Protezione_dati

Sistema Informativo doganale e protezione dei Dati: modifica alla Decisione GAI

1089 0

Con REGOLAMENTO (UE) 2024/868 del 13 marzo 2024, il Consiglio europeo allinea la Decisione GAI (del Consiglio “Giustizia e affari interni“) che regola il sistema informativo doganale, alle norme europee in materia di protezione dei dati (ovvero la direttiva (UE) 2016/680)

Che cos’è la Decisione GAI e a cosa serve il Sistema informativo doganale (SID)? In cosa consiste l’allineamento con le norme europee sulla privacy?

Cos’è la Decisione GAI

La decisione 2009/917/GAI del Consiglio istituisce il Sistema informativo doganale (SID), che mira a facilitare la prevenzione, la ricerca e il perseguimento di gravi infrazioni alle leggi nazionali rendendo più rapidamente disponibili i dati e quindi più efficaci le amministrazioni doganali degli Stati membri.

Che cos’è il SID?

Il SID o Sistema informativo doganale, consiste in una banca dati centrale che conserva dati personali, quali cognomi e nomi, indirizzi, numeri dei documenti di identità relativi a merci, mezzi di trasporto, imprese o persone e articoli e denaro contante bloccati, sequestrati o confiscati.

Chi ha accesso al SID?

La banca dati centrale è gestita dalla Commissione, che non ha accesso ai dati personali in essa contenuti.

  • Le autorità designate dagli Stati membri hanno il diritto di accedere alla banca dati centrale e possono inserire e consultare le informazioni in essa contenuti.
  • L’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol)
  • l’Agenzia dell’Unione europea per la cooperazione giudiziaria penale (Eurojust) hanno, nei limiti dei rispettivi mandati e ai fini dell’adempimento dei loro compiti, il diritto di accedere ai dati inseriti nella banca dati centrale dalle autorità designate dagli Stati membri e di consultarli.

Regolamento 2024/868: GAI e protezione dei dati personali, le modifiche

Il Regolamento allinea la decisione 2009/917/GAI alla direttiva (UE) 2016/680 (con modifiche dirette sul testo della Decisione) richiedendo che le norme in materia di protezione dei dati personali contenute nella Decisione GAI siano:

  • limitate a categorie specifiche di interessati e di dati personali;
  • rispettino i requisiti di sicurezza dei dati;
  • includano una protezione supplementare per categorie particolari di dati personali;
  • rispettino le condizioni per il successivo trattamento.

Quanto al SID, il Sistema informativo Doganale istituito dalla Decisione GAI, le modifiche del Regolamento implicano un maggiore controllo da parte del Garante europeo della protezione dei dati e delle autorità nazionali di controllo.

Decisione GAI: i dati sui “reati” da conservare nel SID

Il Regolamento incide anche su alcuni termini utilizzati nella Decisione GAI: ad esempio sostituisce l’espressione «gravi infrazioni» con il termine «reati» di cui nella direttiva (UE) 2016/680, tenendo presente il fatto che, quando una particolare condotta è vietata dal diritto penale di uno Stato membro, ciò implica di per sé un certo grado di gravità dell’infrazione.

Il Consiglio ricorda anche che non tutti i reati previsti dalle leggi nazionali sono oggetto della decisione 2009/917/GAI (ad esempio, i reati di traffico illecito di stupefacenti, traffico illecito di armi e riciclaggio di denaro sono contemplati dalla decisione 2009/917/GAI) ed ogni Stato deve stilare un elenco di reati ai sensi delle rispettive leggi nazionali che soddisfano determinate condizioni ai fini dell’archivio di identificazione dei fascicoli a fini doganali.

Trattamento dati personali nella Decisione GAI: cosa cambia per Autorità di Controllo e Garante

Il Regolamento apporta modifiche alla Decisione GAI richiedendo che le autorità nazionali di controllo responsabili di garantire il controllo e l’applicazione della direttiva (UE) 2016/680 in ciascuno Stato membro dovrebbero essere competenti per il controllo e l’applicazione delle disposizioni relative alla protezione dei dati personali presenti nella decisione 2009/917/GAI da parte delle autorità competenti di ciascuno Stato membro.

Il Garante europeo della protezione dei dati dovrebbe avere il compito di controllare e garantire l’applicazione delle disposizioni relative alla protezione dei dati personali di cui nella decisione 2009/917/GAI da parte della Commissione, di Europol e di Eurojust.

Conservazione dei Dati nel SID

Un’altra questione tratta dal Regolamento è il trattamento dei dati personali nel quadro della decisione 2009/917/GAI: dovrebbe essere conforme al diritto dell’Unione e nazionale in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la protezione dalle minacce alla sicurezza pubblica e la prevenzione delle stesse.

Il Regolamento mira quindi a semplificare la procedura che disciplina la conservazione dei dati personali nel SID eliminando l’obbligo di riesaminare annualmente la necessità di conservare i dati personali e fissando un periodo massimo di conservazione di cinque anni che può essere prolungato di un ulteriore periodo di due anni, se giustificato.

Il periodo di conservazione, spiega il Regolamento, è necessario e proporzionato alla luce della durata tipica dei procedimenti penali e della necessità dei dati per lo svolgimento di operazioni doganali e di indagini congiunte.

Cibersicurezza e protezione dei dati: informazione e formazione per il professionista della Security

Come proteggersi da un attacco Hacker?
InSic suggerisce la consultazione del seguente Libro di EPC Editore:

Cybersecurity e cyberwarfare
Caria Giovanni Battista, Iaselli Michele
Libro
Edizione: gennaio 2023

L’opera che vede come curatori e in parte anche autori Michele Iaselli e Giovanni Caria con il coinvolgimento di esperti di sicurezza informatica e giuristi specializzati nel settore, ha come focus la cyberwar intesa come l’uso di computer e di reti per attaccare o difendersi nel cyberspazio e più nello specifico la cyberwarfare intesa come attacchi informatici condotti non contro singole aziende, ma contro intere nazioni.

Per formarsi in materia di CyberSecurity, consigliamo il Corso di Istituto informa:

Cyber Security e Cyber Strategy Aziendale
data di inizio 27/06/2023

Corso di formazione che esplora i concetti fondamentali in tema di cyber security anche alla luce dei recenti mutamenti normativi introdotti (es. Direttiva NIS, GDPR, ecc.), con particolare riferimento alle metodologie di valutazione dei rischi ed alle best practices internazionali. 

Valido come Aggiornamento per “Professionista della security”, “DPO”, “HSE Manager” e “Auditor/Esperto 231” certificati da ICMQ/CERSA (8 crediti formativi)

Antonio Mazzuca

Coordinamento editoriale Portale InSic.it -redattore giuridico Laurea in Giurisprudenza in Diritto europeo (LUISS Guido Carli 2006) e Master in "Gestione integrata di salute e sicurezza nell'evoluzione del mondo del lavoro" INAIL-Sapienza (I° Ed. 2018-19). Formatore certificato in salute e sicurezza sul lavoro dal 2017 per Istituto Informa e RLS per EPC Editore. Esperto in sicurezza sul lavoro e amministratore del Gruppo Linkedin Ambiente&Sicurezza sul Lavoro. Content editor e Social media per InSic.it su Linkedin e X (ex Twitter). Contatti: Linkedin Mail: a.mazzuca@insic.it