Il Garante Privacy , con provvedimento n. 460 del 18 luglio 2024, ha reso parere favorevole allo schema di decreto legislativo che recepisce la Direttiva (UE) 2022/2557, sulla resilienza dei soggetti critici (anche nota come Direttiva CER – critical entities resilience), operativi nei settori dell’energia, della sanità, delle infrastrutture digitali e della PA.
Lo schema di decreto legislativo, in sintesi, prevede:
- misure volte a garantire che i servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche, della salute e della sicurezza pubbliche o dell’ambiente, siano erogati senza impedimenti
- criteri per individuare i soggetti critici e misure per sostenerli nell’adempimento degli obblighi loro imposti
- obblighi per i soggetti critici volti a rafforzare la loro resilienza e la loro capacità di fornire servizi essenziali in ambito nazionale ed europeo
- disposizioni in materia di vigilanza e irrogazione di sanzioni
- disposizioni sulla predisposizione della strategia nazionale, sulla valutazione del rischio, sul Comitato interministeriale per la resilienza, sulle autorità settoriali competenti e sul punto di contatto unico
- disposizioni per i soggetti critici di particolare rilevanza a livello europeo e per la cooperazione con gli altri Stati membri.
Il Garante ha comunque ritenuto che lo schema di decreto legislativo, pur non presentando particolari criticità sotto il profilo della protezione dati, necessiti di alcune integrazioni in merito alla verifica dei precedenti penali per quanti ricoprono ruoli sensibili all’interno delle strutture, di cui all’art. 15 dello schema di decreto legislativo.
In particolare, l’Autorità ha chiesto di precisare, nel summenzionato art. 15:
- la previsione delle condizioni legittimanti le richieste di controllo, tali da rappresentare un necessario parametro di esercizio della valutazione che il secondo periodo del comma 2 dell’articolo demanda all’ASC
- le categorie di precedenti – distinti per fattispecie di reati ostativi – ritenuti “rilevanti” ai fini del ruolo di volta in volta considerato
- la disciplina – da demandare eventualmente anche alla fonte regolamentare –delle modalità e dei tempi di conservazione dei certificati del casellario giudiziale europeo, acquisiti, nel rispetto dei principi di cui agli artt. 5 del Regolamento e 3 del D. Lgs. 51 del 2018.
Sarebbe poi opportuno, secondo il Garante, integrare lo schema di decreto richiamando gli adempimenti previsti nei casi in cui particolari eventi o incidenti rilevanti, suscettibili di pregiudicare la fornitura di servizi essenziali, implichino violazioni di dati personali.
