LA PRIVACY NELL’ATTIVITA’ DI POLIZIA di M.Mancini
L’applicazione della disciplina sulla privacy all’attività di polizia
di Massimiliano #Mancini(1)
Abstract: L’attività di polizia è soggetta alla normativa europea sulla privacy per tutte le attività che non rientrino nel controllo dell’ordine e della sicurezza pubblica e nell’attività di polizia giudiziaria.
Keywords: #Privacy #DGPR #PoliziaGiudiziaria #OrdineSicurezzaPubblica #PubblicaSicurezza #PoliziaAmministrativa #PoliziaStradale #TrattamentoDatiPersonali #DPO #DataProtectionOfficer #RPD #ResponsabileProtezioneDati #InformativaPrivacy #DirittoOblio #CancellazioneDatiPersonali #MassimilianoMancini #EspertiUPLI #UPLI #UnionePoliziaLocaleItaliana
(1) Segretario Generale UPLI, già comandante dirigente di Polizia Locale e Provinciale, DPO/RPD e consulente privacy in enti pubblici e aziende private.
Premessa
La sensibilità dei cittadini e delle istituzioni nei confronti della tutela dei dati personali è un fenomeno crescente a livello culturale e sociologico, soprattutto nel nostro paese, e non ancora del tutto compreso nella sua importanza sia in senso qualitativo che quantitativo, ossia non tutta la popolazione nazionale ha compreso e pochi sono pienamente coscienti di quanto sia importante la tutela della privacy per tutti e in tutti i campi.
Uno dei casi che conferma questa impressione generale è il trattamento dei dati personali da parte delle forze di polizia.
C’è una generale convinzione che l’attività di polizia, per il suo ruolo nell’ambito della sicurezza dello Stato e dei cittadini, goda di una generale inapplicabilità delle norme della privacy, come se le norme che la disciplinano siano sovraordinate o comunque deroghino alle norme sulla protezione dei dati personali.
Questa sensibilità collettiva in passato ha influenzato, in via generale, la produzione normativa nazionale e l’orientamento giurisprudenziale, ma la nuova normativa europea ha stravolto completamente l’ordine dei valori e il quadro normativo.
Il rapporto tra le norme nazionali e la disciplina europea
Il punto di svolta nella disciplina sulla privacy è rappresentato dal Regolamento UE 2016/679 General Data Protection Regulation, da cui l’acronimo di GDPR, pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016.
Benché sia entrato in vigore dal 25 maggio 2016, le sanzioni sono state sospese per due anni, quindi si applicano dal 25 maggio 2018.
I Regolamenti europei sono emessi ai sensi del Trattato sul funzionamento dell’Unione europea (noto anche con l’acronimo TFUE), la cui base risale ai Trattati Istitutivo di Roma del 1957, precisamente al Trattato che istituisce la Comunità Economica Europea (noto anche con l’acronimo TCE), ma è stato modificato e ampliato, per ultimo, dall’articolo 2 del Trattato di Lisbona del 13 dicembre 2007[1].
L’art.288 del TFUE stabilisce che i Regolamenti europei sono un atto normativo che entra immediatamente in vigore negli Stati membri[2], senza alcun bisogno di atti di recepimento o di leggi di conversione da parte degli organi legislativi nazionali, quindi essi sono una vera e propria Legge europea sovraordinata alla normativa nazionale dei singoli stati.
La normativa europea in generale e specificatamente i Regolamenti europei godono di una supremazia rispetto tutte le norme nazionali sia per la limitazione di sovranità dello Stato, e quindi del suo potere legislativo, prevista dall’art.11[3]della Costituzione e anche per il divieto esplicito di contrasto alla normativa comunitaria espressamente previsto a carico di tutti di organi legislativi dall’art.117 c.1[4] e 5[5] della stessa Costituzione.
La privacy nell’attività di polizia
La protezione dei dati personali è una tematica che ha assunto una tale importanza da essere sottratta alla potestà normativa dei singoli stati europei per essere disciplinata unitariamente in tutta Europa.
Quindi il Regolamento UE 2016/679 si applica a tutti i trattamenti, così come definiti dalla stessa normativa (DGPR art.1 c.2)[6], di dati personali, quindi riferiti alle sole persone fisiche (DGPR art.1 c.1) [7], ma senza alcuna esclusione o deroga al di fuori dei casi espressamente previsti dallo stesso DGPR senza possibilità di deroga o esclusione da parte delle norme nazionali.
L’attività di polizia è una dizione che, sul piano giuridico, riunisce le attività espressamente definite tali da norme specifiche e, sul piano logico-linguistico, dalla finalità di tutelare la sicurezza dello Stato e la pacifica convivenza dei cittadini, ma ciò ricomprende attività eterogenee che, dalla polizia giudiziaria, che ha un rilievo giurisdizionale, alla pubblica sicurezza e alle varie tipologie di polizia amministrativa, che ha natura eminentemente amministrativa in campi di competenza di enti differenti (governo, regioni, comuni, autorità marittime e aeroportuali), includendo anche attività di intelligence.
Il Regolamento UE 2016/679 esclude dall’applicazione della normativa sulla privacy solo alcune delle attività svolte delle forze di polizia e previste come tali dalle leggi nazionali (DGPR art.1 c.2)[8], mentre nell’attività generale i corpi di polizia devono rispettare integralmente tutte le norme, le procedure, formali e sostanziali, e gli adempimenti previsti in materia di privacy.
Anche il sistema sanzionatorio non fa alcuna differenza e si applica agli organi di polizia, locali e nazionali, allo stesso modo e negli stessi casi previsti per tutti gli altri soggetti pubblici e privati che trattano dati personali.
Le attività escluse dalla privacy
In via generale la normativa esclude le attività che non rientrano nell’ambito di applicazione del diritto dell’Unione e quindi l’attività di Interpol svolta al di fuori dell’Unione europea (DGPR art.1 c.2 lettera a).
A ciò si aggiungono le attività effettuati a fini di prevenzione indagine accertamento o perseguimento di reati o esecuzione di sanzioni penali, che concretamente sono le attività di polizia giudiziaria e di esecuzione di provvedimenti penali (DGPR art.1 c.2 lettera d).
Quest’attività è propria di tutte le forze di polizia, governative e locali, poiché la qualifica di polizia giudiziaria è una componente inscindibile della figura degli operatori di polizia che non siano semplici vigilanti della sosta (ausiliari del traffico e della sosta).
Infine è esclusa la salvaguardia contro le minacce alla sicurezza pubblica e la prevenzione delle stesse, che comprende l’attività generale di pubblica sicurezza svolta da tutte le forze di polizia, in conseguenza della qualifica di agente o ufficiale di pubblica sicurezza che consente, tra l’altro, di portare senza licenza l’arma d’ordinanza (ai sensi dell’art.73 del R.D. 6 maggio 1940 n. 635).
In via particolare e specifica, tuttavia, l’attività di prevenzione e tutela dell’ordine e sicurezza pubblica è svolta storicamente in via principale dalla Polizia di Stato e operativamente dai reparti specializzati delle forze di polizia nazionale (Reparto celere della Polizia di Stato, Battaglione mobile dei Carabinieri, Baschi verdi della Guardia di Finanza).
Conclusioni
A ben vedere la normativa vigente in materia di privacy, profondamente rinnovata dalla normativa europea e in particolare dal Regolamento UE 2016/679 DGPR, esclude ben poche delle attività svolte dalle forze di polizia dall’applicazione della normativa sulla privacy.
Si consideri ad esempio che molte delle frequentissime attività svolte quotidianamente da tutte le forze di polizia sono completamente ricomprese, senza alcuna eccezione, negli obblighi e nelle procedure in vigore da anni oramai.
Tutta l’attività di Polizia stradale ad esempio, tutte le forme di polizia amministrativa, attività queste svolte quasi in via esclusiva dalle forze di polizia locale, devono essere conformi non solo ai principi generali, come i concetti di privacy by default (GDPR art.25 c.1)[9] e privacy by design (GDPR art.25 c.2)[10], ma operativamente anche la semplice verbalizzazione non può prescindere dal rispettare i più comuni obblighi, come ad esempio l’informativa sul trattamento dei dati, l’indicazione del DPO/RPD, la definizione del termine di conservazione dei dati, il diritto all’oblio sino ad arrivare persino alla certificazione (GDPR art.25 c.3)[11].
Questo impone una radicale rivoluzione del modo di lavorare e delle procedure da seguire da parte delle istituzioni di polizia, a livello nazionale e locale, applicando non solo gli obblighi previsti dal DGPR (ad es.informativa sul trattamento dei dati personali, nomina dei ruoli, procedure per garantire la sicurezza dei dati personali, ecc.) ma anche cambiando il modo di gestire operativamente il lavoro quotidiano.
Le sanzioni molto pesanti previste anche per le minime violazioni a questi obblighi sono in grado non solo di avere conseguenze gravissime sui bilanci degli enti coinvolti, che nel caso dei comuni più piccoli possono avere conseguenze tragiche, ma anche di pregiudicare la validità degli atti prodotti nell’attività di polizia.
[1] Il Trattato di Lisbona è stato ratificato dall’Italia con legge 2 agosto 2008 n. 130 su G.U. n. 185 dell’8-8-2008 – Supplemento ordinario n.188.
[2] L’art.288 del TFUE: «Per esercitare le competenze dell’Unione le istituzioni adottano regolamenti direttive decisioni raccomandazioni e pareri. Il regolamento ha portata generale. Esso è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri. La direttiva vincola lo Stato membro cui è rivolta per quanto riguarda il risultato da raggiungere salva restando la competenza degli organi nazionali in merito alla forma e ai mezzi. La decisione è obbligatoria in tutti i suoi elementi. Se designa i destinatari è obbligatoria soltanto nei confronti di questi. Le raccomandazioni e i pareri non sono vincolanti.»
[3] Costituzione art.11: «L’Italia ripudia la guerra come strumento di offesa alla libertà degli altri popoli e come mezzo di risoluzione delle controversie internazionali; consente in condizioni di parità con gli altri Stati alle limitazioni di sovranità necessarie ad un ordinamento che assicuri la pace e la giustizia fra le Nazioni; promuove e favorisce le organizzazioni internazionali rivolte a tale scopo.»
[4] Costituzione art.117 c.1: «La potestà legislativa è esercitata dallo Stato e dalle Regioni nel rispetto della Costituzione nonché dei vincoli derivanti dall’ordinamento comunitario e dagli obblighi internazionali.»
[5] Costituzione art.117 c.5: «Le Regioni e le Province autonome di Trento e di Bolzano, nelle materie di loro competenza, partecipano alle decisioni dirette alla formazione degli atti normativi comunitari e provvedono all’attuazione e all’esecuzione degli accordi internazionali e degli atti dell’Unione europea, nel rispetto delle norme di procedura stabilite da legge dello Stato, che disciplina le modalità di esercizio del potere sostitutivo in caso di inadempienza.»
[6] Regolamento UE 2016/679 art.4 c.2: « 2. «trattamento»: qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali come la raccolta la registrazione l’organizzazione la strutturazione la conservazione l’adattamento o la modifica l’estrazione la consultazione l’uso la comunicazione mediante trasmissione diffusione o qualsiasi altra forma di messa a disposizione il raffronto o l’interconnessione la limitazione la cancellazione o la distruzione;»
[7] Regolamento UE 2016/679 art.4 c.1: «1. «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato») si considera identificabile la persona fisica che può essere identificata direttamente o indirettamente con particolare riferimento a un identificativo come il nome un numero di identificazione dati relativi all’ubicazione un identificativo online o a uno o più elementi caratteristici della sua identità fisica fisiologica genetica psichica economica culturale o sociale;»
[8] Regolamento UE 2016/679 art.1 c.2: « 2. Il presente regolamento non si applica ai trattamenti di dati personali: a) effettuati per autorità che non rientrano nell’ambito di applicazione del diritto dell’Unione; b) effettuati dagli Stati membri nell’esercizio di autorità che rientrano nell’ambito di applicazione del titolo V capo 2 TUE; c) effettuati da una persona fisica per l’esercizio di autorità a carattere esclusivamente personale o domestico; d) effettuati dalle autorità competenti a fini di prevenzione indagine accertamento o perseguimento di reati o esecuzione di sanzioni penali incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.»
[9] Regolamento UE 2016/679 art.25 c.1: « 1. Tenendo conto dello stato dell’arte e dei costi di attuazione nonché della natura dell’ambito di applicazione del contesto e delle finalità del trattamento come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate quali la pseudonimizzazione volte ad attuare in modo efficace i principi di protezione dei dati quali la minimizzazione e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.»
[10] Regolamento UE 2016/679 art.25 c.2: « 2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati per impostazione predefinita solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti la portata del trattamento il periodo di conservazione e l’accessibilità. In particolare dette misure garantiscono che per impostazione predefinita non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.»
[11] Regolamento UE 2016/679 art.25 c.3: « 3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.»
PER SCARICARE I DOCUMENTI CLICCARE SUI SEGUENTI LINK:
PER VISUALIZZARE GLI ARTICOLI COLLEGATI:
LA PRIVACY NELLE RIPRESE FOTO E VIDEO di M.Mancini
VERBALIZZAZIONE E PRIVACY di M.Mancini
MODULI CONNESSI:
MODELLO VERBALE PER VIOLAZIONI CDS (modulo personalizzabile) di M.Mancini
MODELLO REGISTRO CONTROLLI SU STRADA COVID (modulo personalizzabile) di M.Caponigro.
MODELLO VERBALE PER ACCERTAMENTO VIOLAZIONI COVID (modulo personalizzabile) di M.Mancini
Recommended Posts
L’OBBLIGO DELLA REVOCA DELLA PATENTE SECONDO LA CORTE COSTITUZIONALE (Sentenza n. 54 del 05/03/2024)
Maggio 12, 2024
NON SI POSSONO REGISTRARE LE RIUNIONI SINDACALI
Maggio 11, 2024
Facebook Comments