g-docweb-display Portlet

Parere su uno schema di regolamento recante l’individuazione dei trattamenti di dati personali relativi a condanne penali e reati e delle relative garanzie appropriate ai sensi dell’articolo 2-octies, comma 2, del Codice - 24 giugno 2021 [9682603]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE Newsletter del 20 luglio 2021

 

[doc. web n. 9682603]

Parere su uno schema di regolamento recante l’individuazione dei trattamenti di dati personali relativi a condanne penali e reati e delle relative garanzie appropriate ai sensi dell’articolo 2-octies, comma 2, del Codice - 24 giugno 2021

Registro dei provvedimenti
n. 247 del 24 giugno 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere del Ministero della giustizia;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”);

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito: “Codice”);

Vista la documentazione in atti;

Viste le osservazioni del segretario generale ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

Il Ministero della giustizia ha richiesto, ai sensi dell’articolo 2-octies, comma 2, del Codice, il parere del Garante sullo schema di regolamento recante l’individuazione dei trattamenti di dati personali relativi a condanne penali e reati e delle relative garanzie appropriate, previsto dalla medesima disposizione. 

Essa demanda infatti, ad apposito decreto del Ministro della giustizia, la previsione (con le relative garanzie) dei casi nei quali il trattamento dei dati di cui all’articolo 10 del Regolamento- che non sia già ammesso da norme di legge o regolamento e che non avvenga sotto il controllo dell’autorità pubblica- sia legittimato. Lo stesso articolo 2-octies prevede, al comma 6, che il decreto, avente natura regolamentare, sia emanato di concerto con il Ministro dell’interno, limitatamente all’individuazione dei trattamenti funzionali ai protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata.

La legittimazione della fonte regolamentare a consentire i trattamenti dei dati di cui all’articolo 10 del Regolamento deriva da questa stessa disposizione, che li ammette – se svolti non “sotto il controllo dell’autorità pubblica” - solo se autorizzati dal diritto dell’Unione europea o degli Stati membri, che preveda garanzie appropriate per i diritti e le libertà degli interessati.

Lo schema di regolamento in esame precisa dunque, sin dal suo articolo 1, come oggetto specifico della disciplina proposta siano, da un lato, i casi e i modi nei quali i dati di cui all’articolo 10 del Regolamento possono essere trattati e, dall’altro, le garanzie appropriate prescritte, a tal fine, dalla medesima norma regolamentare europea. Si precisa, peraltro, all’articolo 3, che la base giuridica del trattamento è rinvenibile nell’articolo 10 del Regolamento (che tuttavia rappresenta, più precisamente, la norma di disciplina dei trattamenti in esame), nel citato articolo 2-octies, nelle norme legislative o (nei casi previsti dalla legge) regolamentari legittimanti specifici trattamenti nonché, appunto, nelle disposizioni dello schema di regolamento stesso.

La norma definitoria di cui all’articolo 2 reca, inoltre, una previsione di particolare rilievo, nella misura in cui attrae, nella definizione di “dati giudiziari” che verrà poi utilizzata per indicare l’oggetto del trattamento, oltre ai dati personali “relativi a condanne penali, a reati o a connesse misure di sicurezza”, anche i dati relativi all’applicazione, con provvedimento giudiziario, di misure di prevenzione. 

Quali garanzie comuni a tutti i trattamenti (da applicarsi dunque, ai sensi dell’articolo 4, comma 1, anche a quelli previsti da altre disposizioni normative, che tuttavia tali garanzie adeguate non prevedano) l’articolo 4 dello schema individua, in particolare:  l’effettuazione del trattamento  “unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati proporzionate e necessarie in rapporto agli obblighi, ai compiti o alle finalità per i quali è autorizzato il trattamento” (c.2);  la limitazione del trattamento ai “soli dati necessari per realizzare le finalità previste, sempre che le stesse non possano essere soddisfatte, caso per caso, mediante il trattamento di dati anonimizzati o di dati personali di natura diversa” (c.3.); l’obbligo di verifica periodica dell’esattezza e dell’aggiornamento dei dati, nonché della loro adeguatezza, pertinenza e necessità rispetto alle finalità perseguite nei singoli casi (c.4), con l’obbligo di cancellazione dei dati che, anche a seguito delle verifiche, risultino non adeguati, non pertinenti o non necessari, salva l’eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene (c.4).

A seguito di queste norme di carattere generale, lo schema di regolamento individua, a partire dall’articolo 5, specifici ambiti di trattamento in larga parte corrispondenti, peraltro, a quelli prima compresi nelle Autorizzazioni generali del Garante ai sensi degli articoli 21 e 27 del Codice, nella versione previgente.

Sono, quindi, disciplinati i trattamenti di dati “giudiziari” (da intendersi nell’accezione definita dall’articolo 2, comma 1, lettera c) del regolamento) svolti: nell’ambito del rapporto di lavoro; per la verifica e l’accertamento di requisiti di onorabilità ai sensi dell’articolo 2-octies, comma 3, lettere c) ed i) del Codice; da parte delle imprese in ambito assicurativo; per la tutela (in particolare, ma non solo giurisdizionale) dei diritti ai sensi dell’articolo 2-octies, comma 3, lettere b), e), f); per fini di verifica della solidità, solvibilità ed affidabilità della (possibile) controparte contrattuale; nell’ambito dell’attività d’investigazione privata; nell’ambito delle professioni intellettuali; per fini statistici da parte dei soggetti facenti parte del Sistema statistico nazionale (SISTAN) nonché, infine, in attuazione di protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata, stipulati con il Ministero dell’interno o con le prefetture-UTG.

RILEVATO

L’odierno parere è reso su di un testo che recepisce buona parte delle indicazioni fornite dall’Autorità nel corso di diverse interlocuzioni con i competenti Uffici del Ministero e, in particolare, mediante nota del Servizio affari legislativi e istituzionali del Garante in data 18 dicembre 2020.

I rilievi dell’Autorità riguardavano, segnatamente, i seguenti aspetti: l’inclusione, nella categoria dei  “dati giudiziari” oggetto del regolamento, anche dei dati relativi all’applicazione, con provvedimento giudiziale, di misure di prevenzione; l’introduzione, con lo stesso regolamento, di garanzie appropriate (tra le quali quelle concernenti l’affidabilità delle fonti e il rispetto dei principi di proporzionalità e minimizzazione) relative ai trattamenti svolti, sulla base di altre disposizioni normative, che tuttavia non prevedano tali garanzie; la proporzionalità del termine di conservazione dei dati; le peculiarità del contesto lavoristico, ai fini dell’adozione di garanzie specificamente modulate su quella realtà; la legittimazione soggettiva rispetto al trattamento; l’inclusione delle regole deontologiche tra i parametri da osservare anche in termini di garanzie appropriate del trattamento; la tutela da accordare ai dati dei defunti nell’ambito dei trattamenti svolti per fini di ricerca storica; l’esigenza di un’adeguata differenziazione, sulla base dello specifico fine perseguito, della disciplina del trattamento dei dati giudiziari per fini di archiviazione nel pubblico interesse, di ricerca storica, scientifica, o a fini statistici; l’opportunità di disciplinare anche i trattamenti svolti, rispettivamente, da soggetti no-profit, per finalità di mediazione e conciliazione delle controversie civili e commerciali, nonché per finalità di accesso a sistemi o aree sensibili, particolarmente rilevanti nel contesto socio-economico attuale.

Tra le scelte di particolare rilievo sottese al provvedimento – e conformi peraltro alle indicazioni dell’Autorità – vi è, in primo luogo, l’introduzione di alcune specifiche garanzie volte ad assicurare l’esattezza dei dati trattati (soprattutto in termini di aggiornamento rispetto all’evoluzione della posizione giudiziaria dell’interessato), selezionando fonti affidabili e aggiornate e la limitazione del trattamento ai soli dati indispensabili rispetto alla finalità perseguita.

In secondo luogo, recependo anche in questo caso le indicazioni dell’Autorità, lo schema di regolamento include nella categoria dei dati “giudiziari” oggetto della disciplina i dati concernenti provvedimenti giudiziali applicativi di misure di prevenzione, accordando dunque la tutela rafforzata prevista dal decreto a informazioni cui già il Codice, nella versione previgente, riconosceva uno statuto di garanzie peculiare.

Tale soluzione è, in primo luogo, sorretta da un’interpretazione estensiva della nozione di “dato relativo a reato” di cui all’articolo 10 del Regolamento, appunto perché inerente misure, quali quelle di prevenzione, fondate sulla sussistenza (di indizi di) reato (cfr. art. 4 d.lgs. 6 settembre 2011, n. 159) e la cui natura si delinea sempre più in termini “rafforzativi” della funzione (anche) preventiva della sanzione penale. L’assenza di espressi riferimenti a tali provvedimenti nel citato articolo 10 pare, del resto, imputabile esclusivamente alla limitata diffusione o, comunque, alla difformità di disciplina (e al conseguente inquadramento sistematico) delle misure di prevenzione negli altri Stati dell’Unione europea e, dunque, a una scelta meramente uniformatrice del legislatore europeo. Essa, tuttavia, non esclude opzioni estensive degli Stati membri, conformemente ai propri ordinamenti.

In questo senso, la scelta estensiva dello schema di regolamento esprime un corretto adattamento della norma di cui all’articolo 10 alle caratteristiche del sistema italiano, che assegna alle misure di prevenzione un ruolo non marginale nelle strategie di contrasto del crimine e che impone, dunque, la garanzia di una corrispondente tutela alle relative informazioni. Anche i dati inerenti le misure di prevenzione partecipano, infatti, di quell’idoneità ad esprimere un particolare disvalore, suscettibile di esporre il soggetto a forme le più varie di stigmatizzazione (in contrasto anche con la presunzione d’innocenza e il principio di colpevolezza), tale dunque da esigere una tutela rafforzata rispetto ai dati “comuni” .

Anche per questa ragione, una scelta di segno opposto – che ometta cioè di ricondurre nell’alveo dell’articolo 10 i dati inerenti le misure di prevenzione - costituirebbe un sensibile arretramento della soglia di tutela rispetto a quanto previsto dal Codice, nella versione precedente alla riforma del 2018. Essa includeva infatti, come noto, nella nozione di “dati giudiziari” definita dall’articolo 4, comma 1 lett. e), anche le misure di prevenzione personali di cui all’articolo 3, comma 1, lettera l) del d.P.R. 14 novembre 2002, n. 313.

Una scelta regressiva rispetto alle opzioni normative consolidate nel nostro ordinamento non sarebbe, dunque, in linea con l’obiettivo, perseguito dal nuovo quadro giuridico europeo, di rafforzamento delle tutele da accordare all’interessato. La soluzione prospettata, del resto, appare compatibile anche con il dettato normativo di cui all’articolo 2-octies del Codice, il cui silenzio sul punto non è comunque ostativo a una scelta estensiva in sede di regolamento attuativo, ben potendo quest’ultimo fornire un’interpretazione adeguatrice (condotta soprattutto alla luce del canone di ragionevolezza) della disposizione legislativa interna e, in via indiretta, una lettura estensiva dell’articolo 10 del Regolamento.

Rispetto ai testi già discussi nelle interlocuzioni preliminari con gli Uffici, l’odierno provvedimento reca, all’articolo 13, anche una specifica disciplina dei trattamenti di dati giudiziari svolti in attuazione di protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata, stipulati con il Ministero dell’interno o con le prefetture-UTG.

La disciplina proposta prevede una selezione congrua dei reati (e, conseguentemente, delle informazioni ad essi relativi, comunque tratte solo da fonti qualificate) rilevanti ai fini degli scopi sottesi al protocollo, riferendosi segnatamente ai delitti di competenza delle procure distrettuali, alla truffa ai danni dello Stato e alla truffa aggravata per il conseguimento di erogazioni pubbliche, ai reati considerati ai fini dell’adozione dell’informazione antimafia interdittiva nonché ai reati ostativi alla partecipazione a procedure d’appalto o concessione. Le fonti qualificate dalle quali i dati sono acquisibili sono limitate alle sentenze definitive, anche rese ai sensi dell'articolo 444 del codice di procedura penale,  decreti penali di condanna divenuti irrevocabili, provvedimenti definitivi di applicazione di misure di prevenzione.

I soggetti interessati sono selettivamente individuati in quelli sottoposti alle verifiche antimafia. Sono inoltre previsti, a fini di trasparenza, l’obbligo di pubblicizzare l’avvenuta conclusione del protocollo, nonché a fini di limitazione della conservazione, l’immediata cancellazione dei dati una volta esaurita la funzione perseguita dal protocollo, salvo esigenze di tutela giurisdizionale dei diritti.

RITENUTO

Lo schema di regolamento proposto è suscettibile di alcune modifiche ed integrazioni (di seguito esposte) volte, complessivamente, a perfezionare il bilanciamento, sotteso al testo, tra il diritto alla protezione dei dati personali e le esigenze di raccolta dei “dati giudiziari” in alcuni casi specifici.

1. Oggetto e definizioni

L’articolo 1, nel definire l’oggetto del regolamento, fa riferimento al trattamento dei dati “relativi a condanne penali e reati” omettendo – per mero lapsus calami - di richiamare anche le “connesse misure di sicurezza”. Valuti l’Amministrazione l’opportunità di integrare il disposto normativo ed eventualmente anche lo stesso titolo del regolamento, che parimenti replica la formulazione (soltanto) sintetica della rubrica dell’articolo 2-octies.

La norma di cui all’articolo 2 introduce alcune definizioni essenziali ai fini dei richiami normativi interni al regolamento. E’ tuttavia auspicabile, per una maggiore coerenza sistematica del testo, integrare l’articolo, richiamando anche l’applicabilità delle definizioni di cui all’articolo 4 del Regolamento e all’articolo 2-ter, comma 4, del Codice.

Tale ultima disposizione definisce, peraltro, i diversi concetti di comunicazione e diffusione- distinti in ragione del carattere determinato o meno dei destinatari - che invece nello schema di regolamento (artt. 5, c.1, lett.e), 6, c.1, lett.b), 7, c. 2, lett.d), 11, c.1, lett.c) vengono assimilati, configurando la diffusione come una peculiare modalità di comunicazione. Nelle citate disposizioni è dunque opportuno sopprimere il riferimento alla diffusione.

2. Garanzie appropriate

In primo luogo, si rileva come lo schema di regolamento intenda, correttamente, estendere le garanzie appropriate proposte, ai trattamenti di dati giudiziari previsti da altre disposizioni normative (art. 4, c.1, ultimo periodo) che tali garanzie non prevedano. Tale estensione è consentita dal comma 4 dell’articolo 2-octies, con disposto che pare tuttavia riferibile, per analogia di ratio, anche ai trattamenti di cui al comma 5, nei casi in cui le relative fonti non prevedano garanzie adeguate.

A tal fine, quindi, anche per un migliore coordinamento sistematico del testo sarebbe opportuno integrare la citata disposizione con un richiamo ai vari casi delineati dall’articolo 2-octies, inserendo e, dopo le parole: “si applicano”, le seguenti: “, ai sensi dell’articolo 2-octies, commi 4 e 5 del Codice, ”.  Conseguentemente, all’articolo 1, comma 2, dopo le parole: “ai commi 4”, andrebbero inserite le seguenti: “, 5”..

Tra le garanzie comuni ai trattamenti è correttamente previsto, all’articolo 4, comma 3, un vincolo di necessità dei dati trattati rispetto alle finalità perseguite. Sarebbe, tuttavia, auspicabile in primo luogo integrare tale criterio con riferimento alla stretta pertinenza del dato rispetto alle finalità: concetto non sovrapponibile a quello di necessità.

In secondo luogo, sarebbe preferibile riferire espressamente tale criterio anche ai dati giudiziari contenuti nel certificato del casellario giudiziale, per indicare l’opportunità di trattare soltanto informazioni non eccedenti gli scopi perseguiti. A tal fine, quindi, al comma 3 dell’articolo 4, le parole: “i soli dati necessari per realizzare le” si potrebbero sostituire con le seguenti: “i soli dati, contenuti nel certificato del casellario giudiziale o in altra documentazione legittimamente acquisita, necessari e strettamente pertinenti rispetto alle”.

In linea più generale e al di là dei limiti intrinseci del regolamento in esame, si invita comunque codesta Amministrazione a valutare, sia pur in altra sede, l’opportunità di apportare alla normativa vigente le modifiche necessarie a consentire anche ai soggetti privati, non esercenti un servizio pubblico, l’acquisizione del “certificato selettivo” previsto- ma solo per le richieste di pubbliche amministrazioni o gestori di pubblico servizio- dall’articolo 28, comma 2, del d.P.R n. 313 del 2002, funzionale al rispetto del principio di minimizzazione dei dati. L’integrazione del testo, su proposta, mira naturalmente a sopperire all’assenza, allo stato, di tale previsione.

Inoltre, con previsione più generale o comunque con un’integrazione al comma 3 dell’articolo 4, si potrebbe prescrivere la limitazione del trattamento ai soli dati inerenti fattispecie di reato di volta in volta previste come ostative. Si potrebbe, ad esempio, aggiungere al comma, in fine, il seguente periodo: “Sono, comunque, trattati esclusivamente i dati giudiziari relativi a fattispecie di reato previste come ostative o comunque pertinenti e rilevanti, rispetto alle finalità perseguite in base a norme di legge o, nei casi previsti dalla legge, di regolamento”.

Infine, la previsione di cui all’articolo 4, comma 4, potrebbe essere integrata prescrivendo una valutazione specifica per la verifica della necessità dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente gli obblighi, i compiti e le prestazioni ivi richiamati. A tal fine, al comma 4 si potrebbe aggiungere, in fine, il seguente periodo: “Una valutazione specifica è svolta per la verifica della necessità del trattamento dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente gli obblighi, i compiti e le prestazioni”.

3. Trattamenti svolti nell’ambito del rapporto di lavoro

L’articolo 5, nel delineare condizioni e limiti per il trattamento dei dati giudiziari nell’ambito del rapporto di lavoro, prevede alcune specifiche garanzie.

In primo luogo, individua in due anni dalla cessazione del rapporto di lavoro il termine per la conservazione dei dati, fatta salva naturalmente l’esigenza di ulteriore conservazione a fini di tutela giurisdizionale dei diritti. Tale termine potrebbe ritenersi proporzionato in ragione delle peculiarità del contesto, caratterizzato dalla sospensione del decorso del termine prescrizionale (in particolare per i crediti retributivi) in costanza di rapporto di lavoro. Ciò può determinare, conseguentemente, l’esigenza di conservare successivamente alla cessazione del rapporto lavorativo, per un periodo di tempo congruo, i dati relativi, in ragione della possibilità che in quell’arco temporale siano attivati contenziosi che richiedano la predisposizione di elementi difensivi.

Tuttavia- e con riferimento anche alle altre norme del regolamento che prevedono termini “fissi” di conservazione dei dati, come gli articoli 6 e 9- la previsione astratta di un termine non modulabile in concreto, secondo il principio di limitazione della conservazione, sulla base delle specifiche caratteristiche della fattispecie, potrebbe risultare secondo i casi eccessivamente rigido o, per converso, troppo esteso. Si potrebbe pertanto valutare l’opportunità di sostituire i termini “fissi” con un generale richiamo (anche all’interno dell’articolo 4, quale garanzia comune) al principio di limitazione della conservazione di cui all’articolo 5, paragrafo 1, lettera e) del Regolamento e, quindi, all’esigenza di cancellazione dei dati una volta perseguito lo scopo sotteso al trattamento, come pure disposto in altre norme dell’odierno schema.

Tra le garanzie introdotte in quest’ambito- come negli altri disciplinati dallo schema di regolamento- figura anche il consenso (di cui si suggerisce di precisare, ovunque ricorra, il carattere “libero, specifico, informato e inequivocabile” ai sensi dell’articolo 4, n.11, del Regolamento), quale requisito legittimante determinate operazioni (la comunicazione a terzi in linea generale; in questo caso invece anche la raccolta).

Sul punto va premesso come il trattamento dei dati giudiziari presenti delle peculiarità, in quanto  come si evince dall’articolo 10 del Regolamento, è solo la fonte pubblicistica (diritto UE o degli Stati membri) a poterlo autorizzare. I presupposti di liceità di cui all’articolo 6, paragrafo 1, richiamati  dallo stesso articolo 10, devono pertanto ritenersi assorbiti dal requisito della necessaria previsione normativa del trattamento, che il legislatore interno ha declinato nella fonte legislativa  o regolamentare. La concorrenza di presupposti di liceità diversi, infatti, determinerebbe oltretutto possibili antinomie in punto di esercizio dei diritti riconosciuti all’interessato, come nel caso di revoca del consenso.

Il ricorso al consenso in un contesto, quale quello del trattamento dei dati giudiziari, in cui la fonte legittimante è solo quella normativa, potrebbe dunque ammettersi (come prospetta la stessa Relazione allo schema di regolamento) solo in quanto garanzia ulteriore; “ulteriore misura di protezione dei diritti dell’interessato”, sulla scorta di quanto previsto, ad esempio, dall’articolo 2-septies, comma 6, ultimo periodo, per il trattamento dei dati genetici. L’assenza di uno specifico richiamo legislativo sul punto, all’articolo 2-octies, non sembra in tal senso preclusivo, considerando da un lato la diversità di fonte (provvedimento del Garante nel caso dei dati genetici e fonte regolamentare nel caso dei dati giudiziari) e, dall’altro, il richiamo all’articolo 6, paragrafo 1, contenuto nell’articolo 10 del Regolamento.

Va tuttavia considerato che, seppur ammissibile, appunto quale garanzia ulteriore, il consenso non appare riferibile ai trattamenti svolti nell’ambito del rapporto di lavoro (oltre che, in generale e con riferimento ad altre norme del decreto, in ambito pubblico), in ragione dell’attenuazione che il requisito della libertà del consenso stesso subisce, a motivo dell’asimmetria del rapporto fra titolare e interessato in simili contesti (art. 7 e considerando 42 e 43 del Regolamento; cfr. Parere del “Gruppo Articolo 29” n. 2 del 2017 sul trattamento dei dati sul posto di lavoro, adottato l’8 giugno 2017; provvedimento n. 198 del 2021 di questa Autorità, doc web 9585300).

A tal fine, il richiamo al consenso (in questo articolo, al pari delle fattispecie lavoristiche disciplinate dall’articolo 6) dovrebbe essere escluso. Del resto, la legittimazione del datore di lavoro ad acquisire-  nei casi previsti dall’alinea – il certificato del casellario ottenuto dall’interessato, su sua richiesta, è già prevista alla lettera a) dell’articolo 5 come fattispecie direttamente legittimata dal regolamento stesso, naturalmente al di fuori dei limitati casi di consultazione diretta da parte datoriale del sistema informativo del Casellario. Si potrebbe allora integrare anche questa disposizione con un richiamo alle garanzie in termini di minimizzazione, necessità e pertinenza già suggerite al § 2 rispetto all’acquisizione del certificato del casellario.

In linea generale, comunque, la specifica disciplina- nella fattispecie di cui all’articolo 5, come del resto in quelle contemplate nelle altre norme - dell’ambito di circolazione dei dati potrebbe risultare ultronea, applicandosi in tali casi le norme generali.

Tra le ulteriori garanzie suscettibili di introduzione si potrebbe richiamare anche l’effettuazione della valutazione di impatto, prevista come necessaria nelle Linee guida a suo tempo adottate dal “Gruppo Articolo 29”, in considerazione del carattere “vulnerabile” dell’interessato-lavoratore (“Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del regolamento 2016/679” - 4 ottobre 2017) e nel provvedimento del Garante n. 467 dell’11 ottobre 2018 (doc. web n. 9058979), relativamente ai trattamenti di dati giudiziari transfrontalieri.

Si potrebbe, dunque, introdurre, quale ulteriore garanzia per i trattamenti in ambito lavoristico, lo svolgimento di una valutazione d’impatto sulla protezione dei dati, che individui segnatamente le categorie di personale o le specifiche posizioni per le quali si rende necessario trattare dati giudiziari per finalità di verifica di requisiti soggettivi anche di onorabilità, nel rispetto del principio di proporzionalità. A tal fine, dopo la lettera e) dell’articolo 5, potrebbe ad esempio essere aggiunta, in fine, la seguente:

“e-bis) il titolare del trattamento, nell’ambito della valutazione di impatto sulla protezione dei dati di cui all’articolo 35 del Regolamento, individua le categorie di personale o le specifiche posizioni per le quali, in ragione delle mansioni o funzioni svolte, è necessario trattare dati giudiziari ai fini della verifica dei requisiti soggettivi e di onorabilità o dei presupposti interdittivi ai sensi dell’articolo 6”.

4. Trattamenti svolti per la verifica di requisiti soggettivi, di onorabilità e di presupposti interdittivi

L’articolo 6 introduce alcune garanzie specifiche (tra le quali il diritto dell’interessato di ottenere l’aggiornamento dei dati che lo riguardano) per il trattamento, da parte di soggetti privati, di dati giudiziari funzionale alla verifica o all’accertamento della sussistenza di requisiti soggettivi, di onorabilità e presupposti interdittivi nei casi in cui ciò sia prescritto dal diritto unionale o interno.

Si potrebbe valutare l’opportunità di integrare l’articolo (o di introdurne uno specifico ed ulteriore) legittimando – come già richiesto dall’Autorità con la nota del 18 dicembre 2020- alcune ipotesi peculiari frequentemente poste all’attenzione del Garante.

Ci si riferisce, in particolare, ai  trattamenti di dati giudiziari svolti da società operanti nel settore del rating, che potrebbero autorizzarsi limitatamente alle informazioni strettamente indispensabili alla verifica della sussistenza dei requisiti di onorabilità in capo ai soli soci responsabili di incarichi di revisione presso società italiane che abbiano emesso strumenti finanziari quotati su mercati finanziari non nazionali, in relazione ad illeciti penali individuati dalla disciplina interna, nonché al  fine di consentire la registrazione della società (e degli stessi soci) presso le organizzazioni governative responsabili della stabilità e trasparenza dei mercati finanziari di riferimento.

Un’ulteriore ipotesi meritevole di disciplina espressa concerne la verifica di requisiti di onorabilità o presupposti di affidabilità dei soggetti autorizzati all’accesso a sistemi, archivi o locali in cui siano conservati informazioni o documenti contrassegnati da particolari esigenze di riservatezza e per i quali sia dunque necessario garantire livelli elevati di sicurezza o integrità dei sistemi o di limitazione soggettiva all’accesso. La fattispecie dovrebbe riferirsi ai titolari esercenti compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nella gestione di infrastrutture informatiche o di sistemi e banche dati strategiche per il Paese o che comunque dispongano di strutture o locali destinati alla custodia di dati o documenti segreti o riservati o che richiedano elevati livelli di sicurezza nella gestione delle strutture o dei sistemi e nel trattamento dei dati.

Una previsione specifica potrebbe anche riguardare il trattamento di dati giudiziari dei soggetti legittimati all’accesso a locali in cui sono collocati ingenti valori o informazioni riservate o infrastrutture informatiche critiche, indispensabili per la continuità operativa della Banca d’Italia nell’ambito dell’Eurosistema.

Sarebbe altresì opportuno autorizzare il trattamento di dati giudiziari dei dipendenti adibiti ai processi produttivi dei valori funzionali al rispetto dei requisiti sostanziali indicati dalla Banca Centrale Europea nell’ambito delle procedure di accreditamento dei fabbricanti degli elementi di sicurezza dell’euro e degli elementi dell’euro di cui alla Decisione della Banca centrale europea del 20 dicembre 2013 (BCE/2013/54).

In ogni caso, andrebbe precisato che i dati suscettibili di trattamento devono riferirsi a fattispecie di reato di gravità tali da incidere sui profili di onestà e correttezza del dipendente in relazione alle specifiche funzioni o mansioni assegnategli, con particolare riferimento ai delitti contro il patrimonio e ai delitti contro la personalità interna dello Stato, suscettibili eventualmente anche di individuazione con successivo decreto del Ministero della giustizia.

5. Trattamenti svolti in ambito assicurativo

L’articolo 7 delinea condizioni e limiti del trattamento dei dati giudiziari nell’ambito dell’attività assicurativa, ai sensi dell’articolo 2-octies, comma 3 lett. d), del Codice.

Il testo proposto accoglie molte delle indicazioni già rese dall’Autorità da ultimo con nota del 18 dicembre, benché residui un’ulteriore opportunità di perfezionamento relativamente alle garanzie inerenti l’ambito soggettivo del trattamento.

In particolare, nel delineare le condizioni in base alle quali i dati dei soggetti “comunque coinvolti nel sinistro” possano essere trattati, la lettera b) del comma 2 potrebbe essere integrata circoscrivendo più puntualmente i presupposti legittimanti tale trattamento, pur mantenendo, nei termini proposti, il riferimento ampio alla categoria soggettiva. Pertanto, alla citata lettera b) potrebbero aggiungersi, in fine, le seguenti parole: “limitatamente ai casi in cui sia strettamente necessario e solo in presenza di puntuali e rigorosi indizi di frode, nonché in relazione alla tipologia di sinistro, alle relative dinamiche di svolgimento, alla rilevanza del ruolo rivestito e/o alle peculiari circostanze del caso concreto”.

6. Trattamenti svolti a fini di verifica della solidità, solvibilità ed affidabilità

L’articolo 9 individua i trattamenti svolti a fini di verifica della solidità, solvibilità ed affidabilità di (potenziali) controparti contrattuali, da parte di soggetti, necessariamente muniti della licenza prefettizia (art. 2-octies, c.1, lett.g del Codice). La categoria dei potenziali interessati è individuata sulla base di quanto previsto, in ordine ai soggetti sottoposti alle verifiche antimafia, dall’articolo 85 del codice antimafia e dal DM n. 269 del 2010, sia pur in maniera non del tutto coincidente con il disposto di cui all’articolo 8, comma 2 del Codice di condotta per finalità di informazione commerciale approvato ai sensi dell’articolo 40 del Regolamento, con deliberazione del Garante del 29 aprile 2021, n. 181 (doc. web n. 9119868).

Benché già articolate, le garanzie previste potrebbero essere ulteriormente rafforzate- secondo quanto previsto dal Codice di condotta - rispetto alle fonti aperte, non sempre caratterizzate da sufficienti requisiti di affidabilità ed esattezza.

Pertanto, l’ultimo periodo della lettera c) potrebbe essere integrato prevedendo, in particolare, che tra i siti internet possano ammettersi, quali legittime fonti di raccolta, quelli istituzionali, nonché quelli di ordini professionali e di associazioni di categoria. Andrebbe poi esclusa la possibilità per il fornitore di apportare modifiche al contenuto delle informazioni acquisite da fonti aperte, salvo l’eventuale loro aggiornamento, nonché di utilizzarle ai fini dell’elaborazione di informazioni valutative.

7. Trattamenti svolti nell’ambito dell’attività d’investigazione privata

In ordine ai trattamenti svolti nell’ambito di attività d’investigazione privata, l’articolo 10 introduce alcune significative garanzie, con particolare riguardo agli obblighi specifici di formalizzazione dell’incarico ai fini di verifica della legittimità del trattamento, alla necessaria individuazione del termine entro cui l’attività deve concludersi (salvo proroghe del mandato con nuovo, specifico incarico), al divieto di conservazione dei dati giudiziari dopo l’espletamento dell’incarico stesso, nonché di comunicazione dei dati a soggetti diversi dal committente.

Tuttavia, ai fini di un miglior coordinamento sistematico della disciplina e di una sua maggiore organicità andrebbe introdotta, nell’alinea, la clausola di salvaguardia relativa alle regole deontologiche e, quindi, alle garanzie ulteriori ivi previste.

Pertanto, alle parole: “nel rispetto delle seguenti ulteriori garanzie”, potrebbero essere preposte le seguenti: “, fermo restando quanto previsto dalle pertinenti regole deontologiche adottate ai sensi dell’articolo 2-quater del Codice,”.

8. Trattamenti svolti nell’ambito di professioni intellettuali

L’articolo 11 legittima il trattamento di dati giudiziali da parte dei prestatori d’opera intellettuale – in forma individuale, associata o societaria –, quando indispensabile per l’esecuzione della prestazione e purché siano rispettate ulteriori garanzie in relazione al tipo di dato trattato, alla fonte (lettera a), agli obblighi di cancellazione (lettera b) e ai divieti di comunicazione (lettera c).

La legittimazione attiva è riferita alla categoria degli esercenti professioni intellettuali, più ampia rispetto a quella degli esercenti una professione ordinistica, così da ricomprendervi (alla stregua della legge 14 gennaio 2013, n. 4, recante Disposizioni in materia di professioni non organizzate), alcune professioni ordinariamente chiamate a trattare dati giudiziari, come nel caso del criminologo, del mediatore familiare, del consulente coniugale e familiare.

In ordine alle garanzie accordate, si potrebbe valutare l’opportunità di disciplinare con maggiore dettaglio la categoria soggettiva dei potenziali interessati, ad esempio precisando che il trattamento riguarda dati attinenti ai clienti e che i dati relativi a terzi possono essere trattati solo ove ciò sia indispensabile per eseguire specifiche prestazioni professionali richieste dai clienti, per scopi determinati e legittimi.

9.Trattamenti svolti a fini di archiviazione nel pubblico interesse, di ricerca storica, scientifica o a fini statistici.

L’articolo 12 si riferisce ai trattamenti di dati giudiziari svolti, a fini di ricerca statistica, in ambito Sistan. Fermo restando quanto già osservato al § 2) in ordine ai limiti del consenso in ambito pubblicistico, le garanzie introdotte, a tal fine, alla lettera b) ribadiscono quelle già previste dal quadro normativo vigente. Rispetto ai trattamenti svolti a fini di esercizio di un compito d’interesse pubblico o di un pubblico potere, infatti, la comunicazione di dati personali necessita sempre di previsione normativa (artt. 6, par. 1, lett. c) e e) e 9, par. 2 lett. g) del Regolamento; artt. 2-ter e 2 sexies del Codice) da individuarsi, in particolare, nell’art. 6-bis del d.lgs. n. 322 del 1989 e nell’art. 5-ter del d.lgs. 14 marzo 2013, n. 33. Inoltre, ai sensi dell’art. 105 del Codice non sono ammesse utilizzazioni di dati raccolti a fini statistici (o di ricerca scientifica), per finalità diverse.

Pare invece opportuno– soprattutto a fini di organicità della disciplina e, dunque, certezza del diritto- integrare l’articolo in modo da riferirlo in senso ampio ai trattamenti di cui all’articolo 89 del Regolamento, svolti a fini di archiviazione nel pubblico interesse, a fini statistici o di ricerca storica o scientifica, con una clausola di salvaguardia generale in favore delle regole deontologiche di settore di cui all’articolo 2-quater del Codice e nel rispetto di alcune garanzie specifiche.

Così, dovrebbe precisarsi che i trattamenti di dati giudiziari svolti a scopi di ricerca scientifica devono essere effettuati nell'ambito di corsi di studio universitari, da enti e da istituti di ricerca, società scientifiche, nonché da ricercatori che operano nell'ambito di tali enti.

I trattamenti di dati giudiziari svolti al di fuori del Sistema statistico nazionale, dovrebbero essere ammessi se previsti da una norma di legge o, nei casi previsti dalla legge, di regolamento o, in mancanza, previa adozione da parte del titolare di misure appropriate a tutela dell’interessato e consultazione del Garante sul progetto di ricerca ai sensi dell’articolo 36 del Regolamento.

Andrebbe infine introdotta – essenzialmente a fini di certezza del diritto – una clausola di salvaguardia relativa a quanto previsto dall’articolo 2-sexies del Codice per i trattamenti effettuati sotto il controllo dell’autorità pubblica ai sensi dell’articolo 2-octies, comma 5, da parte di soggetti pubblici e privati a fini di archiviazione nel pubblico interesse o di ricerca storica, in relazione a dati contenuti in fonti pubblicamente e generalmente accessibili.

IL GARANTE

ai sensi dell’articolo 57, comma 1, lett. c), del Regolamento, esprime parere favorevole sullo schema di decreto del Ministro della giustizia recante l’individuazione dei trattamenti di dati personali relativi a condanne penali e reati e delle relative garanzie appropriate, ai sensi dell’articolo 2-octies del Codice,

a) con le seguenti osservazioni, volte a suggerire di:

1) inserire all’articolo 1, comma 2, dopo le parole: “ai commi 4”, le seguenti: “, 5” (§ 2 “Ritenuto”);

2)sopprimere, agli articoli 5, comma 1, lett.e), 6, c.1, lett.b), 7, c. 2, lett.d), 11, c.1, lett.c) il riferimento alla diffusione (§1 “Ritenuto”);

3) apportare, all’articolo 4, le seguenti modificazioni o altre, comunque, di analogo tenore (§ 2 “Ritenuto”):

i) al comma 1, ultimo periodo, dopo le parole: “si applicano”, inserire le seguenti: “, ai sensi dell’articolo 2-octies, commi 4 e 5 del Codice,”;

ii) al comma 3, sostituire le parole: “i soli dati necessari per realizzare le” con le seguenti: “ i soli dati, contenuti nel certificato del casellario giudiziale o in altra documentazione legittimamente acquisita, necessari e strettamente pertinenti rispetto alle” ed aggiungere, in fine, il seguente periodo: “Sono, comunque, trattati esclusivamente i dati giudiziari relativi a fattispecie di reato previste come ostative o comunque pertinenti e rilevanti, rispetto alle finalità perseguite in base a norme di legge o, nei casi previsti dalla legge, di regolamento”;

iii) al comma 4 aggiungere, in fine, il seguente periodo: “Una valutazione specifica è svolta per la verifica della necessità del trattamento dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente gli obblighi, i compiti e le prestazioni”;

4) sopprimere il riferimento al consenso, ovunque ricorra in relazione ai trattamenti svolti in ambito lavoristico o pubblicistico (§ 3“Ritenuto”);

5) aggiungere all’articolo 5, dopo la lettera e), in fine, la seguente (o integrare comunque l’articolo in senso analogo a quello indicato):
“e-bis) il titolare del trattamento, nell’ambito della valutazione di impatto sulla protezione dei dati di cui all’articolo 35 del Regolamento, individua le categorie di personale o le specifiche posizioni per le quali, in ragione delle mansioni o funzioni svolte, è necessario trattare dati giudiziari ai fini della verifica dei requisiti soggettivi e di onorabilità o dei presupposti interdittivi ai sensi dell’articolo 6.” (§ 3 “Ritenuto”);

6) integrare l’articolo 6 nei termini proposti al § 4 “Ritenuto”;

7) all’articolo 7, coma 2, lettera b), aggiungere, in fine, le seguenti parole: “limitatamente ai casi in cui sia strettamente necessario e solo in presenza di puntuali e rigorosi indizi di frode, nonché in relazione alla tipologia di sinistro, alle relative dinamiche di svolgimento, alla rilevanza del ruolo rivestito e/o alle peculiari circostanze del caso concreto” (§ 5 “Ritenuto”);

8) aggiungere all’articolo 9, comma 1, lettera c), in fine, un periodo dal seguente tenore: “Ai fini di cui al periodo precedente, i siti internet dai quali i dati possono essere acquisiti sono soltanto quelli istituzionali, nonché quelli di ordini professionali e di associazioni di categoria. Il fornitore non può apportare modifiche al contenuto delle informazioni acquisite da tali fonti, salvo l’eventuale loro aggiornamento, né utilizzarle ai fini dell’elaborazione di informazioni valutative” (§ 6 “Ritenuto”);

9) all’articolo 10, alinea, alle parole: “nel rispetto delle seguenti ulteriori garanzie”, preporre le seguenti: “, fermo restando quanto previsto dalle pertinenti regole deontologiche adottate ai sensi dell’articolo 2-quater del Codice,” (§ 7 “Ritenuto”);

10) precisare, all’articolo 11, che il trattamento riguarda dati attinenti ai clienti e che i dati relativi a terzi possono essere trattati solo ove ciò sia indispensabile per eseguire specifiche prestazioni professionali richieste dai clienti stessi, per scopi determinati e legittimi (§ 8 “Ritenuto”);

11) integrare l’articolo 12 nei termini proposti al § 9 “Ritenuto”;

b) e le seguenti raccomandazioni, volte a invitare l’Amministrazione a valutare l’opportunità di:

1) integrare il titolo del regolamento e l’articolo 1 inserendo in entrambi, dopo le parole: “e reati”, le seguenti: “o a connesse misure di sicurezza” (§ 1 “Ritenuto”);

2) integrare l’articolo 2 dello schema di regolamento richiamando anche l’applicabilità delle definizioni di cui all’articolo 4 del Regolamento e all’articolo 2-ter, comma 4, del Codice (§ 1 “Ritenuto”);

3) sostituire i termini “fissi” di conservazione dei dati con un generale richiamo (anche all’interno dell’articolo 4) al principio di limitazione della conservazione di cui all’articolo 5, paragrafo 1, lettera e) del Regolamento e, quindi, all’esigenza di cancellazione dei dati una volta perseguito lo scopo sotteso al trattamento (§ 3 “Ritenuto”).

Roma, 24 giugno 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei