Tutela dei dati personali usati dalla polizia e dalle autorità di giustizia penale (dal 2018)

SINTESI DI:

Direttiva (UE) 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte della polizia e delle autorità di giustizia penale, nonché alla libera circolazione di tali dati

QUAL È L’OBIETTIVO DELLA DIRETTIVA?

La direttiva (UE) 2016/680, ossia la direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie (LED), garantisce la protezione dei dati personali delle persone coinvolte in procedimenti penali, che siano testimoni, vittime o indiziati.
Stabilisce un quadro completo per assicurare un livello elevato di protezione dei dati, tenendo conto della natura specifica del settore della polizia e della giustizia penale.
Contribuisce ad aumentare la fiducia e facilita la cooperazione nella lotta contro la criminalità in Europa, armonizzando la protezione dei dati personali da parte delle autorità incaricate dell’applicazione della legge negli Stati membri dell’Unione europea (Unione) e nei paesi Schengen.
La direttiva fa parte della riforma della protezione dei dati, insieme al regolamento generale sulla protezione dei dati (GDPR) (si veda la sintesi) e al regolamento (UE) 2018/1725 sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione (si veda la sintesi).

PUNTI CHIAVE

La direttiva richiede che i dati raccolti dalle autorità incaricate dell’applicazione della legge siano:

trattati in modo lecito e corretto;
raccolti per finalità determinate, esplicite e legittime e trattati in modo compatibile con tali finalità;
adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono trattati;
esatti e aggiornati se necessario;
conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
adeguatamente protetti, compresa la protezione da trattamenti non autorizzati o illeciti, mediante misure tecniche e organizzative adeguate.

Limiti temporali

Gli Stati membri devono stabilire dei termini per la cancellazione dei dati personali o per un esame periodico della necessità di conservare tali dati.

Persone fisiche interessate (gli «interessati»)

La direttiva impone che le autorità incaricate dell’applicazione della legge operino una chiara distinzione tra i dati personali delle diverse categorie di persone, quali:

le persone per le quali vi sono fondati motivi di ritenere che abbiano commesso o stiano per commettere un reato;
le persone condannate per un reato;
le vittime di reato o le persone che alcuni fatti autorizzano a considerare potenziali vittime di reato;
altre parti rispetto a un reato, tra cui potenziali testimoni.

Informazioni agli interessati e accesso ai dati

Le persone hanno il diritto che alcune informazioni siano messe a loro disposizione, e in alcuni casi fornite, dalle competenti autorità incaricate dell’applicazione della legge, tra cui:

il nome e i recapiti dell’autorità competente che decide le finalità e le modalità del trattamento dei dati;
le finalità del trattamento dei loro dati;
il diritto di presentare un reclamo presso un’autorità di vigilanza e i recapiti dell’autorità;
l’esistenza del diritto di richiedere l’accesso e la rettifica o la cancellazione dei propri dati personali e il diritto di limitare il trattamento dei propri dati personali.

Le persone hanno il diritto di ottenere dalle autorità competenti la conferma del trattamento dei loro dati personali e di accedere a tali dati e alle informazioni relative al loro trattamento.

Sicurezza e registrazione

Le autorità nazionali devono adottare misure tecniche e organizzative per garantire un livello di sicurezza dei dati personali che sia adeguato al rischio. In caso di trattamento dei dati automatizzato, deve essere posta in essere una serie di misure, tra cui:

vietare alle persone non autorizzate l’accesso alle attrezzature utilizzate per il trattamento;
impedire che supporti di dati* possano essere letti, copiati, modificati o asportati;
impedire che i dati personali siano inseriti senza autorizzazione e che i dati personali conservati siano visionati, modificati o cancellati senza autorizzazione.

Le autorità nazionali devono tenere registri con informazioni quali la data e l’ora di accesso ai dati personali e i nomi delle persone che hanno consultato i dati o a cui i dati sono stati comunicati. Le registrazioni sono utilizzate principalmente per verificare la liceità del trattamento, garantire l’integrità e la sicurezza dei dati e nell’ambito di procedimenti penali.

Abrogazione

La direttiva ha sostituito la decisione quadro 2008/977/GAI sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale a partire dal 6 maggio 2018.

Riesame

A giugno 2020 la Commissione europea ha pubblicato la comunicazione «Via da seguire per allineare l’acquis dell’ex terzo pilastro alle norme sulla protezione dei dati».

La prima relazione sulla valutazione e il riesame della direttiva è prevista per il 5 maggio 2022.

A PARTIRE DA QUANDO SI APPLICA LA DIRETTIVA?

Si applica a partire dal 5 maggio 2016. Gli Stati membri dovevano recepire la direttiva (incorporarla nel diritto nazionale) entro il 6 maggio 2018.

CONTESTO

Per ulteriori informazioni, si veda:

Riforma delle norme dell’Unione sulla protezione dei dati (Commissione europea)
Norme dell’Unione europea sulla protezione dei dati (Commissione europea)
Relazione della Commissione: le norme dell’Unione in materia di protezione dei dati rendono autonomi i cittadini e sono adeguate all’era digitale – comunicato stampa (Commissione europea)
La riforma della protezione dei dati – nota (Commissione europea)
Protezione dei dati personali (Commissione europea)

TERMINI CHIAVE

Supporti di dati. Dischi o altri dispositivi atti a conservare i dati.

DOCUMENTO PRINCIPALE

Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).

Le successive modifiche al regolamento (UE) 2016/680 sono state incorporate nel testo originale. La versione consolidata ha esclusivamente valore documentale.

DOCUMENTI CORRELATI

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche in materia di trattamento dei dati personali e alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).

Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).

Si veda la versione consolidata.

Ultimo aggiornamento: 14.01.2022