Con provvedimento n. 460 del 18 luglio 2024, pubblicato nella newsletter di oggi venerdì 13/09/2024, il Garante per la Protezione dei Dati Personali, ha espresso parere sullo schema di decreto legislativo volto a recepire la direttiva (UE) 2022/2557, nota come direttiva CER (Critical Entities Resilience), che si occupa della resilienza dei soggetti critici.
La direttiva CER mira a garantire che i soggetti critici, responsabili dell’erogazione di servizi essenziali per la società e l’economia, siano adeguatamente preparati a fronteggiare rischi e minacce che possano comprometterne il funzionamento. L’obiettivo è rafforzare la resilienza di questi soggetti per garantire la continuità dei servizi in situazioni di crisi.
Il Garante, pur esprimendo un parere complessivamente favorevole, evidenzia alcune integrazioni necessarie per garantire una piena conformità del decreto con la normativa in materia di protezione dei dati personali, in particolare:
- Verifica dei precedenti penali: il Garante sottolinea l’importanza di precisare meglio le condizioni che legittimano le richieste di controllo dei precedenti penali da parte dei soggetti critici, specificando quali reati siano rilevanti per i ruoli considerati sensibili. Raccomanda inoltre di disciplinare adeguatamente le modalità e i tempi di conservazione dei certificati del casellario giudiziale europeo acquisiti, in conformità con i principi del Regolamento (UE) 2016/679 (GDPR) e del d.lgs. 51/2018.
- Gestione degli incidenti: in caso di incidenti rilevanti che potrebbero compromettere la fornitura di servizi essenziali, il Garante evidenzia la necessità di integrare l’articolo 16 del decreto, richiamando espressamente gli adempimenti previsti dal GDPR (artt. 33 e seguenti), qualora l’incidente implichi la violazione di dati personali. Questo a prescindere dalla valutazione sulla rilevanza dell’incidente effettuata secondo i criteri del decreto.
Il Garante ha espresso parere favorevole alla bozza del decreto, a condizione che vengano recepite le osservazioni relative alla protezione dei dati personali, soprattutto in relazione ai controlli dei precedenti penali e alla gestione delle violazioni di dati in caso di incidenti.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Sul margine di discrezionalità delle autorità garanti nell’infliggere sanzioni - Settembre 27, 2024
- Il parere del Garante sul decreto di recepimento della direttiva CER - Settembre 13, 2024
- Firmata la Convenzione quadro del Consiglio d’Europa sull’intelligenza artificiale - Settembre 5, 2024
- Il Parlamento UE emana un documento informativo di sintesi dell’AI Act - Settembre 2, 2024
- Il parere del Garante Privacy sullo schema di disegno di legge in materia di intelligenza artificiale - Agosto 9, 2024
