ICT

Published on luglio 30th, 2021 | by dirittodellinformatica.it

0

Maggiore privacy per il trattamento dei “dati giudiziari”: il Garante per la privacy approva il nuovo regolamento

Il 20 luglio scorso il Garante per la protezione dei dati personali ha dato il suo parere sullo schema di regolamento del Ministero della Giustizia, volto a dare attuazione all’articolo 2-octies del d.lgs. 196/2003 (c.d. Codice Privacy), alla luce delle modifiche intervenute con il Regolamento UE 679/2016, GDPR, mediante il d.lgs. 101/2018.

Di cosa si tratta? Al di là di tutti i riferimenti normativi, la sostanza inerisce alcune modifiche, orientate ad irrobustire l’impianto di tutela a favore dell’interessato, qualora dovesse svolgersi un’attività di trattamento dei suoi dati personali relativi a condanne penali e reati. Il tema, pertanto, risulta essere assai delicato e meritevole di attenzione, venendo in rilievo informazioni riguardanti aspetti riservatissimi della vita di un individuo.

Ma vediamo brevemente cosa si intende per “dati giudiziari” e cosa prevede, nello specifico, il regolamento proposto dal Ministero della Giustizia.

Un breve cenno alla normativa: i dati personali relativi a condanne penali e reati

La normativa Europea di riferimento per quanto riguarda la protezione dei dati personali è, come già ribadito diverse volte, il Regolamento UE 679/2016, c.d. GDPR. Il GDPR dedica attenzione particolare ad alcune categorie di dati personali che, per la loro natura e la loro incidenza sulla vita dell’interessato, sono sottoposti ad un grado di tutela più elevato rispetto ai semplici dati personali.

Oltre alle “categorie particolari di dati”, regolate dall’articolo 9 del GPDR, il Regolamento Europeo si sofferma su un’altra tipologia di dati, ossia i dati personali relativi a condanne penali e reati.

All’articolo 10, infatti, è previsto che “ Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica.”

Dal tenore della norma appena citata, si percepisce la delicatezza di svolgere attività di trattamento su dati personali che possono rivelare aspetti assai intimi del soggetto interessato, che pertanto necessitano di una regolamentazione ad hoc rispetto ai dati personali che non integrano tali caratteristiche, soprattutto per quanto concerne i soggetti legittimati a svolgere tali trattamenti.

Secondo il GDPR quando è lecito il trattamento dei dati giudiziari?

A norma dell’articolo 10 del GDPR, quindi, svolgere attività di trattamento su dati personali relativi a condanne penali e reato è lecito al ricorrere, congiuntamente, delle seguenti condizioni:

  • La sussistenza di una delle basi giuridiche previste dall’articolo 6 paragrafo 1, ossia consenso dell’interessato, esecuzione di un contratto, obbligo legale del titolare del trattamento, salvaguardia di interessi vitali, compito di interesse pubblico, legittimo interesse del titolare del trattamento;
  • Alternativamente, la sussistenza di un’autorizzazione da parte del diritto dell’Unione Europea o di uno degli Stati membri, oppure il controllo dell’autorità pubblica.

In Italia, sotto il profilo dell’autorizzazione da parte del diritto dell’Unione o degli Stati Membri, vi era fino ad ora una lacuna che non permetteva di poter basare la legittimazione dell’attività di trattamento in oggetto su questa condizione di tutela. Ora però, con l’arrivo della proposta di Regolamento da parte del Ministero della Giustizia, si potrebbe dare finalmente attuazione ad una previsione “interna”, contenuta nell’articolo 2-octies del Codice Privacy ( la fonte normativa italiana in materia di protezione dei dati personali, così come novellato dall’entrata in vigore del GDPR).

L’attuazione dell’articolo 2-octies del Codice Privacy

L’articolo in questione, rubricato “ Principi relativi al trattamento di dati relativi a condanne penali e reati”, ricalca al primo comma le previsioni contenute nell’articolo 10 del GDPR.  Al comma successivo, però, viene previsto che “  In mancanza delle predette disposizioni di legge o di regolamento, i trattamenti dei dati di cui al comma 1 nonchè le garanzie di cui al medesimo comma sono individuati con decreto del Ministro della giustizia, da adottarsi, ai sensi dell’articolo 17, comma 3, della legge 23 agosto 1988, n. 400, sentito il Garante”.

In relazione al secondo comma, poi, il sesto aggiunge che “con il decreto di cui al comma 2 è autorizzato il trattamento dei dati di cui all’articolo 10 del Regolamento, effettuato in attuazione di protocolli di intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata, stipulati con il Ministero dell’interno o con le prefetture-UTG. In relazione a tali protocolli, il decreto di cui al comma 2 individua, le tipologie dei dati trattati, gli interessati, le operazioni di trattamento eseguibili, anche in relazione all’aggiornamento e alla conservazione e prevede le garanzie appropriate per i diritti e le libertà degli interessati. Il decreto è adottato, limitatamente agli ambiti di cui al presente comma, di concerto con il Ministro dell’interno.”

È proprio l’ipotesi appena delineata quella che è venuta a concretizzarsi con la proposta di regolamento pervenuta dal Ministero della Giustizia, la quale, il 20 luglio 2021, è passata al vaglio del Garante per la protezione dei dati personali, così come previsto dalla norma stessa.

La proposta di regolamento

Sono diversi gli aspetti trattati nella proposta i regolamento, primo fra tutti una necessaria puntualizzazione su cosa debba rientrare nella categoria dei c.d. “dati giudiziari”. Fanno, quindi, parte di tale “gruppo”, non solo i dati personali “relativi a condanne penali, a reati o a connesse misure di sicurezza”, anche i dati relativi all’applicazione, con provvedimento giudiziario, di misure di prevenzione. Su tale aspetto particolare si è soffermata l’attenzione del Garante, che ha valutato l’impostazione estensiva tenuta nel regolamento idonea, poiché tali dati “partecipano, infatti, di quell’idoneità ad esprimere un particolare disvalore, suscettibile di esporre il soggetto a forme le più varie di stigmatizzazione, tale dunque da esigere una tutela rafforzata rispetto ai dati “comuni”. Dopo questa dovuta premessa, il regolamento prevede una serie di garanzie minime per il trattamento di questa categoria di dati, ossia:

  • il trattamento deve essere svolto con misure proporzionate e necessarie in relazione agli obblighi e alle finalità per cui è legittimato il trattamento;
  • i dati che possono essere trattati dovranno rispettare il principio di minimizzazione, quindi soltanto quelle informazioni necessarie a perseguire la finalità sottesa all’attività di trattamento;
  • l’obbligo di verifica periodica (v. Diritto di rettifica), quindi di correlato aggiornamento dei dati in oggetto, oltre che l’obbligo di cancellazione dei dati che, “anche a seguito delle verifiche, risultino non adeguati, non pertinenti o non necessari, salva l’eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene”.

Sono, poi delineati gli ambiti di applicazione di tali disposizioni, che vanno dal rapporto di lavoro, alla prestazione di professioni intellettuali, fino alle operazioni di investigazione privata.

Quello dei rapporti di lavoro è il tema che il Garante ha ritenuto essere tra i più delicati, proponendo di escludere l’operabilità della base giuridica del consenso per l’acquisizione dei dati personali giudiziari, prevedendo inoltre la necessità di svolgere una valutazione d’impatto in merito all’eventuale trasferimento transfrontaliero degli stessi.

L’ok del Garante e il futuro della proposta di regolamento

Il Garante, in buona sostanza, ha espresso parere positivo in merito alla proposta di regolamento del Ministero della Giustizia, a parte alcune raccomandazioni e/o integrazioni in merito al testo. I prossimi mesi saranno utili per capire quali e se vi saranno ulteriori step e quando il regolamento verrà approvato e applicato.

Se hai dubbi o necessità di consulenza in merito al trattamento dei tuoi dati relativi a condanne penali e reati, oppure, ad esempio, sei un datore di lavoro che ha bisogno di supporto in merito alla gestione di tali aspetti in azienda, contatta il nostro studio partner FCLEX, da anni esperto nel settore della protezione dei dati personali.

Redazione Diritto dell’Informatica

 

Tags: , , , , , , ,


About the Author



Back to Top ↑