Decreto trattamento dati giudiziari, le richieste del Garante Privacy - Cyber Security 360

l'analisi

Decreto trattamento dati giudiziari, le richieste del Garante Privacy

In arrivo un decreto importante per la normativa privacy. Disciplina i casi nei quali il trattamento dei dati relativi a condanne penali e reati è legittimo e precisa le connesse garanzie. Il Garante ha dato ok ma ha chiesto alcuni interventi

30 Lug 2021
B
Riccardo Berti

Avvocato, Centro Studi Processo Telematico

Z
Franco Zumerle

Avvocato, Coordinatore Commissione Informatica Ordine Avvocati Verona

Nella newsletter dello scorso 20 luglio il Garante Privacy ha dato atto di aver espresso parere favorevole su un decreto del ministero della Giustizia che diventerà un importante tassello della normativa privacy nazionale, da tempo atteso anche perché è relativo ad una categoria di dati estremamente importante come quella dei “dati giudiziari”.

Tutela dati personali giudiziari

Il Regolamento GDPR prescrive infatti un particolare regime di tutela per i dati personali relativi a condanne penali e a reati o alle connesse misure di sicurezza, e Il nostro Codice Privacy (D.Lgs. 196/2003), gli fa eco.

In particolare, dopo le modifiche intervenute nel 2018 per armonizzarlo con il GDPR, il Codice Privacy prescrive ora all’articolo 2-octies i casi in cui possono essere legittimamente trattati i dati personali relativi a condanne penali e a reati o alle connesse misure di sicurezza e che gli stessi solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati.

Il problema è che questo rimando alle varie disposizioni di legge ha frammentato la disciplina, creando una serie di casi in cui è legittimo trattare dati giudiziari senza che gli stessi fossero accompagnati dalla previsione delle garanzie appropriate imposte dal Codice.

Il nuovo decreto del ministro della Giustizia

Soccorre quindi il comma 2 dell’art. 2-octies che prevede la possibilità di emanare un decreto ministeriale (sentito il Garante Privacy) che disciplini i casi nei quali il trattamento dei dati relativi a condanne penali e reati – che non sia già ammesso da norme di legge o regolamento e che non avvenga sotto il controllo dell’autorità pubblica- sia legittimo, nonché precisi le connesse garanzie.

Il decreto consentirà quindi di riordinare la materia e di fornire un punto di riferimento per tutti quei soggetti che dovessero trovarsi ad effettuare trattamenti di dati giudiziari (nell’accezione di cui al decreto non si intendono però per “dati giudiziari” tutti i dati relativi a provvedimenti giudiziari, bensì solamente i dati di cui all’art. 10 GDPR, ovvero i dati relativi misure penali).

Il decreto precisa quindi una serie di “casi d’uso” in cui è ammesso il trattamento di dati giudiziari ed elenca una serie di garanzie comuni ad ogni trattamento che coinvolga dati giudiziari, seguito da una serie di garanzie specifiche ritagliate su alcune ipotesi particolari in cui è ammesso il trattamento di dati giudiziari.

La definizione di “dati giudiziari”

Il decreto porta con sé innanzitutto un’importante conferma, attesa e anticipata dagli operatori, per la quale nella definizione di “dati giudiziari” sono inclusi, oltre ai dati personali “relativi a condanne penali, a reati o a connesse misure di sicurezza”, anche i dati relativi all’applicazione, con provvedimento giudiziario, di misure di prevenzione.

Questa scelta estensiva contenuta nel decreto in realtà è frutto della necessità di calare nel contesto della normativa italiana l’intenzione del legislatore europeo quando ha disciplinato i dati giudiziari all’art. 19 del GDPR.

Come precisa, infatti, il Garante nel suo provvedimento, “anche i dati inerenti le misure di prevenzione partecipano, infatti, di quell’idoneità ad esprimere un particolare disvalore, suscettibile di esporre il soggetto a forme le più varie di stigmatizzazione (in contrasto anche con la presunzione d’innocenza e il principio di colpevolezza), tale dunque da esigere una tutela rafforzata rispetto ai dati “comuni”.

 

Le nuove garanzie

Il decreto introduce quindi una serie di garanzie comuni a tutti i trattamenti relativi a dati giudiziari.

Queste “misure minime” andranno applicate anche a trattamenti relativi a dati giudiziari non disciplinati nel decreto, ma previsti da altre disposizioni normative, che tuttavia omettano di individuare le garanzie adeguate per il trattamento prescritte dalla normativa.

Queste “garanzie comuni” comprendono:

  • Il fatto che il trattamento di dati giudiziari sia effettuato “unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati proporzionate e necessarie in rapporto agli obblighi, ai compiti o alle finalità per i quali è autorizzato il trattamento”;
  • la limitazione del trattamento ai “soli dati necessari per realizzare le finalità previste, sempre che le stesse non possano essere soddisfatte, caso per caso, mediante il trattamento di dati anonimizzati o di dati personali di natura diversa” (declinazione nel contesto del trattamento dei dati giudiziari del generale principio di minimizzazione previsto nel GDPR);
  • l’obbligo di verifica periodica dell’esattezza e dell’aggiornamento dei dati, nonché della loro adeguatezza, pertinenza e necessità rispetto alle finalità perseguite nei singoli casi;
  • l’obbligo di cancellazione dei dati che, anche a seguito delle verifiche, risultino non adeguati, non pertinenti o non necessari, salva l’eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene.

 

Gli ambiti in cui è consentito trattare dati giudiziari

Nel decreto sottoposto al parere del Garante sono, quindi, disciplinati i trattamenti di dati giudiziari che possono essere svolti in una serie di casi d’uso significativi (con le corrispondenti garanzie):

  • nell’ambito del rapporto di lavoro;
  • per la verifica e l’accertamento di requisiti di onorabilità (per partecipazione a gare d’appalto o negli altri casi previsti dalla legge;
  • da parte delle imprese in ambito assicurativo;
  • per la tutela (in particolare, ma non solo giurisdizionale) dei diritti;
  • per fini di verifica della solidità, solvibilità ed affidabilità della (possibile) controparte contrattuale;
  • nell’ambito dell’attività di investigazione privata;
  • nell’ambito delle professioni intellettuali;
  • per fini statistici da parte dei soggetti facenti parte del Sistema statistico nazionale (SISTAN);
  • in attuazione di protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata, stipulati con il Ministero dell’interno o con le prefetture-UTG.

Il trattamento dei dati giudiziari per il contrasto alla criminalità organizzata

Il decreto contiene poi alcune disposizioni specifiche per la disciplina dei trattamenti di dati giudiziari svolti in attuazione di protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata, stipulati con il Ministero dell’interno o con le prefetture-UTG.

La disciplina si occupa innanzitutto di elencare una serie di reati, che il Garante definisce “congrua” (e che include delitti di competenza delle procure distrettuali, truffa ai danni dello Stato, truffa aggravata per il conseguimento di erogazioni pubbliche, reati considerati ai fini dell’adozione dell’informazione antimafia interdittiva nonché reati ostativi alla partecipazione a procedure d’appalto o concessione proposta), e prescrive che le fonti da cui acquisire i dati sono limitate alle sentenze definitive, anche rese a seguito di patteggiamento, decreti penali di condanna divenuti irrevocabili, provvedimenti definitivi di applicazione di misure di prevenzione.

I soggetti interessati da questo trattamento dati possono essere solamente quelli sottoposti a verifiche antimafia e il decreto prevede specifiche garanzie tra cui l’obbligo di pubblicizzare l’avvenuta conclusione del protocollo (per ragioni di trasparenza), e l’obbligo di procedere all’immediata cancellazione dei dati una volta esaurita la funzione perseguita dal protocollo, salvo esigenze di tutela giurisdizionale dei diritti.

Le richieste del Garante su decreto dati giudiziari

Come detto, il decreto ha incontrato il parere favorevole del Garante, parere però accompagnato da una serie di osservazioni e suggerimenti.

Rapporti di lavoro

Tra questi vari ambiti quello forse più rilevante e su cui si concentra maggiormente il Garante è quello del trattamento dei dati giudiziari nei rapporti di lavoro.

Il Garante propone di innovare il modo in cui le aziende oggi acquisiscono i certificati penali dei dipendenti, estendendo anche ai soggetti privati, non esercenti un servizio pubblico, l’acquisizione del “certificato selettivo” ad oggi già previsto (ma richiedibile solamente dalle pubbliche amministrazioni o dai gestori di pubblico servizio) che sarebbe maggiormente rispettoso del principio di minimizzazione dei dati.

Quindi il Garante sottolinea la necessità di escludere il consenso dalle legittime basi del trattamento dei dati giudiziari dei dipendenti e suggerisce di inserire, tra le garanzie ulteriori richieste nel caso di trattamenti di dati giudiziari transfrontalieri da parte del datore di lavoro, quella della redazione di una apposita valutazione d’impatto ai sensi del GDPR.

Termine trattamento dati

Il Garante inoltre evidenzia come il decreto prescriva un termine per il trattamento dei dati giudiziari di due anni successivi al termine del rapporto di lavoro, termine “fisso” che il Garante preferirebbe fosse sostituito con un richiamo al principio di limitazione della conservazione dei dati previsto dal GDPR.

Prestatori d’opera intellettuale

L’articolo 11 della bozza di decreto all’esame del Garante legittima il trattamento di dati giudiziari da parte dei prestatori d’opera intellettuale (che siano in forma individuale, associata o societaria), quando questo è indispensabile per l’esecuzione della prestazione e purché siano rispettate ulteriori garanzie in relazione al tipo di dato trattato, alla sa fonte, agli obblighi di cancellazione e ai divieti di comunicazione.

Nel caso è interessante la scelta del decreto di non limitare l’”autorizzazione” alle sole professioni ordinistiche, condivisa dal Garante in quanto include alcune professioni ordinariamente chiamate a trattare dati giudiziari, come nel caso del criminologo, del mediatore familiare, del consulente coniugale e familiare.

Settore rating e solvibilità

Con riguardo invece al trattamento dei dati giudiziari teso alla verifica di requisiti soggettivi, di onorabilità e di presupposti interdittivi il Garante evidenzia l’opportunità di estendere la normativa ai trattamenti di dati giudiziari svolti da società operanti nel settore del rating (settore con cui il Garante ha già avuto modo di confrontarsi in vari provvedimenti) che il Garante suggerisce di autorizzare limitatamente alle informazioni strettamente indispensabili alla verifica della sussistenza dei requisiti di onorabilità “in capo ai soli soci responsabili di incarichi di revisione presso società italiane che abbiano emesso strumenti finanziari quotati su mercati finanziari non nazionali, in relazione ad illeciti penali individuati dalla disciplina interna, nonché al fine di consentire la registrazione della società (e degli stessi soci) presso le organizzazioni governative responsabili della stabilità e trasparenza dei mercati finanziari di riferimento.

Un ulteriore significativo intervento del Garante riguarda i trattamenti svolti a fini di verifica della solidità, solvibilità ed affidabilità di (potenziali) controparti contrattuali, attività che può essere affidata solamente a soggetti con apposita licenza prefettizia.

Il Garante evidenzia infatti la necessità di garantire l’esattezza delle informazioni raccolte in quanto, specie quando si tratta di dati rinvenuti online, il rischio di reperire informazioni scorrette e non aggiornate è elevato.

Per questo il Garante suggerisce di introdurre nel decreto il seguente paragrafo: “i siti internet dai quali i dati possono essere acquisiti [i dati per la verifica della solidità, solvibilità ed affidabilità di (potenziali) controparti contrattuali] sono soltanto quelli istituzionali, nonché quelli di ordini professionali e di associazioni di categoria. Il fornitore non può apportare modifiche al contenuto delle informazioni acquisite da tali fonti, salvo l’eventuale loro aggiornamento, né utilizzarle ai fini dell’elaborazione di informazioni valutative”.

In buona sostanza il Garante propone di ammettere, quali legittime fonti di raccolta, solo i siti internet istituzionali (definizione però generica e poco chiara, che potrebbe essere estesa fino ad includere anche siti “di riferimento” di soggetti privati), nonché quelli di ordini professionali e di associazioni di categoria, con esclusione di tutti gli altri per l’inaffidabilità delle fonti.

Il consenso non è base giuridica legittima

Il Garante ha inoltre sottolineato che, nella maggior parte dei casi, il consenso non può essere considerato una base giuridica legittima per il trattamento dei dati giudiziari.

Questo vale a maggior ragione nel caso del trattamento dati che avviene nell’ambito del rapporto di lavoro, situazione in cui il dipendente si trova in una posizione di disparità rispetto al datore di lavoro, tale da non garantire una libera espressione del consenso e da far presumere che lo stesso sia “coartato” dalla posizione di soggezione del dipendente.

Il decreto posto all’esame del Garante subordina al consenso dei dipendenti la raccolta di alcuni dati giudiziari ulteriori nonché la loro comunicazione a terzi. Il Garante ritiene necessario eliminare in toto il riferimento al consenso (che non potrebbe sopravvivere nemmeno quale elemento ulteriore e “rafforzativo” della legittimità di un trattamento già assentito per legge).

Altri ambiti da attenzionare

L’Autorità ha poi rilevato che vi sono una serie di ipotesi di trattamento di dati giudiziari ulteriori rispetto a quelle disciplinate nel decreto che avrebbero meritato attenzione, in particolare il Garante menziona i trattamenti svolti da soggetti no-profit (i trattamenti per finalità di ricerca sono infatti regolati nel decreto solamente in ambito Sistan), per finalità di mediazione e conciliazione delle controversie civili e commerciali, nonché quelli per finalità di accesso a sistemi (informatici) o aree sensibili in determinati ambiti (il Garante fa riferimento all’accesso a “sistemi, archivi o locali in cui siano conservati informazioni o documenti contrassegnati da particolari esigenze di riservatezza e per i quali sia dunque necessario garantire livelli elevati di sicurezza o integrità dei sistemi o di limitazione soggettiva all’accesso.”).

Il Garante ha infine richiesto che le garanzie introdotte con il decreto siano previste come parametro di riferimento minimo anche per quei trattamenti che vengono svolti in ambito pubblico sulla base di previsioni normative diverse.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5