Con provvedimento n. 460 del 18 luglio 2024, pubblicato nella newsletter di oggi venerdì 13/09/2024, il Garante per la Protezione dei Dati Personali, ha espresso parere sullo schema di decreto legislativo volto a recepire la direttiva (UE) 2022/2557, nota come direttiva CER (Critical Entities Resilience), che si occupa della resilienza dei soggetti critici.
La direttiva CER mira a garantire che i soggetti critici, responsabili dell’erogazione di servizi essenziali per la società e l’economia, siano adeguatamente preparati a fronteggiare rischi e minacce che possano comprometterne il funzionamento. L’obiettivo è rafforzare la resilienza di questi soggetti per garantire la continuità dei servizi in situazioni di crisi.
Il Garante, pur esprimendo un parere complessivamente favorevole, evidenzia alcune integrazioni necessarie per garantire una piena conformità del decreto con la normativa in materia di protezione dei dati personali, in particolare:
- Verifica dei precedenti penali: il Garante sottolinea l’importanza di precisare meglio le condizioni che legittimano le richieste di controllo dei precedenti penali da parte dei soggetti critici, specificando quali reati siano rilevanti per i ruoli considerati sensibili. Raccomanda inoltre di disciplinare adeguatamente le modalità e i tempi di conservazione dei certificati del casellario giudiziale europeo acquisiti, in conformità con i principi del Regolamento (UE) 2016/679 (GDPR) e del d.lgs. 51/2018.
- Gestione degli incidenti: in caso di incidenti rilevanti che potrebbero compromettere la fornitura di servizi essenziali, il Garante evidenzia la necessità di integrare l’articolo 16 del decreto, richiamando espressamente gli adempimenti previsti dal GDPR (artt. 33 e seguenti), qualora l’incidente implichi la violazione di dati personali. Questo a prescindere dalla valutazione sulla rilevanza dell’incidente effettuata secondo i criteri del decreto.
Il Garante ha espresso parere favorevole alla bozza del decreto, a condizione che vengano recepite le osservazioni relative alla protezione dei dati personali, soprattutto in relazione ai controlli dei precedenti penali e alla gestione delle violazioni di dati in caso di incidenti.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Intelligenza artificiale e responsabilità sistemica: ecco la terza bozza del codice di condotta - 12 Marzo 2025
- Pubblicato il decreto attuativo di adeguamento alla DORA in Gazzetta Ufficiale - 11 Marzo 2025
- L’azione coordinata dell’ EDPB e delle Autorità nazionali sul diritto all’oblio - 7 Marzo 2025
- NIS2 e settori critici a rischio: l’allarme ENISA su vulnerabilità sistemiche e impatti trasversali - 6 Marzo 2025
- Legal design e informative privacy: verso una comunicazione più chiara e accessibile - 25 Febbraio 2025
