Ultimo aggiornamento 28/12/2023
La normativa europea sulla tutela dei dati personali usati dalla Polizia e dalle Autorità di Giustizia Penale
La direttiva (UE) 2016/680, ossia la direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie (LED), garantisce la protezione dei dati personali delle persone coinvolte in procedimenti penali, che siano testimoni, vittime o indiziati.
Essa stabilisce un quadro completo per assicurare un livello elevato di protezione dei dati, tenendo conto della natura specifica del settore della polizia e della giustizia penale, contribuisce ad aumentare la fiducia e facilita la cooperazione nella lotta contro la criminalità in Europa, armonizzando la protezione dei dati personali da parte delle autorità incaricate dell’applicazione della legge negli Stati membri dell’Unione europea (Unione) e nei paesi Schengen.
La direttiva fa parte della riforma della protezione dei dati, insieme al regolamento generale sulla protezione dei dati (GDPR) e al regolamento (UE) 2018/1725 sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione.
La direttiva ha sostituito la decisione quadro 2008/977/GAI sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale a partire dal 6 maggio 2018 e si applica a partire dal 5 maggio 2016.
La direttiva richiede che i dati raccolti dalle autorità incaricate dell’applicazione della legge siano:
• trattati in modo lecito e corretto;
• raccolti per finalità determinate, esplicite e legittime e trattati in modo compatibile con tali finalità;
• adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono trattati;
• esatti e aggiornati se necessario;
• conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
• adeguatamente protetti, compresa la protezione da trattamenti non autorizzati o illeciti, mediante misure tecniche e organizzative adeguate.
Gli Stati membri devono stabilire dei termini per la cancellazione dei dati personali o per un esame periodico della necessità di conservare tali dati.
La direttiva impone che le autorità incaricate dell’applicazione della legge operino una chiara distinzione tra i dati personali delle diverse categorie di persone, quali:
• le persone per le quali vi sono fondati motivi di ritenere che abbiano commesso o stiano per commettere un reato;
• le persone condannate per un reato;
• le vittime di reato o le persone che alcuni fatti autorizzano a considerare potenziali vittime di reato;
• altre parti rispetto a un reato, tra cui potenziali testimoni.
Le persone hanno il diritto che alcune informazioni siano messe a loro disposizione, e in alcuni casi fornite, dalle competenti autorità incaricate dell’applicazione della legge, tra cui:
• il nome e i recapiti dell’autorità competente che decide le finalità e le modalità del trattamento dei dati;
• le finalità del trattamento dei loro dati;
• il diritto di presentare un reclamo presso un’autorità di vigilanza e i recapiti dell’autorità;
• l’esistenza del diritto di richiedere l’accesso e la rettifica o la cancellazione dei propri dati personali e il diritto di limitare il trattamento dei propri dati personali.
Le persone hanno il diritto di ottenere dalle autorità competenti la conferma del trattamento dei loro dati personali e di accedere a tali dati e alle informazioni relative al loro trattamento.
Le autorità nazionali devono adottare misure tecniche e organizzative per garantire un livello di sicurezza dei dati personali che sia adeguato al rischio. In caso di trattamento dei dati automatizzato, deve essere posta in essere una serie di misure, tra cui:
• vietare alle persone non autorizzate l’accesso alle attrezzature utilizzate per il trattamento;
• impedire che supporti di dati possano essere letti, copiati, modificati o asportati;
• impedire che i dati personali siano inseriti senza autorizzazione e che i dati personali conservati siano visionati, modificati o cancellati senza autorizzazione.
Le autorità nazionali devono tenere registri con informazioni quali la data e l’ora di accesso ai dati personali e i nomi delle persone che hanno consultato i dati o a cui i dati sono stati comunicati. Le registrazioni sono utilizzate principalmente per verificare la liceità del trattamento, garantire l’integrità e la sicurezza dei dati e nell’ambito di procedimenti penali.
