La Direttiva 2016/680 (anche detta LED, Law Enforcement Directive) introduce la regolamentazione relativa alla protezione delle persone fisiche con riferimento al trattamento dei dati da parte delle autorità a fini di prevenzione, investigazione e repressione di reati.
Questa direttiva si occupa di regolamentare il trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali (vedi dati giudiziari). E' entrata in vigore il 5 maggio 2016 ed è attuata dal 6 maggio 2018. Unifica le norme sulla cooperazione transfrontaliera delle forze di polizia e in materia di giustizia e si pone anche lo scopo di rafforzare la cooperazione giudiziaria in materia penale e di polizia, e quindi realizzare uno scambio di informazioni più efficiente tra le autorità. Infatti si applica ai dati personali scambiati tra gli Stati membri, ma anche ai trattamenti di dati personali svolti a livello nazionale per finalità di polizia e giustizia.
Trattandosi di una direttiva occorre il recepimento statale che, per l'Italia, è avvenuto col decreto legislativo 18 maggio 2018, n. 51.
La nuova normativa va a sostituire quella presente nei titoli I e II della seconda parte del Codice Privacy, dedicati al settore giudiziario e ai trattamenti da parte delle forze di polizia. L'ambito di applicazione è circoscritto ai trattamenti interamente o parzialmente automatizzati di dati personali e ai trattamenti non automatizzati di dati personali contenuti in un archivio o destinati a figurarvi, svolti dalle autorità pubbliche competenti in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, o qualsiasi altro organismo o entità incaricati dal diritto dello Stato di esercitare l'autorità pubblica e i poteri pubblici agli stessi fini sopra indicati.
La normativa, però, non si applica ai trattamenti di dati effettuati nel corso delle attività concernenti la sicurezza nazionale ed effettuati da organi o agenzie dell'Unione europea. Inoltre non si applica nel caso di trattamento di dati relativo ad "altri compiti" conferiti alle autorità competenti e che non siano necessariamente svolti a fini di prevenzione, indagine, accertamento o perseguimento di reati, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, nel qual caso di applica il Regolamento europeo in materia di protezione dei dati personali.
I dati raccolti dalle autorità di polizia devono essere:
- trattati in modo lecito e secondo correttezza;
- raccolti per finalità specifiche e esplicite;
- adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono stati raccolti;
- esatti e, se necessario, aggiornati;
- conservati in forma che consenta l'identificazione dell'interessato solo per il tempo necessario al conseguimento della finalità;
- trattati in modo da garantirne la sicurezza e impedire trattamenti non autorizzati, nonché la perdita o la distruzione del dato.
Il principio di finalità è soggetto a limitazioni, nel senso che i dati personali raccolti dalle autorità competenti per le finalità di applicazione della legge o di sicurezza pubblica possono essere utilizzati per diverse finalità a condizione che tale utilizzo sia autorizzato dal diritto dell'Unione o dello Stato membro (art. 9). Trattandosi di finalità diverse, però, si applica il GDPR.
Il titolare del trattamento, cioé l'autorità competente che determina le finalità e le modalità del trattamento, deve distinguere i dati in relazione alle categorie degli interessati, come previste dalla legge, e i dati fondati su fatti da quelli fondati su valutazioni. Le categorie sono:
- persone sottoposte a indagine;
- imputati;
- persone sottoposte a indagine o imputate in procedimento connesso o collegato;
- persone condannate con sentenza definitiva;
- persone offese dal reato;
- parti civili;
- persone informate sui fatti;
- testimoni.
L'art. 8 replica le disposizioni del regolamento europeo in materia di trattamenti automatizzati, compresa la profilazione, vietando che vengano prese decisioni basate su tali tipi di trattamenti, salvo che siano autorizzate dal diritto dell'Unione o da specifiche disposizioni di legge. Inoltre il titolare deve adottare misure adeguate per fornire all'interessato le informazioni (di cui all'art. 10) all'interessato, in forma coincisa, intellegibile e accessibile, con linguaggio semplice e chiaro. In particolare dovrà informare l'interessato circa:
- l'identità e i dati di contratto dell'autorità competente che decide le finalità e le modalità del trattamento dei dati;
- i dati di contatto del DPO;
- le finalità del trattamento;
- il diritto di proporre reclamo all'autorità nazionale di controllo;
- l'esistenza del diritto di chiedere l'accesso ai dati e la rettifica o cancellazione, o la limitazione del trattamento dei propri dati.
Il Ministero può individuare i trattamenti non occasionali a fini di prevenzione e repressione dei reati, con l'indicazione del relativo titolare.
L'interessato può sempre chiedere, durante il procedimento penale o dopo la sua definizione, con le modalità di cui all'art. 116 del c.p.p., la rettifica, la cancellazione o la limitazione dei dati personali che lo riguardano.
La direttiva richiama il regolamento GDPR, nel momento in cui prevede l'adozione delle misure di sicurezza adeguate per garantire che il trattamento sia effettuato in conformità alle norme in materia. Tali misure devono essere implementate secondo i principi privacy by design e by default. Secondo l'art. 18 il titolare deve ricorrere, in caso di trattamenti affidati a terzi (es. intercettazioni), a responsabili del trattamento (designati tramite contratto o atto giuridico) che garantiscono misure tecniche e organizzative adeguate ad assicurare la protezione dei dati personali e la tutela dei diritti dell’interessato.
Data Retention
L'articolo 24 della legge n. 167 del 2017 (Legge europea 2017) impone agli operatori di comunicazione (provider) la conservazione dei dati di traffico telefonico e telematico per 72 mesi.
Scambio di dati
Per gli accordi speciali relativi allo scambio di dati con riferimento alle attività delle autorità di Polizia occorre fare riferimento all'accordo PNR (Passengers Name Records) e TFTD (Terrorist Financing Tracking Programme).