Resoconto sommario della seduta n. 458 della commissione Giustizia

GIUSTIZIA (2ª)

GIOVEDÌ 15 MARZO 2018
458ª Seduta

Presidenza del Presidente
D'ASCOLA

Interviene il sottosegretario di Stato per la giustizia Migliore.

La seduta inizia alle ore 11,50.

IN SEDE CONSULTIVA SU ATTI DEL GOVERNO

Schema di decreto legislativo recante attuazione della direttiva (UE) 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI (n. 517)
(Parere al Ministro per i rapporti con il Parlamento, ai sensi degli articoli 1 e 11 della legge 25 ottobre 2017, n. 163. Seguito e conclusione dell'esame. Parere non ostativo con osservazioni)

Prosegue l'esame, sospeso nella seduta del 7 marzo.

Il relatore, senatore ALBERTINI (AP-CpE-NCD) illustra uno schema di parere non ostativo con osservazioni (pubblicato in allegato al resoconto).

Interviene il sottosegretario MIGLIORE il quale rappresenta alla Commissione che l'ufficio legislativo del Ministero della giustizia e i competenti uffici della Commissione europea hanno collaborato, in via informale, mettendo a punto alcuni rilievi sull'Atto del Governo in esame, tenendo conto a tal fine anche delle modifiche proposte allo schema di decreto legislativo nel parere espresso dal Garante per la protezione dei dati personali. Quindi il Governo propone al relatore e alla Commissione di valutare i rilievi anzidetti ai fini di un loro recepimento nello schema di parere.

Per altro verso, il senatore CASSON (Art.1-MDP-LeU) richiama l'attenzione della Commissione su un'osservazione di carattere generale, contenuta nel parere espresso dal Garante per la protezione dei dati personali, che suggerisce di collocare sistematicamente le norme del provvedimento in esame all'interno del Codice della privacy di cui al decreto legislativo n. 196 del 2003.

A tale riguardo il sottosegretario MIGLIORE replica che la Commissione, nell'ambito del proprio parere, potrà esprimersi anche sull'opportunità di inserire le disposizioni dello schema di decreto all'interno del Codice della privacy.

Si apre quindi un dibattito sui tempi di esame dello schema di decreto legislativo in titolo, in considerazione della necessità di un ulteriore spazio di riflessione per valutare i rilievi aggiuntivi sottoposti alla Commissione dal rappresentante del Governo e tenuto conto che il giorno ultimo della XVII legislatura è il 22 marzo, mentre il termine per l'espressione del parere scade il 2 aprile.
Intervengono al riguardo i senatori CASSON (Art.1-MDP-LeU), CALIENDO (FI-PdL XVII), PAGLIARI (PD) e il relatore ALBERTINI (AP-CpE-NCD).

Si conviene infine sull'opportunità di sospendere la seduta per consentire al relatore di vagliare immediatamente eventuali ulteriori proposte di modifica e di integrazione dello schema di parere.

Il PRESIDENTE sospende quindi la seduta.

La seduta, sospesa alle ore 12,05, riprende alle ore 13.

Il relatore, senatore ALBERTINI (AP-CpE-NCD), illustra un nuovo schema di parere - pubblicato in allegato al resoconto - precisando che alcuni dei rilievi sottoposti alla Commissione dal rappresentante del Governo erano già contenuti nel primo schema di parere; altri suggerimenti sono invece stati recepiti con la nuova formulazione dello schema.

Nessun altro chiedendo di intervenire si pone in votazione il nuovo schema di parere illustrato dal relatore il quale, previa verifica del prescritto numero di senatori, risulta approvato.

La seduta termina alle ore 13,10.

SCHEMA DI PARERE PROPOSTO DAL RELATORE SULL'ATTO DEL GOVERNO N. 517

La Commissione giustizia,

esaminato lo schema di decreto legislativo recante "Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio";

premesso che,

- lo schema di decreto legislativo in esame è stato emanato in attuazione della delega di cui agli articoli 1 e 11 della legge n. 163 del 2017 (Legge di delegazione europea 2016/2017) per il recepimento della direttiva UE 2016/680 da effettuarsi entro la data del 6 maggio 2018;

- che, nel rispetto della direttiva che il medesimo schema è volto ad attuare, si mira in generale a fornire una regolamentazione sostanzialmente organica del trattamento dei dati personali delle persone fisiche per fini di prevenzione, indagine, accertamento e perseguimento dei reati o esecuzione di sanzioni penali, modificando quindi la disciplina in materia attualmente vigente, di cui ai titoli primo e secondo della parte seconda del Codice sul trattamento dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, con particolare riferimento al settore giudiziario e a quello del trattamento dei dati da parte delle forze di polizia;

rilevato che:

- lo schema di decreto si compone di 51 articoli, ed è suddiviso in 8 Capi, dedicati a specifici aspetti della materia, che rinviano al regolamento (UE) 2016/679 nelle parti in cui il contenuto di questo risulta coincidente con la direttiva;

- ritenuta la rilevanza dell'articolo 2, intitolato "Definizioni" in rapporto alle definizioni contenute nell'articolo 3 della direttiva 2016/680; nonché dell'articolo 3 sui "Principi applicabili al trattamento dei dati personali", muovendo dalla responsabilizzazione del titolare che rappresenta un elemento fondamentale della riforma;

- ritenuta altresì importante la conformità dell'articolo 4 in materia di conservazione e verifica della qualità dei dati, all'articolo 7 della direttiva; nonché la liceità del trattamento (articolo 5) anche in relazione alle esigenze investigative perseguite;

considerato che:

- l'articolo 7 dello schema di decreto legislativo disciplina il trattamento dei dati personali in conformità all'articolo 9 della direttiva e subordinandolo in ogni caso al rispetto delle garanzie dei diritti e delle libertà fondamentali degli interessati;

- l'articolo 10 dello schema di decreto, dando attuazione all'articolo 13 della direttiva in ordine alle informazioni che il titolare del trattamento deve fornire all'interessato, distingue tra quelle da rendere disponibili in via generale e inderogabile e quelle da fornire, invece, all'interessato, in "casi specifici";

- l'articolo 21 dello schema in esame definisce i termini di conservazione delle registrazioni delle operazioni;

- l'articolo 23 disciplina la valutazione di impatto sulla protezione dei dati;

tenuto conto del parere espresso dal Garante per la protezione dei dati personali nell'adunanza del 22 febbraio 2018;

esprime parere non ostativo con le seguenti osservazioni:

a) in ordine alle "Definizioni" si suggerisce di modificare l'articolo 2, comma 1, lettera a) dello schema, sostituendo la definizione di "dati personali" con la seguente: "qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato")" e, conseguentemente, sopprimendo la lettera b) del medesimo comma al fine di rendere le definizioni omogenee a quelle contenute nell'articolo 3 della direttiva;

b) all'articolo 3, ultimo comma, dello schema, si suggerisce di aggiungere, in fine, le parole: ", che deve risultare dalla relativa documentazione o da altra modalità idonea", al fine di sancire espressamente il principio di responsabilizzazione del titolare che rappresenta uno dei punti qualificanti del nuovo quadro giuridico europeo;

c) all'articolo 4, comma 1, dello schema sarebbe opportuno sostituire le parole: " se necessario rispetto alla finalità del trattamento" con le seguenti: "tenuto conto della finalità del trattamento", al fine di specificare in maniera più precisa le modalità per l'adempimento dell'obbligo, per il titolare, di distinguere i dati in ragione della loro attinenza a fatti ovvero a valutazioni;

d) in ordine ai termini di conservazione dei dati, all'articolo 5, comma 2, dopo le parole: "conservazione dei dati", è opportuno inserire le seguenti: ", anche in relazione alla tipologia di reati considerati";

e) in riferimento a quanto previsto dall'articolo 7, si ritiene opportuno introdurre uno specifico richiamo alla necessità di valutazione dei rischi connessi al trattamento dei dati personali all'interno dell'articolo 16, recante la protezione dei dati fin dalla progettazione e la protezione per impostazione predefinita, e dell'articolo 23, recante la valutazione d'impatto sulla protezione dei dati;

f) al fine di dare più conforme attuazione all'articolo 10 della direttiva, in ordine alla valutazione dei rischi per il trattamento di particolari categorie di dati, sarebbe inoltre opportuno inserire all'articolo 7, dopo le parole: "solo se" le seguenti: "strettamente necessario e";

g) al fine di rendere il testo dell'articolo 10 maggiormente conforme all'articolo 13 della direttiva, sarebbe opportuno sostituire, al comma 2, alinea, le parole: ", quando previsto da disposizioni di legge o regolamento, fornisce all'interessato" con le seguenti: ", ove non ostino contrarie previsioni di legge o regolamento, fornisce direttamente all'interessato". Alla lettera b) del medesimo comma è inoltre opportuno anteporre alle parole: "i criteri", le seguenti: ", se non è possibile,", al fine di chiarire che l'indicazione dei criteri per la determinazione del periodo di conservazione dei dati è subordinata all'impossibilità di comunicazione dei termini stessi di conservazione, individuati come tali e non per relationem. Analoga modifica andrebbe apportata, per le medesime ragioni, all'articolo 11, comma 1, lettera d);

h) per le operazioni di raccolta e modifica dei dati personali, sarebbe opportuno anche rinviare al regolamento di cui all'articolo 5, comma 2, dello schema, il cui oggetto comprende tra l'altro anche i termini di conservazione dei dati trattati e le modalità di consultazione degli stessi; pertanto, all'articolo 21, comma 1, è auspicabile aggiungere, in fine, le seguenti parole: ", da conservare per la durata stabilita con il decreto di cui all'articolo 5, comma 2";

i) all'articolo 23 si rappresenta l'opportunità di prevedere espressamente che la valutazione d'impatto debba essere effettuata comunque nei casi di cui all'articolo 8 del decreto, in ragione del particolare rischio cui tali trattamenti possono esporre i diritti e le libertà dell'interessato.

PARERE APPROVATO DALLA COMMISSIONE SULL'ATTO DEL GOVERNO N. 517

La Commissione, esaminato lo schema di decreto legislativo in titolo,
premesso che,
- lo schema di decreto legislativo in esame è stato emanato in attuazione della delega di cui agli articoli 1 e 11 della legge n. 163 del 2017 (Legge di delegazione europea 2016/2017) per il recepimento della direttiva UE 2016/680 da effettuarsi entro la data del 6 maggio 2018;
- che, nel rispetto della direttiva che il medesimo schema è volto ad attuare, si mira in generale a fornire una regolamentazione sostanzialmente organica del trattamento dei dati personali delle persone fisiche per fini di prevenzione, indagine, accertamento e perseguimento dei reati o esecuzione di sanzioni penali, modificando quindi la disciplina in materia attualmente vigente, di cui ai titoli primo e secondo della parte seconda del Codice sul trattamento dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, con particolare riferimento al settore giudiziario e a quello del trattamento dei dati da parte delle forze di polizia;
rilevato che lo schema di decreto si compone di 51 articoli, ed è suddiviso in 8 Capi, dedicati a specifici aspetti della materia, che rinviano al regolamento (UE) 2016/679 nelle parti in cui il contenuto di questo risulta coincidente con la direttiva;
ritenuta la rilevanza dell'articolo 2, intitolato "Definizioni" in rapporto alle definizioni contenute nell'articolo 3 della direttiva 2016/680; nonché dell'articolo 3 sui "Principi applicabili al trattamento dei dati personali", muovendo dalla responsabilizzazione del titolare che rappresenta un elemento fondamentale della riforma;
ritenuta altresì importante la conformità dell'articolo 4 in materia di conservazione e verifica della qualità dei dati, all'articolo 7 della direttiva; nonché la liceità del trattamento (articolo 5) anche in relazione alle esigenze investigative perseguite;

considerato inoltre che:

- l'articolo 7 dello schema di decreto legislativo disciplina il trattamento dei dati personali in conformità all'articolo 9 della direttiva e subordinandolo in ogni caso al rispetto delle garanzie dei diritti e delle libertà fondamentali degli interessati;
- l'articolo 10 dello schema di decreto, dando attuazione all'articolo 13 della direttiva in ordine alle informazioni che il titolare del trattamento deve fornire all'interessato, distingue tra quelle da rendere disponibili in via generale e inderogabile e quelle da fornire, invece, all'interessato, in "casi specifici";
- l'articolo 21 dello schema in esame definisce i termini di conservazione delle registrazioni delle operazioni;
- l'articolo 23 disciplina la valutazione di impatto sulla protezione dei dati;
- l'articolo 33 indica le garanzie adeguate che devono ricorrere, ai fini del trasferimento di dati personali, in mancanza di una decisione di adeguatezza della Commissione UE;
- l'articolo 38 dello schema di decreto disciplina le attribuzioni del Garante in tema di cooperazione con omologhe autorità europee secondo quanto previsto dall'articolo 50 della direttiva;
- l'articolo 44 reca la disciplina per la falsità nelle dichiarazioni e notificazioni al Garante, riproduce il contenuto dell'articolo 168 del Codice della privacy;

tenuto conto del parere espresso dal Garante per la protezione dei dati personali nell'adunanza del 22 febbraio 2018;

esprime parere non ostativo con le seguenti osservazioni:

a) in ordine alle "Definizioni" si suggerisce di modificare l'articolo 2, comma 1, lettera a) dello schema, sostituendo la definizione di "dati personali" con la seguente: "qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato")" e, conseguentemente, sopprimendo la lettera b) del medesimo comma, al fine di rendere le definizioni omogenee a quelle contenute nell'articolo 3 della direttiva;
b) all'articolo 3, ultimo comma, dello schema, si suggerisce di aggiungere, in fine, le parole: ", che deve risultare dalla relativa documentazione o da altra modalità idonea", al fine di sancire espressamente il principio di responsabilizzazione del titolare che rappresenta uno dei punti qualificanti del nuovo quadro giuridico europeo;
c) all'articolo 4, comma 1, dello schema sarebbe opportuno sostituire le parole: " se necessario rispetto alla finalità del trattamento" con le seguenti: "tenuto conto della finalità del trattamento", al fine di specificare in maniera più precisa le modalità per l'adempimento dell'obbligo, per il titolare, di distinguere i dati in ragione della loro attinenza a fatti ovvero a valutazioni; al medesimo comma 1 si suggerisce inoltre di aggiungere in fine il seguente periodo: " La distinzione in relazione alle diverse categorie di interessati si applica, in particolare, alle seguenti categorie di interessati: persone sottoposte a indagine; imputati; persone sottoposte a indagine o imputate in procedimento connesso o collegato; condannati con sentenza definitiva; parti offese; parti civili; persone informate sui fatti."
d) in ordine ai termini di conservazione dei dati, all'articolo 5, comma 2, si suggerisce di aggiungere in fine il seguente periodo: "I termini di conservazione sono determinati in conformità ai criteri indicati all’articolo 3, comma 1, tenendo conto delle diverse categorie di interessati e delle finalità perseguite."
e) in riferimento a quanto previsto dall'articolo 7, si ritiene opportuno introdurre uno specifico richiamo alla necessità di valutazione dei rischi connessi al trattamento dei dati personali all'interno dell'articolo 16, recante la protezione dei dati fin dalla progettazione e la protezione per impostazione predefinita, e dell'articolo 23, che disciplina la valutazione d'impatto sulla protezione dei dati;
f) al fine di dare più conforme attuazione all'articolo 10 della direttiva, in ordine alla valutazione dei rischi per il trattamento di particolari categorie di dati, sarebbe inoltre opportuno inserire all'articolo 7, dopo le parole: "solo se" le seguenti: "strettamente necessario e";
g) all'articolo 10, al comma 2, alla lettera d) si suggerisce di aggiungere in fine le seguenti parole ", in particolare nel caso in cui i dati personali siano stati raccolti all’insaputa dell’interessato.";
h) al fine di rendere il testo dell'articolo 10 maggiormente conforme all'articolo 13 della direttiva, sarebbe opportuno sostituire, al comma 2, alinea, le parole: ", quando previsto da disposizioni di legge o regolamento, fornisce all'interessato" con le seguenti: ", ove non ostino contrarie previsioni di legge o regolamento, fornisce direttamente all'interessato". Alla lettera b) del medesimo comma è inoltre opportuno anteporre alle parole: "i criteri", le seguenti: ", se non è possibile,", al fine di chiarire che l'indicazione dei criteri per la determinazione del periodo di conservazione dei dati è subordinata all'impossibilità di comunicazione dei termini stessi di conservazione, individuati come tali e non per relationem. Analoga modifica andrebbe apportata, per le medesime ragioni, all'articolo 11, comma 1, lettera d);
i) per le operazioni di raccolta e modifica dei dati personali, sarebbe opportuno anche rinviare al regolamento di cui all'articolo 5, comma 2, dello schema, il cui oggetto comprende, tra l'altro, anche i termini di conservazione dei dati trattati e le modalità di consultazione degli stessi; pertanto, all'articolo 21, comma 1, è auspicabile aggiungere, in fine, le seguenti parole: ", da conservare per la durata stabilita con il decreto di cui all'articolo 5, comma 2";
j) all'articolo 23 si rappresenta l'opportunità di prevedere espressamente che la valutazione d'impatto debba essere effettuata comunque nei casi di cui all'articolo 8 del decreto, in ragione del particolare rischio cui tali trattamenti possono esporre i diritti e le libertà dell'interessato;
k) all'articolo 33, al comma 1, si suggerisce di sostituire le lettere a) e b) con le seguenti: " - a) sono fornite garanzie adeguate per la protezione dei dati personali attraverso uno strumento giuridicamente vincolante; o
- b) il titolare del trattamento, valutate tutte le circostanze relative allo specifico trasferimento, ritiene che sussistano garanzie adeguate per la protezione dei dati personali.";
l) all'articolo 33, al comma 2 dopo le parole "lettera b)" si suggerisce di inserire le seguenti "e ne conserva documentazione che, su richiesta, mette a disposizione del Garante," e, dopo le parole "l'indicazione", sopprimere le parole ", se richiesta,";
m) all'articolo 38, sostituire il comma 1 con il seguente "1. Il Garante coopera con la Commissione dell’Unione europea al fine di contribuire alla coerente applicazione del diritto dell’Unione in materia di protezione dei dati personali, scambia con le autorità di controllo degli altri Stati membri le informazioni utili e presta assistenza reciproca al fine di attuare e applicare il presente decreto in maniera coerente, e di cooperare efficacemente con loro. L'assistenza reciproca comprende le richieste di informazioni e le misure di controllo, quali le richieste di effettuare consultazioni, ispezioni e indagini."
n) all'articolo 44 si suggerisce infine di sostituire il comma 1 con il seguente "1. Chiunque in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante riguardante il trattamento dei dati di cui all’articolo 1, comma 2, o nel corso di accertamenti riguardanti i medesimi dati, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni." e sopprimere, nella rubrica, le parole "e notificazioni".