Con provvedimento n. 460 del 18 luglio 2024, pubblicato nella newsletter di oggi venerdì 13/09/2024, il Garante per la Protezione dei Dati Personali, ha espresso parere sullo schema di decreto legislativo volto a recepire la direttiva (UE) 2022/2557, nota come direttiva CER (Critical Entities Resilience), che si occupa della resilienza dei soggetti critici.
La direttiva CER mira a garantire che i soggetti critici, responsabili dell’erogazione di servizi essenziali per la società e l’economia, siano adeguatamente preparati a fronteggiare rischi e minacce che possano comprometterne il funzionamento. L’obiettivo è rafforzare la resilienza di questi soggetti per garantire la continuità dei servizi in situazioni di crisi.
Il Garante, pur esprimendo un parere complessivamente favorevole, evidenzia alcune integrazioni necessarie per garantire una piena conformità del decreto con la normativa in materia di protezione dei dati personali, in particolare:
- Verifica dei precedenti penali: il Garante sottolinea l’importanza di precisare meglio le condizioni che legittimano le richieste di controllo dei precedenti penali da parte dei soggetti critici, specificando quali reati siano rilevanti per i ruoli considerati sensibili. Raccomanda inoltre di disciplinare adeguatamente le modalità e i tempi di conservazione dei certificati del casellario giudiziale europeo acquisiti, in conformità con i principi del Regolamento (UE) 2016/679 (GDPR) e del d.lgs. 51/2018.
- Gestione degli incidenti: in caso di incidenti rilevanti che potrebbero compromettere la fornitura di servizi essenziali, il Garante evidenzia la necessità di integrare l’articolo 16 del decreto, richiamando espressamente gli adempimenti previsti dal GDPR (artt. 33 e seguenti), qualora l’incidente implichi la violazione di dati personali. Questo a prescindere dalla valutazione sulla rilevanza dell’incidente effettuata secondo i criteri del decreto.
Il Garante ha espresso parere favorevole alla bozza del decreto, a condizione che vengano recepite le osservazioni relative alla protezione dei dati personali, soprattutto in relazione ai controlli dei precedenti penali e alla gestione delle violazioni di dati in caso di incidenti.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Verso una regolamentazione consapevole: analisi del Codice di Buone Pratiche sull’intelligenza artificiale generale - Novembre 15, 2024
- L’armonizzazione degli standard per l’AI Act: verso una conformità normativa sicura e affidabile - Ottobre 31, 2024
- Consultazione della Commissione Europea sull’accesso ai dati delle piattaforme - Ottobre 29, 2024
- Sanzione del Garante Privacy a Postel S.p.A.: prevenzione e corretta segnalazione della violazione in caso di data breach - Ottobre 23, 2024
- Sul valore probatorio delle firme elettroniche nel processo - Ottobre 18, 2024