Cassazione: il trattamento dati nelle attività giurisdizionali è sottoposto ad una disciplina particolare - Cyber Security 360

GDPR NEL SETTORE GIUSTIZIA

Cassazione: il trattamento dati nelle attività giurisdizionali è sottoposto ad una disciplina particolare

La Cassazione è tornata a pronunciarsi sul GDPR applicato all’attività giurisdizionale, ribadendo che in questo particolare ambito il trattamento dei dati relativi alle funzioni giurisdizionali è sottoposto a una disciplina particolare. Ecco i dettagli della nuova sentenza

21 Dic 2020
B
Riccardo Berti

Avvocato, Centro Studi Processo Telematico

Z
Franco Zumerle

Avvocato, Coordinatore Commissione Informatica Ordine Avvocati Verona

Il settore giustizia italiano si è da tempo ritagliato, con l’aiuto del legislatore e della giurisprudenza, un proprio spazio di libertà rispetto alle costrittive regole della normativa privacy, sotto vari profili: già prima dell’entrata in vigore del GDPR, la giurisprudenza italiana aveva chiarito i rapporti fra diritto di difesa e diritto alla riservatezza, suscettibile di essere “compresso” nel corso del procedimento giudiziale, posizione da poco ribadita dalla Suprema Corte nella Sentenza n. 35548 del 11.12.2020 sul trattamento dati nelle attività giurisdizionali.

In questa recente pronuncia, la Suprema Corte ha infatti ricordato che “il trattamento dei dati relativi alle funzioni giurisdizionali è sottoposto a una disciplina particolare” ed ha quindi rigettato il ricorso di un soggetto che lamentava l’inclusione nel casellario giudiziario di una condanna nonostante la sua successiva riabilitazione.

Per capire come si è arrivati a questa sentenza è opportuno esaminare l’evoluzione del diritto alla protezione dei dati nel processo italiano.

Trattamento dati nelle attività giurisdizionali ante GDPR

Nel contesto antecedente l’entrata in vigore del Regolamento UE 2016/679, la giurisprudenza italiana aveva già avuto modo di chiarire i limiti del diritto alla riservatezza nei confronti del diritto alla difesa, e in particolare la sua compressione nel corso del processo.

La precedente sentenza della Cassazione

Questa posizione è ben riassunta dalla pronuncia a Sezioni Unite della Cassazione n. 3034 del 08.02.2011.

Nel caso, un soggetto convenuto in un procedimento di divorzio lamentava che nel notificare un ordine di esibizione verso terzi, i legali della controparte avrebbero rivelato dati sanitari del convenuto ai terzi coinvolti (tra cui il suo datore di lavoro), tali dati erano contenuti nelle pagine di verbale notificate ai terzi e a detta del convenuto avrebbero dovuto essere oscurate ante notifica.

Il convenuto evidenziava che l’evento gli avrebbe causato una grave forma depressiva.

La Suprema Corte nel dirimere la questione affermava che:

“il D.lgs. n. 196 del 2003, (codice privacy) stabilisce: a) che è escluso il diritto di opposizione al trattamento dei dati da parte dell’interessato previsto dall’art. 7, quando il trattamento avvenga per l’esercizio del diritto in sede giudiziaria (art. 8, comma 2 lett. e); b) che il trattamento di dati personali non presuppone il consenso dell’interessato ove il trattamento avvenga per difendere un diritto in sede giudiziaria, e sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo necessario al loro perseguimento (art. 24); c) che la titolarità dei trattamenti dei dati in ambito giudiziario va individuata in capo al Ministero, al CSM, agli uffici giudiziari, con riferimento alle loro rispettive attribuzioni (art. 46); d) che non è applicabile nella sua generalità la disciplina sul trattamento dei dati personali, ove gli stessi vengano raccolti e gestiti nell’ambito del processo (art. 47).”.

Sulla scorta di questi elementi la Corte escludeva la lesione del diritto alla riservatezza del ricorrente e rigettava il ricorso. Il procedimento formale risultava correttamente seguito dal notificante (copia del verbale e sua notifica integrale) e pertanto non c’era spazio per un risarcimento.

Già al tempo era però evidente la poca opportunità di riunire in un unico verbale elementi “sensibili” ed elementi che avrebbero comportato la notifica e sebbene dopo quella pronuncia, la magistratura abbia pian piano iniziato a porre maggiore attenzione alla questione, evitando di inserire ulteriori questioni personali in verbali destinati a terzi ovvero precisando la necessità di notificare solamente lo stralcio di verbale contenente l’ordine di esibizione.

Trattamento dati nelle attività giurisdizionali post GDPR

Con l’entrata in vigore del GDPR le maglie di autonomia del settore giustizia si sono ristrette, anche se il D.Lgs. 101/2018, intervenendo sul Codice Privacy, ha salvato alcune delle deroghe di cui alla versione ante GDPR.

Il GDPR innanzitutto dedica alla questione alcuni considerando, come il Considerando n. 20, che dopo aver premesso che “il presente regolamento si applica, tra l’altro, anche alle attività delle autorità giurisdizionali e di altre autorità giudiziarie”, segnala però che il diritto dell’Unione o nazionale potrebbe “specificare le operazioni e le procedure di trattamento relativamente al trattamento dei dati personali effettuato da autorità giurisdizionali e da altre autorità giudiziarie.”.

Il medesimo considerando evidenzia poi come il trattamento dati effettuato in sede giurisdizionale non dovrebbe essere sottoposto al controllo delle autorità garanti nazionali, al fine di salvaguardare l’indipendenza della magistratura (disposizione poi ribadita all’art. 55 co. 3 del Regolamento), raccomandando poi di individuare un organismo specifico all’interno del sistema giudiziario per “assicurare la conformità alle norme del presente regolamento, rafforzare la consapevolezza della magistratura con riguardo agli obblighi che alla stessa derivano dal presente regolamento ed esaminare i reclami in relazione a tali operazioni di trattamento dei dati.”.

Inoltre, l’art. 9 del GDPR, relativo al trattamento dei dati appartenenti a categorie particolari, consente il loro trattamento nel caso in cui “f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali”.

La disciplina sulla cancellazione dei dati

Infine, l’art. 17 del GDPR, nel disciplinare il diritto alla cancellazione dei dati (diritto all’oblio), precisa che lo stesso non è invocabile qualora il trattamento sia necessario “per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.”.

Se la normativa si fermasse qui, nel 2018 avremmo assistito ad una rivoluzione in seno al trattamento dati che avviene in seno alle Corti e ai Tribunali italiani, con informative privacy sottoposte ai legali e alle parti, opposizioni ai sensi della normativa privacy in caso di produzione di documenti ultronei al processo e via dicendo.

Questo però non è avvenuto e, mentre il mondo imprenditoriale e il settore pubblico si affannavano ad adeguarsi al GDPR, il settore giustizia, per quanto riguarda l’attività giurisdizionale, non mutava alcuno de suoi meccanismi (salvo alcune modeste innovazioni relative, ad esempio, alla pubblicazione dei ruoli di udienze del giorno), contando sulle deroghe del Codice Privacy e sul fatto che queste sarebbero state mantenute nella riforma del codice che di lì a poco sarebbe intervenuta.

Deroghe relative al trattamento dei dati da parte dell’autorità giurisdizionale

Ed infatti il D.lgs. 101/2018, intervenendo sul Codice Privacy, ha mantenuto alcune delle deroghe relative al trattamento dati da parte dell’autorità giurisdizionale.

In particolare, è stato introdotto:

l’articolo 2-octies, che contiene i principi relativi al trattamento di dati relativi a condanne penali e reati e ne consente il trattamento se finalizzato all’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

l’articolo 2-duodecies (rubricato: “Limitazioni per ragioni di giustizia”) il quale prevede che l’esercizio dei diritti e l’adempimento degli obblighi di cui agli articoli da 12 a 22 del GDPR (il CAPO III del Regolamento, contenente i diritti degli interessati, è composto dagli articoli che vanno dal 12 al 23, e l’art. 23 elenca unicamente i motivi per cui l’esercizio dei diritti può essere limitato, quindi la norma riguarda tutti i diritti dell’interessato ai sensi del GDPR) e 34 del Regolamento GDPR (stiamo parlando della comunicazione all’interessato da fare in caso di data breach che possa comportare un rischio elevato per i diritti e le libertà dell’interessato) possono, in ogni caso, essere “ritardati, limitati o esclusi, con comunicazione motivata e resa senza ritardo all’interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, per salvaguardare l’indipendenza della magistratura e dei procedimenti giudiziari.”.

Di queste “comunicazioni motivate” non si ha però notizia (del resto se vi è motivo per evitare addirittura l’informativa privacy all’interessato è evidente che allo stesso difficilmente potranno essere comunicati i motivi per cui non gli si rende l’informativa).

Ad oggi, quindi, il sistema giustizia potrebbe aver subìto un grave data breach e noi non saremmo titolati a saperlo se solo la “comunicazione motivata” venisse reputata idonea a compromettere le finalità della limitazione.

Limitazione dell’esercizio dei diritti dell’interessato

Ancora, se è difficile pensare (e legittimare) un’attività del Tribunale di invio delle informative a controparti, testi, soggetti menzionati nei documenti allegati dai difensori, è allo stesso modo difficile pensare che sussistano ragioni per non fornire l’informativa privacy al ricorrente ed al suo legale.

Va poi menzionato, per il settore penale, il D.lgs. 18 maggio 2018, n. 51 che reca l’attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati.

Tale normativa prevede la limitazione dell’esercizio dei diritti dell’interessato (senza che sia prescritta in nessun caso una “comunicazione motivata” all’interessato stesso) qualora ciò possa compromettere le indagini o per ragioni relative alla tutela della sicurezza pubblica, della sicurezza nazionale o dei diritti e delle libertà altrui.

Per gli altri casi però è prescritto un onere di informativa, un diritto di accesso (pur limitato) e un diritto di rettifica, cancellazione e limitazione del trattamento.

Data l’evoluzione del contesto privacy europeo e nazionale (che registra in particolare il venir meno dell’art. 47 D.Lgs. 196/03 che escludeva l’applicabilità di numerosi aspetti del diritto alla privacy in caso di trattamento effettuato da autorità giurisdizionali per ragioni di giustizia) era quindi lecito attendersi un cambio di registro nel trattamento dati effettuato dalle autorità giurisdizionali, cambio di registro che però non è avvenuto e non pare trovare riscontro nella giurisprudenza.

Trattamento dati nelle attività giurisdizionali: la nuova sentenza

Come anticipato, sembra infatti che questo cambiamento di prospettiva sia ancora lontano e la Suprema Corte, trovandosi a decidere su un caso in cui un soggetto lamentava la mancata cancellazione dal casellario giudiziario di un decreto penale di condanna a seguito della sua riabilitazione, ha liquidato senza incertezze la questione privacy, ribadendo che il trattamento dei dati effettuato dalle autorità giurisdizionali è sottoposto ad una disciplina particolare che presuppone un bilanciamento fra i diritti tutelati dalle corti e dai tribunali e quello alla riservatezza (ancora destinato, a quanto pare, ad essere sacrificato).

La Suprema Corte ricorda che:

  1. ai sensi della normativa GDPR è consentito il trattamento dei dati appartenenti a categorie particolari da parte delle autorità giurisdizionali nell’ambito delle proprie competenze istituzionali,
  2. che non si applica nei confronti dei dati trattati dalle autorità giurisdizionali il diritto alla cancellazione,
  3. che il diritto dell’Unione e dei singoli Stati possono prevedere specifiche limitazioni per ragioni di giustizia ai diritti degli interessati;
  4. che le autorità nazionali di settore non sono competenti a loro controllo.

Quindi la Corte ricorda che la normativa italiana, con riferimento ai diritti degli interessati, introduce delle limitazioni per esigenze di salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari.

Alla luce di quanto sopra la Cassazione evidenzia che, con riferimento a caso oggetto di suo esame, è “esclusa in radice la divulgazione dei dati per mezzo della certificazione del casellario giudiziale richiesta dall’interessato poiché in essa non compaiono le condanne per le quali vi sia stata riabilitazione” e che “analoga limitazione concerne il certificato richiesto, nei casi specificamente previsti, dal datore di lavoro”.

Gli unici soggetti che quindi possono conoscere del decreto penale di condanna a seguito della riabilitazione sono le pubbliche amministrazioni e i gestori di servizi pubblici, si tratta però di “una richiesta giustificata dalle necessità connesse all’esercizio delle loro funzioni, sicché appare giustificata e proporzionata alla luce dei compiti svolti da tali enti”.

La decisione della Corte appare quindi sostanzialmente corretta avuto riguardo all’oggetto del suo esame, preoccupa però il modo sbrigativo con cui la Cassazione “supera” la questione privacy, ritenendo corretto l’operato del Tribunale anche alla luce di quella che appare essere una troppo comoda esclusione del diritto alla riservatezza quando entrano in gioco le finalità istituzionali affidate all’autorità giudiziaria.

La normativa richiamata dalla Cassazione non dice però esattamente questo e si cura anzi di escludere i diritti dell’interessato solo in presenza di una comunicazione motivata (che deve anche individuare l’estensione temporale dell’eccezione alla normativa privacy) e precisando che la stessa comunicazione può essere omessa unicamente nell’ipotesi in cui la stessa potrebbe compromettere le finalità della limitazione.

Venendo al caso specifico dell’attività giurisdizionale penale, la comunicazione non viene richiamata dalla normativa ma la stessa prescrive (all’art. 14 D.lgs. 51/2018) che le limitazioni al diritto alla riservatezza sono legittime solo “nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata” e qualora ciò possa compromettere le indagini o per ragioni relative alla tutela della sicurezza pubblica, della sicurezza nazionale o dei diritti e delle libertà altrui.

Conclusione

Appare evidente quindi la necessità di un maggiore approfondimento del tema privacy nel settore giustizia, che metta allo scoperto le carenze sistemiche che l’hanno sempre relegata al rango di diritto secondario quando si è trattato di darne implementazione all’interno della stessa struttura giudiziaria.

L’evoluzione del diritto alla protezione dei dati personali nel settore giustizia è quindi agli albori, come dimostrato dai tentennamenti dei vari uffici giudiziari nella nomina di un D.P.O. (pur prescritta dalla normativa) e dalla difficoltà da parte del Ministero della Giustizia ad affrontare i corretti step per l’implementazione dell’udienza da remoto (difficoltà che ha comportato un piccato richiamo dal Garante).

In buona sostanza la normativa privacy sta solo ora faticosamente cominciando a farsi strada anche nel processo, dando il via ad una evoluzione che dovrà continuare speditamente specie considerando la digitalizzazione del trattamento dei dati nei vari giudizi nel nostro paese, le prospettive di informatizzazione delle decisioni (magari con meccanismi di machine learning) e quindi la necessità per i soggetti che affidano i dati al sistema giustizia di conoscere con precisione modalità ed estensione di questo trattamento.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5