Il Garante Privacy, nel corso della riunione tenutasi il 24 giugno, ha espresso parere favorevole in merito allo schema di regolamento del Ministero della Giustizia recante l’individuazione dei trattamenti di dati personali relativi a condanne penali e reati e delle relative garanzie appropriate ai sensi dell’art. 2-octies, comma 2, del Codice Privacy.
Nel seguito, un’analisi dello schema posto al vaglio dell’Autorità e delle osservazioni dell’Autorità Garante.
Sorveglianza di massa con l’IA, serve approccio rigoroso: i paletti del Parlamento Ue
L’art. 2-octies Codice Privacy
Lo schema di regolamento per il quale il Ministero della Giustizia ha chiesto al Garante Privacy di esprimere autorevole parere, dà esecuzione all’art. 2-octies comma 2 del Codice Privacy, per come novellato dal D. Lgs. 101/2018.
Tale norma prevede, al comma 1, che “Fatto salvo quanto previsto dal decreto legislativo 18 maggio 2018, n. 51, il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, del Regolamento, che non avviene sotto il controllo dell’autorità pubblica, è consentito, ai sensi dell’articolo 10 del medesimo regolamento, solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati”, e, al comma 2, che “In mancanza delle predette disposizioni di legge o di regolamento, i trattamenti dei dati di cui al comma 1 nonché’ le garanzie di cui al medesimo comma sono individuati con decreto del Ministro della giustizia, da adottarsi, ai sensi dell’articolo 17, comma 3, della legge 23 agosto 1988, n. 400, sentito il Garante.”
In sintesi, il Codice novellato demanda al Ministero della Giustizia la previsione di tutti i casi in cui il trattamento di dati giudiziari, ai sensi dell’art. 10 Reg. UE 679/2016 (o GDPR), possa ritenersi legittimato, fatta eccezione per le ipotesi nelle quali lo stesso non sia già ammesso da norme di legge o norme regolamentari e non avvenga sotto il controllo dell’autorità pubblica.
Lo stesso art. 10 GDPR prevede che il trattamento dei dati giudiziari, quando non avviene sotto il controllo dell’autorità pubblica, deve essere espressamente autorizzato dal diritto dell’Unione o degli Stati Membri, prevedendo altresì garanzie appropriate per i diritti e le libertà degli interessati.
Il contenuto dello schema
Nel seguito si svolge un’analisi sintetica del contenuto dello schema oggetto di valutazione da parte dell’Autorità Garante.
All’art. 1, si precisa che lo scopo dello schema è quello di individuare i casi e i modi in cui i dati giudiziari ex art. 10 GDPR possano essere trattati, oltre che di delineare quali siano le garanzie appropriate da applicare al trattamento degli stessi dati.
L’art. 2, dedicato alle definizioni, attrae nella definizione di “dati giudiziari” non solo i dati personali “relativi a condanne penali, a reati o a connesse misure di sicurezza”, ma anche i dati relativi all’applicazione, tramite provvedimento giudiziario, di misure di prevenzione, espandendo così la definizione classica resa dal GDPR.
All’art. 3 si precisa che la base giuridica per il trattamento dei dati personali giudiziari è l’art. 10 GDPR, in combinato disposto con l’art. 2-octies del Codice Privacy e con le norme legislative/regolamentari che legittimano specifici trattamenti. Anche lo stesso schema di regolamento costituisce, come ovvio, una base giuridica del trattamento dei dati in esame.
L’art. 4, dedicato alle garanzie da applicarsi a tutti i trattamenti (inclusi quelli previsti da altre disposizioni normative), afferma che il titolare deve:
- Effettuare il trattamento “unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati proporzionate e necessarie in rapporto agli obblighi, ai compiti o alle finalità per i quali è autorizzato il trattamento” (c.2);
- Limitare il trattamento ai “soli dati necessari per realizzare le finalità previste, sempre che le stesse non possano essere soddisfatte, caso per caso, mediante il trattamento di dati anonimizzati o di dati personali di natura diversa” (c.3.);
- Verificare periodicamente l’esattezza e l’aggiornamento dei dati, nonché la loro adeguatezza, pertinenza e necessità rispetto alle finalità perseguite nei singoli casi (c.4);
- Provvedere alla cancellazione dei dati che, anche a seguito delle verifiche, risultino non adeguati, non pertinenti o non necessari, salva l’eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene (c.4).
L’art. 5 riprende alcune delle principali previsioni ricomprese nelle Autorizzazioni generali dal Garante rese ai sensi della previgente versione del Codice Privacy, per il trattamento dei dati nell’ambito del rapporto di lavoro: in primo luogo, individua in due anni dalla cessazione del rapporto di lavoro il termine per la conservazione dei dati, fatta salva l’esigenza di ulteriore conservazione al fine di tutelare in sede giurisdizionale i propri diritti (si pensi, in particolare, al decorso del termine prescrizionale per i crediti retributivi in costanza di rapporto di lavoro); in secondo luogo, ricomprende fra le garanzie del trattamento anche il consenso, considerato un requisito legittimante determinate operazioni (la comunicazione a terzi e la raccolta).
L’art. 6 introduce garanzie specifiche per il trattamento, da parte di soggetti privati, di dati giudiziari funzionali alla verifica ed all’accertamento di requisiti di onorabilità e presupposti interdittivi nei casi in cui ciò sia prescritto dal diritto unionale o interno, ai sensi dell’articolo 2-octies, comma 3, lettere c) ed i) del Codice. Si pensi, in questo caso, al trattamento di dati svolto da società di rating, o alla necessità di verificare che il dipendente abbia profili di onestà e correttezza adeguati alle funzioni o mansioni assegnategli, specialmente nel caso in cui abbia il potere di accedere a sistemi e banche dati strategiche.
L’art. 9 individua i trattamenti svolti dai soggetti muniti di specifica licenza prefettizia per verificare la solidità, solvibilità ed affidabilità delle potenziali controparti contrattuali, e trae origine dalle disposizioni di cui all’art. 85 del codice antimafia, dal DM n. 269/2010 e dall’art. 8 comma 2 del Codice di condotta per finalità di informazione commerciale (doc. web n. 9119868).
All’art. 10, si specificano le garanzie da applicare ai trattamenti svolti nell’ambito dell’attività d’investigazione privata, seppure manchi uno specifico riferimento alle regole deontologiche adottate ai sensi dell’art. 2-quater del Codice Privacy. Nella norma si vieta, inoltre, di conservare i dati per un termine successivo a quello necessario per l’espletamento dell’incarico (che deve essere espressamente individuato nel mandato, salvo proroghe espresse), e di comunicare i dati a soggetti diversi dal committente.
L’art. 11 legittima il trattamento di dati giudiziari nell’ambito delle professioni intellettuali, sia in forma individuale che associata o societaria (le società di professionisti), nel caso in cui lo stesso sia indispensabile per l’esecuzione della prestazione, nel rispetto di alcune garanzie ulteriori relative alle fonti (per le quali deve essere rispettato il principio di affidabilità ed esattezza), agli obblighi di cancellazione (nel rispetto del principio di minimizzazione e limitazione del trattamento) e ai divieti di comunicazione (per i quali occorre ricordare che, nell’ambito di determinate categorie professionali, sussiste anche il segreto professionale). Le professioni intellettuali richiamate nella norma sono molteplici: dagli esercenti una professione ordinistica (come gli avvocati), a professioni non ordinistiche che richiedono tipicamente il trattamento di dati giudiziari, come il criminologo, il mediatore familiare, il consulente coniugale e familiare.
In ultimo, lo schema disciplina i trattamenti di dati giudiziari svolti nell’ambito di ulteriori specifici contesti:
- da parte delle imprese in ambito assicurativo, ai sensi dell’articolo 2-octies, comma 3 lett. d), del Codice (art. 7);
- per la tutela (in particolare, ma non solo, giurisdizionale) dei diritti ai sensi dell’articolo 2-octies, comma 3, lettere b), e), f) (art. 8);
- per fini statistici da parte dei soggetti facenti parte del Sistema statistico nazionale (SISTAN) (art. 12), per i quali si osserva che la comunicazione di dati personali necessita sempre di previsione normativa, da individuarsi in particolare, nell’art. 6-bis del d.lgs. n. 322 del 1989 e nell’art. 5-ter del d.lgs. 14 marzo 2013, n. 33. Ai sensi dell’art. 105 del Codice non sono ammessi utilizzi di dati raccolti a fini statistici o di ricerca scientifica per finalità diverse dall’esercizio di un compito di interesse pubblico o di un pubblico potere;
- in attuazione di protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata, stipulati con il Ministero dell’interno o con le prefetture-UTG. L’art. 13 dello schema si riferisce segnatamente ai delitti di competenza delle procure distrettuali, alla truffa ai danni dello Stato e alla truffa aggravata per il conseguimento di erogazioni pubbliche, ai reati considerati ai fini dell’adozione dell’informazione antimafia interdittiva nonché ai reati ostativi alla partecipazione a procedure d’appalto o concessione.
Le osservazioni del Garante
Il testo in esame rappresenta l’ultima versione dello schema di regolamento, modificato a seguito del recepimento delle indicazioni già fornite dal Garante Privacy il 18 dicembre 2020.
Nel corso della seduta del 24 giugno 2021, il Garante ha avuto modo di svolgere ulteriori osservazioni.
Particolare attenzione, a detta del Garante, deve essere riposta dai titolari e dai responsabili del trattamento anche in merito alle fonti dei dati ed alla loro affidabilità (a titolo esemplificativo, lo schema prevede che debbano essere ritenute fonti qualificate le sentenze definitive, anche rese ai sensi dell’articolo 444 del codice di procedura penale, i decreti penali di condanna divenuti irrevocabili e i provvedimenti definitivi di applicazione di misure di prevenzione). Nel caso in cui i dati giudiziari siano raccolti da fonti aperte, per lo svolgimento di trattamenti finalizzati alla verifica della solidità, solvibilità ed affidabilità nei pagamenti, si dovrebbero ammettere, quali legittime fonti di raccolta, solo i siti internet istituzionali, nonché quelli di ordini professionali e di associazioni di categoria.
Le informazioni, ai sensi del principio di esattezza dei dati, dovranno inoltre essere sempre aggiornate rispetto all’evoluzione della posizione giudiziaria dell’interessato.
Il Garante ha inoltre sottolineato che, nella maggior parte dei casi, il consenso dell’interessato non può essere considerato una base giuridica legittima per il trattamento dei dati giudiziari; questo aspetto vale in particolare nella gestione del rapporto di lavoro, nel quale il dipendente si trova in una posizione di disparità tale, rispetto al datore di lavoro, da non garantire una libera espressione del consenso.
Le modifiche proposte
Sulla scorta di quanto sinora esposto, il Garante ha proposto numerose osservazioni e raccomandazioni al testo dello schema presentato, seppur fornendo parere favorevole.
Con riferimento all’oggetto e alle definizioni, ha espresso la necessità di allineare la definizione di diffusione e comunicazione al testo normativo di cui all’art. 2-ter, comma 4, del Codice Privacy, che distingue detti concetti in ragione del carattere determinato o meno dei destinatari.
In relazione alle garanzie appropriate ha rilevato come si renda opportuno:
- estendere le garanzie generali anche ai trattamenti svolti sotto il controllo dell’autorità pubblica;
- integrare il criterio di necessità con quello della stretta pertinenza del dato rispetto alle finalità, prevedendo che siano oggetto di trattamento, con riferimento al certificato del casellario giudiziale, “i soli dati, contenuti nel certificato del casellario giudiziale o in altra documentazione legittimamente acquisita, necessari e strettamente pertinenti rispetto alle [finalità]”;
- apportare alla normativa vigente le modifiche necessarie a consentire anche ai soggetti privati, non esercenti un servizio pubblico, l’acquisizione del “certificato selettivo” previsto- ma solo per le richieste di pubbliche amministrazioni o gestori di pubblico servizio- dall’articolo 28, comma 2, del d.P.R n. 313 del 2002, funzionale al rispetto del principio di minimizzazione dei dati;
- prevedere che “Sono, comunque, trattati esclusivamente i dati giudiziari relativi a fattispecie di reato previste come ostative o comunque pertinenti e rilevanti, rispetto alle finalità perseguite in base a norme di legge o, nei casi previsti dalla legge, di regolamento” e che, “Una valutazione specifica è svolta per la verifica della necessità del trattamento dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente gli obblighi, i compiti e le prestazioni”;
In relazione ai trattamenti di dati per scopi specifici, invece, osserva, in particolare, quanto segue:
- i termini fissi di cui all’art. 5 potrebbero essere sostituiti con un richiamo al principio di limitazione della conservazione dei dati;
- il consenso non può intendersi come presupposto di liceità per il trattamento dei dati giudiziari nell’ambito del rapporto di lavoro, ma soltanto come ulteriore misura di protezione dei diritti dell’interessato” e pertanto il richiamo allo stesso deve essere soppresso ove ricorra in relazione ai trattamenti svolti in ambito lavoristico o pubblicistico;
- Si potrebbe introdurre, quale ulteriore garanzia per i trattamenti in ambito lavoristico, lo svolgimento di una valutazione d’impatto sulla protezione dei dati, che individui segnatamente le categorie di personale o le specifiche posizioni per le quali si rende necessario trattare dati giudiziari per finalità di verifica di requisiti soggettivi anche di onorabilità, nel rispetto del principio di proporzionalità;
- L’art. 6 dovrebbe contenere delle specifiche previsioni anche per trattamenti ulteriori, per i quali si rende necessario avere la conoscenza di fattispecie di reato di gravità tale da incidere sui profili di onestà e correttezza
- Le garanzie di cui all’art. 9, relative alle fonti aperte di informazioni, dovrebbero essere rafforzate per garantire che quest’ultime siano sufficientemente affidabili ed esatte;
- I trattamenti di dati giudiziari svolti al di fuori del Sistema statistico nazionale, dovrebbero essere ammessi se previsti da una norma di legge o, nei casi previsti dalla legge, di regolamento o, in mancanza, previa adozione da parte del titolare di misure appropriate a tutela dell’interessato e consultazione del Garante sul progetto di ricerca ai sensi dell’articolo 36 del Regolamento. In relazione al trattamento di dati effettuato a fini di archiviazione nel pubblico interesse o di ricerca storica, dovrebbero altresì essere introdotte delle clausole di salvaguardia, per i dati contenuti in fonti pubblicamente e generalmente accessibili.