La Corte di Giustizia dell'Unione Europea ha annullato la decisione della Commissione Europea del 2019…
Il Garante Privacy sulla banca dati delle opere d’arte rubate
Con nota del 20 novembre 2015, il Ministero dei beni e delle attività culturali e del turismo (MiBact) ha richiesto il parere del Garante Privacy sullo schema di Decreto Ministeriale recante il regolamento di attuazione dell’articolo 85 del D.Lgs. 22 gennaio 2004, n. 42 riguardante l’attivazione della Banca Dati dei beni culturali illecitamente sottratti.
Tale Banca Dati, gestita dal Comando dei Carabinieri per la tutela del Patrimonio culturale, è fondamentale per il ritrovamento e la restituzione di opere d’arte trafugate, in considerazione delle informazioni in essa contenute, capaci di individuare in maniera inequivoca il bene che si intende recuperare e contiene, tra l’altro, il nominativo del denunciante, le informazioni relative al soggetto presso cui si trovano le opere da acquisire, compresi dati di carattere giudiziario. Il Garante, con provvedimento del 4 febbraio 2016, nonostante abbia espresso parere positivo circa in relazione allo Schema del Decreto ha sollevato alcuni rilievi con riguardo innanzitutto alla natura giuridica del Decreto di attuazione: “Va, in via preliminare, chiarito – scrive il Garante – che il presente parere è reso sul presupposto che il decreto in oggetto abbia natura regolamentare (come deporrebbe la stessa qualificazione utilizzata dall’Amministrazione richiedente), sebbene nel preambolo manchi il riferimento all’acquisizione del parere del Consiglio di Stato e all’articolo 17, comma 3, della legge n. 400 del 1988″. “Tale circostanza – continua il Garante – riveste particolare importanza in quanto, agli effetti del Codice, il trattamento disciplinato dallo schema di decreto è funzionale ad attività di polizia. Ciò se si considerano le finalità (prevenzione e contrasto di reati; cfr. l’art. 3), il tipo di informazioni raccolte (che parrebbero configurare denunce o notizie di reato; cfr. l’art. 5) e il riferimento allo SDI (i.e. “Sistema di indagine”; cfr. ancora l’art. 5). Tale caratteristica del trattamento esige quindi una disciplina di rango regolamentare. Secondo il Codice, infatti – aggiunte il Garante – i trattamenti effettuati per finalità di polizia debbono essere previsti da disposizioni di legge, di regolamento, nonché individuati dal decreto di cui al comma 3 dell’articolo 53 del Codice”. “Il trattamento in parola non trova compiuta disciplina nella legge poiché l’articolo 85 citato – conclude l’Autorità – si limita ad istituire la relativa banca dati, non individuando in modo specifico le caratteristiche essenziali (ad esempio i tipi di dati e di operazioni eseguibili) del trattamento stesso. La fonte cui il citato articolo 85 demanda la disciplina della banca dati non può, dunque che avere rango regolamentare al fine di legittimare tale trattamento, ai sensi e per gli effetti dell’art. 53 del Codice“. Le indicazioni rese dall’Autorità hanno riguardato ulteriori aspetti tra cui, l’identificazione delle figure di titolare, responsabile e incaricato del trattamento, la verifica della pertinenza e non eccedenza dei dati personali con cui si alimenta la banca dati, l’adozione di adeguate misure di sicurezza, la definizione dei tempi di conservazione dei dati personali e in caso trasferimento fuori dal territorio europeo si ritiene opportuno inserire una specifica disciplina. 23 Marzo 2016