Con provvedimento n. 460 del 18 luglio 2024, pubblicato nella newsletter di oggi venerdì 13/09/2024, il Garante per la Protezione dei Dati Personali, ha espresso parere sullo schema di decreto legislativo volto a recepire la direttiva (UE) 2022/2557, nota come direttiva CER (Critical Entities Resilience), che si occupa della resilienza dei soggetti critici.
La direttiva CER mira a garantire che i soggetti critici, responsabili dell’erogazione di servizi essenziali per la società e l’economia, siano adeguatamente preparati a fronteggiare rischi e minacce che possano comprometterne il funzionamento. L’obiettivo è rafforzare la resilienza di questi soggetti per garantire la continuità dei servizi in situazioni di crisi.
Il Garante, pur esprimendo un parere complessivamente favorevole, evidenzia alcune integrazioni necessarie per garantire una piena conformità del decreto con la normativa in materia di protezione dei dati personali, in particolare:
- Verifica dei precedenti penali: il Garante sottolinea l’importanza di precisare meglio le condizioni che legittimano le richieste di controllo dei precedenti penali da parte dei soggetti critici, specificando quali reati siano rilevanti per i ruoli considerati sensibili. Raccomanda inoltre di disciplinare adeguatamente le modalità e i tempi di conservazione dei certificati del casellario giudiziale europeo acquisiti, in conformità con i principi del Regolamento (UE) 2016/679 (GDPR) e del d.lgs. 51/2018.
- Gestione degli incidenti: in caso di incidenti rilevanti che potrebbero compromettere la fornitura di servizi essenziali, il Garante evidenzia la necessità di integrare l’articolo 16 del decreto, richiamando espressamente gli adempimenti previsti dal GDPR (artt. 33 e seguenti), qualora l’incidente implichi la violazione di dati personali. Questo a prescindere dalla valutazione sulla rilevanza dell’incidente effettuata secondo i criteri del decreto.
Il Garante ha espresso parere favorevole alla bozza del decreto, a condizione che vengano recepite le osservazioni relative alla protezione dei dati personali, soprattutto in relazione ai controlli dei precedenti penali e alla gestione delle violazioni di dati in caso di incidenti.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Sulla tempestività della richiesta di rimessione in termini in caso di mancato perfezionamento del deposito telematico - 7 Gennaio 2025
- Sul trattamento illecito di dati personali da parte dei sistemi di intelligenza artificiale - 20 Dicembre 2024
- L’intelligenza artificiale generale nel quadro dell’AI Act: analisi delle nuove FAQ della Commissione UE - 9 Dicembre 2024
- Un’analisi critica sulle pratiche di telemarketing - 4 Dicembre 2024
- Attiva la piattaforma ACN per la conformità alla Direttiva NIS - 3 Dicembre 2024
