Parere favorevole del Garante Privacy sullo schema di decreto legislativo che recepisce la direttiva europea sulla resilienza dei soggetti critici (direttiva CER – critical entities resilience), operativi in settori particolarmente delicati (energia, sanità, infrastrutture digitali, PA).
Lo schema di decreto legislativo prevede, tra l’altro, l’introduzione di misure, criteri, obblighi, sanzioni e disposizioni volti a garantire l’erogazione dei servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche, della salute e della sicurezza pubbliche o dell’ambiente.
Nel rendere il parere al Governo, il Garante ha ritenuto che lo schema di decreto legislativo, pur non presentando particolari criticità sotto il profilo della protezione dati, necessiti di alcune integrazioni in merito alla verifica dei precedenti penali per quanti ricoprono ruoli sensibili all’interno delle strutture.
In particolare, l’Autorità ha chiesto di precisare quali siano le categorie di precedenti (essenzialmente penali) ritenuti “rilevanti” e di disciplinare le modalità e i tempi di conservazione dei certificati del casellario giudiziale europeo acquisiti, demandando eventualmente anche alla fonte regolamentare.
Occorre poi valutare, secondo il Garante, l’opportunità di integrare lo schema richiamando gli adempimenti previsti nei casi in cui particolari eventi o incidenti implichino violazioni di dati personali.
Hai una domanda per l'autore?
Al codice del consumo (n.206/2005) vengono aggiunti nuovi articoli
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;
Vista la richiesta di parere della Presidenza del Consiglio dei Ministri;
Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 36, paragrafo 4;
Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;
Vista la documentazione in atti;
Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Pasquale Stanzione;
PREMESSA
La Presidenza del Consiglio dei Ministri-Dipartimento affari giuridici e legislativi ha richiesto il parere del Garante su di uno schema di decreto legislativo volto a recepire la direttiva (UE) 2022/2557, concernente la resilienza dei soggetti critici (di seguito: “direttiva CER – critical entities resilience”).
La delega legislativa è esercitata ai sensi dell’articolo 5 della legge 21 febbraio 2024, n. 15, (legge di delegazione europea 2022-2023) che demanda, appunto, al Governo l’adozione di un decreto legislativo di attuazione della direttiva CER, recante norme armonizzate per la garanzia della fornitura, in assenza di impedimenti nel mercato interno, dei servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche.
RILEVATO
In attuazione dell’articolo 1 della direttiva CER lo schema di decreto legislativo prevede, al suo primo articolo (comma 1), l’introduzione di:
– misure specifiche volte a garantire che i servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche, della salute e della sicurezza pubbliche o dell’ambiente, siano erogati senza impedimenti (lett. a);
– criteri per individuare i soggetti critici (lett. a) e misure per sostenerli nell’adempimento degli obblighi loro imposti (lett. c);
– obblighi per i soggetti critici volti a rafforzare la loro resilienza e la loro capacità di fornire servizi essenziali in ambito nazionale ed europeo (lett. b), nonché disposizioni in materia di vigilanza e irrogazione di sanzioni (lett. d);
– disposizioni sulla predisposizione della strategia nazionale, sulla valutazione del rischio, sul Comitato interministeriale per la resilienza, sulle autorità settoriali competenti e sul punto di contatto unico (lett. f-h);
– disposizioni per i soggetti critici di particolare rilevanza a livello europeo (lett. e) e per la cooperazione con gli altri Stati membri (lett. i).
In attuazione del paragrafo 2 della direttiva CER, si escludono, dall’ambito di applicazione del decreto legislativo, le materie disciplinate dal decreto legislativo di recepimento della direttiva UE 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’UE (cd. direttiva NIS2) (art. 1, co.2)
Il comma 4 dell’articolo 1 prevede poi che le informazioni riservate, secondo normativa unionale e nazionale, siano scambiate con la Commissione Europea e con altre autorità competenti per la resilienza dei soggetti critici solo se necessario, salvaguardando la riservatezza delle informazioni nonché la sicurezza e gli interessi commerciali dei soggetti critici.
Si esclude, infine, che gli obblighi definiti nel presente decreto comportino la comunicazione di informazioni la cui divulgazione sarebbe contraria agli interessi essenziali dello Stato in materia di sicurezza nazionale, pubblica sicurezza o difesa.
Il comma 6 (in attuazione degli artt. 5, co 1, lettera a) della legge di delegazione e 1, par 6, della direttiva) esclude, dal campo di applicazione del provvedimento, gli organi, le articolazioni della pubblica amministrazione, nonché gli enti che operano nei settori della pubblica sicurezza, della difesa nazionale o dell’attività di contrasto e perseguimento di reati. Sono esclusi, altresì, gli organismi di informazione per la sicurezza, l’Agenzia per la cybersicurezza nazionale, il Parlamento, la Banca d’Italia, l’Unità di informazione finanziaria e per gli organi giudiziari.
Il comma 7 (in attuazione degli articoli 5, comma 1, lettera b), della legge di delegazione e 1, paragrafo 7, della direttiva), demanda a un DPCM l’individuazione di specifici soggetti critici che svolgono attività principalmente nei settori della pubblica sicurezza, della protezione civile, della difesa o dell’attività di contrasto o che forniscono servizi esclusivamente agli organi, articolazioni o agli enti della pubblica amministrazione.
Il comma 8 dell’articolo 1 reca una clausola di salvaguardia in favore delle disposizioni del Codice e il comma 9 demanda a un DPCM l’individuazione dei soggetti critici che svolgono attività principalmente o forniscono servizi esclusivamente per gli Organismi di informazione per la sicurezza nazionale.
L’articolo 3 attribuisce, in via esclusiva, al Presidente del Consiglio dei Ministri la direzione e la responsabilità generale delle politiche per la resilienza dei soggetti critici, mentre l’articolo 4 istituisce il Comitato interministeriale per la resilienza (CIR), con funzioni di proposta e alta sorveglianza sull’attuazione della strategia nazionale e di promozione delle misure volte a rafforzare la resilienza dei soggetti critici.
L’articolo 5 (in attuazione degli articoli 9 della direttiva CER e 5, comma 1, lettere c) e d), della legge di delegazione) indica le autorità settoriali competenti (ASC) e istituisce – presso la Presidenza del Consiglio dei ministri – il Punto di contatto unico in materia di resilienza dei soggetti critici (PCU), i quali sono tenuti a cooperare, tra gli altri, con il Garante.
L’articolo 11 dello schema di decreto (in attuazione dell’art. 10 direttiva) dispone, tra l’altro, che PCU e ASC devono agevolare la condivisione volontaria di informazioni tra i soggetti critici, nel rispetto delle disposizioni nazionali e unionali in materia di informazioni classificate e sensibili, di concorrenza e di protezione dei dati personali (comma 2).
L’articolo 15 – in attuazione dell’art. 14 direttiva CER – delinea il procedimento per l’acquisizione dei precedenti penali (lett. “personali”) di coloro che svolgono attività o ricoprono ruoli particolarmente delicati nell’erogazione dei servizi essenziali da parte dei soggetti critici.
In particolare, si legittimano i soggetti critici, anche diversi da pubbliche amministrazioni a richiedere, tenendo conto della valutazione del rischio dello Stato, il certificato del casellario giudiziale europeo per quanti:
– rivestano ruoli sensibili all’interno della struttura del soggetto critico o a vantaggio di quest’ultimo, con particolare riferimento ai ruoli con competenze in materia di resilienza;
– siano autorizzati ad accedere – direttamente o a distanza – ai suoi siti e ai suoi sistemi informatici o di controllo;
– siano candidati per l’assunzione in alcuno dei ruoli su descritti.
L’Ufficio centrale presso il Ministero della giustizia, competente in materia di casellario giudiziale, fornisce risposte alle richieste di informazioni nel rispetto del Codice, del Regolamento e del d.lgs. n. 51 del 2018 (comma 3).
L’articolo 16 disciplina la procedura di notifica da osservare in caso di incidente, prevedendo che i soggetti critici comunichino, senza indebito ritardo, alla rispettiva autorità settoriale competente e al PCU, gli incidenti rilevanti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali.
Le notifiche, ai sensi del comma 6 dell’articolo, devono contenere tutte le informazioni utili per consentire alle ASC e al PCU di comprendere la natura, la causa e le possibili conseguenze dell’incidente, compreso un eventuale impatto transfrontaliero, nonché ogni informazione utile a permettere alle ASC di reagire tempestivamente agli incidenti.
Ferme le disposizioni a tutela delle indagini nel procedimento penale e della sicurezza delle informazioni classificate le ASC, a seguito della ricezione della notifica dell’incidente, forniscono tempestivamente al notificante e al PCU ogni informazione utile in ordine al seguito dato alla notifica, assicurando adeguata pubblicità a ogni informazione rilevante per l’interesse pubblico relativa all’incidente notificato e al relativo seguito (commi 10 e 11).
Gli articoli 20 e 21 dello schema, infine, stabiliscono, quanto al primo, che alle ASC vengano attribuiti poteri di vigilanza, di ispezione, di controllo, di richiesta di informazioni e di diffida, finalizzati a garantire il rispetto degli obblighi imposti ai soggetti critici e consistenti nella corretta adozione delle misure di resilienza, mentre il secondo definisce l’apparato sanzionatorio, strutturato in un sistema di illeciti amministrativi conseguenti alla violazione delle disposizioni introdotte.
RITENUTO
Lo schema di decreto legislativo non presenta, sotto il profilo della protezione dati, particolari criticità, sebbene sia suscettibile di integrazione, secondo le indicazioni di seguito fornite, per assicurare piena conformità alla disciplina di riferimento.
In questa prospettiva, la disciplina della verifica dei precedenti penali prevista dall’articolo 15 dello schema di decreto esige alcune integrazioni, conformemente a quanto disposto dall’articolo 14 della direttiva, che demanda appunto agli Stati membri la previsione, tra gli altri, delle “condizioni in base alle quali il soggetto critico è autorizzato, in casi debitamente motivati (…) a presentare richieste di controlli dei precedenti personali” che, peraltro, devono riguardare “reati rilevanti ai fini di uno specifico ruolo”.
Pertanto, l’articolo 15 esige una precisazione relativamente:
a) alla previsione delle condizioni legittimanti le richieste di controllo, tali da rappresentare un necessario parametro di esercizio della valutazione che il secondo periodo del comma 2 dell’articolo demanda all’ASC;
b) alle categorie di precedenti – distinti per fattispecie di reati ostativi – ritenuti “rilevanti” ai fini del ruolo di volta in volta considerato;
c) alla disciplina – da demandare eventualmente anche alla fonte regolamentare –delle modalità e dei tempi di conservazione dei certificati del casellario giudiziale europeo acquisiti, nel rispetto dei principi di cui agli articoli 5 del Regolamento e 3 del d.lgs. 51 del 2018.
Per quanto concerne gli adempimenti conseguenti a incidenti rilevanti suscettibili di pregiudicare la fornitura di servizi essenziali (cfr. artt. 9, 10, 13, 14 e 16 dello schema di decreto), in ordine ad aspetti quali, ad esempio, la valutazione dei rischi, l’adozione delle misure o la notifica degli eventi essi concorrono con (non assorbendo) quelli sanciti dagli articoli 32, 33, 34, 35 e 36 del Regolamento.
Per evitare dubbi interpretativi è, tuttavia, opportuno integrare l’articolo 16 richiamando – per le ipotesi nelle quali l’evento o incidente implichi violazioni di dati personali- gli adempimenti previsti dagli articoli 33 ss. del Regolamento e (ove applicabile) 26 ss. del decreto legislativo 18 maggio 2018, n. 51 indipendentemente dalle valutazioni sulla rilevanza dell’incidente di cui ai commi 1, 3 e 4 del medesimo articolo 16.
IL GARANTE
ai sensi dell’articolo 36, paragrafo 4, del Regolamento, esprime parere favorevole sul proposto schema di decreto legislativo, con:
a) la condizione, esposta nel “Ritenuto”, relativa all’esigenza di integrare l’articolo 15 prevedendo:
– le condizioni legittimanti le richieste di controllo dei precedenti penali;
– le categorie di precedenti – distinti per fattispecie di reati ostativi – ritenuti “rilevanti” ai fini del ruolo di volta in volta considerato;
– la disciplina – da demandare eventualmente anche alla fonte regolamentare –delle modalità e dei tempi di conservazione dei certificati del casellario giudiziale europeo acquisiti, nel rispetto dei principi di cui agli articoli 5 del Regolamento e 3 del d.lgs. 51 del 2018;
b) l’osservazione, esposta nel “Ritenuto”, relativa alla valutazione dell’opportunità di integrare l’articolo 16 richiamando – per le ipotesi nelle quali l’evento o incidente implichi violazioni di dati personali- gli adempimenti previsti dagli articoli 33 ss. del Regolamento e (ove applicabile) 26 ss. del d.lgs. n. 51 del 2018, indipendentemente dalle valutazioni sulla rilevanza dell’incidente di cui ai commi 1, 3 e 4 del medesimo articolo 16.
