articolo 13 della direttiva, sarebbe opportuno sostituire, al comma 2, alinea, le parole: ", quando previsto da disposizioni di legge o regolamento, fornisce all'interessato" con le seguenti: ", ove non ostino contrarie previsioni di legge o regolamento, fornisce direttamente all'interessato". Alla lettera b) del medesimo comma è inoltre opportuno anteporre alle parole: "i criteri", le seguenti: ", se non è possibile,", al fine di chiarire che l'indicazione dei criteri per la determinazione del periodo di conservazione dei dati è subordinata all'impossibilità di comunicazione dei termini stessi di conservazione, individuati come tali e non per relationem. Analoga modifica andrebbe apportata, per le medesime ragioni, all'articolo 11, comma 1, lettera d);
h) per le operazioni di raccolta e modifica dei dati personali, sarebbe opportuno anche rinviare al regolamento di cui all'articolo 5, comma 2, dello schema, il cui oggetto comprende tra l'altro anche i termini di conservazione dei dati trattati e le modalità di consultazione degli stessi; pertanto, all'articolo 21, comma 1, è auspicabile aggiungere, in fine, le seguenti parole: ", da conservare per la durata stabilita con il decreto di cui all'articolo 5, comma 2";
i) all'articolo 23 si rappresenta l'opportunità di prevedere espressamente che la valutazione d'impatto debba essere effettuata comunque nei casi di cui all'articolo 8 del decreto, in ragione del particolare rischio cui tali trattamenti possono esporre i diritti e le libertà dell'interessato.