Via libera in tempi strettissimi del Garante Privacy allo schema di decreto legislativo per l'adeguamento della normativa nazionale alle disposizioni del nuovo Regolamento (Ue) 2016/679 sulla Data Protection (GDPR), che entra pienamente in vigore il 25 maggio. Ora la palla passa alle Camere.
Ieri in Senato le Commissioni speciali hanno discusso sull'"Adeguamento normativa nazionale circa la protezione delle persone fisiche con riguardo al trattamento dei dati personali".
Il decreto dovrà tornare poi a Palazzo Chigi e ottenere il via libera definitivo del Consiglio dei Ministri
Per questo, l'Italia partirà comunque in ritardo e il nuovo regolamento entrerà in vigore senza il necessario adeguamento della nostra normativa al nuovo quadro di riferimento europeo. Non siamo soli, però avremmo potuto e dovuto fare di più.
Data Retention a 72 mesi, Garante chiede cancellazione
Il parere del Garante Privacy mette in evidenza alcune posizioni critiche dell'Autorità, che ribadisce l'opportunità di alcune modifiche e integrazioni, in particolare in materia di Data Retention con il prolungamento fino a 72 mesi (sei anni) dell'obbligo di conservazione de dati di traffico telefonico e telematico, nonché alle chiamate senza risposta per anti-terrorismo. "La conferma di tale deroga determina rilevanti criticità...in ordine al rispetto del principio di proporzionalità tra esigenze investigative e limitazioni del diritto della protezione dei dati dei cittadini", si legge nel parere del Garante, che da tempo sostiene questa posizione e chiede al Governo di espungere dal decreto questa norma perché appunto sproporzionata.
Preoccupazione per la Piattaforma digitale nazionale dei dati
Il Garante esprime poi "preoccupazione" per le disposizioni del CAD in materia di Piattaforma digitale nazionale dei dati (articolo 50) finalizzata a favorire la conoscenza e l'utilizzo del patrimonio informativo, detenuto, per finalità istituzionali, dai soggetti pubblici che in fase sperimentale sarebbe affidata al Commissario Straordinario per l'Attuazione dell'Agenda Digitale. "La pur necessaria valorizzazione del patrimonio informativo pubblico non deve, infatti, avvenire a discapito della tutela dei diritti fondamentali e con possibili ricadute anche in termini di sicurezza nazionale", si legge nel parere del Garante, che teme quindi la concentrazione presso un unico soggetto di informazioni, anche sensibili e sensibilissime, con evidenti rischi di usi distorti e accessi non autorizzati di dati sensibili condivisi.
Trattamento illecito, chieste sanzioni penali ‘per danno' e non solo ‘per profitto'
Per quanto riguarda gli illeciti penali e amministrativi del trattamento illecito di dati (art. 167 dello schema di decreto) il Garante chiede di valutare, per stabilire sanzioni penali, "quale oggetto alternativo del dolo specifico il danno e non solo il profitto". In altre parole, il reato di uso illecito dei dati secondo il Garante dovrebbe valutare soprattutto il danno d'immagine e reputazionale della vittima e non solo il profilo del mero profitto economico dell'autore dell'illecito. Una differenza sostanziale e quanto mai opportuna, considerata la marea di casi in cui la vittima di un uso distorto dei dati personali resi di pubblico dominio senza autorizzazione per danneggiare qualcuno ha distrutto la reputazione, se non addirittura la vita, di un numero sempre crescente di vittime.
Uso dei social, età minima 14 anni
In relazione ai servizi della società dell'informazione, il Garante Privacy fissa a 14 anni (e non a 16) l'età minima per iscriversi ad un social network. Il ragionamento è questo: se a 14 anni un ragazzo può denunciare atti di bullismo e dare il suo consenso all'adozione, sarebbe incoerente non consentirgli anche di iscriversi ai social a quell'età, tanto più che lo schema di decreto, in relazione ai servizi dell'informazione, indica che è consentito "il trattamento dei dati personali del minore di età inferiore a sedici anni".
Riutilizzo dei dati a fini di ricerca o fini statistici
Il Garante solleva alcuni dubbi sulla nozione di "riutilizzo" che non viene definita dal decreto, che "coincide con l'utilizzo da parte di terzi, a fini commerciali o non commerciali, diversi da quelli iniziali per i quali le informazioni sono state prodotte, e riguarda soltanto i documenti contenenti dati pubblici (indipendentemente che si tratti di dati personali o meno) nella disponibilità di pubbliche amministrazioni e di organismi di diritto pubblico".
A scanso di equivoci, il Garante suggerisce di sostituire il termine "riutilizzo" con quello di "trattamento ulteriore da parte di terzi".
Attenzione: tutti i campi sono obbligatori.