Decreto legislativo - 18/05/2018 - n. 51 art. 1 - Oggetto e ambito di applicazione

Oggetto del decreto e disciplina previgente

Ai sensi dell'art. 1 comma 1 del d.lgs. n. 51/2018, scopo del decreto è quello di recepire nell'ordinamento italiano la direttiva (UE) 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento di dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, e che ha abrogato la decisione quadro 2008/977/GAI del Consiglio.

La finalità perseguita dal d.lgs. n. 51/2018 coincide quindi con quella della normativa comunitaria che il decreto recepisce. In particolare, l'oggetto è duplice e le disposizioni hanno natura e finalità ambivalente: non solo garantire la protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti, ma anche favorire la libera circolazione di tali dati.

Giova in proposito un breve excursus sulla disciplina previgente.

La decisione quadro 2008/977/GAI del Consiglio, del 27 novembre 2008, sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale, era stata adottata in considerazione del fatto che la normativa europea allora vigente in materia di tutela di dati personali (la Direttiva 95/46/CE) si applicava a qualsiasi trattamento di dati personali effettuato nel settore pubblico o privato, ma non riguardava i trattamenti di dati personali effettuati per l'esercizio di attività non ricomprese nell'ambito di applicazione del diritto comunitario (quali appunto le attività nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia).

Si sentiva quindi l'esigenza di rafforzare la cooperazione in materia di sicurezza e giustizia nell'Unione europea, e la decisione quadro aveva lo scopo di ravvicinare le legislazioni degli Stati membri in tale settore e garantire a livello di Unione un elevato standard di protezione dei diritti e delle libertà delle persone riguardo al trattamento dei dati, assicurando al contempo un elevato livello di sicurezza pubblica.

La decisione quadro, tuttavia, disciplinava unicamente il trattamento dei dati trasmessi o resi disponibili tra Stati membri. Infatti, a mente dell'art. 1 della decisione quadro 2008/977/GAI, la stessa si applicava unicamente nei seguenti casi: dati trasmessi o resi disponibili tra Stati membri; dati trasmessi o resi disponibili da Stati membri ad autorità o a sistemi di informazione istituiti in base al trattato sull'Unione Europea per la cooperazione di polizia e giudiziaria in materia penale; dati trasmessi o resi disponibili alle competenti autorità degli Stati membri da autorità o sistemi di informazione istituiti in base al trattato sull'Unione Europea o al trattato che istituisce la Comunità Europea.

Dall'ambito di applicazione della decisione quadro era invece escluso il trattamento dei dati personali effettuato a livello nazionale dalle autorità giudiziarie o di polizia competenti degli Stati membri, pur ravvisandosi l'opportunità, al considerando 7 della decisione quadro, dell'adozione a livello di Unione Europea anche di atti connessi al trattamento di tali dati.

In seguito, si è intensificata l'esigenza di agevolare lo scambio di dati tra le autorità competenti degli Stati membri al fine di realizzare una efficace cooperazione giudiziaria in materia penale e di polizia, e quindi anche la correlata esigenza di garantire un livello equivalente di protezione dei dati personali all'interno degli Stati membri da parte delle autorità competenti a fine di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali incuso “il rafforzamento dei diritti degli interessati e degli obblighi di tutti coloro che trattano dati personali, nonché poteri equivalenti per controllare e garantire il rispetto delle norme di protezione dei dati personali negli Stati membri” (considerando n. 7 Direttiva (UE) 2016/680). È stata quindi adottata la Direttiva (UE) 2016/680 del Parlamento Europeo e del Consiglio del 27 aprile 2017 relativa alla protezione delle persone fisiche con riguardo al trattamento di dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati. La direttiva, contestuale al Regolamento generale in materia di protezione dei dati personali, è stata adottata sulla base dell'art. 16 TFUE e della dichiarazione n. 21 allegata all'atto finale della conferenza intergovernativa del Trattato di Lisbona (che ha riconosciuto, per la specificità del settore, la necessità di norme specifiche sulla protezione e la libera circolazione dei dati nei settori della cooperazione giudiziale in materia penale e della cooperazione di polizia). La Direttiva da un lato ha abrogato la decisione quadro 2008/977/GAI del Consiglio a decorrere dal 6 maggio 2018 (art. 59 Direttiva (UE) 2016/680), e dall'altro ha ampliato il campo di applicazione della normativa, rispetto a quanto fatto in precedenza dalla decisione quadro, stabilendo le norme relative al trattamento di dati personali da parte delle autorità competenti anche a livello nazionale, ma lasciando al contempo impregiudicata la facoltà degli Stati membri di prevedere garanzie più elevate di quelle in essa stabilite per la tutela dei diritti e delle libertà dell'interessato (art. 1 par. 3 Direttiva (UE) 2016/680).

In tale contesto si colloca il d.lgs. n. 51/2018, emesso nell'esercizio della delega conferita al Governo dagli art. 1 e 11 della l. n. 163/2017 recante “Delega al governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea – legge di delegazione europea 2016-2017” con lo scopo di attuare nell'ordinamento interno la Direttiva 2016/680.

Come sottolineato nel parere del Garante sullo schema di decreto legislativo, (GPDP, Parere sullo schema di decreto legislativo recante attuazione della direttiva UE 2016/680 del Parlamento europeo e del Consiglio — 22 febbraio 2018 [web n. 8005333]) lo stesso disciplina in modo organico la materia del trattamento dei dati personali effettuato dalle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, tenendo come riferimento la finalità, indipendentemente dall'autorità che svolge il trattamento, e supera l'impostazione della disciplina precedente, che invece prevedeva settori specifici a seconda dell'autorità coinvolta nel trattamento.

La materia trovava infatti regolamentazione nel d.lgs. 196/2003, Codice privacy, ed in particolare nella parte II, titolo I per quanto riguarda i trattamenti in ambito giudiziario (il cui capo I, art. 46,47,48,49 cod. privacy A-R, sui profili generali, è oggi stato abrogato dall'art. 27 del d.lgs. n. 101/2018, mentre resta in vigore il capo II, art. 50 cod. privacy, relativo ai minori) e nella parte II, titolo II per quanto riguarda i trattamenti da parte di forze di polizia (abrogato, per quanto riguarda gli artt. 53, 54, 55, 56, dall'art. 49 del Decreto 51/2018). Per l'art. 57, invece, era stata inizialmente prevista l'abrogazione decorso un anno dalla data di entrata in vigore del decreto, ma l'art. 9 del d.l. n. 53/2019, ha previsto una proroga dei termini, disponendo che l'articolo, abrogato a partire dall'8 giugno 2019, riprendesse vigenza dalla data di entrata in vigore del decreto (15 giugno 2019) fino al 31 dicembre 2019. Giova sottolineare che, nel dettare una disciplina unitaria del trattamento effettuato per le finalità di prevenzione dei reati, il decreto tiene comunque in considerazione le diverse caratteristiche e natura delle autorità interessate, giudiziaria e di polizia. In tal senso vedasi, a titolo esemplificativo e non esaustivo, la previsione, al capo VII, di disposizioni integrative specifiche per i trattamenti effettuati dalle forze di polizia; l'esclusione dalla competenza del Garante del controllo sui trattamenti effettuati dall'autorità giudiziaria nell'esercizio delle funzioni giurisdizionali, nonché di quelle del pubblico ministero (art. 37, comma 6 d.lgs. n. 51/2018); l'esclusione dei trattamenti effettuati in ambito giudiziario dall'applicazione delle sanzioni amministrative di cui all'art. 42 d.lgs. n. 51/2018.

Ambito di applicazione materiale

Quanto all'ambito di applicazione del Decreto, sono specificati i seguenti requisiti: che vi sia un trattamento di dati personali di persone fisiche; che il trattamento avvenga in modo totalmente o parzialmente automatizzato, ovvero che i dati siano contenuti in un archivio o ad esso destinati; che il trattamento sia effettuato da una autorità competente per fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica.

Quanto al primo requisito, è necessario che il trattamento riguardi i dati di “persone fisiche”, essendo irrilevante la nazionalità o il luogo di residenza delle stesse (considerando 17 Direttiva (UE) 2016/680).

Sono esclusi quindi dall'ambito di applicazione del decreto:

– i trattamenti di dati delle persone giuridiche;

– i trattamenti di dati delle persone decedute (ritenendosi che la condizione di “persona fisica” venga meno con la fine dell'esistenza in vita);

– i trattamenti di dati anonimi sin dall'inizio o successivamente resi sufficientemente anonimi da non consentire l'identificazione dell'interessato (in quanto in questo caso non si configura, o non si configura più, il “dato personale”, per la cui definizione si rimanda al commento art. 2 d.lgs. n. 51/2018).

In secondo luogo, i trattamenti devono essere interamente o parzialmente automatizzati.

La previsione attua il principio di neutralità tecnologica che permea la legislazione comunitaria in materia di dati personali (considerando 15 GDPR) e che mira ad evitare il rischio, tipico di un contesto tecnologico in continuo divenire, che si cerchi di eludere la normativa ricorrendo a soluzioni più o meno tecnologiche idonee ad essere considerate estranee all'ambito di applicazione della normativa (Scorza, 11).

Peraltro, il principio di neutralità tecnologica è espresso anche per l'ambito di applicazione del d.lgs. n. 51/2018, posto che il considerando 18 della Direttiva (UE) 2016/680 precisa che “al fine di evitare che si corrano gravi rischi di elusione, la protezione delle persone fisiche dovrebbe essere neutrale sotto il profilo tecnologico e non dovrebbe dipendere dalle tecniche impiegate”.

Rientrano nell'ambito di applicazione materiale anche i trattamenti non automatizzati di dati delle persone fisiche, se contenuti in un archivio o ad esso destinati.

Sono esclusi dall'ambito di applicazione, in quanto considerati irrilevanti dal legislatore, i trattamenti di dati personali di persone fisiche interamente manuali, se non facenti parte o destinati a far parte di un archivio. La deroga si applica anche ai fascicoli o alle serie di fascicoli non strutturati secondo criteri specifici, e alle rispettive copertine (considerando 18 Direttiva 2016/680).

Per archivio, ai sensi dell'art. 2 lett. f) d.lgs. n. 51/2018, deve intendersi qualsiasi insieme strutturato di dati personali che sia accessibile secondo criteri determinati (che sia centralizzato, decentralizzato o ripartito in modo funzionale o geograficamente). Tale definizione corrisponde a quella dell'art. 4 GDPR, per cui si ritengono applicabili in questa sede le considerazioni della dottrina elaborate con riferimento all'analoga deroga prevista dall'art. 2 GDPR.

La definizione di archivio appare pleonastica e funzionale unicamente alla deroga in esame, posto che non trova nel decreto ulteriori applicazioni. Trattasi di un residuo storico dell'epoca della Convenzione 108/1981, allorché i rischi inerenti il trattamento erano valutati anche a seconda del supporto utilizzato (i mezzi elettronici consentivano una maggiore circolazione dei dati) e che mal si concilia con l'attuale approccio che si concentra sul dato personale, comunque trattato, e che appunto si ispira al principio della neutralità degli strumenti tecnologici (Pelino, 33).

Non rientrerebbero nella deroga in commento eventuali stampe cartacee di documenti in formato elettronico (posto che si avrebbe un trattamento parzialmente automatizzato), né, per analoghe considerazioni, documenti nativi cartacei successivamente scansionati o comunque diventati oggetto di un trattamento automatizzato (Pelino, 33).

Affinché il trattamento parzialmente o totalmente automatizzato di dati di persone fisiche ricada nell'ambito di applicazione del decreto, è necessario, che lo stesso sia posto in essere da autorità competenti per le specifiche finalità di “prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica”.

Tra le attività svolte in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica rientrano anche le attività di polizia svolte in assenza di previa conoscenza della rilevanza penale di un fatto, inclusa l'adozione di misure coercitive in occasione di manifestazioni, eventi sportivi e sommosse (vedasi il considerando 12 della Direttiva 2016/680, per cui “esse comprendono anche il mantenimento dell'ordine pubblico quale compito conferito alla polizia o ad altre autorità incaricate dell'applicazione della legge ove necessario per la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica e agli interessi fondamentali della società tutelati dalla legge che possono dar luogo a reati”).

Nella nozione di autorità competenti, ai sensi dell'art. 2, lett. g) d.lgs. n. 51/2018 devono ricomprendersi non solo le autorità pubbliche dello Stato, di uno Stato membro o di uno Stato terzo, ma anche qualsiasi altro organismo o entità incaricato dagli ordinamenti interni di esercitare l'autorità pubblica e i poteri pubblici ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica. Pertanto, qualora tali soggetti effettuino un trattamento, dovrà verificarsi la finalità perseguita in quanto, se diversa da quelle indicate dalla Direttiva e dall'art. 1, comma 2 d.lgs. n. 51/2018, dovrà applicarsi il regolamento (UE) 2016/679, come nel caso di organismi che raccolgano dati per finalità diversa e procedano successivamente ad un ulteriore trattamento per adempiere ad un obbligo di legge, ad esempio gli istituti finanziari che, a fini di indagine o perseguimento dei reati, conservano certi dati da essi trattati e li trasmettono solo alle autorità competenti, in base alle norme interne, in casi specifici (considerando 11 direttiva 2016/680).

Esclusioni dall'ambito di applicazione materiale

L'art. 1, comma 3 lett. a) del d.lgs. n. 51/2018 prevede alcune esclusioni dal campo di applicazione del decreto medesimo: i trattamenti effettuati nello svolgimento di attività concernenti la sicurezza nazionale; i trattamenti rientranti nell'ambito di applicazione del titolo V, capo II del Trattato sull'Unione europea; i trattamenti relativi ad attività che non rientrano nel campo di applicazione del diritto dell'unione europea.

Quanto alla sicurezza nazionale, si sottolinea come il concetto sia difficilmente distinguibile da quello di “sicurezza pubblica” che comporta invece l'applicabilità del decreto. Già l'(ex) Gruppo di lavoro 29 seppur in altro contesto, aveva evidenziato la difficoltà di distinguere nettamente nozioni quali “sicurezza nazionale”, “difesa”, “sicurezza dello Stato” e “pubblica sicurezza”, e le variazioni che tali concetti subiscono da Stato a Stato, suggerendo di verificare se un trattamento rientri o meno in quelli effettuati per sicurezza nazionale attraverso un'analisi caso per caso, che tenga conto degli elementi politici oltre che giuridici (Pelino, 23).

Occorre evidenziare come, nonostante la deroga per la materia della sicurezza nazionale, in realtà l'art. 58 d.lgs. n. 196/2003 come novellato dal d.lgs. n. 101/2018, relativo ai trattamenti di dati personali per fini di sicurezza nazionale o difesa, reintroduca in parte tali trattamenti nell'ambito applicativo del Decreto, spostando in questa sede parte della disciplina di tali trattamenti.

L'art. 58 del codice privacy prevede infatti che alcune disposizioni di cui al d.lgs. n. 51/2018 si applichino, in quanto compatibili, anche ai trattamenti di dati personali effettuati dal Dipartimento delle informazioni per la sicurezza (DIS), dall'Agenzia Informazioni e sicurezza esterna (AISE) e dall'Agenzia Informazioni e Sicurezza Interna (AISI), nonché da altri soggetti che trattano dati coperti dal segreto di stato. Si tratta in particolare degli art. 2 (definizioni), 3 (principi applicabili al trattamento di dati personali), 8 (processo decisionale automatizzato relativo alle persone fisiche), 15 (obblighi del titolare del trattamento), 16 (protezione dei dati fin dalla progettazione e protezione per impostazione predefinita), 18 (responsabile del trattamento), 25 (sicurezza del trattamento), 37 (autorità di controllo), 41 (diritto al risarcimento), 42 (sanzioni amministrative), 43 (trattamento illecito di dati). Analoga previsione è contenuta nell'art. 58, comma 2 cod. privacy per quanto riguarda tutti i soggetti pubblici che effettuino trattamenti di dati, non coperti da segreto di stato, per finalità di difesa o sicurezza dello stato a cui, oltre agli articoli già citati, si applicano anche gli art. 23 e 24 d.lgs. n. 51/2018 rispettivamente relativi alla valutazione di impatto sulla protezione dati e alla consultazione preventiva del Garante (Bolognini, 26).

La seconda esclusione prevista riguarda le materie rientranti nell'ambito del Titolo V, capo 2 del Trattato sull'Unione Europea, con una formulazione che corrisponde a quella utilizzata nella deroga posta per il relativo ambito di applicazione dall'art. 2 GDPR. Con riferimento a quest'ultima, è stato evidenziato che le materie non rientranti nel campo di applicazione possono definirsi, per esclusione, come un numero chiuso di materie rimesse alla competenza esclusiva degli Stati membri: le attività relative alla sicurezza internazionale e quelle di politica estera e sicurezza comune dell'unione europea (Scorza, 14;. Pelino, 25).

Più complessa, invece, l'individuazione in concreto delle ipotesi di deroga rientranti nella previsione delle “attività che non rientrano nell'ambito di applicazione dell'Unione europea”. Anche in questo caso la formulazione utilizzata combacia con quella della corrispondente esclusione prevista per il regolamento (UE) 2016/679 dall'art. 2, in riferimento alla quale la dottrina ha evidenziato il carattere poco puntuale e evanescente della terminologia usata (“attività” in luogo di “finalità” o “materia”) nonché la difficoltà di definire quali siano i trattamenti esclusi in quanto svolti per attività estranee al campo di applicazione del diritto dell'Unione, a maggior ragione ove si consideri che la competenza dell'Unione in materia di trattamenti di dati personali effettuata da soggetti pubblici è direttamente ricavabile dall'art. 16 TFUE (Scorza, 13).

Per concludere, a mente dell'art. 1, comma 3, lett. b) d.lgs. n. 51/2018 un'ulteriore deroga è prevista per i trattamenti effettuati da istituzioni, organi e uffici dell'Unione Europea. Si tratta della stessa esclusione prevista dall'art. 2, comma 2 GDPR, posto che a tali trattamenti si applica il Regolamento (UE) 2018/1725 (che ha abrogato il Regolamento (CE) n. 2001/45).