È stato finalmente pubblicato lo schema di Decreto Legislativo che dovrebbe attuare in Italia la Direttiva 2016/680 sul trattamento dei dati personali per finalità di prevenzione e repressione di reati e esecuzione di sanzioni penali.
Si tratta della “Direttiva sorella” del Regolamento Generale sulla protezione dei Dati Personali (GDPR) del quale riprende la gran parte degli obblighi e principi. Ecco alcuni rilievi critici sul testo del decreto di recepimento.
Lo schema di decreto
Lo schema di decreto legislativo pubblicato (Atto del Governo N. 517) intende creare un vero e proprio statuto dedicato alla regolamentazione del trattamento dei dati personali da parte delle autorità competenti in materia di prevenzione e repressione di reati e esecuzione di sanzioni penali (ossia forze di polizia, procuratori della Repubblica, ecc.). La Direttiva che lo schema di decreto recepisce è stata negoziata in parallelo al GDPR e ne riprende gran parte degli obblighi e principi.
Uno degli aspetti più interessanti che emergono dallo schema di decreto è che lo stesso segnala l’intenzione del legislatore di mantenere in vita (almeno in parte) l’attuale Codice della Privacy. Infatti, lo schema di decreto sostituisce in gran parte la normativa attualmente contemplata nei titoli primo e secondo della parte seconda del Codice (ossia i titoli sui trattamenti in ambito giudiziario e da parte di forze di polizia), ma rinvia ad altre parti del Codice per quanto riguarda, ad esempio, le funzioni del Garante della Privacy. Sembra quindi che, anche dopo maggio 2018 (ovvero dopo l’entrata in vigore definitiva del GDPR), alcune parti del Codice rimarranno in vigore.
In gran parte, lo schema di decreto legislativo ripropone le disposizioni contenute nella Direttiva che recepisce. Tuttavia, non mancano elementi innovativi, alcuni dei quali sembrano stridere con il diritto dell’Unione europea. In questo articolo ne verranno affrontati due: i termini e le modalità di conservazione dei dati (data retention); ed il regime sanzionatorio introdotto dallo schema di decreto.
Conservazione dei dati
L’articolo 5 della Direttiva 2016/680 impone agli Stati membri di fissare adeguati termini per la cancellazione dei dati. Per il recepimento dell’articolo 5 lo schema di decreto prevede l’adozione di norme regolamentari che disciplinino i termini e le modalità di conservazione dei dati. Lo schema fa però salvi i termini già stabiliti da disposizioni di legge o di regolamento vigenti. La Relazione Illustrativa dello schema di decreto chiarifica questo punto elencando le vigenti disposizioni di maggior rilievo che fissano termini di conservazione in ambito penale. Tra queste si segnalano, in particolare, l’Articolo 25 del D.P.R. 7 aprile 2016, n. 87 e l’Articolo 24 della Legge 20 Novembre 2017, n. 167. Il primo fissa a trent’anni il periodo di conservazione dei profili del DNA ottenuti da soggetti quali gli arrestati in flagranza di reato o i sottoposti a fermo di indiziato di delitto (ossia persone presunte innocenti), mentre il secondo fissa a 6 anni il termine di conservazione dei dati di traffico telefonico e telematico.
Si tratta di due termini che appaiono in contrasto con il diritto dell’Unione europea. Esemplificativo a tale riguardo è quanto stabilito dalla Corte Europea dei Diritti dell’Uomo nel caso S. e MARPER c. REGNO UNITO, un caso riguardante proprio la materia delle banche dati del DNA a scopo investigativo penale. Nel caso in questione, la Corte di Strasburgo ha ritenuto che la normativa del Regno Unito che prevedeva la conservazione illimitata dei profili genetici dei soggetti indagati violasse il diritto al rispetto della vita privata riconosciuto dalla Convenzione Europea dei Diritti dell’Uomo. Ciò in quanto: “il carattere generale ed indifferenziato con cui opera il meccanismo di conservazione … dei profili di DNA di individui sospettati della commissione di determinati reati che però non sono poi condannati … non garantisce un corretto bilanciamento dei concorrenti interessi pubblici e privati in gioco … Ne segue che [tale] conservazione dei dati personali … costituisce una ingerenza sproporzionata nel diritto dei ricorrenti al rispetto della vita privata; tale ingerenza non può essere considerata come necessaria in una società democratica”.
Ora, pur non trattandosi di una conservazione illimitata di dati genetici, il periodo di conservazione di trent’anni attualmente imposto in Italia appare largamente sproporzionato, in particolare se si pensa che tale periodo potrebbe superare la durata della vita stessa di molti dei soggetti i cui profili genetici sono conservati. Si noti che le pronunce della Corte di Strasburgo sono sistematicamente tenute in considerazione dalla Corte di Giustizia dell’Unione Europea per interpretare la portata dei diritti fondamentali tutelati dal diritto comunitario, quale quello alla protezione dei dati personali. Inoltre, la stessa Corte Costituzionale Italiana ha più volte ribadito come l’attività normativa del legislatore Italiano vada valutata sulla base delle norme della Convenzione, cosi come intrepretate dalla Corte di Strasburgo.
Sul tema della conservazione dei dati di traffico telefonico e telematico si è pronunciata invece la Corte di Lussemburgo nel caso Tele 2, ribadendo come Il diritto dell’Unione osti ad una conservazione generalizzata e indifferenziata dei dati di traffico, consentendo tuttavia agli Stati membri di prevedere, a titolo preventivo, la conservazione mirata dei dati di traffico al solo scopo di lottare contro gravi reati, a condizione che tale conservazione sia limitata allo stretto necessario. La durata di conservazione dei dati deve essere quindi conforme a canoni di stretta proporzionalità. La non proporzionalità di un termine di conservazione di 6 anni, e la sua difficile compatibilità con il diritto europeo, è stata peraltro sottolineata dallo stesso Garante della Privacy.
In definitiva, il legislatore Italiano sembra non aver voluto sfruttare l’occasione offerta dal recepimento della Direttiva 2016/680 per riallineare la normativa italiana sulla conservazione dei dati col il diritto dell’Unione.
Le sanzioni
La Direttiva 2016/680 lascia agli Stati membri un margine di discrezionalità riguardo al tipo e alla natura delle sanzioni applicabili in caso di violazione delle proprie disposizioni, a condizione che siano effettive, proporzionate e dissuasive. Nell’esercitare tale discrezionalità, Il governo ha ritenuto di stabilire sia sanzioni penali che amministrative per le violazioni del decreto di recepimento. L’aspetto più interessante riguarda le sanzioni amministrative, fissate nel massimo a 150.000 Euro. È evidente il forte disallineamento che esiste rispetto al regime sanzionatorio introdotto dal GDPR, il quale prevede sanzioni amministrative fino a 20 milioni di euro (o fino al 4% del fatturato totale annuo, se superiore).
Tale disallineamento sanzionatorio pare difficilmente compatibile con i canoni di effettività, proporzionalità e dissuasività imposti dal diritto comunitario. Sul punto, la Corte di Giustizia ha più volte sottolineato come gli Stati membri debbano “vegliare a che le violazioni del diritto comunitario siano sanzionate, sotto il profilo sostanziale e procedurale, in termini analoghi a quelli previsti per le violazioni del diritto interno simili per natura ed importanza e che, in ogni caso, conferiscano alla sanzione stessa un carattere di effettività, di proporzionalità e di capacità dissuasiva” (si veda ad esempio il caso C-68/88 – Commissione / Grecia). Da tale punto di vista, diventa difficile giustificare la differenza tra le sanzioni del GDPR e quelle previste dallo schema di decreto che recepisce la Direttiva 2016/680, soprattutto in ragione dell’omogeneità normativa che esiste tra i due strumenti. Il legislatore delegato sembra essere consapevole di questo problema visto che nella Relazione Illustrativa al decreto si è sentito in obbligo di indicare che “i limiti edittali delle sanzioni pecuniarie amministrative non possono … superare nel massimo 150.000 euro. E al riguardo non è invocabile il disallineamento con analoghe previsioni sanzionatorie del regolamento [ossia il GDPR]: la predisposizione in ipotesi di sanzioni pecuniarie amministrative più elevate si scontrerebbe con i limiti della delega legislativa”. Difatti, i limiti edittali fissati nello schema di decreto non sono altro che quelli fissati all’Articolo 32 della Legge 24 dicembre 2012, n. 234 che fissa i criteri direttivi generali per l’attuazione del diritto dell’Unione europea in Italia. Pertanto, il governo non avrebbe potuto introdurre sanzioni più elevate nello schema di decreto. Questo è tuttavia irrilevante per valutare la compatibilità della normativa interna di recepimento con il diritto dell’Unione. Si noti, tuttavia, che anche in altri Stati membri che hanno attuato la Direttiva 2016/680 esiste un disallineamento sanzionatorio rispetto al GDPR (si pensi, ad esempio, alla normativa di recepimento tedesca).
In conclusione, sarebbe auspicabile che le Commissioni parlamentari competenti prendano in considerazione le criticità rilevate durante l’esame parlamentare dello schema di decreto, prima che si proceda all’adozione definitiva dello stesso.
