Napoli e Omignano-Scalo
+39 081 19750217
info@selefor.com

D.lgs n 101/2018: UN DPO anche in TRIBUNALE!

 

Il D.lgs. n. 101/2018, pubblicato nella Gazzetta Ufficiale n. 205 del 4 settembre 2018 e vigente a partire dal 19 settembre 2018, contiene le disposizioni per  l’adeguamento della normativa nazionale alle disposizioni del Regolamento UE 2016/679 (GDPR). Tale decreto legislativo contiene l’aggiornamento del D.lgs. n. 196/2003 (Codice Privacy), che rimane in vigore anche se molti articoli vengono abrogati o modificati sostanzialmente[1].

L’art. 37, paragrafo 1 GDPR, in riferimento all’obbligo di nomina del Responsabile della protezione dei dati personali (Data Protection Officer – DPO), dispone:

«Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

  1. a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  2. b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
  3. c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10».

In base al GDPR, quindi, la designazione del DPO è obbligatoria per le amministrazioni e gli enti pubblici, ma se il trattamento è effettuato da una autorità giudiziaria (ad esempio Tribunali, Procure, ecc.) non sussiste l’obbligo di nomina. Disposizione che, a contrario, può essere letta anche dal punto di vista della “facoltatività” della nomina suddetta.

A ben vedere, la natura pubblica richiesta al punto a) del citato articolo costituisce un chiaro elemento per rendere inequivocabile l’obbligo di nomina del DPO, mentre lo stesso non può dirsi per i punti b) e c), i quali introducono concetti (come “larga scala” e “monitoraggio regolare e sistematico”) che non trovano una definizione specifica all’interno del Regolamento e, quindi, di difficile quantificazione positiva. Per tale motivo, a livello privatistico, il concetto di “facoltatività” poteva essere, ed è stato, “superato” attraverso la previsione della figura del DPO nelle misure di accountability del titolare/responsabile. Il Garante stesso, tra l’altro, ha più volte sottolineato come, anche in assenza di obbligatorietà, resta fortemente raccomandata la nomina di un DPO.

A livello pubblicistico, invece, tale concetto poteva essere “sdoganato” soltanto attraverso una previsione legislativa. Del resto, in più punti dello stesso Regolamento è possibile leggere passaggi del seguente tenore: «gli Stati membri possono prevedere, con legge, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali […]».

A tal proposito è intervenuto il D.lgs. n. 101/2018 che, tra le varie disposizioni di adeguamento, all’art. 2-sexiesdecies testualmente prevede:

«Art. 2-sexiesdecies (Responsabile della protezione dei dati  per  i trattamenti effettuati  dalle  autorità  giudiziarie  nell’esercizio delle loro funzioni). – 1. Il responsabile della protezione  dati  è designato, a norma delle disposizioni di cui alla sezione 4 del capo IV del Regolamento, anche  in  relazione  ai  trattamenti  di  dati personali effettuati dalle autorità giudiziarie nell’esercizio delle loro funzioni».

La norma assoggetta, quindi, anche l’autorità giudiziaria all’obbligo di designazione del DPO. In tal modo, il Codice Privacy aggiornato si arricchisce della precisazione inerente all’obbligo di nomina da parte delle autorità giudiziarie del Responsabile della Protezione dei Dati, da effettuare secondo quanto previsto dal GDPR (nella specifico dagli artt. 37, 38 e 39 del Regolamento), in relazione ai trattamenti effettuati nell’esercizio delle loro funzioni.

Con tale previsione viene pertanto a cadere l’eccezione prevista dal Regolamento europeo circa la non obbligatorietà di nomina del DPO. Quanto prima, quindi, anche Tribunali, Procure, Corte d’Appello ecc. dovranno ricorrere a tale figura, che concorrerà alla predisposizione di tutti gli adempimenti formali (ad esempio il Registro dei trattamenti), tecnici ed organizzativi, al fine di proteggere le persone fisiche in tutti i trattamenti operati, in considerazione della natura particolarmente sensibile dei dati trattati (dati giudiziari[2]).

 

Staff Data Protection Selefor

[1] Il D.lgs. n. 101/2018 non ha solo “corretto” il Codice Privacy, ma ha introdotto nuove disposizioni (alcune delle quali fuori dal testo del D.lgs. n. 196/2003) e, quindi, è più corretto sostenere che ha “aggiornato” il Codice. Inoltre, il decreto legislativo correttivo così come il D.lgs. n. 196/2003 rimangono fonti sotto-ordinate rispetto al GDPR e quindi, in caso di contrasto o di dubbio interpretativo, continuano a prevalere le disposizioni del GDPR.

[2] Il Regolamento precisa che i dati giudiziari sono solo i dati relativi a reati e condanne penali o alle misure di sicurezza ad essi relative (sono, ad esempio, i dati che riguardano lo stato di indagato o di imputato in un processo penale, così come l’avvenuta emissione di una sentenza di condanna o di una misura cautelare restrittiva della libertà personale) e che gli stessi possono essere trattati solamente sotto il controllo dell’autorità pubblica.