Normativa

Shape 5 Live Search

logo

La Direttiva 2016/680 del Parlamento europeo e del Consiglio d'Europa, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, introduce la regolamentazione delle protezione delle persone fisiche con riferimento al trattamento dei dati da parte delle autorità a fini di prevenzione, investigazione e repressione di reati

La direttiva è entrata in vigore il 5 maggio 2016 ed è attuata dal 6 maggio 2018. La direttiva unifica le norme sulla cooperazione transfrontaliera delle forze di polizia e in materia di giustizia. Oltre a regolamentare il trattamento dei dati da parte delle autorità di polizia, la direttiva si pone anche lo scopo di rafforzare la cooperazione giudiziaria in materia penale e di polizia, e quindi realizzare uno scambio di informazioni più efficiente tra le autorità. 
Trattandosi di una direttiva occorre il recepimento statale che, per l'Italia, è avvenuto col decreto legislativo 18 maggio 2018, n. 51. 

La nuova normativa va a sostituire quella presente nei titoli I e II della seconda parte del Codice Privacy, dedicati al settore giudiziario e ai trattamenti da parte delle forze di polizia.

L'ambito di applicazione è circoscritto al trattamento dei dati personali delle persone fisiche contenuti in archivi, anche cartacei, o ad essi destinati, svolti dalle autorità di polizia. Il decreto, però, non si applica ai trattamenti di dati effettuati nel corso delle attività concernenti la sicurezza nazionali ed effettuati da organi o agenzie dell'Unione europea. 

I dati raccolti dalle autorità di polizia devono essere: 
- trattati in modo lecito e secondo correttezza
- raccolti per finalità specifiche e esplicite
- adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono stati raccolti; 
- esatti e, se necessario, aggiornati
- conservati in forma che consenta l'identificazione dell'interessato solo per il tempo necessario al conseguimento della finalità; 
- trattati in modo da garantirne la sicurezza e impedire trattamenti non autorizzati, nonché la perdita o la distruzione del dato. 

Il titolare del trattamento, cioé l'autorità competente che determina le finalità e le modalità del trattamento, deve distinguere i dati in relazione alle categorie degli interessati, come previste dalla legge, e i dati fondati su fatti da quelli fondati su valutazioni. Le categorie sono:
- persone sottoposte a indagine;
- imputati;
- persone sottoposte a indagine o imputate in procedimento connesso o collegato;
- persone condannate con sentenza definitiva;
- persone offese dal reato;
- parti civili;
- persone informate sui fatti;
- testimoni. 

L'art. 8 replica le disposizioni del regolamento europeo in materia di trattamenti automatizzati, compresa la profilazione, vietando che vengano prese decisioni basate su tali trattamenti, salvo che siano autorizzate dal diritto dell'Unione o da specifice disposizioni di legge. Inoltre il titolare deve adottare misure adeguate per fornire all'interessato le informazioni (di cui all'art. 10) all'interessato, in forma coincisa, intellegibile e accessibile, con linguaggio semplice e chiaro. In particolare dovrà informare l'interessato circa: 
- l'identità e i dati di contratto dell'autorità competente che decide le finalità e le modalità del trattamento dei dati; 
- i dati di contatto del DPO; 
- le finalità del trattamento; 
- il diritto di proporre reclamo all'autorità nazionale di controllo; 
- l'esistenza del diritto di chiedere l'accesso ai dati e la rettifica o cancellazione, o la limitazione del trattamento dei propri dati. 
Il Ministero può individuare i trattamenti non occasionali a fini di prevenzione e repressione dei reati, con l'indicazione del relativo titolare. 

L'interessato può sempre chiedere, durante il procedimento penale o dopo la sua definizione, con le modalità di cui all'art. 116 del c.p.p., la rettifica, la cancellazione o la limitazione dei dati personali che lo riguardano. 

La direttiva richiama il regolamento, nel momento in cui prevede l'adozione delle misure di sicurezza adeguate per garantire che il trattamento sia effettuato in conformità alle norme in materia. Tali misure devono essere implementate secondo i principi privacy by design e by default. Secondo l'art. 18 il titolare deve ricorrere, in caso di trattamenti affidati a terzi (es. intercettazioni), a responsabili del trattamento (designati tramite contratto o atto giuridico) che garantiscono misure tecniche e organizzative adeguate ad assicurare la protezione dei dati personali e la tutela dei diritti dell’interessato. 

 

Data Retention

L'articolo 24 della legge n. 167 del 2017 (Legge europea 2017) impone agli operatori di comunicazione (provider) la conservazione dei dati di traffico telefonico e telematico per 72 mesi. 

 

Scambio di dati

Per gli accordi speciali relativi allo scambio di dati con riferimento alle attività delle autorità di Polizia occorre fare riferimento all'accordo PNR (Passengers Name Records) e TFTD (Terrorist Financing Tracking Programme).