Il diritto di agire e di difendersi in giudizio è costituzionalmente garantito e, pertanto, in caso di contrasto con altri diritti costituzionalmente garantiti, come quello alla tutela dei dati personali, deve essere sottoposto al bilanciamento.
In moltissimi casi la Giurisprudenza, nel porre a confronto i diritti di cui sopra, ha affermato che il diritto alla riservatezza dei dati personali è derogabile nei confronti del diritto di agire e di difendersi in giudizio (Cass. 15327/2009, Cass. 3358/2009, Cass. 12285/2008, Cass. 10690/2008, Cass. 8239/2003).
Prima di analizzare l’impatto che ha avuto il GDPR sull’attività legata al trattamento dei dati con finalità difensive è necessario chiarire cosa si intende con il termine “indagini difensive” in ambito trattamento dati.
Indagini difensive e protezione dei dati personali
Secondo l’enciclopedia Treccani si definiscono come indagini difensive le “Indagini svolte dal difensore per ricercare e individuare elementi di prova a favore del proprio assistito nelle forme e per le finalità stabilite nel titolo VI bis del codice di procedura penale”. Estendendo detto concetto all’ambito extra penale si può parlare di indagini difensive ogniqualvolta un soggetto agisce per far valere o difendere un diritto in giudizio ponendo in essere un utilizzo di dati personali.
Già il vecchio Codice della protezione dei dati personali prevedeva diverse disposizioni in ambito investigazioni difensive. Infatti, l’art 13, c. 5, lett. b, stabiliva una deroga all’obbligo di informativa, l’art. 24, c. 1, lett. f, riteneva il consenso scritto dell’interessato non necessario per il trattamento dei dati effettuato ai fini dello svolgimento delle investigazioni difensive o per far valere o difendere in sede giudiziaria un diritto, e grazie all’art. 12 erano stati creati appositi codici di deontologia e di buona condotta.
Con l’entrata in vigore del Regolamento Europeo sulla protezione dei dati, detti articoli sono stato abrogati, ma, grazie all’emanazione del Decreto legislativo 101/2018 e al provvedimento del 19 dicembre 2018, il codice di deontologia e di buona condotta è stato dichiarato conforme al GDPR e alla normativa italiana in materia di privacy, con esclusione dei richiami normativi al vecchio codice privacy.
In tal modo si è voluta salvare l’efficacia di questo codice di condotta, come di altri adottati durante la vigenza del D.lgs 196/2003, in quanto importante fonte di disciplina della privacy.
L’informativa
Tuttavia, dalla lettura del nuovo quadro normativo in ambito privacy si riscontra la cancellazione del meccanismo automatico di esonero dalla consegna dell’informativa per i soggetti che attuano un’attività d’investigazione difensiva per i dati raccolti presso soggetti terzi.
Nonostante ciò, a mio parere, in ragione dell’esplicito richiamo all’art 14 del GDPR contenuto nell’art. 11 delle Regole deontologiche (“l’investigatore privato può fornire l’informativa in un unico contesto ai sensi dell’articolo 3 delle presenti regole, ponendo in particolare evidenza l’identità e la qualità professionale dell’investigatore, nonché la natura facoltativa del conferimento dei dati, fermo restando quanto disposto dall’art. 14 del Regolamento, nel caso in cui i dati personali non siano stati ottenuti presso l’interessato”) il titolare del trattamento è esonerato dall’obbligo di fornire l’informativa per i dati non raccolti presso l’interessato se si rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento.
Pertanto, il titolare del trattamento che pone in essere attività d’investigazione difensiva o per la tutela di un diritto in sede giudiziaria potrà continuare a non fornire l’informativa ma dovrà svolgere una valutazione caso per caso sulla sussistenza della, o delle, condizioni di esonero previste dall’art. 14 GDPR.
Il consenso
Come per la deroga all’obbligo della consegna dell’informativa, si rende necessario evidenziare che anche al di sotto della copertura regolamentare del GDPR il consenso non è più un requisito necessario. Infatti, detto trattamento può essere posto in essere alla luce dell’art. 9 del GDPR secondo il quale: “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: […] f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;” e dell’art. 2-octies del Codice Privacy per il quale “il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza è consentito se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, riguardanti, in particolare: […] e) l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; […] g) l’esecuzione di investigazioni o le ricerche o la raccolta di informazioni per conto di terzi ai sensi dell’articolo 134 del testo unico delle leggi di pubblica sicurezza”.
Ad abundantiam si rende necessario richiamare anche l’art. 2-undecies, del Decreto di armonizzazione, il quale limita l’esercizio dei diritti di cui agli art. da 15 a 22 del GDPR “qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto: […] e) allo svolgimento delle investigazioni difensive o all’esercizio di un diritto in sede giudiziaria”.
Conservazione dei dati
Da ultimo, in punto conservazione dei dati, si evidenzia che, in ragione dell’art. 5 del GDPR, espressamente richiamato dall’art. 10 delle regole deontologiche e di buona condotta, anche per questo tipo di attività valgono i principi di minimizzazione dei dati e limitazione della conservazione.
Tuttavia, a mio parere, non appare corretto ritenere che la data retention debba coincidere con la durata dell’investigazione, infatti, il medesimo art. 10 delle regole deontologiche e di buona condotta precisa che “Una volta conclusa la specifica attività investigativa, il trattamento deve cessare in ogni sua forma, fatta eccezione per l’immediata comunicazione al difensore o al soggetto che ha conferito l’incarico, i quali possono consentire, anche in sede di mandato, l’eventuale conservazione temporanea di materiale strettamente personale dei soggetti che hanno curato l’attività svolta, ai soli fini dell’eventuale dimostrazione della liceità, trasparenza e correttezza del proprio operato. Se è stato contestato il trattamento il difensore o il soggetto che ha conferito l’incarico possono anche fornire all’investigatore il materiale necessario per dimostrare la liceità, trasparenza e correttezza del proprio operato, per il tempo a ciò strettamente necessario”.
Quindi, alla luce di un’interpretazione letterale della disposizione enunciata appare evidente che il titolare del trattamento possa trattare i dati per un periodo più lungo al fine di dimostrare la liceità, trasparenza e correttezza del proprio operato. Non solo, infatti, a sostegno di quanto affermato sussiste la condizione di liceità del legittimo interesse del titolare (art. 6.1, lett. f) GDPR) e la necessità di trattare un dato per accertare, esercitare o difendere un diritto in sede giudiziaria regolamentata dall’art 9.2, lett. f) del GDPR.
In conclusione, si può affermare che il nuovo Regolamento Europeo per la protezione dei dati non abbia stravolto l’attività delle indagini difensive, pur ricordando che dette attività devono pur sempre essere svolte in ottica accountability.
