SEDE REFERENTE
Mercoledì 23 maggio 2018. — Presidenza del presidente Nicola MOLTENI. – Interviene il viceministro dell'economia e delle finanze Enrico Morando.
La seduta comincia alle 15.05.
Sui lavori della Commissione.
Nicola MOLTENI, presidente, segnalando che in data odierna ricorre il ventiseiesimo anniversario della strage di Capaci, commemora questo drammatico evento della storia della Repubblica e ricorda con ammirazione e rispetto le persone che hanno perso la vita nell'attentato.
DL 44/2018: Misure urgenti per l'ulteriore finanziamento degli interventi di cui all'articolo 1, comma 139, della legge 27 dicembre 2017, n. 205, nonché per il completamento dei piani di nuova industrializzazione, di recupero o di tenuta occupazionale relativi a crisi aziendali.
C. 583 Governo.
(Esame e rinvio).
La Commissione inizia l'esame del provvedimento in oggetto.
Alessio Mattia VILLAROSA (M5S), relatore, fa presente che il decreto-legge in esame consente, per il 2018, il rifinanziamento degli ammortizzatori sociali in deroga nelle aree di crisi industriale complessa. Tali aree sono territori soggetti a recessione economica e perdita occupazionale di rilevanza nazionale e con impatto significativo sulla politica industriale nazionale. Pag. 3Al riguardo precisa che la complessità può derivare o da crisi di una o più imprese di grande o media dimensione con effetti sull'indotto, o da grave crisi di uno specifico settore industriale con elevata specializzazione sul territorio.
In tali aree, l'articolo 44, comma 11-bis, del decreto legislativo n. 148 del 2015, ha previsto la possibilità di concedere un intervento di cassa integrazione guadagni straordinaria in deroga, sulla base di specifici accordi stipulati in sede governativa, per il biennio 2016-2017 ed entro il limite di determinate risorse. Successivamente, la legge n. 205 del 2017 ha previsto l'utilizzo delle richiamate risorse non utilizzate nel biennio 2016-2017 anche nel 2018 (articolo 1, comma 139), nonché la facoltà, per le regioni, di prorogare specifici trattamenti di cassa integrazione guadagni in deroga (articolo 1, comma 145).
Evidenzia in particolare che, con il provvedimento in esame, in primo luogo, si aggiungono alle risorse finanziarie impiegate nel 2018 per i trattamenti di cassa integrazione guadagni straordinaria in deroga e di mobilità in deroga per le richiamate aree, ai sensi dell'articolo 1, comma 139, della legge n. 205 del 2017, ulteriori 9 milioni di euro, per le specifiche situazioni occupazionali insistenti nella regione Sardegna (articolo 1, comma 1). A tali oneri si provvede con il Fondo sociale per occupazione e formazione, di cui all'articolo 18, comma 1, lettera a), del decreto-legge n. 185 del 2008 (articolo 1, comma 2).
Sottolinea che, secondo quanto riportato nella relazione illustrativa al provvedimento, l'ulteriore finanziamento è dovuto al fatto che nella regione Sardegna le richiamate risorse risultano allo stato insufficienti a garantire gli obiettivi programmati.
Segnala, inoltre, che la relazione tecnica allegata precisa che le risorse ulteriori assegnate garantiscono la prosecuzione dei trattamenti di mobilità in deroga – non si fa invece alcun riferimento alla cassa integrazione straordinaria in deroga – per ulteriori 6 mesi, scadendo l'attuale trattamento il 30 giugno 2018. La platea potenziale interessata risulta essere pari a circa 1.000 lavoratori.
Dal punto di vista formale, al fine di una maggiore chiarezza dell'articolo 1, comma 139, della legge n. 205 del 2017, come novellato dall'articolo 1, comma 1, del provvedimento in esame, evidenzia che si dovrebbe valutare l'opportunità di riformulare il citato comma 1 nei seguenti termini:
1. All'articolo 1, comma 139, della legge 27 dicembre 2017, n. 205, è aggiunto, in fine, il seguente periodo: «Ai medesimi fini di cui al periodo precedente, la regione Sardegna può altresì destinare ulteriori risorse, fino al limite di 9 milioni di euro nell'anno 2018, per le specifiche situazioni occupazionali esistenti nel suo territorio.».
Ricorda poi che con il provvedimento in esame si dispone inoltre la facoltà per le regioni di prorogare i trattamenti di cassa integrazione guadagni in deroga, ai sensi dell'articolo 1, comma 145, della legge n. 205 del 2017, che, pur avendo origine da eventi verificatisi entro il 31 dicembre 2016, siano stati concessi con provvedimenti adottati dopo tale data, comunque con durata non oltre il 31 dicembre 2017 (articolo 2).
Osserva quindi che, secondo quanto riportato nella relazione illustrativa al provvedimento, tale modifica si rende necessaria per superare le difficoltà applicative derivanti dalla normativa vigente, la quale creerebbe un'ingiustificata disparità di trattamento tra situazioni di fatto identiche, per il fatto che, pur traendo essi origine da eventi verificatisi entro il 31 dicembre 2016, sono ammessi a finanziamento solo se adottati entro tale scadenza e non oltre. La relazione tecnica allegata, inoltre, afferma come le risorse disponibili a legislazione vigente siano sufficienti per coprire le proroghe dei trattamenti di cassa integrazione in deroga iniziati nel 2016 e concessi con decreto regionale nel 2017, in quanto il riparto delle risorse tra regioni, effettuati con i decreti ministeriali Pag. 4n. 1 del 12 dicembre 2012 e n. 12 del 5 aprile 2017, è stato disposto tenendo conto di tutte le sospensioni o riduzioni di orario di lavoro iniziate entro il 2016, già note alla data di adozione dei decreti ministeriali di riparto. «Le situazioni oggetto della modifica normativa in esame, quindi,», prosegue la relazione tecnica, «potevano essere risolte già ai sensi dell'articolo 1, comma 145, della legge n. 205 del 2017, qualora le regioni avessero provveduto entro il 31 dicembre 2016. Pertanto, la modifica è dovuta esclusivamente al ritardo dell'emanazione del provvedimento regionale di concessione dei trattamenti da prorogare».
Per quanto riguarda i profili di carattere finanziario del provvedimento rinvia, per elementi di maggior dettaglio, alla documentazione predisposta dagli uffici.
Conclude sottolineando la necessità del provvedimento e raccomandando l'approvazione della modifica di drafting proposta con riferimento all'articolo 1.
Il Viceministro Enrico MORANDO, concordando con quanto segnalato dal relatore, con particolare riferimento all'opportunità del provvedimento, in merito ai profili di carattere finanziario chiarisce che i soggetti potenzialmente interessati dall'intervento nella regione Sardegna, di cui all'articolo 1, ammontano, secondo i dati comunicati in via ufficiale dalla regione stessa, a 1.000 unità. Al riguardo conferma quindi la correttezza della quantificazione dell'onere, formulato comunque in termini di limite di spesa.
Assicura infine che il Fondo sociale per occupazione e formazione, utilizzato, nella misura di 9 milioni di euro per il 2018, a copertura del sopra menzionato intervento nella regione Sardegna, da informazioni acquisite presso il Ministero del lavoro e delle politiche sociali, risulta recare le necessarie disponibilità e che l'utilizzo del medesimo Fondo per la finalità prevista dal provvedimento non è suscettibile di pregiudicare la realizzazione di altri interventi già programmati a valere sulle relative risorse, che sono propriamente destinate a tale tipologia di finalità.
Nunzio ANGIOLA (M5S), con riferimento a quanto disposto dall'articolo 2 del provvedimento, osserva che si sarebbe potuto evitare un intervento di rango legislativo e risolvere il conflitto interpretativo insorto tra regioni e Ministero del lavoro e delle politiche sociali in ordine all'applicazione dell'articolo 1, comma 145, della legge n. 205 del 2017, con un semplice decreto ministeriale.
Il Viceministro Enrico MORANDO, pur concordando in linea di principio con quanto segnalato dall'onorevole Angiola con riferimento all'articolo 2, sottolinea come un intervento di rango legislativo fosse comunque necessario per disporre l'autorizzazione di spesa destinata al rifinanziamento degli ammortizzatori sociali per le specifiche situazioni occupazionali della regione Sardegna, prevista dall'articolo 1.
Nicola MOLTENI, presidente, nessun altro chiedendo di intervenire, rinvia quindi il seguito dell'esame ad altra seduta.
La seduta termina alle 15.20.
ATTI DEL GOVERNO
Mercoledì 23 maggio 2018. — Presidenza del presidente Nicola MOLTENI. – Intervengono il viceministro dell'economia e delle finanze Enrico Morando e il sottosegretario di Stato per la giustizia Cosimo Maria Ferri.
La seduta comincia alle 15.20.
Schema di decreto legislativo recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
Atto n. 22.
(Esame, ai sensi dell'articolo 143, comma 4, del Regolamento, e rinvio).
La Commissione inizia l'esame dello schema di decreto legislativo in oggetto.
Pag. 5 Dario GALLI (Lega), relatore, fa presente che lo schema di decreto legislativo in esame, costituisce attuazione dell'articolo 13 della legge n. 163 del 2017, il quale reca disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Il citato regolamento UE, entrato in vigore ben due anni fa, il 25 maggio 2016, reca una disciplina direttamente esecutiva nell'ordinamento degli Stati membri a partire dal 25 maggio 2018.
L'articolo 13 della citata legge n. 163 del 2017, delega il Governo ad adottare, entro sei mesi dalla data di entrata in vigore della legge (21 novembre 2017), e dunque entro il 21 maggio 2018, uno o più decreti legislativi al fine di provvedere all'adeguamento del quadro normativo interno al citato regolamento così da garantire un sistema armonizzato in materia di privacy.
Segnala al riguardo che tale armonizzazione – sia per quanto riguarda gli effetti abrogativi della vigente disciplina incompatibile, sia per quanto riguarda le misure applicative della disciplina regolamentare, ove necessarie – avverrà in data successiva al 25 maggio, con le conseguenti possibili incertezze interpretative. Il Governo ha infatti trasmesso il 10 maggio 2018 lo schema di decreto legislativo alle Camere, per l'espressione del parere che deve essere reso entro il 24 giugno. Per effetto dello «scorrimento dei termini» necessario a consentire l'espressione del parere parlamentare, il nuovo termine per l'esercizio della delega è individuato nel 21 agosto 2018.
Evidenzia che il Garante ha trasmesso al Parlamento un articolato parere favorevole sullo schema di decreto in esame, con numerose osservazioni e condizioni; segnala che di queste ultime darà sinteticamente conto sin dalla odierna relazione.
Ricorda preliminarmente che nell'esercizio della delega il Governo è chiamato ad abrogare espressamente le disposizioni del Codice della privacy incompatibili con quelle del regolamento (UE); a modificare il Codice limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento; a coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal regolamento; a prevedere la possibilità di affidare al Garante l'adozione di specifici provvedimenti attuativi e integrativi previsti dal regolamento; adeguare il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento (UE) con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse.
Sottolinea quindi che la nuova normativa sulla protezione dei dati personali risulterà dalle norme del regolamento (UE), direttamente applicabili, nonché dalle residue disposizioni del Codice della privacy, così come riformato dallo schema in esame. Dunque, per meglio comprendere i contenuti dell'atto in esame è opportuno richiamare brevemente le principali novità introdotte dalla normativa dell'Unione europea volte a dare vita ad un quadro più solido e coerente in materia di privacy.
In particolare, segnala:
- l'ambito di applicazione territoriale: le norme regolamentari si applicano anche al trattamento di dati personali di soggetti stabiliti nell'Unione Europea da parte di un soggetto stabilito al di fuori della stessa. Tale innovazione interesserà in particolar modo gli Internet service provider esteri: questi, infatti, non potranno sottrarsi all'applicazione della normativa europea in materia di privacy invocando l'assenza di un proprio stabilimento nel territorio UE;
- la liceità del trattamento è ancorata a due requisiti alternativi: la necessità del trattamento, o il consenso dell'interessato. Il consenso dei minori, in relazione ai servizi della società dell'informazione, può essere validamente espresso a partire dai 16 anni (gli Stati possono abbassare tale limite fino a 13 anni); prima di tale età Pag. 6occorre raccogliere il consenso dei genitori o di chi ne fa le veci;
- il trattamento di «particolari categorie di dati», corrispondenti sostanzialmente a quelli che nel nostro ordinamento sono definiti come «sensibili e giudiziari». Con particolare riferimento al trattamento di dati genetici, biometrici e relativi alla salute, è consentito agli Stati membri di introdurre disposizioni più stringenti;
- l'espressa previsione sia del diritto all'oblio, ossia alla cancellazione definitiva dei dati trattati e conservati dal titolare del trattamento, sia del diritto alla portabilità dei dati da un titolare del trattamento ad un altro, su richiesta degli interessati;
- la disciplina relativa al titolare del trattamento e al responsabile del trattamento basata sulla «responsabilizzazione» (accountability) dei suddetti soggetti – ossia, sull'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento (UE); viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali; da questo punto di vista, una sorta di facilitazione deriva dall'adesione del titolare del trattamento a un codice di condotta – la cui elaborazione dovrà essere incoraggiata dagli Stati – e dal ricorso all'istituto della certificazione del sistema di protezione dei dati, allo scopo di dimostrare la conformità al regolamento dei trattamenti effettuati;
- l'introduzione del concetto di protezione dei dati personali «by design» e «by default», ossia la necessità per i titolari di adottare adeguate misure a protezione dei dati, sia al momento della loro raccolta, che per tutta la durata del trattamento, e di usarli secondo le finalità per cui gli interessati hanno prestato il loro consenso;
- la previsione, in capo al titolare, un obbligo di notifica all'autorità di controllo e di comunicazione all'interessato in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati (c.d. data breach);
- la necessità di un'analisi e una preventiva valutazione del rischio inerente al trattamento all'esito della quale il titolare potrà decidere, in autonomia, se iniziare il trattamento ovvero consultare l'autorità di controllo competente che non avrà il compito di autorizzare il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare;
- l'introduzione della figura del Data protection officer con riguardo agli enti pubblici e agli enti privati che trattino dati di natura delicata o monitorino su larga scala e in maniera sistematica gli individui;
- il nuovo sistema sanzionatorio che si fonda principalmente sulla previsione di sanzioni amministrative pecuniarie per molte violazioni, espressamente indicate dal regolamento UE; si tratta di sanzioni particolarmente elevate – fino ad un massimo di 20 milioni di euro o, nel caso di imprese, fino al 4 per cento del fatturato annuo complessivo – ma definite solo nella misura massima, che dunque lasciano ampi spazi di discrezionalità alle autorità di controllo.
Venendo al testo dell'atto in esame, segnala che esso si compone di 28 articoli. Il corpus di norme è notevolmente complesso e interviene con abrogazioni e modificazioni sulla quasi totalità dei 186 articoli del Codice della privacy vigente.
In particolare, articoli 1 e 2 dello schema modificano la Parte I del Codice della privacy dedicata alle disposizioni generali. Gli attuali 46 articoli che compongono la Parte I sono infatti abrogati dalla riforma e ridotti a 16: le disposizioni generali sul trattamento dei dati personali sono infatti ora prevalentemente contenute nel Regolamento (UE).
L'articolo 1 dello schema modifica il titolo del Codice della Privacy specificando Pag. 7che il Codice stesso contiene le disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679.
L'articolo 2 inserisce nel Codice un generale rinvio alla disciplina del Regolamento (UE), e 14 nuove disposizioni (articoli da 2-bis a 2-quinquiesdecies) che integrano quanto disposto dal Regolamento (UE) in materia di fondamento giuridico del trattamento, limitazioni ai diritti degli interessati, titolare e responsabile del trattamento, regole deontologiche e categorie particolari di dati.
Il Garante per la protezione dei dati personali è designato quale autorità di controllo ai sensi del Regolamento (UE) (nuovo articolo 2-bis del Codice).
Con riguardo ai trattamenti per motivi di interesse pubblico si conferma la necessità di un fondamento legislativo, consentendosi peraltro, previa necessaria comunicazione al Garante, la comunicazione dei dati tra soggetti che li trattano per finalità pubbliche, anche a prescindere da tale fondamento normativo. Tale possibilità è offerta, non solo ai soggetti pubblici, come attualmente, ma anche ai privati purché gli stessi trattino i dati per finalità di interesse pubblico (nuovo articolo 2-ter del Codice). Ciò in quanto, nell'impostazione del Regolamento (UE), è irrilevante la natura pubblica o privata del soggetto titolare del trattamento in quanto viene dato specifico rilievo alle finalità per le quali è effettuato il trattamento stesso.
Sfruttando la possibilità offerta dal legislatore europeo agli Stati di dettare disposizioni più stringenti per la disciplina del trattamento dati in determinati settori, si prevede che il Garante promuova l'adozione di regole deontologiche. Il rispetto di tali regole, che dovranno essere emanate previa sottoposizione a consultazione pubblica, costituisce requisito di liceità del trattamento (nuovo articolo 2-quater del Codice). Conseguentemente, l'articolo 20 detta una disciplina transitoria specifica per i codici di deontologia e di buona condotta vigenti. Tra questi, continueranno a produrre effetti – dopo una verifica di conformità del Garante – quelli relativi al trattamento dei dati personali nell'esercizio dell'attività giornalistica, per scopi storici, per scopi statistici nel settore pubblico, per scopi statistici e scientifici nel settore privato e per il trattamento dei dati personali effettuato per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria. Gli altri, ai quali si applica la disciplina del regolamento sui codici di condotta, dovranno essere sostituiti entro sei mesi e comunque non potranno contenere prescrizioni il cui rispetto costituisce requisito di legittimità del trattamento.
Il nuovo articolo 2-quinquies del Codice, inserito dallo schema in esame, prescrive che per i trattamenti dei dati nell'ambito dei servizi della società dell'informazione che richiedono il consenso dell'interessato, tale consenso possa essere espresso direttamente dai minori che hanno compiuto 16 anni. Per tutti gli altri minori il consenso deve essere espresso da coloro che esercitano la responsabilità genitoriale. Il Regolamento (UE) consente agli Stati di derogare a tale limite anticipando l'età del consenso espresso direttamente dai minori, fino al limite massimo di 13 anni, ma il legislatore delegato non si è avvalso di questa possibilità.
Con l'entrata in vigore del Regolamento (UE), la categoria dei dati sensibili, che attualmente è uno dei pilastri sui quali si fonda l'architettura del Codice della privacy, è ridefinita facendo ora riferimento a «categorie particolari di dati personali». In generale, il trattamento di questi dati – che sostanzialmente sono gli stessi già definiti «sensibili» con l'aggiunta dei dati genetici e biometrici e relativi all'orientamento sessuale – è vietato, a meno che non trovi fondamento nel consenso esplicito dell'interessato ovvero nella necessità del trattamento stesso per una serie di motivi tassativamente elencati, che il parere del Garante propone di integrare. Per dare attuazione a questa disposizione il nuovo articolo 2-sexies del Codice, disciplina il trattamento delle categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante, consentendolo solo in presenza di un fondamento legislativo o regolamentare che specifichi Pag. 8i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante. Sul punto, il Garante condiziona il proprio parere favorevole alla modifica dell'articolo 2-sexies volta a prevedere che l'eventuale atto regolamentare che individua la base giuridica del trattamento dei dati sia adottato in conformità al parere espresso dal Garante. L'Autorità richiede inoltre che il fondamento normativo debba contenere anche le specifiche misure a tutela dell'interessato.
Tra i dati particolari si colloca anche la categoria dei dati genetici, biometrici e relativi alla salute, per il cui trattamento il Regolamento (UE) consente agli Stati membri di introdurre garanzie supplementari, e dunque di mantenere o introdurre ulteriori condizioni, comprese limitazioni. A tal fine, il nuovo articolo 2-septies prevede che il trattamento di questi dati sia subordinato all'osservanza di misure di garanzia, stabilite dal Garante con provvedimento adottato con cadenza almeno biennale, a seguito di consultazione pubblica. Sul punto il Garante condiziona il proprio parere favorevole alla specificazione del possibile contenuto delle misure di garanzia. Tali dati non possono inoltre essere diffusi. Inoltre, l'articolo 2-septies, in relazione esclusiva ai dati genetici ed a quelli relativi ad ambito sanitario, diagnostico e alle prescrizioni di medicinali, prevede che nell'ambito delle misure di garanzia sia possibile anche, in caso di particolare ed elevato livello di rischio, introdurre il consenso come ulteriore misura di protezione dei diritti dell'interessato.
Con il Regolamento (UE) viene meno anche la categoria dei dati giudiziari, sostituita ora dai dati relativi a condanne penali e reati, il cui trattamento può essere svolto in base alle specifiche norme del Regolamento e al nuovo articolo 2-octies del Codice. In particolare, la riforma ribadisce, anche per questi dati, la necessità che il trattamento abbia un fondamento normativo che lo autorizzi e che preveda garanzie appropriate per i diritti degli interessati. In mancanza di esso dovrà intervenire, entro 18 mesi, un decreto del Ministro della giustizia, che dovrà anche, per le disposizioni già in vigore, verificare che le stesse contengano garanzie, provvedendo alla loro eventuale integrazione.
Il nuovo articolo 2-novies del Codice prevede l'inutilizzabilità dei dati personali trattati in violazione della disciplina rilevante in materia di dati personali.
La disciplina dei diritti dell'interessato dal trattamento dei dati è ora integralmente contenuta nel Regolamento(UE), che consente agli Stati membri di limitare, in presenza di specifiche circostanze, l'esercizio dei diritti stessi. A tal fine provvedono i nuovi articoli 2-decies e 2-undecies del Codice che limitano l'esercizio dei diritti dell'interessato quando dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto ad alcuni specifici interessi (articolo 2-decies) o alla salvaguardia e l'indipendenza della magistratura (articolo 2-undecies). La riforma differenzia il perimetro delle possibili limitazioni, che a salvaguardia dell'indipendenza della magistratura possono essere più estese comprendendo anche il diritto all'informativa e alla comunicazione in caso di data breach. Peraltro, la limitazione dei diritti deve essere disposta con comunicazione motivata e tempestiva – salvo, come richiesto dal Garante nel suo parere, che la comunicazione stessa pregiudichi gli specifici interessi pubblici che la limitazione dei diritti intende tutelare. La limitazione deve operare nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell'interessato. Il Garante condiziona il proprio parere favorevole sullo schema, inoltre, alla soppressione del riferimento alla richiesta di esercizio dei diritti da parte dell'interessato anche al responsabile del trattamento, ritenendo che sulla base del Regolamento (UE) tali diritti possano essere esercitati nei confronti del solo titolare.
Il nuovo articolo 2-duodecies del Codice concerne i diritti delle persone decedute, Pag. 9con particolare riferimento al trattamento dei dati nei servizi della società dell'informazione.
Definizioni, compiti e obblighi dei titolari e dei responsabili dei trattamenti sono contenuti nelle disposizioni del Regolamento (UE), direttamente applicabili. Per questo, nonostante lo schema di decreto legislativo inserisca nel Codice della privacy un nuovo Titolo I-quater dedicato al titolare del trattamento e al responsabile del trattamento, in realtà le relative disposizioni vanno cercate nella disciplina europea.
Lo schema si limita: all'articolo 2-terdecies a disciplinare la facoltà del titolare e del responsabile di delegare compiti e funzioni a persone fisiche che operano sotto la sua autorità che, a tal fine, dovranno essere espressamente designate, come peraltro già previsto dalla normativa vigente; all'articolo 2-quaterdecies a prevedere che il Garante possa emanare d'ufficio provvedimenti di carattere generale per prescrivere misure e accorgimenti da applicare a garanzia dell'interessato nei trattamenti svolti per l'esecuzione di un compito di pubblico interesse che presentano un rischio particolarmente elevato; all'articolo 2-quinquiesdecies, a designare l'organismo nazionale competente per l'accreditamento degli organismi di certificazione della protezione dei dati.
Gli articoli da 3 a 12 dello schema di decreto legislativo modificano la Parte II del Codice della privacy, dedicata al trattamento dei dati personali negli specifici settori, in esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri.
In particolare, l'articolo 3 modifica la rubrica della Parte II, specificando che essa riguarda il trattamento di dati effettuato per adempiere ad un obbligo legale, per l'esecuzione di un compito di interesse pubblico, per l'esercizio di pubblici poteri e nei settori indicati da un apposito capo del Regolamento (UE): giornalismo, manifestazione del pensiero, accesso ai documenti ufficiali, rapporti di lavoro, archiviazione dati a fini pubblici, storici o di ricerca scientifica.
In tali settori il Regolamento (UE) consente agli Stati di prevedere una disciplina del trattamento dati che, nel bilanciare i diritti dell'interessato con un interesse pubblico al trattamento, individui misure più specifiche e stringenti.
A tal fine, gli articoli da 4 a 12 intervengono sui vari titoli del Codice, adeguando la relativa disciplina alle disposizioni del Regolamento (UE) e alle modifiche apportate dallo schema alla prima parte del Codice:
- l'articolo 4 interviene sul trattamento di dati per fini di sicurezza nazionale o difesa;
- l'articolo 5, sui trattamenti in ambito pubblico;
- l'articolo 6, sui trattamenti in ambito sanitario;
- l'articolo 7, sui trattamenti per finalità di istruzione;
- l'articolo 8, sui trattamenti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. L'articolo 8 è oggetto delle condizioni poste dal Garante nel suo parere, con particolare riferimento alla modifica della disposizione del Codice relativa al riutilizzo di dati a fini di ricerca scientifica o a fini statistici (articolo 110-bis del Codice);
- l'articolo 9, sui trattamenti nell'ambito del rapporto di lavoro;
- l'articolo 10, sui trattamenti relativi alla banca dati dei sinistri;
- l'articolo 11, sui trattamenti relativi alle comunicazioni elettroniche. Sul punto il Garante prevede come condizione che sia soppressa la disposizione, introdotta dalla legge europea 2017 (articolo 24 della legge n. 167 del 2017) che ha prolungato fino a 72 mesi la conservazione dei dati di traffico telefonico e telematico nonché dei dati relativi alle chiamate senza risposta, a fini di contrasto del terrorismo. Lo schema, invece, fa salva la disciplina che prevede tale termine; Pag. 10
- l'articolo 12, sui trattamenti effettuati nell'ambito dell'attività giornalistica e della manifestazione del pensiero.
Gli articoli da 13 a 16 dello schema modificano la Parte III del Codice della privacy, relativa alla tutela, amministrativa e giurisdizionale, dell'interessato, quella relativa al Garante nonché la disciplina sanzionatoria per le violazioni della normativa in materia di dati personali.
L'articolo 13 riguarda la tutela dei diritti dell'interessato e conferma quanto attualmente previsto dal Codice sul doppio binario, amministrativo e giurisdizionale, percorribile da colui che ritenga violato un diritto tutelato dalla normativa sulla privacy: l'interessato può dunque proporre reclamo al Garante oppure ricorrere al giudice.
Quanto alla tutela dinanzi al Garante, la riforma mantiene le segnalazioni e modifica profondamente la disciplina del reclamo, che sostituisce quella attuale del ricorso ed è dunque l'unica forma di tutela diretta che l'interessato può chiedere all'autorità di controllo. La riforma pone dei termini per la decisione del reclamo da parte del garante, la cui violazione autorizza la proposizione del ricorso davanti all'autorità giudiziaria. Richiamando le disposizioni del Regolamento, vengono ampliati i poteri del Garante che, ancor prima di decidere sul reclamo – può intervenire con un'ampia serie di poteri correttivi.
Quanto invece alla tutela dinanzi all'autorità giudiziaria, per la quale è confermata la competenza del tribunale, essa può decidere: dei ricorsi contro l'autorità di controllo, in relazione ad una decisione giuridicamente vincolante o contro il mancato esame del reclamo; dei ricorsi nei confronti del titolare e/o del responsabile del trattamento per violazione della normativa sulla tutela dei dati personali; delle domande di risarcimento del danno.
Con l'inserimento di un nuovo articolo, il 154-ter, lo schema attribuisce al Garante – rappresentato in giudizio dall'Avvocatura dello Stato – la legittimazione ad agire in sede giudiziale nei confronti del titolare (o responsabile) del trattamento in caso di violazione di disposizioni del Regolamento. Si tratta di un'ipotesi attualmente non prevista dall'ordinamento. Sul punto, il Garante condiziona il proprio parere favorevole alla rimozione dell'obbligatorietà del patrocinio da parte dell'Avvocatura dello Stato, ritenendo che al Garante debba essere lasciata la possibilità di avvalersi di proprio personale o di un avvocato del libero foro, mantenendo il patrocinio dell'Avvocatura come facoltativo.
L'articolo 14 dello schema interviene sulla disciplina dell'autorità Garante, con riferimento tanto ai suoi compiti e poteri – in gran parte direttamente determinati dal Regolamento (UE) – quanto all'Ufficio del Garante, ovvero il supporto amministrativo che coadiuva l'autorità di controllo nell'esercizio delle sue funzioni e al trattamento economico del personale che viene equiparato a quello del personale dell'Autorità per le garanzie nelle comunicazioni – AGCOM. Nonostante la disposizione di delega non investa direttamente la disciplina del personale, la relazione illustrativa del provvedimento riconduce alcune modifiche, in particolare quelle relative al trattamento economico del personale, all'attribuzione dei «nuovi e più onerosi compiti, da svolgere anche in ambito internazionale», previsti dal Regolamento UE.
Come si è già detto, il nuovo quadro sanzionatorio amministrativo è previsto dal Regolamento UE, le cui disposizioni sono direttamente applicabili. Peraltro, lo stesso Regolamento (UE) impone agli Stati membri di stabilire le norme relative alle altre sanzioni in caso di violazione di disposizioni diverse da quelle già sanzionate dal Regolamento stesso garantendo, anche in questo caso, che le sanzioni siano effettive, proporzionate e dissuasive. A tal fine provvede l'articolo 15 dello schema che, ferme le sanzioni del Regolamento, prevede all'articolo 166 del Codice l'applicazione delle suddette sanzioni anche a una serie di violazioni delle disposizioni del Codice stesso. Sul punto il parere del Garante individua ulteriori violazioni del Pag. 11Codice da sanzionare a titolo di illecito amministrativo, altre da sanzionare con diversa severità, ed infine altre ancora da non perseguire.
L'entità delle sanzioni amministrative, fissate solo nel limite massimo, appare particolarmente elevata (nei casi meno gravi è individuato in 10 milioni di euro e nei più gravi in 20 milioni di euro; per le imprese il Regolamento prevede sanzioni fino al 2 per cento, al 4 per cento nei casi più gravi, del fatturato). Si tratta, dunque, di un quadro sanzionatorio potenzialmente molto più severo rispetto all'attuale; tali sanzioni, peraltro, non sono modificabili dal provvedimento in esame. Si rileva, inoltre, che la previsione del solo limite massimo della sanzione amministrativa pecuniaria conferisce ampi margini di discrezionalità al Garante, chiamato ad irrogare le sanzioni.
Per quanto riguarda gli illeciti penali, il Regolamento (UE) non interviene ma, come detto, consente agli Stati di introdurre «altre sanzioni». Questo giustifica l'intervento dell'articolo 15 della riforma sul quadro sanzionatorio penale, attraverso la modifica di alcuni illeciti vigenti e l'introduzione di nuovi: oltre all'integrazione della fattispecie di trattamento illecito di dati (articolo 167), vengono introdotti i reati di comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone (articolo 167-bis) e di acquisizione fraudolenta di dati personali (articolo 167-ter). Sul punto, il Garante condiziona il proprio parere favorevole al mantenimento per la fattispecie di trattamento illecito dei dati del requisito soggettivo del dolo di danno, accanto al dolo di profitto e alla configurazione del delitto di comunicazione e diffusione illecita di dati personali come reato comune (commesso da chiunque) anziché come reato proprio (del titolare, del responsabile e del designato al trattamento).
La condotta penalmente rilevante potrebbe integrare anche gli estremi di un illecito amministrativo; a tal fine la riforma prevede che se per uno stesso fatto sia stata applicata e riscossa una sanzione amministrativa pecuniaria, la pena – all'esito della condanna penale – sia diminuita (articolo 167, comma 6). Sul punto il Garante condiziona il proprio parere favorevole a una modifica della disposizione sulla diminuzione di pena a fronte della riscossione, per i medesimi fatti, di una sanzione amministrativa.
Peraltro, essendo l'impianto sanzionatorio del Regolamento (UE) improntato esclusivamente su sanzioni amministrative, ne deriva che per le condotte qualificate dal regolamento come illeciti amministrativi, l'ordinamento nazionale non può prevedere sanzioni penali. Ciò comporta la necessaria depenalizzazione (attraverso l'abrogazione) degli articoli 169 e 170 del Codice, relativi, rispettivamente, alla violazione delle misure minime di sicurezza e all'inosservanza dei provvedimenti del Garante. Il Garante stesso, nel proprio parere, chiede di rivalutare la depenalizzazione del reato di inosservanza dei suoi provvedimenti, uniformando questa disciplina a quella introdotta nell'emanando decreto legislativo di recepimento della direttiva (UE) 2016/680, sulla protezione dei dati nell'ambito giudiziario penale.
L'articolo 16 chiude le modifiche al Codice della privacy, ridenominando l'allegato relativo alle regole deontologiche.
Gli articoli da 17 a 27 dello schema di decreto legislativo non novellano il codice della privacy ma:
- modificano alcuni profili del rito civile applicabile alle controversie in materia di protezione dei dati (articolo 17);
- dettano disposizioni transitorie in relazione, in particolare, ai procedimenti sanzionatori amministrativi in corso alla data di entrata in vigore della riforma (articolo 18), alla definizione dei reclami, delle segnalazioni e dei ricorsi già pendenti davanti al Garante (articolo 19), ai vigenti codici di deontologia e di buona condotta (articolo 20), all'efficacia delle attuali autorizzazioni generali del Garante (articolo 21);
- dettano disposizioni di coordinamento della legislazione vigente (articolo Pag. 1222) e di quella in corso di emanazione (articolo 23). In relazione al coordinamento della legislazione vigente, il Garante condiziona il proprio parere favorevole sullo schema alla modifica dell'articolo 50-ter del Codice dell'amministrazione digitale, disposizione estranea allo schema di decreto che disciplina la piattaforma digitale nazionale dati attraverso la quale le pubbliche amministrazioni possono condividere una serie rilevante di dati personali;
- dettano la disciplina transitoria relativa alla depenalizzazione delle violazioni del Codice che, attualmente sanzionate a titolo di illecito penale, sono con la riforma ricondotte alle sanzioni amministrative previste dal Regolamento (UE) (articoli 24 e 25);
- recano la copertura finanziaria della riforma (articolo 26);
- abrogano le disposizioni del Codice della privacy incompatibili con il regolamento e la riforma (articolo 27).
L'articolo 28, infine, prevede che la riforma entri in vigore il 25 maggio 2018.
Per quanto riguarda i profili di carattere finanziario del provvedimento rinvia, per elementi di maggior dettaglio, alla documentazione predisposta dagli uffici.
Conclude sottolineando come, a suo parere, lo schema in esame presenti diverse criticità e debba pertanto essere sostanzialmente modificato. In particolare segnala come gli adempimenti richiesti indifferentemente alle grandi società come alle piccole e medie imprese siano particolarmente gravosi per queste ultime, che non sono dotate di un apparato amministrativo adeguato a farvi fronte. Altre criticità riguardano le sanzioni amministrative pecuniarie, le quali, come precedentemente segnalato, sono previste solo nel limite massimo e riservano al Garante, chiamato ad applicarle, ampi margini di discrezionalità.
Tutto ciò premesso, prendendo atto dell'improrogabile entrata in vigore del Regolamento (UE) il prossimo 25 maggio, e quindi dell'impossibilità che il presente schema possa essere adottato prima di tale data, propone di esaminare con la massima attenzione il contenuto dello schema medesimo, svolgendo un apposito ciclo di audizioni, per giungere, entro il prescritto termine del 24 giugno 2018, all'approvazione di un meditato e dettagliato parere, che tenga conto di tutte le criticità segnalate nella relazione e di quelle che dovessero ulteriormente emergere nel corso dell'esame.
Il Viceministro Enrico MORANDO, osservando come il termine per l'espressione del parere, fissato nel 24 giugno 2018, nonché quello per l'esercizio della delega, previsto per il 21 agosto 2018, consentano un adeguato esame del provvedimento, segnala che la Commissione speciale del Senato ha deciso di svolgere un ciclo di audizioni in materia. Osserva quindi che spetterà molto probabilmente al prossimo Governo l'approvazione definitiva del decreto legislativo in oggetto.
Con particolare riferimento alla questione dell'incremento dell'organico del Garante per la protezione dei dati personali e al trattamento economico del personale, osserva che tali previsioni non costituiscono una diretta applicazione del regolamento dell'UE, ma discendono dall'incremento dei compiti e delle funzioni attribuiti al Garante proprio in conseguenza dell'entrata in vigore del Regolamento medesimo. Prosegue ricordando poi che le risorse per l'attuazione di queste misure sono già state stanziate dalla legge n. 205 del 2017 (legge di bilancio 2018). Per quanto riguarda infine la quantificazione dei relativi oneri, conferma la stima contenuta nella relazione tecnica, positivamente verificata dalla Ragioneria generale dello Stato.
Il sottosegretario Cosimo Maria FERRI, giudicando favorevolmente la proposta del relatore di procedere ad un ciclo di audizioni per approfondire alcune problematiche rilevate nel provvedimento, intende Pag. 13sottolineare che, in fase di elaborazione dello schema di decreto, il Governo ha tenuto conto delle particolarità che caratterizzano le piccole e medie imprese, introducendo una serie di previsioni specifiche che dovranno essere considerate dal Garante in sede attuativa. Quanto all'apparato sanzionatorio, le cui criticità sono state messe in luce dal relatore, ricorda che nello schema di decreto si è provveduto ad eliminare la compresenza, in relazione alla medesima violazione, di sanzione amministrativa e sanzione penale, laddove prevista dal nostro ordinamento, privilegiando in via ordinaria la sanzione amministrativa.
Nicola MOLTENI, presidente, intende rassicurare che la Commissione è consapevole della responsabilità di cui è investita e per questo sono già stati presi gli accordi necessari con il presidente della Commissione speciale del Senato perché l'attività istruttoria e le audizioni si svolgano con rapidità. Crede tuttavia opportuno sottolineare che, a fronte della richiesta al Parlamento di esprimersi in fretta, non solo lo schema di decreto in esame è stato trasmesso dal Governo oltre quattro mesi dopo la sua deliberazione da parte del Consiglio dei Ministri, ma anche che il Regolamento (UE) 2016/679 entrerà automaticamente in vigore nel nostro ordinamento il prossimo 25 maggio.
Federica ZANELLA (FI), dichiarandosi d'accordo con il presidente sull'incomprensibile ritardo nella trasmissione dello schema di decreto, tanto più in considerazione della prossima entrata in vigore del regolamento europeo, osserva che la Commissione è chiamata, con l'espressione del parere, a dare indicazioni al Governo, presente o futuro, circa la strada da seguire per sanare i numerosi vulnera che caratterizzano il provvedimento. Enumerandoli rapidamente, cita, in particolare, gli oneri e i gravami burocratici posti a carico delle piccole e medie imprese, in relazione alle quali il Governo, a suo avviso, non ha sfruttato i margini di discrezionalità che pure il regolamento europeo prevede; la farraginosità del sistema sanzionatorio, in relazione alla cui entrata in vigore ritiene opportuno prevedere un periodo transitorio, senza l'applicazione di sanzioni per chi dimostri la propria buona fede; l'indicazione della soglia troppo alta dei sedici anni come limite richiesto al minore per potere dare il proprio consenso al trattamento digitale dei propri dati, a fronte di limiti di età più bassi richiesti dal nostro ordinamento in relazione ad altre situazioni, ad esempio, nel caso del consenso all'adozione o nel caso di richiesta di rimozione dal web di dati giudicati lesivi, secondo quanto previsto dalla recente legge contro il cyberbullismo.
Francesco BOCCIA (PD) esprime il favore del proprio gruppo alla proposta del relatore di procedere ad un ciclo di audizioni per approfondire le criticità del provvedimento all'esame. Al medesimo scopo sarebbe a suo parere utile acquisire i dati relativi a quanto stanno facendo in proposito i Paesi europei che si trovano nelle medesime condizioni dell'Italia. Anche lui si sofferma sulle maggiori criticità del provvedimento, citando, in particolare, l'accesso ai social network dei minori; le modalità di determinazione delle sanzioni minime, che non tengono conto delle specificità delle imprese di piccole dimensioni e che, anzi, appaiono poco incisive nei confronti delle grandi imprese; la durata del periodo obbligatorio di conservazione dei dati, prevista in sei anni ma in relazione alla quale sarebbe utile conoscere la media dei Paesi dell'Unione europea; ancora, i diritti di utilizzo dei dati, ad esempio di quelli riguardanti persone decedute. Si tratta di temi che sarà opportuno affrontare, ovviamente partendo dal lavoro già messo a punto dal Governo, per eliminare, laddove vi siano, la genericità e la farraginosità.
Nicola MOLTENI, presidente, constatando la sostanziale unanimità dei gruppi sull'opportunità di procedere ad un ciclo di audizioni, fa presente che su tale argomento tornerà l'Ufficio di presidenza, integrato dai rappresentanti dei gruppi, previsto al termine della seduta.
Pag. 14Vittorio FERRARESI (M5S), enumerando gli aspetti negativi che, a suo parere, caratterizzano lo schema di decreto in esame, si sofferma, in particolare, sul percorso accidentato che ne ha caratterizzato la gestazione; sulla tardività della sua trasmissione al Parlamento; sulla genericità del contenuto di alcune norme; sui problemi che caratterizzano la norma di delega e su quelli di natura tecnica che gravano sullo schema. Alla luce di tale situazione, ritiene quanto mai opportuno procedere allo svolgimento di un ciclo di audizioni insieme alla omologa Commissione speciale del Senato, fermo restando che in base alla evoluzione della situazione politica il lavoro sullo schema di decreto legislativo in oggetto potrebbe essere concluso, entro i termini previsti per l'espressione del parere, dalla Commissione competente per materia.
Enrico COSTA (FI), in considerazione delle notevoli ricadute, in termini giuridici ed economici, del provvedimento all'esame e del regolamento europeo di prossima entrata in vigore, rileva che è comprensibile l'attuale disorientamento delle imprese, alle quali la Commissione, pertanto, deve una risposta chiarificatrice attraverso un parere, il più articolato possibile, che guidi il Governo nella fase di redazione definitiva del decreto. Si sofferma su alcuni punti dello schema che destano in particolare la sua perplessità. In primo luogo, evidenzia la mancanza di linearità nel procedimento di adozione del provvedimento da parte del Consiglio dei Ministri, con riferimento, in particolare, all'apparato delle sanzioni penali previste. In secondo luogo, stigmatizza la mancanza di coraggio del Governo ad avvalersi degli spazi di discrezionalità lasciati dal legislatore europeo, ad esempio, nelle modalità di determinazione delle sanzioni pecuniarie previste dal regolamento. Anzi, a tale proposito, il Governo appare aggravare l'indeterminatezza originaria nella individuazione delle violazioni, rinviando a generici gruppi di articoli piuttosto che delineare con esaustività la condotta da sanzionare. Ancora, troppo spazio, nella determinazione della sanzione pecuniaria, è lasciato a suo avviso al Garante, laddove, invece, dovrebbe essere la legge a dare le indicazioni a cui questo dovrà attenersi. Altre criticità riguardano, ad esempio, le fattispecie di violazioni degli obblighi gravanti sul soggetto che detiene dati sensibili, in cui non vi è, né nel regolamento né nello schema di decreto, alcuna graduazione di sanzioni che differenzi le situazioni delle grandi imprese e dei piccoli imprenditori che, ad esempio, tengono il libretto di lavoro del loro unico dipendente. Vi è, a suo giudizio, una mancanza di chiarezza che, per talune fattispecie, genera confusione tra sanzioni penali e sanzioni amministrative, queste ultime da privilegiare in ogni caso, laddove, per esempio, con riferimento alla divulgazione dei contenuti delle intercettazioni telefoniche, la sede della disciplina penale della violazione degli obblighi non è certo questa. La farraginosità caratterizza anche la procedura prevista in caso di invio dell'atto di contestazione: in caso di accettazione della notifica è possibile pagare una sanzione ridotta, altrimenti l'atto diventa ordinanza-ingiunzione. Ma se, in relazione a questa, si invia una memoria difensiva, l'ordinanza riassume la veste di notifica; se, però, la memoria difensiva è respinta, la notifica diventa nuovamente un'ordinanza-ingiunzione. Infine, concorda con la collega Zanella sull'opportunità di prevedere un periodo transitorio per l'entrata in vigore delle norme sanzionatorie, che tenga conto della buona fede del soggetto a cui si contesta la violazione degli obblighi. Alla luce di quanto detto, pertanto, si dichiara favorevole alla proposta del relatore di procedere ad un ciclo di audizione ai fini della predisposizione del parere.
Cosimo ADELIZZI (M5S) osserva che l'esigenza, che condivide, di semplificare gli adempimenti a carico degli imprenditori non deve comunque andare a discapito del risultato finale che il regolamento europeo si prefigge, che è quello della tutela della riservatezza dei cittadini.
Pag. 15Nicola MOLTENI, presidente, nessun altro chiedendo di intervenire, rinvia il seguito dell'esame ad altra seduta.
La seduta termina alle 16.
UFFICIO DI PRESIDENZA INTEGRATO DAI RAPPRESENTANTI DEI GRUPPI
L'ufficio di presidenza si è riunito dalle 16 alle 16.10.