La DPIA sui trattamenti per finalità di polizia e di giustizia penale

I trattamenti di dati personali eseguiti per finalità di “polizia e di giustizia penale” (c.d. Law Enforcement Purposes) eseguiti dalle Autorità competenti, esulano dall’ambito di applicazione materiale del GDPR e trovano una specifica regolamentazione nella c.d. Direttiva di Polizia (nota con l’acronimo LED: Law Enforcement Directive).

In questo speciale contesto, la gestione dei rischi per i diritti e le libertà fondamentali delle persone e in particolare la valutazione di impatto sulla protezione dei dati (la c.d. DPIA), in alcuni casi, comporta particolari adempimenti non previsti dal GDPR.

      Indice

  1. Il trattamento di dati personali per finalità di “polizia e di giustizia penale”
  2. L’accountability delle “Autorità competenti”
  3. La valutazione di impatto sulla protezione dei dati (DPIA)
  4. Gli adempimenti non previsti dal GDPR

1. Il trattamento di dati personali per finalità di “polizia e di giustizia penale”

I trattamenti di dati personali a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali (c.d. Law Enforcement Purposes) esulano dall’ambito di applicazione del GDPR e sono specificamente regolamentati dalla Direttiva (UE) 2016/680, la c.d. “Direttiva di Polizia” nota con l’acronimo LED (Law Enforcement Directive) che insieme al GDPR forma il c.d. “pacchetto privacy”.

Tale Direttiva è stata recepita nell’Ordinamento nazionale dal D.Lgs. 51/2018 che ha introdotto un framework normativo vincolante per tutti quei “Titolari del trattamento” che eseguono trattamenti di dati per finalità di “polizia e giustizia penale” e, contestualmente, rivestono il ruolo di “Autorità Competenti”, i.e.:

  1. le Forze di Polizia a competenza generale e locale;
  2. qualsiasi altro organismo o entità incaricata dall’Ordinamento nazionale di esercitare l’autorità pubblica e i poteri pubblici a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica.

2. L’accountability delle “Autorità competenti”

in materia di accountability, il framework normativo fissato nella LED ricalca lo schema disegnato dal GDPR e stabilisce[1] che il Titolare del trattamento/Autorità competente, al fine di poter dimostrare la compliance, dovrebbe:

  1. adottare politiche interne;
  2. attuare misure che aderiscano in particolare ai principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita;
  3. prendere in considerazione, in fase di sviluppo delle misure e delle procedure suddette, i risultati di eventuali valutazioni d’impatto sulla protezione dei dati eseguite.

>>>Sull’argomento leggi anche: Protezione dei dati personali utilizzati dalle forze dell’ordine<<<

3. La valutazione di impatto sulla protezione dei dati (DPIA)

Quindi anche il particolare sistema normativo che regola i trattamenti di dati per finalità di “polizia e di giustizia penale”, prevede il ricorso alla DPIA come fondamentale strumento per garantire e dimostrare la compliance.

Replicando le indicazioni del GDPR, l’art. 23 del D.Lgs., 51/2018 obbliga il Titolare/Autorità competente ad effettuare una valutazione di impatto sulla protezione dei dati personali, prima di procedere al trattamento, quando questo, per l’uso di nuove tecnologie e per la sua natura, per l’ambito di applicazione, per il contesto e per le finalità, presenta un rischio elevato per i diritti e le libertà delle persone fisiche.

Il “rischio elevato” si profila nei casi catalogati al Considerando 53 della LED che risulta sovrapponibile al Considerando 85 del GDPR-

L’esecuzione della DPIA, in questo particolare ambito, consta dei seguenti 3 “passi” che i valutatori privacy, chiamati ad applicare il GDPR, ben conoscono:

  1. descrizione generale dei trattamenti previsti;
  2. valutazione dei rischi per i diritti e le libertà degli interessati;
  3. adozione delle misure previste per affrontare tali rischi, delle garanzie, delle misure di sicurezza e dei meccanismi per garantire la protezione dei dati personali e il rispetto della normativa privacy.

Tali adempimenti sono evidentemente allineati a quelli fissati nell’allegato 2 delle Linee Guida WP248 rev. 01 che, quindi, anche in questo speciale contesto costituisce un imprescindibile riferimento.

4. Gli adempimenti non previsti dal GDPR

Nello specifico sistema che stiamo esaminando, esistono aree di regolazione che, in ragione della natura della peculiare attività svolta, sono affatto diverse dai requisiti posti dal GDPR.

Così, e.g., i trattamenti di dati personali eseguiti per “finalità di polizia e di giustizia penale”, durante il loro “ciclo di vita”, possono, ad un certo punto, cambiare natura e trasformarsi in attività di polizia giudiziaria sotto il controllo dell’Autorità Giudiziaria o del Pubblico Ministero. In tali casi[2] le “Autorità competenti” non sono più tenute a rispettare il D.Lgs. 51/2019 ma devono applicare le norme del codice di procedura penale.

Rimanendo all’interno del particolare ecosistema della LED, il titolare del trattamento[3] nonché – circostanza affatto singolare – il responsabile del trattamento, prima del trattamento di dati personali che figureranno in un nuovo archivio di prossima creazione, devono consultare il Garante se:

  1. una DPIA indica che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio; oppure
  2. il tipo di trattamento presenta un rischio elevato per i diritti e le libertà degli interessati anche in ragione dell’utilizzo di tecnologie, procedure o meccanismi nuovi ovvero di dati genetici o biometrici.

Quindi, in tali occasioni, il Titolare del trattamento deve trasmettere al Garante la valutazione d’impatto sulla protezione dei dati che ha eseguito e, su richiesta, ogni altra informazione, al fine di consentire a detta Autorità di effettuare una valutazione della conformità del trattamento, dei rischi per la protezione dei dati personali dell’interessato e delle relative garanzie.

Se ritiene che il trattamento oggetto della consultazione violi le disposizioni del D.Lgs.51/2018, il Garante fornisce, entro un termine di sei settimane dal ricevimento della richiesta di consultazione, un parere per iscritto al titolare del trattamento e, se esistente, al responsabile del trattamento.

Detto termine può essere prorogato di un mese qualora si tratti di un trattamento complesso.


Note

[1] Vds. Considerando 53 della Direttiva (UE) 2016/680.

[2] Vds. Art. 37, comma 6 del D.Lgs. 51/2018.

[3] Vds. Art. 24 D.Lgs. 51/2018.

Giuseppe Alverone

Scrivi un commento

Accedi per poter inserire un commento