Numero 00355/2022 e data 15/02/2022 Spedizione

REPUBBLICA ITALIANA
Consiglio di Stato
Sezione Consultiva per gli Atti Normativi
Adunanza di Sezione del 21 dicembre 2021
NUMERO AFFARE 01588/2021
OGGETTO:
Ministero della giustizia.
Schema di decreto del Ministro della giustizia di concerto con il Ministro dell'interno concernente: "Regolamento recante la disciplina del trattamento di dati personali relativi a condanne penali e reati, ai sensi dell'articolo 2-octies del decreto legislativo 30 giugno 2003, n. 196, concernente il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE";
LA SEZIONE
Vista la nota di trasmissione prot. n. 12934 del 14 dicembre 2021, con la quale il Ministero della Giustizia ha chiesto il parere del Consiglio di Stato sull'affare consultivo in oggetto;
Esaminati gli atti e udito il relatore, consigliere Giuseppa Carluccio;
Premesso
1. L’oggetto dello schema di decreto del Ministro della giustizia, di concerto con il Ministro dell'interno, è costituito dalle norme di attuazione dell'art. 2-octies del d.lgs. 30 giugno 2003, n. 196, cosiddetto Codice in materia di protezione dei dati personali (d’ora in poi Codice), inserito dall’art. 2, comma 1, lett. f), del d.lgs. 10 agosto 2018, n. 101. Per individuare nell’interezza l’oggetto dello schema è necessario precisare che l’art. 2-octies è stato successivamente richiamato in una disposizione del d.lgs. 6 settembre 1989, n. 322, concernente la disciplina del “Sistema statistico nazionale”; si tratta dell’art. 6-bis, comma 1-bis, che è stato inserito dal d.l. 28 gennaio 2019, n. 4, convertito, con modificazioni, dalla l. 28 marzo 2019, n. 26, che riguarda il trattamento dei dati effettuato dal sistema statistico nazionale.
2. La materia dell’intervento normativo secondario all’esame di questa Sezione riguarda il trattamento dei dati personali relativi a condanne penali e reati (d’ora in poi dati giudiziari) e si inserisce nella disciplina eurounitaria della protezione delle persone fisiche rispetto al trattamento dei dati personali e alla libera circolazione degli stessi, come innovata nel 2016 con gli atti contestuali, costituiti dalla direttiva 2016/680/UE (d’ora in poi direttiva) e dal regolamento 2016/679/UE (d’ora in poi Regolamento UE).
3. L’Italia ha provveduto all’adeguamento legislativo del diritto interno alla direttiva e al Regolamento mediante novelle del Codice, di portata molto diversa in ragione della differente natura delle fonti e dell’oggetto.
4. La direttiva ha un oggetto specifico, costituito dal trattamento e dalla libera circolazione dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali. Essa è stata attuata con il d.lgs. 18 maggio 2018, n. 51, il quale:
- ha raccordato le proprie autonome previsioni con quelle del Codice;
- ha abrogato alcuni articoli dello stesso Codice;
- ha individuato un periodo temporale di vigenza dell’art. 57 del Codice, il quale attribuiva il potere di emanazione delle disposizioni regolamentari relative alla materia trattata.
Ai fini di interesse, è sufficiente precisare che, in attuazione di tale articolo, nel periodo di rituale vigenza dello stesso, il d.P.R. 15 gennaio 2018, n. 15 ha completato l’adeguamento del diritto nazionale a quello eurounitario nella specifica materia (cfr. il parere di questa Sezione n. 2039 del 2017).
5. Il Regolamento UE del 2016, che ha abrogato la precedente direttiva 1995/46/CE alla base dell’emanazione del Codice, ha, invece, portata generale oltre che diretta sulla protezione delle persone fisiche rispetto al trattamento dei dati personali e alla libera circolazione degli stessi.
Di conseguenza, l’adeguamento del diritto interno ha comportato una incisiva modifica dell’intero Codice, che è stata realizzata dal d.lgs. n. 101 del 10 agosto 2018 attraverso:
- a) l’abrogazione di interi titoli e capi nonché di specifici articoli e la sostanziale modifica di quasi tutti i restanti articoli;
- b) l’introduzione di interi capi.
6. In questo contesto di radicale riforma, l'art. 2-octies cit., che costituisce la fonte legislativa del potere regolamentare, si inserisce nelle innovazioni apportate alla Parte I del Codice “Disposizioni generali”, Titolo I “Principi e disposizioni generali”. Tali innovazioni sono costituite:
- a) dalla novella del Capo I “Oggetto, finalità e Autorità di controllo”, mediante la modifica degli artt. 1 e 2, l’inserimento dell’art. 2-bis e l’abrogazione degli artt. 3, 4, 5 e 6;
- b) dalla introduzione del nuovo Capo II, contenente “Principi” (artt. da 2-ter a 2-decies);
- c) dalla introduzione dei successivi Capo III, contenente “Disposizioni in materia di diritti dell'interessato” (artt. da 2-undecies a 2-terdecies) e Capo IV, contenente “Disposizioni relative al titolare del trattamento e al responsabile del trattamento” (sino all’art. 2-septiesdecies).
6.1. In particolare, la disposizione attributiva del potere regolamentare individua, secondo la stessa rubrica, i principi relativi al trattamento dei dati giudiziari.
Come emerge dalla formulazione letterale della stessa disposizione (comma 1), le previsioni comunitarie del Regolamento UE direttamente rilevanti per il trattamento dei dati giudiziari sono costituite da un lato dall’art. 2, §.2, dall’altro dal combinato disposto degli artt. 6 e 10.
L’art. 2, §.2, delimita l’ambito applicativo del Regolamento UE e, con esso, i confini di operatività delle disposizioni legislative attuative del diritto interno. L’art. 2-octies, comma 1, esclude espressamente il trattamento disciplinato dal d.lgs. n. 51 del 2018, attuativo della direttiva, nella specifica materia del trattamento effettuato dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse, così richiamando il contenuto dell’art. 2, §.2, lett. d) del Regolamento UE. Né possono sorgere dubbi sulla esclusione, posta dallo stesso art. 2 del Regolamento UE, dei trattamenti effettuati:
- a) per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione;
- b) dagli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione del titolo V, capo 2, TUE;
- c) da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico.
Inoltre, l’art. 2-octies, comma 1, richiama espressamente anche gli artt. 6, §.1 e l’art. 10 del Regolamento UE. Il primo delimita le condizioni, alternative, del trattamento lecito per tutti i dati personali (§.1) e la possibilità per gli Stati membri di dettare norme più specifiche per alcuni trattamenti necessari (§§. 2 e 3). Il secondo pone le condizioni per il trattamento dei dati giudiziari, il quale o avviene sotto il controllo dell’autorità pubblica, o è autorizzato dal diritto dell’Unione o dal diritto degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.
6.2. La disposizione legislativa attributiva del potere regolamentare, come emergerà nel prosieguo, appare conforme ai confini posti dal diritto eurounitario. Allo stesso potere regolamentare attribuito dall’art. 2-octies rinvia l’art. 6-bis, comma 1-bis del d.lgs. n. 322 del 1989, per il trattamento dei dati effettuato dal sistema statistico nazionale. Anche per questo settore, come emergerà nel prosieguo, appare assicurato il rispetto del diritto eurounitario.
7. I tratti essenziali dell’art. 2-octies, che attribuisce il potere regolamentare, possono così sintetizzarsi:
a) definisce il proprio ambito di intervento (comma 1):
- individuando i dati specifici oggetto del trattamento;
- escludendo il trattamento effettuato dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse;
- richiamando le previsioni del diritto eurounitario pertinenti;
- specificando che il trattamento, diverso da quello che avviene sotto il controllo dell’autorità pubblica, necessita della autorizzazione normativa, che preveda garanzie appropriate per i diritti e le libertà degli interessati, da parte della legge o da parte di un regolamento, se la fonte regolamentare è prevista dalla legge, così declinando la formula “diritto degli Stati membri”;
b) definisce l’ambito di intervento del potere regolamentare attribuito all’Amministrazione:
- conferendo un generale potere regolamentare al Ministro della giustizia di “individuare” i trattamenti di tali dati e le garanzie appropriate per i diritti e le libertà degli interessati, tutte le volte che manchino disposizioni di legge o di regolamento che ne autorizzino il trattamento e prevedano le garanzie appropriate (comma 2);
- elencando, “in particolare”, gli ambiti o materie o settori (d’ora in poi ambiti), già regolati da leggi e regolamenti che prevedono obblighi, compiti, finalità, in cui emerge la necessità dell’utilizzo dei dati giudiziari e quindi del trattamento degli stessi (comma 3);
- riaffermando il potere regolamentare alle condizioni del comma 2 rispetto agli ambiti di materie prima individuate dallo stesso legislatore (comma 4);
c) disciplina nello specifico il contenuto delle norme secondarie per il trattamento di dati giudiziari effettuato in attuazione di protocolli di intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata, stipulati con il Ministero dell'interno o con le prefetture (comma 6);
d) rinvia all’art. 2-sexies del Codice, per il trattamento dei dati che avviene sotto il controllo dell’autorità pubblica, che è restato fuori dall’ambito del potere regolamentare conferito (comma 5).
7.1. Il suddetto potere regolamentare è richiamato, per il trattamento dei dati giudiziari effettuato per fini statistici, dalla disposizione legislativa del 2019 (art. 6-bis, comma 1-bis, del d.lgs. n. 322 del 1989), con la quale – come emergerà nel prosieguo – il legislatore rispetto a questo specifico settore ha effettuato una scelta diversa da quella precedente, dove (comma 5) aveva escluso l’utilizzo del regolamento per i casi di trattamento effettuati sotto il controllo dell’autorità facendo rinvio all’art. 2-sexies del Codice.
7.2. Quanto agli aspetti procedurali, l’art. 2-octies prevede:
- a) il parere del Garante per la protezione dei dati personali (d’ora in poi Garante);
- b) il concerto con il Ministro dell’interno, limitatamente all’ambito regolato dal comma 6.
8. Lo schema di decreto è composto da quattordici articoli, non suddivisi in sezioni.
Nella prima parte (articoli da 1 a 4): individua l’oggetto; elenca le definizioni; precisa la “base giuridica”; prevede disposizioni comuni a tutti i trattamenti disciplinati negli articoli successivi (da 5 a 13).
Nella seconda parte disciplina in ciascun articolo un diverso ambito di dati trattati:
- in riferimento al rapporto di lavoro (art. 5);
- per ragioni di onorabilità (art. 6);
- dalle imprese in ambito assicurativo (art. 7);
- per la tutela dei diritti (art. 8);
- per finalità di verifica della solidità, solvibilità ed affidabilità (art. 9);
- per l’attività di investigazione privata (art. 10);
- nello svolgimento delle professioni intellettuali (art. 11);
- ai fini statistici (art. 12);
- in attuazione di protocolli di intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata, stipulati con il Ministero dell'interno o con le prefetture (art. 13).
L’ultimo articolo contiene la clausola di invarianza finanziaria (art. 14).
9. Lo schema di decreto è corredato dalla relazione illustrativa, dalla relazione tecnica, dall’analisi di impatto della regolazione (AIR), dall’analisi tecnico-normativa (ATN).
10. Il Garante ha espresso rituale parere favorevole, con osservazioni e raccomandazioni, nell’Adunanza del 24 giugno 2021. Peraltro, come risulta dalle relazioni, lo stesso è stato preceduto da varie interlocuzioni.
11. Il Ministero dell’interno, con nota a firma del direttore dell’”ufficio affari legislativi e relazioni parlamentari” in data 9 dicembre 2021, ha espresso il formale assenso al proseguimento dell'iter di adozione, previa espunzione all'articolo 13, comma 1, lettera b) delle seguenti parole: “fermo il disposto di cui all'articolo 83-bis del decreto legislativo 6 settembre 2011, n. 159,”.
Considerato
1. I profili preliminari.
1.1. La Sezione rileva che, dalla documentazione in atti, non risulta il concerto espresso formalmente dal Ministro dell’interno sullo schema di decreto. Come è noto, l’atto di concerto può essere sottoscritto solo dal Ministro competente o “d’ordine” del Ministro stesso, mentre è stato espresso dal capo dell’ufficio legislativo. Pertanto, l’Amministrazione dovrà provvedere all’acquisizione del formale concerto prima dell’invio dello schema di decreto alla Presidenza del Consiglio dei ministri.
1.2. Il Garante ha espresso un parere favorevole articolato e complesso all’esito del quale ha formulato numerose osservazioni e qualche raccomandazione. Le relazioni dell’Amministrazione danno conto del parere e riconoscono che le osservazioni e le raccomandazioni sono state parzialmente condivise e recepite.
La Sezione, anche per esigenze di semplificazione del parere, sceglie di illustrare sinteticamente solo quelle osservazioni o raccomandazioni non recepite dall’Amministrazione. Quanto alle osservazioni o raccomandazioni recepite dall’Amministrazione, la scelta è quella di esporle solo nella misura in cui si colleghino alle argomentazioni di merito attinenti alle criticità che si rileveranno nell’articolato.
2. La struttura del presente parere.
2.1. La valenza eurounitaria delle norme di attuazione all’attenzione di questa Sezione rende necessaria una prospettiva di analisi che, partendo dalle disposizioni europee, si interroghi sulla compatibilità con le stesse del diritto primario interno. Proprio l’angolo di visuale europeo costituisce un utile ausilio interpretativo per fugare ogni dubbio sul nucleo portante della norma attributiva del potere regolamentare, e più precisamente, delle norme attributive del potere, visto che nel 2019, come si è detto, è sopravvenuta quella concernente il sistema statistico nazionale. Dalla interpretazione su queste basi delle norme legislative primarie derivano conseguenze a supporto delle criticità rilevate nello schema di decreto.
2.2. Per queste ragioni, il parere, dopo il tema preliminare delle definizioni, svolge un’analisi volta a delimitare il perimetro del potere regolamentare conferito dalla legge alla luce del Regolamento UE e a valutare il suo inserimento nel sistema delle norme unionali e nazionali inerenti la protezione di tutti i dati personali, quindi trae le conseguenze sulle scelte fatte dall’Amministrazione in ordine alle materie per le quali è stata prevista la disciplina attuativa del trattamento dei dati giudiziari, pervenendo alla conclusione della necessità, quantomeno nella relazione, di una distinzione in tre categorie degli ambiti di trattamento, rispetto al potere regolamentare conferito dalla legge.
2.3. Dalle stesse premesse discende, inoltre, la necessità di raccordare l’art. 2-octies, comma 5, che rinvia all’art. 2- sexies del Codice, con l’art. 6-bis, comma 1-bis del d.lgs. n. 322 del 1989, rispetto al trattamento dei dati giudiziari a fini statistici.
2.4. Inoltre, dall’inserimento della disciplina di settore concernente i soli dati giudiziari in quella concernente tutti i dati personali, nonché dal rilievo che nella materia assumono quelle norme che restano sullo sfondo del trattamento, costituendone solo il presupposto che occasiona il trattamento dei dati, si trarranno criteri per l’analisi critica delle disposizioni attuative dello schema di decreto.
2.5. Nell’ottica suddetta si illustreranno:
- le criticità rilevate sotto il profilo del mancato inserimento dell’intervento settoriale nel contesto normativo europeo e nazionale della tutela di tutti i dati personali, della mancata motivazione delle scelte o della mancata distinzione tra normativa che pone le condizioni del trattamento e normativa che, prevedendo obblighi, adempimenti e finalità in capo ai soggetti, fonda la necessità del trattamento dei dati, nonché le criticità rilevate sotto il profilo della individuazione dei dati giudiziari, che costituiscono l’oggetto del trattamento in ogni singolo ambito;
- le conseguenti criticità rilevate nell’articolato, anche tenendo conto del parere del Garante, isolando la trattazione di profili comuni a più articoli.
Infine, si esporranno le osservazioni ispirate dall’esigenza di perseguire una buona qualità della regolazione normativa.
3. Le definizioni: l’articolo 2.
Per semplificare la redazione delle osservazioni e la formulazione delle proposte di riformulazione dell’articolato, si scrutina preliminarmente la disposizione attinente alle definizioni.
In generale: l’elenco deve utilizzare l’ordine alfabetico, inserendovi anche le nuove definizioni che si suggerisce di introdurre.
3.2. La lett. c).
L’art. 2, lett. c) così dispone: "dati giudiziari": dati personali relativi a condanne penali, a reati o a connesse misure di sicurezza, nonché all'applicazione con provvedimento giudiziario di misure di prevenzione.”.
La definizione adottata dall’Amministrazione ricalca, nella prima parte, l’articolo 10 del Regolamento UE ed aggiunge, tra i dati personali penali, quelli relativi “all'applicazione con provvedimento giudiziario di misure di prevenzione”.
Infatti, l’articolo 10 cit., rubricato come “Trattamento dei dati personali relativi a condanne penali e reati”, così dispone: “Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell'articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica.”.
3.2.1. La Sezione ritiene necessario che la definizione dell’oggetto specifico dello schema di decreto, declinato nei diversi ambiti, sia rapportata all’ordinamento penale nazionale, sostanziale e processuale. Solo così il decreto emanando, per il tramite della legge nazionale che ha conferito il relativo potere, può svolgere la funzione sua propria, che è quella di dare attuazione ad una norma regolamentare europea direttamente applicabile, ma rivolta a Stati diversi, la quale proprio per la sua genericità ed ampiezza non può che essere adattata alla varietà degli ordinamenti nazionali. Naturalmente, l’adattamento deve avvenire nel rispetto di eventuali limiti risultanti dalla norma europea.
3.2.2. Si ritiene che dall’articolo 10 cit. non derivino limiti all’ambito di intervento della normativa nazionale, né rispetto al carattere “definitivo” dei provvedimenti giudiziari penali, né rispetto alla tipologia dei provvedimenti giudiziari e ai vari esiti possibili del processo penale, diversi dalla condanna.
Non possono sorgere dubbi sulla circostanza che, in mancanza dell’espressa previsione del “carattere definitivo” dei provvedimenti penali, sia ricompreso ogni provvedimento penale, anche non definitivo.
Quanto alla tipologia dei provvedimenti penali, nessuna restrizione emerge direttamente dall’articolo 10. Questo non richiama alcuna tipologia di provvedimenti e, piuttosto, assume l’ottica opposta del loro contenuto: “i dati personali relativi a” condanne, reati, misure di sicurezza.
Quanto ai variegati possibili esiti di un processo penale, nelle sue varie fasi, si ritiene che non può rinvenirsi un limite nell’utilizzo del termine “condanne penali”. In questa direzione rileva il peso specifico che assume la finalizzazione del contenuto dei dati personali ai reati, che emerge dall’articolo 10 cit., dovendo essere individuato il contenuto dei primi in relazione ai secondi e non al tipo di decisione assunta. Così, il contenuto dei dati giudiziari in relazione ai reati consente di comprendere qualunque provvedimento penale che attenga al reato, dalla fase delle indagini, alle misure cautelari, alla imputazione, alla decisione di condanna, all’esecuzione della pena. Mentre il richiamo iniziale alle “condanne penali” assume solo un ruolo esemplificativo, quasi di “provvedimento simbolo” tra tutti quelli possibili. Non può dirsi neanche che serva ad escludere i provvedimenti di assoluzione, posto che, per il principio generale del costante aggiornamento dei dati, certamente rientra tra i provvedimenti oggetto di trattamento anche la decisione di assoluzione che segua ad una di condanna o anche solo ad una misura cautelare.
3.2.3. L’Amministrazione, accogliendo un suggerimento del Garante, ha ricompreso tra i dati giudiziari quelli concernenti le misure di prevenzione, così aggiungendole alle sole misure di sicurezza previste dall’articolo 10 cit. Questa Sezione condivide la scelta, trattandosi di misure previste e disciplinate nell’ordinamento interno. A sostegno dell’estensione, l’Amministrazione ha messo in risalto il collegamento con il riferimento al “reato” presente nell’articolo 10 cit., trattandosi di informazioni “connesse alla attribuzione di un reato” in quanto presuppongono “l’accertamento di condotte penalmente illecite”.
E’ opportuno soffermarsi sulla legittimità di tale estensione poiché, secondo l’ordinamento nazionale vigente, le misure di prevenzione, che sono possibili nei casi espressamente previsti dalla legge, non presuppongono l’accertamento di condotte penalmente illecite, ma la sola pericolosità giudizialmente accertata del soggetto rispetto alla possibile commissione di reati.
3.2.4. Per ricomprendere tutte le misure di sicurezza e tutte le misure di prevenzione, è determinante la possibilità di una interpretazione estensiva dell’articolo 10 cit. alla luce della finalità perseguita dal Regolamento UE, che è quella della estensione delle garanzie a tutela dei diritti e degli interessi dei titolari dei dati giudiziari. Questa prospettiva, facendo leva sul “fatto di reato” – in fase di accertamento o di condanna o semplicemente come prevedibile sulla base della accertata pericolosità del soggetto – consente di ricomprendere nella rimessione alla regolamentazione dello Stato nazionale:
- a) le misure di sicurezza, anche se irrogate, come è possibile nell’ordinamento italiano, indipendentemente dalla condanna per un reato;
- b) le misure di prevenzione, anche se irrogabili per il solo pericolo della commissione di un reato.
3.2.5. Sulla base delle argomentazioni che precedono, si propone la definizione che segue:
“dati personali relativi a provvedimenti giudiziari che hanno ad oggetto reati o misure di sicurezza o misure di prevenzione, a carattere definitivo e non definitivo;”.
3.3. Le integrazioni delle definizioni proposte dalla Sezione.
3.3.1. Si suggerisce di inserire la seguente, nuova definizione:
“Garanzie appropriate”: le garanzie appropriate per la tutela dei diritti e delle libertà degli interessati previste dal presente regolamento con l’elencazione in ogni ambito regolato, che si aggiungono alla prima essenziale garanzia della necessità o indispensabilità del trattamento, prevista in ogni articolo concernente ciascun ambito;”.
Nello schema di decreto si utilizza l’espressione “ulteriori garanzie” per indicare le garanzie specifiche introdotte dalle disposizioni attuative nella regolamentazione di ciascun ambito, che si aggiungono alla connotazione principale di ogni trattamento, costituita dalla necessità o indispensabilità del trattamento, individuata nell’alinea del comma 1 o nel comma 1.
La sostituzione dell’aggettivo “ulteriori” con “appropriate”, che si propone, si fonda su due considerazioni: - l’aggettivo “appropriate” è quello utilizzato dall’art. 2-octies, che è la legge attributiva del potere; - appare maggiormente idoneo ad esprimere l’adeguamento delle fattispecie presenti nell’ordinamento nazionale al diritto europeo.
Inoltre, l’introduzione di una definizione evita di ripetere la finalità delle garanzie previste in ogni articolo che disciplina il singolo ambito di trattamento.
3.3.2. Si suggerisce di inserire la seguente, nuova definizione:
“Interessato”: il soggetto titolare dei dati giudiziari;”.
Si reputa opportuna l’introduzione della definizione per rendere esplicito il destinatario delle garanzie appropriate previste dal presente schema di decreto.
3.3.3. Si suggerisce di inserire la seguente, nuova definizione:
“Soggetti privati”: i soggetti che effettuato il trattamento dei dati giudiziari autorizzato dal presente regolamento, con l’eccezione dell’articolo 12;”.
Lo schema di decreto ha per oggetto il trattamento effettuato dai soggetti privati, secondo quanto previsto dalla fonte legittimante del potere regolamentare, costituita dall’art. 2-octies, che esclude i trattamenti di dati personali da parte delle autorità a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché il trattamento di dati giudiziari che avviene sotto il controllo dell’autorità. La delimitazione dell’oggetto trova conferma in tutte le relazioni. Non emerge, invece, in alcuni articoli dello schema e questa Sezione ha provveduto a rilevarlo con le riformulazioni proposte.
3.3.4. Si suggerisce di inserire la seguente, nuova definizione:
“Trattamento”: la definizione di cui all’art. 4, n. 2 del Regolamento, secondo il quale si intende per “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”;”.
L’intento è quello di rendere più agile l’immediata comprensione di una parola chiave in tutto lo schema di decreto. Per questa ragione si propone all’Amministrazione di valutare l’opportunità di richiamare la definizione contenuta nel Regolamento e di riportarne il contenuto, nonostante la stessa sarebbe stata comunque direttamente applicabile.
3.3.5. Si suggerisce di inserire la seguente, nuova definizione:
“Trattamento autorizzato”: il trattamento abilitato dalle disposizioni del presente regolamento, che non necessita di richiesta;”.
L’intento è quello di eliminare ogni possibile ambiguità nell’utilizzo di una terminologia la quale, ordinariamente, rimanda ad un procedimento amministrativo che si conclude con un provvedimento di autorizzazione. Invece, secondo la legge fondante, il trattamento è “autorizzato da una legge o…”; secondo le relazioni, con il presente decreto si provvede “ad abilitare il trattamento di specifici dati (quelli giudiziari) prima non consentito (o consentito solo in forma del pregresso regime autorizzatorio)”.
3.4. L’integrazione proposta dal Garante.
Il Garante ha chiesto di implementare le definizioni, mediante il richiamo dell’applicabilità dell’articolo 4 del Regolamento UE e dell'articolo 2-ter, comma 4, del Codice, censurando gli articoli dello schema (5, 6, 7 e 11) nella parte in cui configurano la “diffusione” come una modalità della “comunicazione”, così sovrapponendo i diversi concetti di comunicazione e di diffusione.
L’osservazione non è stata recepita dall’Amministrazione, con argomentazioni condivisibili, alle quali si può aggiungere che la previsione del divieto di “diffusione” risponde all’esigenza di individuare disposizioni attuative che prevedano garanzie appropriate rispetto al trattamento di dati “sensibili”, quali sono quelli giudiziari, con la conseguenza che il rafforzamento mediante la previsione del divieto anche di diffusione, appare appropriata e rispondente alle finalità del potere conferito.
4. Il potere regolamentare conferito dalla legge alla luce del regolamento UE.
4.1. Il perimetro dello scrutinio delle disposizioni legislative alla luce del diritto comunitario è delimitato dall’oggetto del parere sottoposto all’esame di questa Sezione, costituito dallo schema di decreto che prevede disposizioni di attuazione di natura regolamentare. Quindi, è limitato alle disposizioni legislative che hanno conferito il potere regolamentare esercitato; mentre, non è esteso a quella parte (art. 2- octies, comma 5) con la quale il legislatore si è occupato del trattamento dei dati giudiziari che “avviene sotto il controllo dell’autorità”, disponendo l’applicazione delle disposizioni dell’art. 2-sexies del Codice, ed escludendo il ricorso al regolamento di attuazione.
Le previsioni dell’art. 2-octies, come prima sintetizzate (§.7 del Premesso), sono conformi alle disposizioni del Regolamento UE, perché rispettose dei limiti esterni (art. 2, §.2) e rispettose delle condizioni poste per il trattamento dei dati personali, in generale (art. 6), e dei dati giudiziari, in particolare (art. 10).
La disposizione di legge in argomento, da un lato (comma 1) esclude dal potere regolamentare i dati giudiziari trattati esclusivamente sulla base delle previsioni dello specifico d.lgs. n. 51 del 2018, attuativo della direttiva comunitaria, in conformità all’art. 2, §.2 del Regolamento UE. Dall’altro, (commi 1, 2, 3, 4 e 6) attribuisce il potere regolamentare avvalendosi della facoltà di introdurre nel diritto interno disposizioni più specifiche, come previsto nel Regolamento UE (cfr. §.§. 1, 2 e 3). Il tutto, nel rispetto della fonte base del trattamento dei dati giudiziari costituita dalla legge, o da un regolamento autorizzato dalla legge, secondo la regola generale dell’ordinamento nazionale, consentita dalla previsione eurounitaria (art. 10) per prevedere “garanzie appropriate per i diritti e le libertà degli interessati”.
4.1.1. In definitiva, ai sensi del combinato disposto delle norme eurounitarie costituite dagli artt. 6 e 10, il legislatore nazionale ha la possibilità di prevedere norme specifiche del trattamento dei dati giudiziari, finalizzate a garanzie appropriate per i diritti e le libertà dell’interessato, rispetto ad ogni ambito, materia, settore presente nell’ordinamento nazionale che contenga obblighi, compiti, finalità collegati all’utilizzo di tali dati, purché lecito per l’esistenza di almeno una delle condizioni di cui all’art. 6 §.1.
4.2. L’inserimento nel contesto del diritto europeo dell’art. 2-octies, quale disposizione legislativa portante attributiva del potere regolamentare, consente di pervenire ad una interpretazione sistematica dei vari commi, superando la non proprio limpida formulazione legislativa, e di coglierne le statuizioni portanti.
Così, può dirsi che l’art. 2-octies:
a) individua, nel rispetto dell’art. 10, l’obiettivo che le disposizioni regolamentari nazionali attuative del Regolamento UE devono perseguire, costituito dalla previsione di garanzie appropriate per i diritti e le libertà degli interessati, a condizione che tali garanzie siano mancanti nell’ordinamento interno (cfr. comma 1 e richiamo specifico contenuto nell’incipit del comma 2); condizione che, secondo l’avviso della Sezione, può essere interpretativamente estesa alla presenza di garanzie insufficienti, che è connaturale alla natura delle norme nazionali secondarie emanande, attuative di un regolamento europeo di per sé direttamente applicabile;
b) attribuisce, nel rispetto degli artt. 10 e 6, §.2 e §.3, un potere attuativo generale al Ministero della giustizia rispetto all’individuazione degli ambiti della normativa nazionale, legislativa e regolamentare, nei quali viene in rilievo il trattamento dei dati giudiziari;
c) delimita il perimetro esterno di tale potere regolamentare nel rispetto del perimetro del Regolamento UE sovraordinato (art. 2 §.2, lett. d), escludendo il trattamento delle autorità a fini di prevenzione…ecc. e nel rispetto dell’art. 10 dello stesso Regolamento, escludendo gli ambiti di trattamento che avvengono sotto il controllo dell’autorità pubblica, per i quali rinvia alle disposizioni previste dall’art. 2-sexies del Codice;
d) pone al Ministero un limite interno a tale potere generale di scelta, costituito dalla assenza o dalla insufficienza nell’ordinamento interno delle garanzie appropriate a tutela degli interessati (cfr. il combinato disposto del comma 1 e del comma 2), nel rispetto dell’art. 10.
Poi, secondo le coordinate suddette e in applicazione delle stesse:
a) elenca “in particolare” alcuni ambiti di intervento per il Ministero, ribadendo il limite costituito dalla assenza o dalla insufficienza nell’ordinamento interno delle garanzie appropriate a tutela degli interessati (cfr. il comma 4 ed il collegamento ivi contenuto con i commi 2 e 3), probabilmente sul ragionevole presupposto che in tali ambiti vi fosse almeno insufficienza di garanzie appropriate nell’ordinamento nazionale;
b) disciplina nel dettaglio il trattamento effettuato in attuazione di protocolli di intesa stipulati dal Ministero dell’interno o dalle prefetture, ribadendo la finalità di prevedere garanzie appropriate; tanto, sul ragionevole presupposto della non esistenza nell’ordinamento di norme legislative o regolamentari concernenti questo trattamento.
4.2.1. Dall’interpretazione della disposizione suddetta si ricava, inoltre, che il trattamento dei dati giudiziari, come risulta anche dalle relazioni dell’Amministrazione, concerne i privati e mai l’autorità pubblica, sia pure con l’eccezione del trattamento dei dati statistici. D’altra parte, se questa deduzione non fosse corretta, l’inserimento nell’elenco di cui al comma 3 di alcuni ambiti (lett. e) ed f)), formulati in termini così generali ed astratti da poter essere messi in diretta relazione anche con il trattamento da parte della autorità pubblica, violerebbe i perimetri dell’oggetto che lo stesso legislatore del 2018 si è posto.
4.3. Occorre ora affrontare il tema di come si coniuga la disciplina del trattamento dei dati giudiziari nel sistema statistico nazionale, prevista dall’art. 6-bis, comma 1-bis, del d.lgs. n. 322 del 1989, con l’art. 2-octies, del quale si limita a prevedere l’applicabilità. Per vero l’Amministrazione, che pure si sofferma sulla legislazione di settore, non assume una posizione esplicita sul carattere speciale della disciplina; piuttosto, esalta l’omogeneità della materia e la ravvisata necessità, da parte del legislatore, di garanzie rafforzate per il trattamento dei dati giudiziari nell’ambito statistico.
Non appare dubitabile l’attribuzione al Ministero della giustizia del potere di adottare disposizioni di attuazione in tale ambito, secondo la struttura del potere regolamentare risultante dall’art. 2-octies. Né alcun dubbio appare prospettabile rispetto alla applicabilità, anche per l’ambito di trattamento in oggetto, del limite interno posto al potere regolamentare, costituito dalla insufficienza, quantomeno, di garanzie appropriate. Queste, come nell’elenco di cui all’ art. 2-octies, comma 3, sono state valutate preventivamente dallo stesso legislatore con l’art. 6-bis, comma 1-bis.
Tuttavia, per via del rinvio contenuto nel comma 5 alle disposizioni previste dall’art. 2-sexies del Codice, così escludendo il potere regolamentare rispetto agli ambiti di trattamento che avvengono sotto il controllo dell’autorità pubblica, è opportuno soffermarsi su tale profilo.
Va premesso che, per i confini di indagine che derivano dalla natura regolamentare dello schema di decreto sottoposto all’attenzione della Sezione, non è questa la sede in cui sia scrutinabile la compatibilità comunitaria del rinvio dell’art. 2-octies, comma 5 all’art. 2-sexies del Codice.
Ai fini di interesse, può dirsi certo che quel rinvio escludente il potere regolamentare ricomprende anche il trattamento dei dati giudiziari a fini statistici. In tale senso è determinante l’art. 2-sexies, comma 2, let. cc) del Codice, il quale ricomprende tutti i trattamenti effettuati a fini statistici da parte dei soggetti che fanno parte del sistema statistico nazionale tra quelli effettuati da soggetti con compiti di interesse pubblico o con compiti connessi all’esercizio di pubblici poteri e, quindi, tra quelli che svolgono un trattamento necessario per motivi di interesse pubblico rilevante consentito dalla legge perché svolto nel pubblico interesse (art. 2-ter, comma 1-bis).
Pertanto, tra la disposizione generale posta dall’art. 2-octies, comma 5 del Codice, come novellato nel 2018 per adeguarsi al Regolamento UE (che esclude anche per il trattamento dei dati statistici il potere regolamentare) e la disposizione speciale del comma 1-bis dell’art.6-bis, sopravvenuta nel 2019 (concernente il solo trattamento di dati giudiziari da parte del sistema statistico nazionale, che invece prevede l’esercizio del potere regolamentare conferito dall’art. 2-octies) sussiste una parziale incompatibilità. La stessa, secondo il parere della Sezione, va risolta a favore della disposizione normativa sopravvenuta anche sulla base del principio di specialità.
Tale conclusione trova conferma nell’art. 108 del Codice, secondo cui il trattamento di tutti i dati da parte dei soggetti che fanno parte del sistema statistico nazionale resta disciplinato dalla legge di settore costituita dal d.lgs. n. 322 del 1989, oltre che dagli articoli del Codice, pure modificati nel 2018, ad esso direttamente applicabili (artt. 99, 104, 106, 106 e 107).
4.3.1. In definitiva, il legislatore del 2019, nel novellare le norme di settore dopo l’intervento del Regolamento UE, rispetto ai dati giudiziari a fini statistici ha effettuato una scelta diversa da quella generale del d.lgs. del 2018, ma coerente con la salvezza della disciplina speciale del Codice. Da un lato, per tutti i dati personali ha individuato i contenuti del programma statistico nazionale, adottato sentito il Garante, rispetto a tutti i profili rilevanti per il trattamento degli stessi, comprese le misure per tutelare i diritti fondamentali e le libertà degli interessati, qualora non individuati da leggi o regolamenti (art. 6-bis, comma 1-bis, primo e secondo periodo). Dall’altro, per i soli dati giudiziari (comma 1-bis, ultimo periodo), mediante il rinvio al potere conferito al Ministero della giustizia, ha ritenuto necessarie ulteriori disposizioni attuative regolamentari che prevedessero garanzie appropriate per i diritti e le libertà degli interessati, così valutando preventivamente, quantomeno, l’insufficienza delle stesse, come nel caso dell’elenco di cui al comma 3 dell’art. 2-octies.
4.3.2. Né la coesistenza della fonte legislativa, che individua i contenuti del programma statistico nazionale, e di quella regolamentare, mediante la previsione di disposizioni attuative per prevedere “garanzie appropriate per i diritti e le libertà degli interessati”, appare in contrasto con l’art. 10 del regolamento UE, posto che certamente legge e regolamento possono concorrere, trovando il trattamento dei dati regolamentazione nella legge o nel regolamento autorizzato dalla legge, secondo la regola generale dell’ordinamento nazionale.
4.3.3. Infine, quanto argomentato è idoneo anche a supportare la tesi dell’Amministrazione, che non ha recepito l’osservazione del Garante volta ad integrare l’art. 12 in modo da riferirlo anche ai trattamenti svolti ai fini di ricerca storica o scientifica.
4.4. La delimitazione dell’oggetto del potere regolamentare ai soli dati giudiziari e la finalizzazione alla individuazione delle garanzie appropriate a tutela dei titolari degli stessi, qualora non sussistenti o insufficienti nell’ordinamento nazionale, incide necessariamente sull’esercizio del potere attuativo.
Nell’ambito di un approccio corretto al sistema delle fonti, il carattere settoriale dei dati personali oggetto dello schema di decreto richiede il raccordo con la disciplina sovraordinata, sia europea che nazionale, che concerne tutti i dati personali. Infatti, la prima, costituita dal Regolamento UE del 2016, ha portata precettiva diretta; la seconda, costituita dal Codice, è stata profondamente innovata nel 2018 proprio sulla base delle incisive innovazioni introdotte dal diritto europeo. L’ottica di inserimento dello schema di decreto nel sistema di tutela di tutti i dati personali fa assumere rilievo alle norme europee e/o nazionali le quali, nel disciplinare il trattamento di tutti i dati personali, si applicano anche al settore dei dati giudiziari. Ed è proprio l’esistenza di norme sovranazionali a tutela dei dati personali in generale che consente la valutazione anche di queste, oltre che di quelle nazionali cui si riferisce espressamente l’art. 2-octies (cfr. §.4.2.), ai fini della verifica della inesistenza o insufficienza delle garanzie che legittimano l’introduzione di garanzie appropriate nell’ordinamento interno.
Di conseguenza, l’Amministrazione chiamata a predisporre le disposizioni attuative di settore: da un lato, dovrebbe consapevolmente assumere il sistema suddetto come contesto entro cui inserire la disciplina attuativa; dall’altro, dovrebbe valutare la sussistenza o meno dell’opportunità di procedere ad un richiamo delle norme sovraordinate direttamente applicabili anche ai dati giudiziari; infine, dovrebbe valutare se garanzie appropriate a tutela dei dati giudiziari siano già presenti nell’ordinamento sovraordinato oltre che nell’ordinamento interno rispetto, eventualmente, ai singoli ambiti.
Sempre per via del carattere settoriale della disciplina emananda, che concerne le condizioni di liceità del trattamento dei dati giudiziari e ai fini della compitezza del settore regolato, l’Amministrazione potrebbe valutare l’opportunità o meno di un raccordo, anche solo mediante la tecnica del mero rinvio, con le norme del Codice rilevanti nel caso di illiceità del trattamento.
4.4.1. Nelle relazioni è del tutto assente il raccordo con le norme, del Regolamento UE e del Codice, direttamente applicabili e riferite al trattamento e alle connesse garanzie di tutti i dati personali. Il richiamo è presente solo eccezionalmente, e rispetto a qualche articolo, soprattutto in relazione a norme direttamente riferibili all’ambito regolato, delle quali si darà conto nell’esame dei rispettivi articoli. Così come è assente ogni valutazione di adeguatezza o meno delle norme sovranazionali generali rispetto alle garanzie appropriate necessarie per il carattere “sensibile” dei dati giudiziari.
4.4.2. Queste carenze, ad avviso della Sezione, si sono tradotte nella predisposizione di inappropriate disposizioni a carattere generale, riferite a tutti gli ambiti disciplinati dallo schema di decreto, nonché nell’inadeguatezza dello stesso articolo 1, che ne individua l’oggetto. Hanno inciso, inoltre, nelle previsioni attuative concernenti i singoli ambiti, con richiami generici al diritto europeo e alle leggi e regolamenti nazionali.
5. Il potere regolamentare e la necessaria riconducibilità alla legge attributiva.
5.1. Come si è detto (§.4.2. e 4.4.), la legge fondante del potere inserita nel sistema europeo sovraordinato pone un preciso obiettivo, costituito dalla individuazione di garanzie appropriate per i diritti e le libertà dei titolari dei dati giudiziari, a condizione che tali garanzie siano mancanti, o insufficienti, nell’ordinamento europeo e interno rispetto agli ambiti di trattamento che possono essere specifici dell’ordinamento nazionale.
Il potere regolamentare, così finalizzato, è stato declinato attraverso:
- a) il conferimento di un potere attuativo generale al Ministero della giustizia rispetto all’individuazione degli ambiti di trattamento nazionale;
- b) l’elencazione “in particolare” di alcuni ambiti di intervento, sul ragionevole presupposto che in tali ambiti vi fosse almeno insufficienza di garanzie appropriate nell’ordinamento europeo e nazionale;
- c) l’individuazione specifica di ambiti con criteri dettagliati, costituiti dal trattamento effettuato in attuazione di protocolli di intesa, nonché dal trattamento dei dati nel sistema statistico nazionale, sullo stesso ragionevole presupposto della non esistenza o insufficienza nell’ordinamento di norme legislative o regolamentari concernenti questi trattamenti.
5.1.1. Una tale strutturazione del potere richiede chiarezza nelle scelte compiute dall’Amministrazione rispetto alla riconduzione del potere esercitato a quello conferito e avrebbe richiesto, almeno nella relazione se non nello stesso oggetto dello schema, una netta distinzione in tre categorie degli ambiti di trattamento:
- a) quella nella quale rientrano direttamente gli ambiti individuati nell’elenco di cui all’art. 2-octies, comma 3, oltre al trattamento individuato nel comma 6 dello stesso articolo e a quello individuato nel comma 1-bis dell’art. 6-bis del d.lgs. n. 322 del 1989;
- b) quella nella quale rientrano ambiti non previsti espressamente dalla legge, ma riconducibili alla potestà generale integrativa rinvenibile nel comma 2 dello stesso articolo;
- c) quella nella quale rientrano gli ambiti previsti espressamente dal richiamato comma 3 e per i quali non è stata predisposta la disciplina attuativa nello schema di decreto.
Inoltre, avrebbe richiesto un approfondimento sul rapporto tra l’art. 2-octies, comma 5, che rinvia all’art. 2- sexies del Codice, e l’art. 6-bis, comma 1-bis del d.lgs. n. 322 del 1989, che rinvia al potere regolamentare conferito dall’art. 2-octies, rispetto al trattamento dei dati giudiziari a fini statistici (§.4.3.).
5.2. Questa prospettiva, cui si aggiunge la necessità del collegamento con la condizione di liceità di ciascun trattamento ai sensi del Regolamento UE (art. 6, §.1), è funzionale alla verifica di legittimità dell’esercizio del potere regolamentare, anche mediante il controllo da parte di questa Sezione, oltre che alla trasparenza dell’azione amministrativa verso gli operatori del diritto, tanto più quando l’azione amministrativa è esercitata con norme attuative a valenza precettiva.
5.2.1. In generale, le relazioni hanno affermato di aver esercito il potere conferito nella “massima estensione” e in “tutte le materie”, corrispondenti alle aree disciplinate da autorizzazioni generali del Garante, emanate sulla base dell’ordinamento previgente alla riforma del Codice. Questo rinvio si è potuto riempire di contenuti solo nell’AIR, e solo grazie alla precisione del richiamo alla Autorizzazione generale del Garante del 15 dicembre 2016 (d’ora in poi Autorizzazione del Garante del 2016), concernente il trattamento dei dati giudiziari da parte di privati, enti pubblici economici e soggetti pubblici. Comunque, si è potuti pervenire ad un quadro completo della riferibilità dell’ambito regolato alla norma fondante del potere. Così come, nelle relazioni quasi tutti gli ambiti regolati sono stati ricondotti alle condizioni di liceità dell’art. 6 del Regolamento UE.
5.2.2. Nelle relazioni si trovano le riconduzioni alla legge fondante, che è costituita – con l’eccezione dell’art. 12 dello schema – dall’art. 2-octies cit. e alle condizioni di liceità poste dal Regolamento UE (art. 6, §.1), che seguono:
- per l’articolo 5, in riferimento al rapporto di lavoro, la lett. a), del comma 3, dell’art. 2-octies cit. e la lett. b) dell’art. 6 cit.;
- per l’articolo 6, in riferimento alle ragioni di onorabilità, le lett. c), i), h) ed l), del comma 3, dell’art. 2-octies cit. e la lett. c) dell’art. 6 cit.;
- per l’articolo 7, in riferimento alle imprese in ambito assicurativo, la lett. d), dell’art. 2-octies cit. e la lett. f) dell’art. 6 cit.;
- per l’articolo 8, per la tutela dei diritti, le lett. b), e) ed f), dell’art. 2-octies cit. e la lett. f) dell’art. 6 cit.;
- per l’articolo 9, in riferimento al trattamento per finalità di verifica della solidità, solvibilità ed affidabilità, la lett. g), del comma 3, dell’art. 2-octies cit. e le lett. b), f) e c) dell’art. 6 cit.;
- per l’articolo 10, in riferimento all’attività investigativa, la lett. g), del comma 3, dell’art. 2-octies cit., mentre nessun richiamo all’articolo 6 cit. è presente nelle relazioni;
- per l’articolo 11, in riferimento al trattamento effettuato nell’ambito delle professioni intellettuali, è ricondotto implicitamente al potere integrativo ed espressamente alle lett. b) e c) dell’art. 6 cit.;
- per l’articolo 12, in riferimento al trattamento per fini statistici, l’art. 6-bis del d.lgs. n. 322 del 1989 e l’ancoramento all’art. 2-sexies, comma 2, lett. cc) del Codice, quali dati trattati sotto il controllo dell’autorità pubblica, della cui specialità si è detto (§. 4.3.);
- per l’articolo 13, in riferimento al trattamento effettuato in attuazione dei protocolli di intesa, il comma 6 dell’art. 2-octies, mentre nessun riferimento è stato fatto all’articolo 6 del Regolamento.
5.3. Di seguito ci si sofferma solo su alcuni articoli che meritano un approfondimento.
5.3.1. L’articolo 8, anche secondo quanto mette in rilievo la relazione, è rapportabili a tre ambiti connessi, elencati nel comma 3 dell’art. 2-octies: le lett. b), e) ed f). La necessità del privato, che è titolare del trattamento, di entrare nella disponibilità di dati giudiziari di terzi per esercitare un diritto in giudizio li unifica e consente di riconnettere all’oggetto dell’art. 2-octies, che è il trattamento dei dati, una definizione legislativa (la lett. f), la quale, in una prospettiva del tutto diversa, rimanda all’esercizio del diritto di accesso; l’ottica della lett. f), quindi, è quella del risultato dell’esercizio del diritto di accesso che conduce al trattamento dei dati ottenuti.
Con l’articolo 8, l’Amministrazione ha anche esercitato il potere integrativo, estendendo la previsione legislativa, limitata all’esercizio del diritto in sede giudiziaria, anche all’esercizio del diritto in sede amministrativa e ricomprendendo, nel contesto di qualunque procedura di risoluzione alternativa delle controversie, anche la giustizia riparativa, in un’ottica rivolta verso sviluppi futuri dell’istituto. Quest’ultima, infatti, muove i primi passi nell’ordinamento nel giudizio minorile e, nel processo dell’imputato adulto, con la sospensione del processo e la messa alla prova.
Tutto, comunque, rientrante nella condizione di legittimità posta dall’articolo 6, §1. lett. f) del Regolamento UE.
5.3.2. Con riferimento all’articolo 9, le relazioni riconducono il trattamento dei dati giudiziari, strettamente connessi a verifiche di tipo economico, finanziario e patrimoniale, propedeutiche a scelte imprenditoriali o idonee a consentire di adempiere ad obblighi normativi connessi ai rapporti commerciali da instaurare o instaurati, alla lett. g), del comma 3, dell’art. 2-octies cit. In proposito si afferma che le informazioni per conto di terzi, ai sensi dell'articolo 134 del testo unico delle leggi di pubblica sicurezza, richiamate nella suddetta lett. g), costituiscono una locuzione estremamente ampia nella quale rientrano anche le informazioni circa la situazione economica, finanziaria e patrimoniale, finalizzata alla verifica della solidità, solvibilità ed affidabilità di una possibile controparte contrattuale.
Tuttavia, l’Amministrazione non è altrettanto chiara in ordine alla circostanza se la licenza di cui all’art. 134 cit. sia o meno un presupposto necessario dell’attività rilevante in questo trattamento; mentre solo la certezza su questo profilo consentirebbe una lineare riconduzione alla lett. g) (cfr. osservazione §.9. sub art. 9).
Comunque, le investigazioni per conto proprio o di terzi presentano elementi di omogeneità rispetto all’investigatore titolare di licenza di cui all’art. 134 cit. e, quindi, ben poteva l’Amministrazione disciplinare questo ambito nell’esercizio del proprio potere integrativo.
Quanto alla riconduzione alle condizioni di liceità di cui all’art. 6 §.1. del Regolamento UE, chiaramente il trattamento è ricondotto alla lettera b), che ammette il trattamento quando “necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso”, nonché alla lettera f), che ammette il trattamento quando “necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi”, alle quali si può aggiungere anche la lett. c), che ammette il trattamento se necessario per adempiere un obbligo.
5.3.3. L’articolo 11, in riferimento al trattamento effettuato nell’ambito delle professioni intellettuali è sicuramente riconducibile al potere integrativo. La relazione lo riconosce solo implicitamente, facendo riferimento alla preesistenza della autorizzazione generale del Garante n. 7 del 2016. Mette in rilievo, inoltre, che il trattamento è stato previsto per una categoria più ampia, rispetto a quella degli avvocati o, comunque, degli esercenti una professione ordinistica, in considerazione della circostanza che, nell'ambito della species delle libere professioni non ordinistiche (di cui alla legge 14 gennaio 2013, n. 4, recante Disposizioni in materia di professioni non organizzate), sono incluse alcune professioni ordinariamente chiamate a trattare dati giudiziari, come il criminologo, il mediatore familiare, il consulente coniugale e familiare.
Quanto alla condizione di liceità del trattamento, ai sensi dell’articolo 6, §.1 cit., è stata individuata nella lettera b), che ammette il trattamento quando "necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione dì misure precontrattuali adottate su richiesta dello stesso", nonché nella lettera c), che legittima il trattamento quando "necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento".
5.3.4. Il trattamento di cui all’articolo 13, effettuato in attuazione dei protocolli di intesa, è direttamente riconducibile al comma 6 dell’art. 2-octies.
Quanto alla condizione di liceità, in assenza di ogni precisazione da parte dell’Amministrazione, si ritiene che la stessa sia individuabile nella lett. a) dell’art. 6 cit., trattandosi di ipotesi in cui il titolare dei dati giudiziari o ha espresso il proprio consenso sottoscrivendo il protocollo o è stato informato, con adeguati mezzi di pubblicità, secondo la previsione di una garanzia specifica (art. 13, comma 1, lett. e).
5.4. L’articolo 2-octies, comma 3 lett. m) cit., rientra tra gli ambiti rimessi alla regolamentazione con decreto del Ministero della giustizia, e prevede “l'adempimento degli obblighi previsti dalle normative vigenti in materia di prevenzione dell'uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo”.
Le relazioni dell’Amministrazione, che pure hanno precisato di aver esercito il potere conferito in “tutte le materie” e nella “massima estensione”, tacciono completamente sul punto. E’ assente, quindi, ogni argomentazioni sulle ragioni per le quali si è addivenuti alla conclusione di non predisporre disposizioni attuative che prevedessero garanzie appropriate, per i diritti e le libertà dei titolari dei dati giudiziari, nell’ambito suddetto. Tale omissione è particolarmente grave in ragione della circostanza che il legislatore, elencando alcuni ambiti nel contesto del generale potere conferito al Ministero della giustizia, ha ragionevolmente effettuato in via preventiva una valutazione, quantomeno, della insufficienza delle stesse nell’ordinamento interno, sia a livello primario che secondario.
5.4.1. Pertanto, questo Consiglio di Stato ritiene che l’Amministrazione debba quantomeno integrare la motivazione, dando conto delle scelte effettuate. Qualora l’ambito in argomento non sia stato regolamentato per via dell’esistenza di norme che già disciplinano il trattamento di tali dati in modo esaustivo, anche rispetto alle garanzie appropriate per gli interessati, l’Amministrazione dovrà richiamare espressamente tale disciplina nella relazione. Inoltre, in ragione dell’auspicato inserimento della disciplina settoriale dei dati giudiziari trattati dai privati all’interno del sistema di tutela di tutti i dati personali, l’Amministrazione valuterà l’opportunità di richiamare tale disciplina nello schema di decreto, oppure quella specifica direttamente riferibile a tale ambito. Ancora, valuterà l’opportunità di far emergere il mancato esercizio del potere anche nello schema di decreto (§. 9, sub art. 1).
Invece, per l’ipotesi che l’Amministrazione pervenga alla conclusione della necessità della disciplina specifica, ora omessa, si provvederà con un articolo autonomo, salvo che il rilievo dei dati giudiziari riguardi solo i profili di onorabilità, provvedendo in tal caso ad una integrazione dell’articolo 6 dello schema.
6. Le garanzie appropriate per ogni ambito di trattamento e la necessaria individuazione della assenza o insufficienza delle stesse nell’ordinamento.
6.1. La finalità della disciplina attuativa posta dalla norma fondante il potere, che è quella di individuare le garanzie appropriate per ciascun ambito di trattamento rilevante nell’ordinamento nazionale, e quindi di verificare a tal fine l’assenza o l’insufficienza delle stesse nell’ordinamento sovranazionale e nazionale, primario e secondario, impone all’Amministrazione una ricognizione, affinché possa emergere il rispetto o meno della stessa finalità. In riferimento a ciascun ambito possono assumere rilievo:
- norme sovranazionali direttamente applicabili, in primo luogo il Regolamento UE, e norme nazionali, in primo luogo il Codice, che individuino condizioni del trattamento;
- norme, sempre sovranazionali o nazionali, che prevedono obblighi, compiti e finalità. Queste ultime, individuando a monte obblighi, compiti e finalità, delimitano il confine stesso dell’ambito perché da esse dipende la necessità dell’utilizzo dei dati giudiziari e, quindi, del trattamento degli stessi e della adeguatezza delle regole poste a garanzia dei titolari dei dati giudiziari. L’esistenza di questo sostrato di norme emerge dalle espressioni letterali utilizzate dallo stesso legislatore nell’elenco del comma 3 (“nei limiti di quanto previsto dalle leggi o dai regolamenti in materia”; “nei casi previsti da leggi o da regolamenti”; “in adempimento di quanto previsto dalle vigenti normative” ecc.), dove è chiaro che il riferimento non è alle norme condizionanti il trattamento.
In definitiva, ai fini dell’individuazione delle garanzie appropriate per il trattamento di dati giudiziari in ambiti di disciplina specifici e, quindi del controllo da parte di questa Sezione della conformità dell’esercizio del potere regolamentare rispetto alla disposizione fondante dello stesso, entrano in gioco due tipologie di norme.
6.1.1. Nel primo gruppo rientrano quelle norme sovraordinate, che potremmo definire “condizionanti il trattamento”, che abbiano già regolato il trattamento di ambiti particolari di cui si occupa lo schema di decreto. Naturalmente, diverse da quelle del Regolamento UE direttamente riferibili a tutti i dati giudiziari (art. 10 e art. 6 §.1), delle quali lo schema di decreto, per il tramite del potere conferito dalla legge, costituisce diretta attuazione. La conseguenza, nella disciplina attuativa di ogni ambito, è la necessità del richiamo diretto di quelle, eurounitarie o sovraordinate nazionali, che, eventualmente, si applicano allo specifico ambito di regolazione del trattamento.
6.1.2. Il secondo gruppo è costituito da quelle norme sovraordinate, che potremmo definire “presupposte al trattamento”, le quali individuano obblighi, compiti e finalità in capo a soggetti privati, così “occasionando” il trattamento dei dati personali giudiziari e, nel contempo, conferiscono sostanza alla verifica della finalizzazione necessaria del trattamento ai suddetti obblighi, compiti e finalità. Consentono, inoltre, di individuare le garanzie appropriate a tutela dei dati personali e, a questa Sezione, di valutare l’inserimento delle stesse nella cornice delle norme presupposte al trattamento. Un esempio significato è costituito da quelle norme che, attribuendo rilevanza a diversi fini ai requisiti e ai presupposti interdittivi di onorabilità, occasionano il trattamento dei dati giudiziari attinenti alla onorabilità in ambiti diversi. Si tratta di un profilo trasversale presente in tutte le materie in cui la normativa richieda requisiti di onorabilità a diversa valenza e per fini specifici e, per tale motivo, viene in rilievo anche rispetto a più ambiti regolamentati dallo schema di decreto. Tanto accade: con il trattamento nell’ambito del rapporto di lavoro (art. 5), rispetto ai dipendenti delle società nel settore del rating; con il trattamento dei dati da parte delle imprese assicurative (art. 7), rispetto a soci, titolari di cariche direttive o elettive; con il trattamento svolto a tutela dei diritti (art. 8), rispetto a soggetti che fanno parte di organismi di mediazione finalizzata alla conciliazione delle controversie civili e commerciali.
Poiché questa tipologia di norme delimita i confini stessi dell’ambito, la conseguenza è che esse, innanzitutto, dovrebbero emergere chiaramente dalla relazione dell’Amministrazione e potrebbero emergere anche nella disposizione attuativa per rendere subito chiaro il perimetro di applicazione.
6.2. Questa prospettiva di indagine è assente nelle relazioni, soprattutto rispetto a norme europee condizionanti che sono, invece, genericamente evocate. Quanto alle “norme presupposte al trattamento”, pure quando il profilo è stato affrontato, si è tradotto in un richiamo generico e indiretto attraverso la riconduzione dell’ambito regolato ad una delle condizioni di liceità del trattamento poste dal Regolamento UE (art. 6, §1, lett. b) e c) e, quindi, alla necessità del trattamento per l’esecuzione di un contratto o per adempiere ad un obbligo legale. Infatti, alcune individuazioni di norme “presupposte al trattamento” si rinvengono in modo del tutto indiretto nella sola relazione (AIR), attraverso il sintetico richiamo della Autorizzazione del Garante del 2016, ai fini della riconducibilità delle diverse tipologie di trattamento regolate all’elenco dell’art. 2-octies, comma 3.
6.3. La mancanza di approfondimento ha condotto, spesso, ad una mancanza di chiarezza delle disposizioni attuative, incidente anche sull’efficacia del controllo di legittimità. Infatti, in diversi articoli dello schema di decreto, nel primo comma, non è immediatamente percepibile se il richiamo generico alle fonti, quali il diritto dell'Unione europea, la legge o, nei casi previsti dalla legge, il regolamento, sia o meno riferibile alle condizioni del trattamento o alle norme presupposte al trattamento.
7. Gli articoli contenenti disposizioni generali.
L’articolo 1 (Oggetto), così dispone:
“1. Il presente regolamento individua, in attuazione dell'articolo 2-octies, comma 2, del decreto legislativo 30 giugno 2003, n. 196, recante "Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE ", i trattamenti di dati personali relativi a condanne penali e reati che non avvengono sotto il controllo dell'autorità pubblica e che non sono già autorizzati da una norma di legge o, nei casi previsti dalla legge, di regolamento.
2. Il presente regolamento disciplina, altresì, le garanzie appropriate per i diritti e le libertà degli interessati da assicurare rispetto ai trattamenti di cui al comma 1, nei casi di cui ai commi 4 e 6 dell'articolo 2-octies del decreto legislativo 30 giugno 2003, n. 196.”
1. La Sezione rileva:
- il mancato utilizzo delle definizioni;
- la superflua ripetizione del titolo del Codice, peraltro contenuto nelle definizioni;
- l’incompleto richiamo della fonte attributiva del potere regolamentare, non essendo richiamati, nè l’art. 6-bis, comma 1-bis, del d.lgs. 6 settembre 1989, n. 322, né alcuni commi rilevanti dell’art. 2-octies cit.
Inoltre, il separato richiamo dei commi dell’art. 2-octies, per l’individuazione dei trattamenti (comma 2) e per la disciplina delle garanzie appropriate (commi 4 e 6), introduce elementi di incertezza in ordine alla corretta individuazione della fonte del potere regolamentare.
Infine, nell’individuare in modo indiretto quanto resta escluso dall’intervento normativo, introduce un elemento di ambiguità, rendendo possibile desumere che vi siano nell’ordinamento nazionale altri ambiti di trattamento di dati giudiziari già autorizzati dalla legge o, sulla base della legge, da regolamenti.
In definitiva, il perimetro dell’intervento normativo secondario non risulta chiaramente individuabile.
1.1. Si propone, anche utilizzando le definizioni di cui si è auspicata l’introduzione nell’art. 2 e mettendo in evidenza la predisposizione di garanzie comuni e di garanzie specifiche, la riformulazione che segue:
“1. Il presente regolamento individua, in attuazione dell'articolo 2-octies, commi 1, 2, 3, 4 e 6 del Codice e dell’articolo 6-bis, comma 1-bis, del decreto legislativo 6 settembre 1989, n. 322, gli ambiti di trattamento dei dati giudiziari effettuato dai soggetti privati e disciplina le garanzie appropriate per i diritti e le libertà degli interessati, prevedendo quelle comuni e quelle specifiche per ciascuno ambito.
2.Resta escluso il trattamento dei dati giudiziari che avviene sotto il controllo dell’autorità pubblica, ai sensi dell’articolo 2-octies, comma 5, del Codice.”.
2. Si rimette all’Amministrazione la valutazione:
- a) in ordine al richiamo anche degli artt. 6 e 10 del regolamento UE, da effettuarsi sicuramente nel preambolo;
- b) in ordine alla possibilità di far emergere anche nell’oggetto dello schema di decreto, oltre che nelle relazioni, la riferibilità dell’intervento attuativo all’espressa previsione legislativa (l’elenco del comma 3, il comma 6, dell’art. 2-octies cit. e l’art. 6-bis, comma 1-bis, cit.) oppure al generale potere integrativo risultante dai commi 2 e 4 dello stesso art. 2-octies cit., nonché il mancato esercizio del potere regolamentare rispetto alla lett. m), in esito alle valutazioni richieste da questo parere (§.5.4.).
L’articolo 3 (Base giuridica), così dispone:
“1. La base giuridica del trattamento dei dati giudiziari è costituita dall'articolo 10 del Regolamento, dall'articolo 2-octies del Codice, dalle norme di legge o, nei casi previsti dalla legge, di regolamento che lo autorizzano, nonché dalle ulteriori disposizioni del presente decreto.”
1. Questa disposizione, che riecheggia le norme unionali nell’individuare la “base giuridica”, nella prima parte richiama gli articoli fondanti il potere regolamentare esercitato, costituiti dall’articolo 10 del Regolamento UE e dall’art. 2-octies cit., peraltro in modo incompleto. Non è richiamato, infatti, né l’articolo 6 del Regolamento UE, né l’art. 6-bis, comma 1-bis, del d.lgs. 6 settembre 1989, n. 322, concernente i dati statistici. E’ evidente che questi richiami troverebbero più consona collocazione, oltre che nel preambolo, nell’articolo che individua l’oggetto del regolamento.
1.1. Con la seconda parte, si introducono nella “base giuridica” le norme di legge e quelle regolamentari, che trovano fondamento nella legge, nonché le disposizioni attuative del regolamento emanando.
Si tratta di una disposizione generica e, soprattutto, ambigua perché allude ad altre fonti dell’ordinamento interno, primarie e secondarie, le quali, insieme a quelle contenute nello schema di decreto, disciplinerebbero le condizioni per l’autorizzazione dei trattamenti di dati giudiziari nei diversi ambiti dello stesso schema.
1.2. In assenza di ogni esplicazione nelle relazioni, ritiene la Sezione che la disposizione in argomento vada soppressa.
L’articolo 4 (Garanzie comuni a tutti i trattamenti), comma 1, così dispone:
“Il trattamento deve avvenire nel rispetto delle disposizioni del Regolamento, del Codice, del diritto dell'Unione europea, della legge o, nei casi previsti dalla legge da regolamento, che lo autorizzano. Le ulteriori garanzie previste dal presente regolamento si applicano nei casi in cui le singole disposizioni del diritto dell'Unione europea o della legge non prevedono garanzie appropriate.”.
1. Il primo periodo, sul quale le relazioni non si soffermano, individua le fonti che contengono le condizioni in presenza delle quali un trattamento di dati giudiziari è autorizzato ed è lecito, ricalcando la tecnica delle norme europee.
In proposito si osserva che il generico richiamo per le condizioni del trattamento al diritto dell'Unione europea, della legge e del regolamento, se consentito dalla legge, è restato privo di riscontri all’esito dell’esame dell’intero schema e delle relazioni. Non è stata rinvenuta, infatti, alcuna indicazione di norme europee e nazionali e di disposizioni regolamentari che prescrivono condizioni per il trattamento dei dati personali, diverse e aggiuntive rispetto al Regolamento UE del 2016 e al Codice, i quali sono richiamati direttamente nella disposizione in argomento.
Qualora, poi, l’Amministrazione avesse inteso riferirsi a leggi e regolamenti che il trattamento dei dati presuppone, secondo quanto si è detto (§.6.1.2.), deve aggiungersi che le stesse non possono essere richiamate quali norme che condizionano il trattamento lecito ed autorizzabile, trovandosi a monte dello stesso, nell’individuazione di obblighi, compiti e finalità che occasionano il trattamento. Pertanto, dal primo periodo del comma 1, va espunto il generico riferimento suddetto.
2. Il secondo periodo del comma 1, sul presupposto che il trattamento dei dati giudiziari debba avvenire nel rispetto delle condizioni esistenti poste dalle norme europee e nazionali, senza che sia chiaro se le stesse siano quelle applicabili a tutti i dati personali o solo a quelli giudiziari, si occupa solo delle disposizioni contenute nello schema di decreto, le quali prevedono ulteriori garanzie, e ne subordina l’applicabilità alla condizione che garanzie appropriate a tutela del titolare dei dati giudiziari non siano previste dal diritto europeo o nazionale.
2.1. Rispetto al secondo periodo, la relazione al Ministro afferma: “È, inoltre, specificato che le ulteriori garanzie previste dal presente regolamento si applicano nei casi in cui le singole disposizioni del diritto dell'Unione o della legge non prevedano garanzie appropriate. Tale previsione risponde all'esigenza di non sovvertire la gerarchia delle fonti e, allo stesso tempo, in ossequio alla delega del legislatore europeo e nazionale, assicura la verifica circa l'appropriatezza delle garanzie che devono conformare il trattamento.”
In definitiva, sembra che per “non sovvertire la gerarchia delle fonti” sia rimesso all’interprete e, quindi all’Autorità di controllo, al giudice, alla parte privata che tratta i dati giudiziari, decidere se le disposizioni dello schema di decreto si applicano perché contengono quelle garanzie appropriate che sono mancanti nelle fonti sovraordinate esistenti, così consentendo la “verifica circa l'appropriatezza delle garanzie”.
2.2. Salvo ipotizzare che la disposizione in argomento sia il frutto di “una svista”, si è in presenza di una disposizione che attribuisce all’interprete l’obiettivo che l’art. 2-octies, interpretato alla luce delle norme europee, ha attributo all’Amministrazione nell’esercizio del potere regolamentare, e cioè l’individuazione di garanzie appropriate rispetto agli ambiti di trattamento, previa verifica della assenza o, quantomeno, della insufficienza nell’ordinamento sovranazionale e interno.
2.2.1. Pertanto, va espunto il secondo periodo del comma 1.
3. L’obiettivo dell’Amministrazione di affermare nelle disposizioni comuni l’applicabilità delle garanzie previste nel decreto emanando può essere recuperato nella riformulazione del primo periodo, epurato dai richiami generici di cui si è detto.
A tal fine, si ritiene che sia preferibile richiamare non solo le “garanzie appropriate”, ma tutte le “disposizioni del presente decreto”. Così ricomprendendo il primo periodo del comma 1 dell’articolo 4, che richiami genericamente le norme europee del Regolamento e del Codice direttamente applicabili concernenti tuti i dati personali, e l’alinea del comma 1 (o il comma 1) di ciascun articolo, che disciplina il singolo trattamento, dove è posta la garanzia centrale della necessità o indispensabilità (§. 3 Definizioni).
3.1. Il primo periodo potrebbe essere così riformulato:
“1. Il trattamento dei dati giudiziari è autorizzato alle condizioni previste dalle disposizioni del Regolamento e del Codice, oltre che dalle disposizioni del presente decreto.”
4. L’Amministrazione potrebbe, poi, valutare l’opportunità di richiamare gli articoli del Regolamento UE e del Codice, direttamente applicabili e riferibili a tutti gli ambiti regolati dallo schema di decreto, introducendo due commi del seguente tenore:
“2. Sono condizioni previste dal Regolamento quelle risultanti dagli articoli...”.
“3. Sono condizioni previste dal Codice quelle risultanti dagli articoli…”.
4.1. A proposito di norme del Regolamento UE direttamente applicabili, la stessa l’Amministrazione ha mostrato attenzione su tale profilo nel non recepire un’osservazione del Garante, inerente l’art. 5 dello schema, affermando la diretta applicabilità dell’articolo 35 del Regolamento, che disciplina la “valutazione d’impatto sulla protezione dei dati”.
D’altra parte, non pare dubbio che siano direttamente applicabili, a titolo di esempio, molti articoli del Capo IV, relativi al titolare e al responsabile del trattamento. Peraltro, la stessa Amministrazione, nel non accogliere un’osservazione del Garante a proposito della mancata regolazione del trattamento in capo ad eventuali collaboratori, ha argomentato nel senso della diretta applicabilità degli articoli 26 e 29 del Regolamento.
4.2. A proposito di norme del Codice direttamente applicabili, rileva lo stesso articolo 2-quater, richiamato dal comma 7, dell’art. 4 dello schema, nonché, a titolo di esempio, rilevano gli articoli del Capo III del Titolo I, contenenti disposizioni in materia di diritti dell’interessato.
L’articolo 4, commi da 2 a 5.
1. Queste disposizioni adattano i principi previsti dall’articolo 5, lett. b), c), d) ed e) del Regolamento UE.
Ritiene la Sezione che sarebbe opportuno completare l’adattamento integrando la formulazione con il richiamo alle condizioni di sicurezza, previste dalla lett. f) dello stesso articolo 5.
Il comma 3 dello schema recepisce sostanzialmente l’osservazione del Garante, integrando il criterio della necessità con quello non sovrapponibile della pertinenza.
2. Pertanto, si propone una riformulazione semplificatrice dei commi da 2 a 5 dello schema, contenente anche l’integrazione suddetta:
“x. Il trattamento è effettuato con operazioni e mediante forme di organizzazione dei dati necessarie e proporzionate in rapporto agli obblighi, ai compiti o alle finalità per i quali è autorizzato e tali da garantirne una adeguata sicurezza.
xx. Sono trattati i soli dati giudiziari necessari per realizzare le finalità previste e strettamente pertinenti alle stesse, qualora non possono essere soddisfatte, caso per caso, mediante dati anonimizzati o dati personali di natura diversa.
xxx. Fatta salva l'eventuale conservazione, a norma di legge, dell'atto o del documento che contiene i dati, è disposta l'immediata cancellazione dei dati una volta conseguita la finalità per la quale il trattamento è autorizzato. A tal fine, sono periodicamente verificate la necessità, la pertinenza, l’adeguatezza, l’esattezza e l’aggiornamento dei dati, anche acquisendo i documenti da parte dell’interessato, rispetto alle finalità perseguite nei singoli casi, valutando specificamente il rapporto tra i dati e i singoli obblighi, compiti e prestazioni.”
2.1. In questa sede l’Amministrazione valuterà se opportuno l’inserimento del periodo “anche acquisendo i documenti da parte dell’interessato”, in relazione all’osservazione relativa all’articolo 6, lett. d), cui si rinvia (§. 9).
L’articolo 4, comma 6.
Si prevede una disposizione di carattere attuativo per tutti i trattamenti dei dati giudiziari, con ampie argomentazioni nella relazione, stante la presenza dell’art. 36 nel Codice penale.
Il suddetto comma potrebbe essere così semplificato:
“x. Sono sempre utilizzabili i dati giudiziari ricavabili dalle sentenze pubblicate ai sensi dell'articolo 36 del codice penale.”.
L’articolo 4 e l’articolo 12.
Sulla base della specialità della disciplina del trattamento dei dati giudiziari a fini statistici (§.4.3. e §.9 art. 12), si deve quantomeno dubitare dell’applicabilità anche all’articolo 12 delle garanzie comuni a tutti i trattamenti disciplinati dallo schema di decreto, previste dall’art. 4.
L’articolo 4: una possibile integrazione.
Da ultimo, sempre nell’ottica di inserire le disposizioni attuative previste per i soli dati giudiziari nel sistema di tutela previsto per il trattamento dei dati personali in generale, si rimette all’Amministrazione la valutazione dell’opportunità di richiamare le norme del Codice applicabili in caso di trattamento illecito.
8. I dati giudiziari oggetto del trattamento: profili comuni agli ambiti di trattamento.
8.1. I dati giudiziari raccolti mediante certificazione del casellario giudiziale.
Secondo la previsione, presente in più articoli dello schema (l’incipit della lett. a) del comma 1, degli articoli 5, 6, 8 e 11; l’incipit della lett. a) del comma 2, dell’articolo 7; l’incipit della lett. c) del comma 1, dell’articolo 9), “i dati sono raccolti tramite la certificazione del casellario rilasciata su richiesta dell'interessato”. Tale previsione è assente solo in tre articoli che disciplinano altri ambiti (10, 12 e 13).
La certificazione del casellario, rilasciata a richiesta di parte, costituisce la prima fonte di raccolta dei dati giudiziari. Come ripetutamente affermato nelle relazioni, la necessaria richiesta di parte integra un consenso indiretto all’acquisizione delle informazioni ivi contenute e, in tal modo, rafforza le garanzie a tutela dei titolari degli stessi dati.
8.1.1. Il testo unico del casellario giudiziale (d.P.R. n. 313 del 2002) prevede due certificati a richiesta di parte. Quello (art. 24) contenente i provvedimenti giudiziari definitivi indicati nell’art. 3, con un lungo elenco di esclusioni, tra le quali i provvedimenti con pena sospesa e non menzione, le misure di prevenzione, i provvedimenti del giudice di pace, le condanne entro i due anni. Quello (art. 27) dei carichi pendenti, contenente i provvedimenti da cui risulta la qualità di imputato. Inoltre, (art. 33), prevede che l’interessato può chiedere la visura integrale delle iscrizioni al casellario, che ricomprende i provvedimenti esclusi dalla certificazione a richiesta, ma non ha efficacia certificativa.
8.1.2. Rileva la Sezione che sarebbe opportuno l’espresso richiamo delle due certificazioni a richiesta. Inoltre, posto che la visura prevista dall’art. 33 cit., sempre possibile a richiesta da parte dell’interessato, non ha valore certificativo secondo quanto stabilito nel testo unico, sarebbe necessario anche l’espresso richiamo di tale articolo se l’Amministrazione lo ritenesse utile all’obiettivo, altrimenti sarebbe escluso dalla espressione letterale della disposizione attuativa.
8.2. Gli altri dati giudiziari, diversi da quelli raccolti mediante certificazione del casellario giudiziale.
Negli articoli dello schema di decreto (artt. 5, 6, 7, 8, 9 e 11), dove l’incipit con il quale sono indicati i dati raccolti tramite la certificazione del casellario, è seguito da un variegato elenco di provvedimenti contenenti i dati acquisibili per il trattamento, si rileva un difetto nella struttura della frase, suscettibile di non rendere chiaro il rapporto tra i primi e l’elenco.
8.2.1. L’incipit dà rilievo alla fonte di acquisizione e rende legittimamente acquisiti tutti i dati ivi contenuti forniti dall’interessato, indipendentemente dalla loro rilevanza ai fini dell’ambito di trattamento, perché l’acquisizione si basa sul consenso del titolare dei dati.
L’elenco dei provvedimenti individua invece, per ciascun ambito, i soli provvedimenti legittimamente acquisibili che sono specifici dello stesso. Questi sono dati acquisibili senza il consenso del loro titolare e, se la certificazione non è stata presentata, sono gli unici legittimamente oggetto del trattamento. Quindi, è necessario che risulti chiaramente la distinzione tra i primi, rimessi alla volontà del titolare dei dati, e i secondi, che sono gli unici legittimamente acquisibili e il cui elenco è in funzione delle garanzie del titolare del dato.
8.2.2. A tal fine, anche tenendo conto della possibile integrazione con la visura, si propone la formulazione che segue:
“I dati giudiziari sono costituiti da quelli raccolti tramite i certificati del casellario giudiziale rilasciati su richiesta dell'interessato, ai sensi dell’articolo 24 e 27 del d.P.R. 14 novembre 2002, n. 313, e tramite la visura, ai sensi dell’articolo 33 dello stesso decreto, nonché …”.
8.3. La tipizzazione dei provvedimenti contenenti i dati giudiziari.
Negli stessi articoli, che contengono l’elenco dei provvedimenti contenenti i dati acquisibili, spesso l’utilizzo di tipologie di provvedimenti, quali “sentenze” o “ordinanze”, è suscettibile di ingenerare dubbi interpretativi sulla ricomprensione o meno di altre tipologie di condanna, come per i decreti penali rispetto alle sentenze, come per le misure di prevenzione irrogate con decreto rispetto all’utilizzo del termine ordinanza, nonché come per le misure di sicurezza irrogate con sentenza rispetto all’utilizzo del termine ordinanza. Inoltre, talvolta non risulta chiaro se i provvedimenti assunti rilevanti siano o meno definitivi, anche in considerazione della circostanza che tale profilo rileva pure per i provvedimenti diversi dalle sentenze. Per l’articolo 8, si rinvia alle specifiche osservazioni (§. 9, sub. art. 8).
8.3.1. Appare opportuno, pertanto, utilizzare solo una terminologia onnicomprensiva quale “provvedimento giudiziario”, prestando il massimo di attenzione a far risultare con chiarezza se ad assumere rilievo sia o meno il provvedimento definitivo, qualora si necessario rispetto allo specifico ambito.
8.4. I termini per la cancellazione dei dati giudiziari.
Quanto ai termini massimi di cancellazione dei dati, individuati in due anni dalla cessazione del rapporto (art. 5, comma 1, lett. b), in un anno dalla chiusura del rapporto (art. 6, comma 1, lett. c) e in sei mesi dalla cessazione del rapporto (art. 9, comma 1, lett. d), la Sezione ritiene superabile l’osservazione del Garante.
L’Autorità, pur riconoscendo l’adeguatezza dello stesso in ragione del termine di prescrizione di diritti in riferimento al rapporto di lavoro, ha rilevato in generale, rispetto a tutti gli ambiti in cui l’Amministrazione ha individuato termini massimi, la non idoneità degli stessi, potendo al contempo risultare, in concreto, o eccessivamente rigidi o troppo estesi.
8.4.1. Ritiene la Sezione, in generale, che i termini individuati nei vari articoli dello schema siano calibrati rispetto allo specifico ambito e non siano mai eccessivamente lunghi. Inoltre, la prescrizione dell’art. 4 dello schema, valevole per tutti gli ambiti regolati, la quale, in attuazione dell’art. 5, § 1 lett. e) del Regolamento UE, dispone l’immediata cancellazione una volta conseguita la finalità del trattamento, è idonea a temperare in concreto il termine fisso. Infatti, tale previsione di chiusura trova applicazione sia se il termine fisso risultasse in concreto troppo esteso, sia se risultasse troppo breve perché un eventuale termine troppo breve risulterebbe inapplicabile se la finalità non fosse stata perseguita.
9. La disciplina di ciascun ambito.
L’attenzione è incentrata sull’analisi del comma 1, il più delle volte alinea, dove si definisce l’ambito del trattamento e si individua la condizione essenziale della garanzia a tutela dei titolari di dati giudiziari, costituita dalla necessità o indispensabilità del trattamento, nonché sulla disciplina attuativa che individua i dati giudiziari legittimamente acquisibili, diversi dalle certificazioni del casellario, i quali costituiscono l’oggetto del trattamento in ogni singolo ambito.
Si esamineranno anche le altre garanzie appropriate previste, soprattutto se suscettibili di osservazioni.
L’articolo 5 (Trattamento svolto nell'ambito del rapporto di lavoro)
1. La formulazione del comma 1 dello schema sembra rendere possibile un’interpretazione che considera come alternative:
- da un lato, le condizioni per l’autorizzazione previste da norme eurounitarie, da norme di legge e di regolamento, quest’ultime se autorizzate dalla legge;
- dall’altro, le condizioni costituite dalla necessità di perseguire le finalità individuate dall’art. 88, comma 1 del Regolamento UE. Condizioni alle quali si aggiungono, le garanzie appropriate previste dallo schema di decreto.
1.1. La peculiarità di questo ambito – già presente nella Autorizzazione del Garante del 2016, concernente i soli dati giudiziari – è costituita dall’esistenza nel Regolamento UE di una disposizione (l’art. 88). Questa, nel prevedere le condizioni di liceità in riferimento a tutti i dati personali dei dipendenti nell’ambito del rapporto di lavoro, individua le finalità del trattamento, che si estendono dalla assunzione alla cessazione del rapporto di lavoro, quali risultanti dagli obblighi discendenti dalle leggi, dai regolamenti autorizzati e dai contratti collettivi, e rimette agli Stati membri, attraverso tutti i suddetti strumenti, l’introduzione di norme più specifiche per assicurare la protezione dei diritti e delle libertà dei prestatori di lavoro. La stessa norma europea, che disciplina solo questo ambito specifico, individua le condizioni del trattamento come coincidenti con le finalità dello stesso e, nel contempo, individua la fonte degli obblighi presupposti che rendono necessario il trattamento. Anche secondo quanto risulta dalle relazioni, non sembrano sussistere altre norme speciali del Regolamento UE, direttamente concernenti l’ambito del rapporto di lavoro.
1.2. Quanto ad eventuali norme del Codice direttamente riferibili all’ambito di interesse, può rilevarsi che la previsione delle regole deontologiche promosse dal Garante rivolte ai titolari del trattamento – prevista specificamente dall’art. 111 per l’ambito del rapporto di lavoro, sembra restare assorbita dal richiamo dell’art. 2-quater del Codice, nell’articolo 4 dello schema di decreto. L’assorbimento vale, a maggior ragione se, in adesione alla proposta formulata da questa Sezione, l’Amministrazione perviene alla conclusione di richiamare direttamente l’art. 2-quater del Codice nell’art. 4 dello schema di decreto (cfr. §. 7).
Dubitativamente può porsi l’incidenza degli artt. 111-bis e 113 del Codice, rispetto alle condizioni del trattamento dei dati nel rapporto di lavoro, e si rimette all’Amministrazione la valutazione in ordine ad un diretto richiamo degli stessi.
1.3. Si propone, pertanto, la riformulazione del comma 1 che segue:
“1. Il trattamento dei dati giudiziari nell’ambito di un rapporto di lavoro, effettuato dai soggetti privati in collegamento ad adempimenti stabiliti dalla legge o dal regolamento previsto dalla legge o dai contratti collettivi, è autorizzato quando è necessario per le finalità di cui all'articolo 88, comma 1 del Regolamento, nel rispetto delle garanzie appropriate, a tutela degli interessati, che seguono:”
2. L’art. 5, comma 1, lett. a) così dispone:
“i dati sono raccolti tramite certificazione del casellario rilasciata su richiesta dell'interessato, ordinanze che applicano misure cautelari, misure di sicurezza o di prevenzione, sentenze, anche non iscritte nel casellario, rese anche ai sensi degli articoli 444 e 464-septies del codice di procedura penale, decreti penali esecutivi, provvedimenti di esecuzione delle pene e ordinanze emesse ai sensi dell'articolo 464-quater del codice di procedura penale, purché i provvedimenti indicati siano emessi nei cinque anni precedenti;”.
2.1. Oltre i dati acquisibili tramite il casellario con il consenso del loro titolare, si individuano con l’elenco quelli legittimamente acquisibili senza il suo consenso, in modo da garantirlo rispetto alla necessità del trattamento degli stessi in funzione del rapporto di lavoro.
A parte la non limpidezza della esplicita ricomprensione anche delle sentenze non iscritte nel casellario e delle ragioni della esplicita inclusione nell’elenco di quelle di patteggiamento e di messa alla prova, con la sua relativa ordinanza di sospensione del processo penale, deve criticamente rilevarsi l’assenza nella disposizione attuativa di qualunque indicazione che colleghi il provvedimento acquisibile al rapporto di lavoro. Né alcuna esplicazione in ordine alle ragioni della scelta operata dall’Amministrazione si rinviene nelle relazioni.
2.2. Come è pacifico, il trattamento legittimo del datore di lavoro dei dati giudiziari dei lavoratori trova fondamento (art. 6, §.1. lett. b) Regolamento EU), nel suo carattere necessario rispetto ad ogni fase del rapporto di lavoro, da quella preliminare, all’assunzione, alla cessazione. Notoriamente, tali fasi sono variamente disciplinate dalla normativa nazionale e da quella dei contratti collettivi anche rispetto alle diversità delle figure professionali. Pertanto, in capo ai datori di lavoro non possono che essere diversi i diritti, gli obblighi e, in genere, gli adempimenti enucleabili dall’angolo visuale del singolo lavoratore, rispetto al quale assume rilievo il dato giudiziario personale. Poiché queste norme individuano le condizioni presupposte necessarie affinché il trattamento dei dati giudiziari sia lecito, ne consegue che qualunque elenco e, ancor di più se non si è esplicitato il fondamento, non può essere idoneo da solo a delimitare i dati legittimamente trattabili. Anche ad ammettere la possibilità di un elenco, con contestuale esplicitazione del carattere non tassativo, sarebbe comunque necessario collegarlo alla necessità del trattamento in capo al datore di lavoro rispetto al singolo lavoratore cui si riferiscono i dati trattati, quale risultante dalla disciplina nazionale e dei contratti collettivi.
2.3. Stante la oggettiva difficoltà di prevedere una disposizione attuativa che elenchi tipologie di provvedimenti giudiziari, si sottopone all’Amministrazione la proposta di valutare la possibilità di una formulazione generale nella tipologia dei provvedimenti giudiziari contenti i dati, ma vincolata nella finalizzazione ai diritti, agli obblighi e agli adempimenti del datore di lavoro, quale titolare del trattamento, che discendono dalla disciplina applicabile allo specifico rapporto di lavoro.
2.3.1. Si potrebbe ipotizzare, anche sulla base delle definizioni e dei profili trasversali prima esaminati, una riformulazione della seconda parte della lettera a), del tipo di quella che segue:
“nonché dai provvedimenti giudiziari che hanno ad oggetto reati, misure di sicurezza o di prevenzione, a carattere definitivo e non definitivo, e che siano necessari per le finalità individuate nel comma 1, alinea, sulla base di quanto previsto dalle leggi e dai contratti collettivi che disciplinano lo specifico rapporto di lavoro”.
3. Le altre garanzie appropriate, individuate per lo specifico ambito, perseguono tutte l’obiettivo di assicurare maggiori garanzie a tutela degli interessati. Le stesse costituiscono specificazioni e adattamenti al rapporto di lavoro dei principi di garanzia individuati dall’art. 5 del Regolamento UE, come nell’ipotesi del rafforzamento delle garanzie al momento della espressione del consenso. Nell’attuare tali principi rispetto all’ambito in argomento, si coniugano con le previsioni generali, applicabili a tutti i trattamenti, individuate nell’articolo 4 dello schema. Inoltre, con la previsione contenuta nella lett. e) si dà attuazione alla garanzia specifica prevista dall’art. 88, §2 del Regolamento UE.
4. Il comma 2 ha esteso le disposizioni del comma 1 ai soggetti (lett. a), diversi dai datori di lavoro, che a vario titolo effettuano il trattamento nell’ambito del rapporto di lavoro, attingendo dalle previsioni contenute nel Provvedimento del Garante del 5 giugno 2019, contenente prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro, sia per i datori di lavoro pubblici che privati. Inoltre, ha individuato fattispecie di rapporti di lavoro strettamente collegate ai dati giudiziari.
Articolo 6 (Trattamento svolto per ragioni di onorabilità, per la verifica o l'accertamento dei requisiti di onorabilità, requisiti soggettivi e presupposti interdittivi)
1. La formulazione del comma 1 dello schema di decreto non lascia dubbi sulla circostanza che a venire in rilievo sono solo le norme europee e nazionali che individuano i presupposti del trattamento dei dati giudiziari e non anche le norme che individuano le condizioni del trattamento, secondo la distinzione di cui si è detto (§. 6.1.).
1.1. La peculiarità di questo ambito è la trasversalità rispetto a tutte le materie in cui la normativa richiede requisiti di onorabilità a diversa valenza e per fini specifici. Queste materie possono essere innumerevoli e, come si è detto, sono anche trasversali rispetto ad altri ambiti regolati dallo stesso schema di decreto (§.6.1.2.). Inoltre, potrebbero anche sopravvenire alla regolamentazione attuativa dello schema di decreto. Ragionevolmente, per questa ragione l’Amministrazione ha scelto una disposizione attuativa formulata in modo generale, senza richiamare gli ambiti di materie, con l’unica eccezione della partecipazione alle gare di appalto. Tale peculiarità spiega la riconducibilità del potere regolamentare esercitato, non solo alle lettere c) ed i) dell’art. 2-octies, comma 3, relative alla verifica e all’accertamento dei requisiti di onorabilità in generale, nonché all'accertamento del requisito di idoneità morale di coloro che intendono partecipare a gare d'appalto, in adempimento di quanto previsto dalle vigenti normative in materia di appalti, ma anche alle lettere h) ed l), concernenti rispettivamente la materia delle comunicazioni e informazioni antimafia e l’attuazione della disciplina in materia di attribuzione del rating di legalità delle imprese. Tanto emerge inequivocabilmente dalla Autorizzazione del Garante del 2016, alla quale l’AIR rinvia.
1.2. La formulazione a carattere generale della disposizione attuativa, senza il richiamo degli ambiti di materie, è condivisibile, oltre che per le ragioni suddette, anche per assicurare alla stessa quella elasticità necessaria a ricomprendere ulteriori possibili implementazioni dei requisiti di onorabilità nelle materie più varie. Correttamente, pertanto, l’Amministrazione non ha recepito l’osservazione del Garante volta ad integrare l’art. 6, o a prevedere un autonomo articolo, per disciplinare i requisiti di onorabilità per una serie di attività peculiari. Infatti, a tal fine l’Amministrazione ha messo in rilievo la sufficienza e l’idoneità della previsione dello “svolgimento di specifiche attività”.
1.3. Tuttavia, la Sezione ritiene che la scelta della formulazione generale possa subire una deroga per quelle materie, regolate da leggi speciali, che sono individuate nella legge che conferisce il potere regolamentare; quindi, non solo per le gare di appalto (lett. c) del comma 3, dell’art. 2-octies) ma anche per le comunicazioni e informazioni antimafia (lett. h) e per l’attuazione della disciplina in materia di attribuzione del rating di legalità delle imprese (lett. l).
1.4. Inoltre, l’Amministrazione – in esito alla valutazione della osservazione già formulata in altra parte del parere (§.5.4.) – provvederà eventualmente all’inserimento relativo agli obblighi previsti in materia di prevenzione dell'uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo (lett. m) dell’art. 2-octies cit.).
1.5. Infine, quanto alla formulazione del comma 1, l’Amministrazione dovrebbe valutare la pertinenza del richiamo al diritto dell'Unione europea, quale fonte di previsione degli obblighi di verifica dei requisiti soggettivi e dei presupposti interdittivi di onorabilità. In caso di esito positivo, provvederebbe al richiamo diretto nel comma 1 della disposizione unionale direttamente applicabile, altrimenti dovrebbe espungere il richiamo generico al “diritto dell’Unione europea”. Fermo restando che di tale ricognizione dovrebbe darsi atto nella relazione, ponendo comunque in evidenza anche eventuali direttive rilevanti.
1.6. Quanto alla Relazione, sarebbe comunque necessaria una integrazione. Proprio la scelta di una formulazione generale della disposizione attuativa, imporrebbe una esauriente esplicazione delle materie in cui sono rilevanti i requisiti di onorabilità, comprensiva della puntuale indicazione delle disposizioni, eventualmente anche europee, legislative o regolamentari rilevanti; tanto più quando si tratta di legislazioni speciali. Ciò, non solo al fine di offrire un supporto agli operatori che interpretano la disposizione, ma anche per consentire un efficace controllo di legittimità in ordine alla riconducibilità del potere regolamentare esercitato alla fonte legittimante e, soprattutto, in ordine alla appropriatezza delle ulteriori garanzie previste per lo specifico ambito.
1.7. Tenendo conto delle osservazioni suddette ed anche con finalità semplificatrici del comma 1, si propone una formulazione del tipo di quella che segue, salve la verifica e l’integrazione di cui si è detto:
“1. Il trattamento dei dati giudiziari effettuato dai soggetti privati per la verifica necessaria, secondo il diritto dell'Unione europea, delle leggi e dei regolamenti autorizzati dalla legge, dei requisiti soggettivi e dei presupposti interdittivi di onorabilità per la stipula di un contratto, per il conferimento o la revoca di un incarico di qualsiasi genere anche in organismi societari, per lo svolgimento di attività specifiche, per l'attribuzione o la perdita di una funzione, per l'attribuzione o la perdita di un beneficio o vantaggio di qualsiasi tipo, per la partecipazione a gare pubbliche, per adempiere agli obblighi previsti in materia di antimafia e di misure di prevenzione di altre gravi forme di pericolosità sociale e per attuare la disciplina in materia di attribuzione del rating di legalità, è autorizzato nel rispetto delle garanzie appropriate, a tutela degli interessati, che seguono:”.
2. L’art. 6, comma 1, lett. a) così dispone:
“a) i dati sono raccolti tramite la certificazione del casellario giudiziale rilasciata su richiesta dell'interessato, sentenze passate in giudicato, nonché, ove il diritto dell'Unione europea, la legge o il regolamento prevedono dati giudiziari non consolidati in sentenze passate in giudicato, anche tramite ogni provvedimento giudiziario dal quale quei dati possono essere ricavati;”
2.1. Oltre i dati acquisibili tramite il casellario con il consenso del loro titolare, quelli legittimamente acquisibili senza il suo consenso sono individuati con una modalità che si distingue da quella di tutti gli altri elenchi presenti negli altri articoli dello schema.
Secondo la disposizione in esame, i dati giudiziari acquisibili sono legittimati come leciti nella massima estensione possibile: da ogni provvedimento che li contenga, anche non definitivo, ad ogni provvedimento definitivo, esemplificato nella sentenza passata in giudicato. Contemporaneamente, si pone come condizione necessaria che il diritto dell'Unione europea, la legge o il regolamento lo prevedano. In tal modo, i dati acquisibili da ciascun soggetto privato titolare del trattamento sono solo quelli necessari ai fini della verifica dei requisiti soggettivi e dei presupposti interdittivi di onorabilità di un soggetto determinato, che lo stesso titolare del trattamento è obbligato a fare (art. 6 §1, lett. c) Regolamento EU) sulla base delle norme, europee e nazionali, che individuano i presupposti di necessità del trattamento.
2.2. La scelta effettuata trova fondamento nella moltitudine delle materie e nella estrema varietà delle relative discipline che attribuiscono rilievo ai requisiti soggettivi e ai presupposti interdittivi di onorabilità, occasionando il trattamento dei dati giudiziari attinenti alla onorabilità anche in altri ambiti specificamente regolamentati dallo stesso schema di decreto (cfr. §.6.1.1.). D’altra parte, proprio questi requisiti costituiscono il filo comune che unisce, per riconnetterle all’attribuzione del potere regolamentare, materie diverse (lett. c), i), h) ed l) individuate nell’elenco dell’art. 2-octies, comma 3, cit. (§.5.).
2.3. Tuttavia, ritiene la Sezione che l’Amministrazione non è esentata da una ricognizione nella relazione della normativa presupposta, almeno per grandi linee, in modo da dare sinteticamente riscontro della attendibilità della disciplina attuativa e della sua corrispondenza al sistema normativo. Proprio perché, rispetto al singolo titolare di dati giudiziari si rende possibile il trattamento di ogni dato, anche non definitivo, attinente ai reati, alle misure di sicurezza e a quelle di prevenzione.
2.4. Sulla base delle considerazioni che precedono, dei profili trasversali prima esaminati e considerando l’ipotesi che l’Amministrazione concluda positivamente la verifica suddetta (§ 1.5.), si propone una possibile riformulazione:
“nonché dai provvedimenti giudiziari che hanno ad oggetto reati, misure di sicurezza o di prevenzione, a carattere definitivo e non definitivo, e che siano necessari per la verifica dei requisiti soggettivi e dei presupposti interdittivi di onorabilità del titolare dei dati, previsti dal diritto dell’Unione europea, dalle leggi e dai regolamenti autorizzati dalla legge, di cui al comma 1, alinea;”.
3. Le ulteriori garanzie del terzo titolare dei dati giudiziari rafforzano principi generali: vietando la comunicazione dei dati e circoscrivendone le eccezioni (lett. b), nonché prevedendo un termine massimo per la cancellazione degli stessi, salvo che la conservazione sia necessaria a fini giudiziari connessi con le finalità del trattamento (lett. c).
Quanto alla lett. d), si osserva che la previsione appare priva di specificità rispetto all’ambito disciplinato e, comunque non necessaria sulla base dell’ipotesi che dovrebbe essere sempre consentito all’interessato far acquisire documenti che aggiornino quelli già trattati. Se l’Amministrazione dovesse ritenerla necessaria, potrebbe valutare l’opportunità di inserirla come regola generale nell’articolo 4 (nella versione riformulata §.7), aggiungendo dopo “dei dati” l’espressione “, anche acquisendo i documenti da parte dell’interessato,”.
Articolo 7 (Trattamento svolto da parte delle imprese in ambito assicurativo)
1. In questa disposizione il trattamento dei dati giudiziari è autorizzato, come già nella Autorizzazione del Garante del 2016, quando è necessario per l’accertamento delle responsabilità in relazione a sinistri o eventi attinenti alla vita umana, nonché per la prevenzione, l'accertamento e il contrasto di frodi o di situazioni di concreto rischio per il corretto esercizio dell'attività assicurativa, secondo quanto previsto dalle norme che disciplinano la materia, in primo luogo il Codice delle assicurazioni private di cui al d.lgs. 7 settembre 2005 n. 209. Sulla base delle stesse norme, i soggetti privati legittimati al trattamento sono costituiti dalle imprese che svolgono attività assicurativa o attività di gestione di forme pensionistiche complementari, con una definizione ampia, che consente di estendere l'applicazione all'attività contemplata dal Codice delle assicurazioni private e dal d.lgs. 5 dicembre 2005, n.252, recante la disciplina delle forme pensionistiche complementari, nonché a possibili future aree di attività assicurative definite dal legislatore.
1.1. Tale trattamento, la cui legittimità è finalisticamente individuata, trova fondamento nell’art. 6, §.1, del Regolamento UE, nella parte in cui la lettera f) legittima il trattamento allorché "necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore", come risulta esplicitamente dalle relazioni.
1.2. A prescindere dalla necessaria autorizzazione all’esercizio dell’attività di impresa, secondo la relativa disciplina, in questo ambito assumono rilievo le norme che disciplinano le attività rilevanti delle imprese che consentono il trattamento, costituendo contemporaneamente condizioni di legittimità e presupposti che occasionano il trattamento (secondo la distinzione detta (§.6.1.). Nonostante nella disposizione attuativa si richiamino genericamente, quali norme condizionanti finalisticamente il trattamento, il diritto dell’Unione europea, oltre alle leggi e ai regolamenti, nelle relazioni non emergono norme europee che riguardino direttamente l’ambito di interesse e si ripete solo la suddetta formulazione generica aggiungendo che, in mancanza, il decreto emanando “costituisce esso stesso la fonte legittimante”.
1.3. L’Amministrazione, pertanto, dovrebbe approfondire tale profilo e, all’esito della verifica in ordine all’esistenza di norme europee dettate specificamente in tema di assicurazioni e forme pensionistiche complementari che siano direttamente incidenti sulla finalità del trattamento e sui suoi presupposti, richiamarle nella disposizione attuativa.
Nella stessa prospettiva, ma riferita alle norme eurounitarie e nazionali concernenti il trattamento di tutti i dati personali, si chiede all’Amministrazione di valutare se, in considerazione della finalità delle imprese di accertare le responsabilità in ordine a eventi attinenti alla vita umana, quali per esempio le cause della morte nell’ambito dell’assicurazione sulla vita, assumano diretto rilievo nella disciplina dell’ambito di trattamento l’art. 9 del regolamento UE e le collegate norme del Codice.
1.4. Salva la eventuale suddetta integrazione, allo stato sembrano rilevare solamente il Codice delle assicurazioni e la disciplina delle forme pensionistiche complementari.
In quest’ultima prospettiva si chiede all’Amministrazione di valutare se, in considerazione della finalità delle imprese di accertare le responsabilità dei sinistri, assumano diretto rilievo nella disciplina dell’ambito di interesse l’art. 120 del Codice, in collegamento con l’art. 135 del Codice delle assicurazioni private, in tema di banca dati dei sinistri nel settore delle assicurazioni obbligatorie.
1.5. Salve le eventuali integrazioni in esito agli approfondimenti richiesti, lasciando sospeso l’inserimento del richiamo al Codice delle assicurazioni e della legge che disciplina le forme pensionistiche complementari, al fine di consentire la scelta tra un generico rinvio e un preferibile rinvio specifico, si propone la riformulazione del comma 1, alinea, del tipo di quella che segue:
“1. Il trattamento dei dati giudiziari effettuato dalle imprese che svolgono attività assicurativa o attività di gestione di forme pensionistiche complementari è autorizzato quando è necessario ai fini dell’accertamento della responsabilità in relazione a sinistri o eventi attinenti alla vita umana direttamente connessi con l’attività svolta, nonché ai fini della prevenzione, dell'accertamento e del contrasto di frodi in situazioni di concreto rischio per il corretto esercizio della stessa attività, ai sensi…”.
2. L’art. 7, comma 2, lett. a) così dispone:
“i dati sono raccolti tramite la certificazione del casellario rilasciata su richiesta dell’interessato, sentenze di condanna, ordinanze applicative di misure cautelari e di misure di sicurezza, provvedimenti dai quali si evince la qualità di indagato;”.
2.1. Oltre i dati acquisibili tramite il casellario con il consenso del loro titolare, per garantire il titolare nella acquisizione dei suoi dati senza il consenso, si individuano i provvedimenti legittimamente acquisibili mediante un elenco. Questa previsione si coniuga con l’individuazione dei soggetti titolari dei dati giudiziari, i quali sono individuati dallo stesso articolo 7 (comma 2, lett. b): nella persona del contraente del contratto di assicurazione, del terzo in favore del quale il contratto è stato concluso o del terzo al quale deve essere corrisposto il risarcimento, nonché nella persona di altri soggetti comunque coinvolti nel sinistro, all’ulteriore condizione che il trattamento sia indispensabile rispetto alle finalità specifiche dell’ambito di trattamento.
2.2. Sulla base della disposizione della lett. a) in esame, possono dirsi legittimamente acquisibili rispetto ai soggetti titolari dei dati:
- tutte le sentenze di condanna, ivi comprese quelle non definitive, in mancanza di delimitazione a quelle divenute definitive;
- tutte le “ordinanze” che applicano misure cautelari e misure di sicurezza, anche qui ivi comprese quelle non definitive, in mancanza di espressa delimitazione;
- ogni provvedimento da cui risulti la qualità di indagato, quindi anche oltre il caso di indagato cui siano state comminate ordinanze cautelari, sino a comprendere anche la sola iscrizione nel registro delle notizie di reato, posto che tale iscrizione può essere comunicata, a richiesta, anche alla persona offesa del reato (art. 335 c.p.p.).
Può notarsi l’assenza di qualunque provvedimento giudiziario da cui risulti la qualità di imputato (decreto di giudizio immediato, richiesta di rinvio a giudizio, decreto di citazione a giudizio), nonostante con l’elenco assumano rilievo i provvedimenti da cui risulta la preliminare qualità di indagato.
2.3. Nelle relazioni non si rinviene alcuna esplicazione in ordine alle ragioni della scelta della tipologia dei provvedimenti i cui dati giudiziari sono lecitamente acquisibili.
Né si dà conto di eventuali esiti delle interlocuzioni con l’ANIA, pure richiamate genericamente nell’ambito dei contatti informali intervenuti nel corso della redazione dello schema di decreto.
2.4. Come si è detto, la liceità del trattamento trova fondamento eurounitario nella legittimità dell’interesse perseguito dal titolare del trattamento e, quindi, dalle imprese, rispetto alla attività svolta, a condizione che non siano prevalenti diritti e libertà del titolare dei dati (art. 6 §.1, lett. f) Regolamento UE). Affinché sia assicurato questo bilanciamento, rispetto alla necessità (o indispensabilità rispetto a eventuali terzi coinvolti) del trattamento, è necessario non solo che la tipologia dei reati sia finalisticamente collegata all’attività rilevante del titolare del trattamento, quale individuata nel comma 1, ma anche che la tipologia dei provvedimenti contenenti tali dati sia strettamente collegata all’attività dell’impresa e, quindi, al contratto stipulato con il titolare dei dati giudiziari e alla sua regolamentazione, rispetto alla quale, probabilmente, entrano in gioco anche aspetti eterodeterminati dalla legge speciale.
2.5. Tale ricognizione appare essenziale affinché la disposizione attuativa in esame trovi un fondamento legittimante e, nell’ipotesi di assenza di precise previsioni normative, potrebbe anche rinvenirsi nelle prassi contrattuali o in schemi tipo di contratti in uso. Pertanto, l’Amministrazione procederà a rivalutare la disposizione in argomento alla luce delle considerazioni che precedono, svolgendo gli opportuni approfondimenti e esplicitando gli stessi nella relazione, provvedendo, poi, alla eventuale conseguente riformulazione della stessa.
3. In generale, le altre garanzie appropriate elencate nel comma 2 a tutela del titolare dei dati giudiziari, si addicono alla materia dell’ambito regolato e rafforzano principi generali, vietando la comunicazione dei dati e circoscrivendone le eccezioni (lett. d) e prevedendo la cancellazione degli stessi, salvo che sia necessaria la conservazione a fini giudiziari connessi con le finalità del trattamento (lett. c).
3.1. Ci si sofferma sulla garanzia prevista dalla lett. b), oggetto di una osservazione del Garante, che non è stata recepita.
La disposizione, come si è detto sopra (§ 2.1.) individua i soggetti cui devono riferirsi i dati giudiziari e, come messo in evidenza nella relazione, l’individuazione dei soggetti ai quali i dati possono riferirsi tiene conto delle specifiche finalità fissate dalla norma primaria, le quali non potrebbero essere realizzate se non si estendesse il trattamento dei dati anche a soggetti diversi dal contraente e dal beneficiario.
3.1.1. Il Garante, per circoscrivere il trattamento dei dati appartenenti ai soggetti terzi, ha chiesto di aggiungere, in fine, le seguenti parole: "limitatamente ai casi in cui sia strettamente necessario e solo in presenza di puntuali rigorosi indizi di frode, nonché in relazione alla tipologia di sinistro, alle relative dinamiche di svolgimento, alla rilevanza del ruolo rivestito e/o alle peculiari circostanze del caso concreto".
3.1.2. L’Amministrazione ha ritenuto di non “appesantire” la disposizione attuativa con i dettagli richiesti dal Garante, ritendo adeguata la formulazione predisposta.
3.1.3. Ritiene la Sezione che, seppure sia apprezzabile l’obiettivo del Garante di circoscrivere il trattamento di dati appartenenti a “terzi”, lo stesso possa ritenersi garantito dalla previsione che il trattamento non deve essere solo necessario, secondo la regola generale, ma indispensabile quando riguarda “terzi”.
3.2. Con riferimento alla lett. d), si rileva il mancato richiamo, dell’art. 7, comma 2, del Regolamento, probabilmente per mero difetto di coordinamento, posto che tale richiamo è presente nell’art. 11, comma 1, lett. c) dello schema. Questo profilo si riconnette alle osservazioni già svolte in ordine alla opportunità di un richiamo nelle norme generali applicabili a tutti i trattamenti (cfr. §.7, sub art. 4). Naturalmente, per l’ipotesi che l’Amministrazione ritenga di richiamare l’articolo 7 del Regolamento nell’art. 4 dello schema, si provvederà ad espungere il richiamo dagli articoli che disciplinano i isoli ambiti.
Art. 8 (Trattamento svolto per la tutela dei diritti)
1. L'articolo 8 autorizza il trattamento dei dati giudiziari necessari per l'accertamento, l'esercizio o la difesa di un diritto nelle sedi – da quella giudiziaria ai programmi di giustizia riparativa – che l’ordinamento interno predispone a tal fine. La peculiarità di questo ambito è che il titolare del trattamento è lo stesso soggetto titolare del diritto di agire e difendersi in giudizio. Nella stessa relazione si dice che per la titolarità del trattamento si prende in considerazione proprio l’ipotesi in cui ad agire in giudizio è lo stesso titolare del diritto, essendo l’esercizio del diritto attraverso un esercente la professione legale disciplinata da altra disposizione di attuazione (l’art. 11).
1.1. La Sezione reputa necessario che tale profilo emerga nella disposizione attutiva (comma 1, alinea), la quale, invece, appare restata priva del suo soggetto.
2. L’altra peculiarità è che il carattere necessario o meno del dato giudiziario rispetto al diritto azionato deriva dal sistema ordinamentale predisposto dallo Stato. Corretta appare, pertanto, la scelta dell’Amministrazione di non richiamare nella diposizione di attuazione nessuna norma di legge, anche per garantire elasticità alla stessa rispetto al mutamento delle norme processuali nel tempo. Tuttavia, potrebbe essere opportuno, per conferire compiutezza alla previsione, un rinvio generico alle leggi che disciplinano le diverse procedure. Nel contempo, appare privo di reale portata precettiva lo specifico richiamo del carattere necessario del trattamento del dato giudiziario rispetto al “diritto alla prova in sede giudiziaria”.
3. Si propone, pertanto, una riformulazione del tipo di quella che segue:
“1. Il trattamento dei dati giudiziari effettuato dai soggetti privati se è necessario, secondo le leggi che regolano le rispettive procedure, per accertare, esercitare o difendere un diritto in sede giudiziaria, amministrativa, stragiudiziale e arbitrale, nonché nelle procedure di risoluzione alternativa delle controversie comunque denominate e dei programmi di giustizia riparativa, è autorizzato nel rispetto delle garanzie appropriate, a tutela degli interessati, che seguono:”.
4. Poiché oggetto del trattamento sono i dati giudiziari di un terzo, necessari per l’esercizio del diritto da parte di un altro soggetto, le garanzie appropriate individuate nella disposizione di attuazione – lett. a) b) e c) – sono orientate alla tutela del soggetto titolare del dato giudiziario rilevante.
4.1. La prima centrale garanzia è costituita dalla delimitazione del perimetro dei modi di raccolta dei dati giudiziari, quali unici canali attraverso cui chi ha interesse ad agire in giudizio può entrare nel possesso degli stessi (lett. a). Se chi ha interesse non li ottiene tramite la certificazione del casellario richiesta dallo stesso titolare dei dati, la quale presuppone il consenso di quest’ultimo, può entrarne in possesso:
- tramite il diritto di accesso disciplinato dall’ordinamento;
- “nonché tramite fonti diverse, se diretto a sollecitare l'acquisizione del casellario o di specifici provvedimenti resi nell'ambito di un procedimento penale, nei casi in cui è previsto dalle norme applicabili nei procedimenti giurisdizionale, amministrativi, arbitrali o di mediazione, nonché nei programmi di giustizia riparativa;”.
4.1.1. Quest’ultima previsione manca di chiarezza e precisione. Da un lato, sembra richiamare uno strumento specifico, probabilmente l’acquisizione da parte del giudice penale del certificato del casellario, ai sensi dell’art. 236 c.p.p., oppure, la richiesta al giudice, tramite il difensore, del certificato del casellario (ai sensi dell’art. 22 del T.U. del casellario). Dall’altro, richiama contemporaneamente tutti i provvedimenti che il giudice penale può rendere nel processo, e introduce un collegamento confuso con le norme “applicabili nei procedimenti giurisdizionale, amministrativi, arbitrali o di mediazione, nonché nei programmi di giustizia riparativa”. L’Amministrazione, pertanto, ha l’onere di riformularla, chiarendo se non sia sufficiente il richiamo all’acquisizione secondo le norme applicabili nelle rispettive procedure per accertare, esercitare o difendere il diritto in sede giudiziaria e paragiudiziaria.
4.2. Le ulteriori garanzie del terzo titolare dei dati giudiziari rafforzano principi generali, limitando la comunicazione dei dati (lett. b) e prevedendo termini massimi per la cancellazione degli stessi, raccordati con le diverse modalità di definizione dei procedimenti (lett. c).
4.2.1. Quanto alla lett. c), al fine di conferire maggiore elasticità alla disposizione, sarebbe preferibile una formulazione più generica circa la tipologia dei provvedimenti da cancellare.
Pertanto, anche eliminando l’uso del verbo servile, si potrebbe adottare una formulazione del tipo che segue:
“i dati sono cancellati o distrutti decorso un anno dal provvedimento definitivo nel merito di ogni tipo di giudizio e, in ogni caso, decorsi due anni dalla definizione dello stesso per ragioni diverse.”
Articolo 9 (Trattamento per finalità di verifica della solidità, solvibilità ed affidabilità)
1. L’articolo 9 concerne il trattamento dei dati giudiziari necessari ai fini dell’instaurazione, avvio e gestione di nuovi rapporti commercial e dell'adempimento dei connessi obblighi normativi, per la verifica della solidità, solvibilità ed affidabilità delle imprese, mediante l’analisi della situazione economica, finanziaria e patrimoniale delle stesse.
1.1. Si è già detto della riconducibilità di tale trattamento sostanzialmente al potere integrativo attribuito dalla legge all’Amministrazione, che ha interpretato estensivamente la lett. g) del comma 3, dell’art. 2-octies cit., nonché del suo ancoramento alle condizioni di liceità poste dall’art. 6 del Regolamento UE, individuate nelle lettere f), b) e c) del §1. (§. 5.3.2.).
2. La peculiarità di questo ambito è costituita dal perimetro soggettivo e oggettivo dei dati giudiziari, risultante dalla finalizzazione del trattamento alla verifica economico-finanziaria di potenziali partners o controparti contrattuali, la quale ha assunto negli anni rilevanza anche normativa sotto diverse angolazioni. Pertanto, il dato giudiziario di cui si autorizza il trattamento deve essere, oltre che necessario, specificamente idoneo a rendere più attendibile l'indagine economico-finanziaria volta alla verifica di solidità, solvibilità ed affidabilità della impresa. Caratteristiche rinvenibili nelle fattispecie concernenti i reati contro il patrimonio, i reati fallimentari, societari, tributari, di falso, in materia previdenziale e contributiva (comma 1, lett. b). Naturalmente, il dato giudiziario deve essere soggettivamente riferito solo alle persone fisiche cui sia riconducibile la responsabilità della direzione e del controllo dell’impresa sottoposta ad analisi (comma 1, lett. a). Queste condizioni essenziali, unitamente alla stringente disciplina della distruzione dei dati (comma 1, lett. d) e della comunicazione degli stessi a terzi (comma 1, lett. e), costituiscono le garanzie appropriate individuate in sede attuativa per tutelare i diritti e le libertà dei titolari dei dati giudiziari. In definitiva, la disposizione in argomento ha disciplinato il trattamento, dettando condizioni garantiste per i titolari dei dati giudiziari in riferimento ad un ambito ben delimitato, in attuazione della normativa eurounitaria ed in forza del potere integrativo attribuito dalla legge.
3. Di seguito, si scrutineranno solo i profili che presentano qualche criticità.
3.1. Il primo è costituito dalla mancata emersione nel testo dello schema di decreto dei soggetti che sono titolari del trattamento. Dalle relazioni non emerge alcun dubbio sulla circostanza che soggetti titolari sono quelli che hanno un interesse, proprio o di terzi, a conoscere la situazione economico-finanziaria di altre imprese; interesse che sia qualificato dalla finalizzazione ai rapporti commerciali in essere o in fieri. Questi soggetti vanno, quindi, introdotti nella disposizione attutiva (comma 1, alinea).
3.2. Una seconda criticità emerge in riferimento ad un profilo estraneo e presupposto al trattamento. Infatti, dalle relazioni non risulta in maniera inequivocabile se per lo svolgimento dell’attività di analisi, anche per conto di terzi, della situazione economica, finanziaria e patrimoniale delle imprese coinvolgente il profilo di dati giudiziari connessi, sia necessaria o memo l’autorizzazione ai sensi dell’art. 134 del testo unico delle leggi di pubblica sicurezza, o altra autorizzazione prevista dall’ordinamento. Pertanto, l’Amministrazione dovrà approfondire tale profilo nella relazione e, nel caso in cui tale autorizzazione presupposta fosse prevista nell’ordinamento, dovrà farla emergere anche nella disposizione attuativa.
3.3. Sulla base delle considerazioni che precedono, per ragioni di omogeneità rispetto alle riformulazioni degli altri articoli dello schema e salvo l’eventuale inserimento della necessaria autorizzazione presupposta, si propone una riformulazione del tipo di quella che segue:
“1. Il trattamento dei dati giudiziari effettuato da soggetti privati, in forma individuale, associata o societaria, se è necessario per l'analisi della situazione economica, finanziaria e patrimoniale finalizzata alla verifica della solidità, solvibilità ed affidabilità, in relazione all'instaurazione, avvio e gestione di nuovi rapporti commerciali ed all'adempimento degli obblighi normativi connessi, è autorizzato nel rispetto delle garanzie appropriate, a tutela degli interessati, che seguono:”.
L’art. 9, comma 1, lett. c) così dispone:
“i dati sono raccolti tramite la certificazione del casellario rilasciata su richiesta dell'interessato, sentenze di condanna, ordinanze applicative di misure cautelari e di misure di sicurezza, e di prevenzione, provvedimenti dai quali si evince la qualità di indagato, emessi nei cinque anni precedenti, nonché anche tramite la stampa periodica regolarmente registrata. Nel caso i dati siano acquisiti a mezzo stampa è consentito il trattamento dei soli dati giudiziari diffusi negli ultimi sei mesi;”
4.1. Si è già detto (sopra §. 2) che sono individuati i soggetti titolari dei dati giudiziari e la tipologia dei reati rilevanti. Oltre i dati acquisibili tramite il casellario con il consenso del loro titolare, per garantire il titolare nella acquisizione dei suoi dati senza il consenso, si individuano i provvedimenti legittimamente acquisibili mediante un elenco.
4.2. Questa disposizione – in parte sovrapponibile alla corrispondente previsione dell’art. 7, ma più ampia – legittima l’acquisizione, rispetto ai soggetti titolari dei dati:
- di tutte le sentenze di condanna, ivi comprese quelle non definitive, in mancanza di delimitazione a quelle divenute definitive;
- di tutte le “ordinanze” che applicano misure cautelari, misure di sicurezza e di prevenzione, anche qui ivi comprese quelle non definitive, in mancanza di espressa delimitazione;
- di ogni provvedimento da cui risulti la qualità di indagato, quindi anche oltre il caso di indagato cui siano state comminate ordinanze cautelari, sino a comprendere anche la sola iscrizione nel registro delle notizie di reato, posto che tale iscrizione può essere comunicata, a richiesta, anche alla persona offesa del reato (art. 335 c.p.p.) e, soprattutto, perché i dati sono acquisibili anche a mezzo della stampa. In proposito, può notarsi l’assenza dell’esplicito richiamo a qualunque provvedimento giudiziario da cui risulti la qualità di imputato (decreto di giudizio immediato, richiesta di rinvio a giudizio, decreto di citazione a giudizio), nonostante con lo stesso elenco assumano rilievo i provvedimenti da cui risulta la preliminare qualità di indagato. Ragionevolmente, tale tipologia di provvedimenti può ritenersi ricompresa proprio perché è ritenuta possibile l’acquisizione a mezzo della stampa.
4.3. Nelle relazioni si riconnettono esplicitamente le garanzie a tutela dei titolari dei dati alla disciplina contenuta nel Codice delle leggi antimafia e delle misure di prevenzione, assunta come modello di riferimento. Tale fondamento, che può essere considerato idoneo rispetto all’individuazione dei soggetti i cui dati personali possono essere oggetto di trattamento (lett. a) e rispetto all’individuazione delle fattispecie di reato rilevanti (lett. b), non può ritenersi sufficiente ai fini dell’elenco di provvedimenti i cui dati giudiziari sono lecitamente acquisibili. Manca, infatti, una diretta riconduzione delle tipologie individuate di provvedimenti giudiziari – peraltro, come si è detto, anche in modo implicito – a quelle rilevanti nella legislazione di riferimento. Mentre, tale riconduzione è necessaria affinché la disposizione attuativa in esame trovi un fondamento legittimante.
4.3.1. Pertanto, l’Amministrazione procederà a rivalutare la disposizione in argomento alla luce delle considerazioni che precedono, svolgendo gli opportuni approfondimenti e esplicitando gli stessi nella relazione, provvedendo, poi, alla eventuale conseguente riformulazione della stessa.
5. Deve aggiungersi che il Garante, rispetto alla individuazione dei soggetti sottoposti a verifica, ha rilevato che la disposizione di attuazione (comma 1, lett. a), pur trovando la propria base nell’art. 85 del suddetto Codice antimafia, non è del tutto coincidente con il disposto di cui all’art. 8, comma 2, del Codice di condotta per finalità di informazione commerciale approvato ai sensi dell'articolo 40 del Regolamento UE, con deliberazione del Garante del 29 aprile 2021, n. 181. 6.2. Non risultando nelle relazioni le ragioni di tale discostamento rilevato dal Garante, e, pertanto, si invita l’Amministrazione a darne conto nella relazione.
Articolo 10 (Trattamento svolto nell'ambito di un'attività di investigazione privata)
1. La disciplina attuativa per tale ambito è sicuramente riconducibile al comma 3, lett. g) dell’art. 2-octies cit. Come concordemente si afferma nelle relazioni, la licenza ai sensi dell’art. 134 del R.d. n. 773 del 1931, ivi richiamata, costituisce il presupposto dello svolgimento dell’attività investigativa e resta sullo sfondo del trattamento dei dati giudiziari.
1.1. I soggetti titolari di licenza, che entrano nella disponibilità di dati giudiziari per via dello svolgimento dell’attività investigativa privata su richiesta di un committente, sono i titolari del trattamento dei dati così acquisiti. Ma, la peculiarità di questo trattamento è che – secondo quanto risulta da tutte le relazioni anche al fine di esplicitare la finalità delle garanzie appropriate predisposte – l’investigatore è privo di una legittimazione propria al trattamento dei dati perché la mutua dal committente.
2. La disposizione attuativa (comma 1, alinea), con il prevedere che il trattamento degli investigatori “è autorizzato nei casi previsti da una norma dell'Unione europea, di legge o, nei casi previsti dalla legge, di regolamento, nonché per consentire al committente l'esercizio dei diritti e delle facoltà previsti dal presente regolamento, o dal diritto dell'Unione, dalla legge, o, nei casi previsti dalla legge, da regolamento”, sembra contraddire questa peculiarità.
Infatti, essa può interpretarsi nel senso che l’investigatore è autorizzato esso stesso al trattamento nei casi previsti dalla normativa europea e nazionale, anche secondaria, ed è inoltre autorizzato al trattamento per consentire al committente l’esercizio dei diritti e delle facoltà previste dallo schema di decreto o dalla normativa europea e nazionale, anche secondaria.
2.1. Ritiene la Sezione che, in considerazione del contenuto dell’intero articolo 10, considerando anche le garanzie appropriate previste nelle lettere dello stesso comma, nonché delle chiare affermazioni nelle relazioni quanto al carattere derivato della titolarità del trattamento, possa ritenersi che l’intento dell’Amministrazione sia stato quello di dettare norme attuative concernenti il trattamento dell’investigatore che mutua la legittimazione al trattamento da quella del committente. Con la conseguenza che al terzo rigo, dopo “autorizzato” andrebbe espunto il periodo sino a “nonché” compreso.
2.2. Nelle relazioni non risulta individuata la condizione di liceità tra quelle poste dall’art. 6 §.1. del Regolamento UE. La Sezione ritiene che questa possa individuarsi nella lett. f), secondo la quale è lecito il trattamento “necessario per il perseguimento del legittimo interesse del titolare del trattamento” oltre che di terzi, ed in questo caso il legittimo interesse è quello del committente titolare del trattamento, dal quale l’investigatore mutua la titolarità dello stesso.
2.2.1. In questa prospettiva, il trattamento lecito dell’investigatore, essendo derivato, presuppone la liceità della richiesta del committente di entrare in possesso di dati giudiziari appartenenti a terzi, e quindi, proprio la liceità delle richieste di investigazioni costituisce la garanzia appropriata specifica rispetto alla tutela dei diritti e delle libertà del titolare dei dati giudiziari.
2.3. Nella disposizione attuativa è esplicitata correttamente tale condizione di liceità mediante il richiamo all’esercizio dei diritti e delle facoltà previste nello schema di decreto. La stessa Amministrazione, nell’individuare una specifica garanzia a tutela del titolare dei dati giudiziari (lett. b), ha espressamente richiamato l’articolo 8 dello schema. Per evitare dubbi interpretativi in ordine agli altri articoli dello schema genericamente richiamati e comunque per completezza, sarebbe opportuno un richiamo diretto a tutti gli articoli rilevanti, previa verifica dello loro riferibilità a diritti e facoltà esercitabili mediante incarico all’investigatore (per esempio gli articoli 6 e 7).
2.4. Si deve aggiungere che il comma 1, alinea, dell’art. 10, completa i presupposti di liceità del trattamento individuandoli anche nei diritti e nelle facoltà del committente previsti “dal diritto dell’Unione, dalla legge, o, nei casi previsti dalla legge, da regolamento” e, quindi, mediante un altro generico richiamo.
Nelle relazioni non si sono rinvenuti elementi di esplicazione, neanche attraverso il richiamo alla tipologia di diritti o interessi. L’Amministrazione, pertanto, dovrebbe approfondire tale profilo, distinguendo eventuali norme europee direttamente applicabili da eventuali norme nazionali e, nel caso di esito negativo, dovrebbe espungere il generico riferimento contenuto nella disposizione attuativa. Peraltro, tra le norme nazionali appare escluso il Codice, atteso che la riforma del 2018 ha abrogato il Capo I del Titolo XI della Parte II.
2.5. Salvo l’esito degli approfondimenti sopra richiesti, compresa l’eventuale integrazione con il richiamo di altri articoli dello schema, per ragioni di omogeneità rispetto alle riformulazioni degli altri articoli dello schema, e comunque, per aggiungere il carattere necessario del trattamento, si propone il testo che segue:
“1. Il trattamento dei dati giudiziari effettuato nello svolgimento dell'attività di investigazione privata da parte dei soggetti titolari della licenza, di cui all'articolo 134 del regio decreto 18 giugno 1931, n. 773, quando è necessario per consentire al committente l'esercizio dei diritti e delle facoltà previsti dal presente regolamento agli articoli..… , è autorizzato nel rispetto delle garanzie appropriate, a tutela degli interessati, che seguono:”.
3. Le garanzie appropriate, elencate in tutte le lettere del comma 1, ruotano intorno all’incarico conferito dal committente, quale condizione di liceità del trattamento dell’investigatore che è titolare solo di una titolarità derivata dal committente. E infatti:
- si richiede che nell’incarico risulti espressamente la fonte autorizzativa del trattamento in capo al committente (lett. a e b);
- si richiede che sia previsto un termine per l’incarico (lett. c);
- si fa coincidere, comunque, con l’esaurimento dell’incarico la conservazione dei dati da parte dell’investigatore (lett. d);
- si vieta qualunque comunicazione a soggetto che non sia il committente (lett. e).
3.1. Si deve aggiungere che nella peculiarità di questo trattamento, la cui liceità deriva dalla liceità del trattamento in capo al committente, può probabilmente trovare spiegazione – in difetto di ogni esplicazione nella relazione – l’assenza di una garanzia a tutela del titolare dei dati giudiziari attraverso la elencazione dei provvedimenti penali contenenti dati giudiziari legittimamente acquisibili. Questi, infatti, sembrano rilevare a monte, attraverso la norma che autorizza il trattamento in capo al committente, la quale deve essere espressamente indicata dal committente nel conferimento dell’incarico all’investigatore (lett. a) e b).
3.2. Invece, non risulta chiara, in mancanza di ogni esplicazione nelle relazioni, la ragione per cui non è stata prevista la possibilità dell’acquisizione per il tramite delle certificazioni del casellario a richiesta del titolare dei dati. Anche questo profilo andrebbe chiarito nelle relazioni.
4. Infine, la disposizione attuativa del comma 2 difetta di chiarezza.
Nella relazione, partendo dal presupposto che non è possibile fissare all’investigatore alcun vincolo relativo alla fonte da cui può attingere, “proprio perché la ricerca dell'investigatore non può che essere libera”, si afferma che per tale ragione si è previsto che i dati giudiziari comunicati dall'investigatore, risultanti da fonti diverse da quelle consentite al committente “non possano da quest'ultimo essere conservati e debbano essere distrutti dopo che egli ha provveduto ad acquisirli tramite una fonte che gli è consentita o, in ogni caso, decorso un termine congruo”.
Se con questa disposizione l’Amministrazione ha voluto regolare il caso di un dato giudiziario che sia stato acquisito dall’investigatore al di fuori dei confini dell’incarico conferito e sia stato comunicato al committente, ed impedire che il committente lo utilizzi per esercitare un proprio diritto o facoltà, a meno che, in un tempo congruo, lui stesso o l’investigatore, attraverso un nuovo incarico, lo acquisisca legittimamente, è opportuno che tanto risulti più chiaramente. Comunque, la disposizione andrebbe riformulata.
Articolo 11 (Trattamento svolto nell'ambito delle professioni intellettuali)
1. L'articolo 11 concerne il trattamento dei dati giudiziari effettuato da parte dei prestatori d'opera intellettuale, in forma individuale, associata o societaria, così attribuendo la titolarità ad una categoria individuata in modo ampio e suscettibile di implementazione, sulla base di evoluzioni nella disciplina sia delle professioni così dette ordinistiche, sia di quelle organizzate. Nel contempo, la disposizione attuativa delimita l’oggetto del trattamento, ancorandolo non solo alla indispensabilità rispetto alla prestazione che connota il contratto con il professionista, ma richiedendo anche che tale prestazione rientri tra quelle tipiche del contratto e proprie dell’opera richiesta, secondo il suggerimento del Garante. Si è già detto (§. 5.3.3.) in ordine alla riconducibilità di tale trattamento al potere integrativo attribuito dalla legge all’Amministrazione e al suo ancoramento alle condizioni di liceità poste dall’art. 6 del Regolamento UE nel §. 1, lett. b) e c). In tal modo, la disposizione attuativa disciplina il trattamento in capo ai prestatori d’opera intellettuale, ponendo le condizioni dello stesso, in attuazione della normativa eurounitaria ed in forza del potere attribuito dalla legge.
1.1. Solo per ragioni di omogeneità rispetto agli altri articoli dello schema, si propone la seguente riformulazione del comma 1, alinea:
“1. Il trattamento dei dati giudiziari effettuato dai prestatori d'opera intellettuale, in forma individuale, associata o societaria, se è indispensabile per l'esecuzione di una prestazione che rientri tra quelle tipiche del contratto e proprie dell'opera richiesta, è autorizzato nel rispetto delle garanzie appropriate, a tutela degli interessati, che seguono:”.
1.2. Rileva la Sezione che l’Amministrazione, soffermandosi nella relazione sulle ragioni che hanno indotto a non disciplinare il trattamento in capo ad eventuali collaboratori del titolare, ha correttamente rilevato la diretta applicabilità di alcuni articoli del Regolamento UE (art. 26 e 29). Questo profilo si collega alle osservazioni già svolte in ordine alla opportunità di un richiamo nelle norme generali applicabili a tutti i trattamenti di dati giudiziari (§. 7, sub art. 4).
2. L’art. 11, comma 1, lett. a) così dispone:
“i dati sono raccolti tramite la certificazione del casellario rilasciata su richiesta dell’interessato, sentenze di condanna, ordinanze applicative di misure cautelari e di misure di sicurezza, provvedimenti dai quali si evince la qualità di indagato;”. Quindi, oltre i dati acquisibili tramite il casellario con il consenso del loro titolare, mediante l’elenco si individuano i provvedimenti contenenti i dati legittimamente acquisibili senza il consenso.
2.1. La disposizione è identica a quella prevista per disciplinare le garanzie nell’ambito del trattamento svolto dalle imprese di assicurazione (si rinvia alla relativa esposizione, sopra, art. 7, §.2.2.), quindi, per un ambito molto diverso, che ha come fondamento una diversa condizione di liceità. Infatti, come si è già detto, il trattamento dei dati da parte delle imprese di assicurazione, deriva la propria condizione di liceità dall’art. 6, §.1, lett. f) del Regolamento UE, mentre per il trattamento in argomento le condizioni legittimanti sono costituite dalle lett. b) e c) dello stesso articolo 6.
2.2. Dalle relazioni non emerge alcuna argomentazione in ordine alle scelte relative all’elenco dei provvedimenti, né specifica per il trattamento in argomento, né per spiegare l’identità della previsione di una identica disposizione attuativa nell’articolo 7.
2.3. Osserva la Sezione che, al fine di pervenire ad una disposizione attuativa idonea a garantire il titolare dei dati giudiziari rispetto alla fattispecie di trattamento prevista dall’articolo 11, sia necessario assumere come prospettiva le caratteristiche peculiari del trattamento.
A tal fine, rileva la titolarità del trattamento, che è in capo ai professionisti incaricati di eseguire la prestazione oggetto del contratto, che non è qualunque prestazione, ma solo quella che rientri in quelle tipiche del contratto e proprie dell’opera richiesta. Queste prestazioni, in tesi, possono essere molto variegate, se si considera l’ampia estensione della categoria dei prestatori d'opera intellettuale anche alle professioni “non ordinistiche”. Rileva pure la circostanza che la controparte contrattuale che conferisce l’incarico può anche essere lo stesso titolare dei dati giudiziari. La conseguenza è che dall’incarico ricevuto possono derivare al titolare del trattamento obblighi legali di acquisizione dei dati, la cui base di liceità si riviene nella lettera c) dell’art. 6 del Regolamento UE. Inoltre, poiché l’incarico conferito con contratto può riguardare lo stesso titolare dei dati giudiziari, il titolare del trattamento lecitamente acquisisce quanto necessario per l’esecuzione del contratto, sulla base della lettera b) dello stesso articolo 6 del Regolamento UE.
2.4. A fronte di tale potenziale variabilità in ordine ai dati giudiziari lecitamente acquisibili, qualunque elenco di provvedimenti acquisibili contenenti dati giudiziari appare inadeguato allo scopo, e, soprattutto, potrebbe essere non idoneo a ricomprendere dati giudiziari che il titolare del trattamento ha invece diritto di acquisire, sulla base dei presupposti legittimanti la liceità.
2.5. Dalle suddette argomentazioni discendono due conseguenze.
2.5.1. Innanzitutto, l’Amministrazione è tenuta a motivare le ragioni della scelta effettuata, potendo questa Sezione non averla individuata correttamente, in mancanza di ogni esplicazione.
2.5.2. Inoltre, stante la oggettiva difficoltà di prevedere una disposizione attuativa che elenchi tipologie di provvedimenti giudiziari, si sottopone all’Amministrazione la proposta di valutare la possibilità di una formulazione generale nella tipologia dei provvedimenti giudiziari contenti i dati, ma vincolata nella finalizzazione del trattamento che sia lecito per il titolare.
2.5.3. Sulla base delle considerazioni che precedono, si potrebbe ipotizzare una riformulazione della lettera a), del tipo di quella che segue:
“nonché dai provvedimenti giudiziari che hanno ad oggetto reati, misure di sicurezza o di prevenzione, a carattere definitivo e non definitivo, e che siano indispensabili per l'esecuzione di una prestazione che rientri tra quelle tipiche del contratto e proprie dell'opera richiesta”.
3. In generale, la disposizione attuativa individua (nelle lett. b) e c) del comma 1) le garanzie appropriate a tutela del titolare dei dati giudiziari trattati, in riferimento allo specifico ambito trattato, perseguendo l’obiettivo di assicurare maggiori garanzie a tutela degli interessati. Le stesse costituiscono specificazioni e adattamenti allo specifico ambito dei principi di garanzia individuati dall’art. 5 del Regolamento UE, e si coniugano con le previsioni generali, applicabili a tutti i trattamenti, individuate nell’articolo 4 dello schema. Così, la durata del trattamento è rapportata a quella della durata del rapporto professionale, prevedendo la sola eccezione per finalità difensive. La comunicazione dei dati è lecita solo ai fini della esecuzione della prestazione dedotta in contratto e nel caso di consenso espresso dai titolari dei dati, oltre che per adempiere ad un obbligo previsto dalla legge o ad una richiesta della autorità.
3.1. Quanto alla lett. c), si rileva il corretto richiamo dell’art. 7, comma 2, del Regolamento UE, a garanzia della consapevole espressione del consenso. Anche questo profilo si collega alle osservazioni già svolte in ordine alla opportunità di un richiamo del Regolamento UE nelle norme generali applicabili a tutti i trattamenti (§. 7, sub art. 4). Naturalmente, per l’ipotesi che l’Amministrazione ritenga di richiamare l’articolo 7 del Regolamento nell’art. 4 dello schema, si provvederà ad espungere il richiamo dagli articoli che disciplinano i soli ambiti.
L’articolo 12 (Trattamento ai sensi dell'articolo 6-bis, comma 1-bis, del decreto legislativo 6 settembre 1989 n. 322)
1. Del carattere speciale della norma che fonda il potere regolamentare si è detto (§. 4.3).
Deve ancora mettersi in rilievo che l’ambito regolamentato dall’articolo in esame è l’unico dello schema di decreto in cui i soggetti del trattamento dei dati non sono i privati, ma i soggetti che compongono il sistema statistico nazionale, ai sensi dell’art. 2 del d.lgs. n. 322 del 1989.
2. Affrontando l’esame del comma 1 (alinea), va osservato che nella disposizione attuativa non può essere richiamato l’art. 108 del Codice perché non si tratta di una norma del Codice direttamente applicabile al trattamento dei dati giudiziari per fini statistici, bensì della norma che fonda la possibilità di una disciplina differenziata e speciale rispetto a quella generale prevista dal Codice.
2.1. Inoltre, secondo il principio generale che questa Sezione ha più volte ribadito, in base al quale una disposizione secondaria non può duplicare una disposizione normativa primaria, deve essere espunta la duplicazione della disposizione normativa sovraordinata effettuata tramite la ripetizione sostanziale del contenuto del primo periodo dell’articolo 6-bis, comma 1-bis, il quale individua le condizioni del trattamento da precisarsi in sede di redazione del programma statistico nazionale.
Pertanto, si propone la formulazione semplificatrice che segue del comma 1:
“1. Il trattamento dei dati giudiziari effettuato per fini statistici è autorizzato nel rispetto delle condizioni previste dal programma statistico nazionale, ai sensi dell'articolo 6-bis, comma 1-bis, del decreto legislativo 6 settembre 1989 n. 322, nonché nel rispetto delle garanzie appropriate, a tutela degli interessati, che seguono:”.
3. Con riferimento alla prospettiva del raccordo tra le norme dello schema di decreto e quelle sovraordinate del Codice, si chiede all’Amministrazione:
- di valutare la necessità di un richiamo delle previsioni del Codice (artt. 104, 105 e 106, quest’ultimo varrebbe in luogo del richiamo all’art. 2-quater, concernente tutti gli altri trattamenti previsti nello schema di decreto), che si riferiscono anche ai trattamenti a fini statistici, oltre che di ricerca scientifica e storica;
- di valutare, altresì, se l’applicabilità degli articoli sopra richiamati venga meno, in tutto o in parte, in forza dell’inserimento anche dei dati giudiziari a fini statistici nel programma statistico nazionale, con conseguente applicabilità delle relative prescrizioni, oltre che delle prescrizioni ulteriori previste dal d.lgs. n. n. 322 del 1989.
4. Dal carattere speciale della disposizione e, quindi, dalla finalità dell’indagine statistica secondo il programma statistico nazionale, discende anche la totale diversità della disciplina attinente all’acquisizione dei dati giudiziari oggetto del trattamento. Infatti, i dati giudiziari oggetto di trattamento sono ordinariamente quelli acquisiti da fonti pubbliche e sono acquisibili anche da fonti private, ma solo con il consenso espresso del titolare dei dati.
4.1. Con le lettere a), b) e c) del comma 1, si prevedono garanzie stringenti a tutela dei titolari dei dati giudiziari. In particolare:
- è richiesto un consenso rafforzato, nel rispetto dell’art. 7, comma 2 del Regolamento UE, in deroga al generale obbligo di fornire i dati che vengono richiesti per le rilevazioni statistiche dall’art. 7 del d.lgs. n. 322 del 1989 (lett. a);
- si prescrive il generale divieto di comunicazione di dati non anonimizzati, salvo che sia previsto dalla legge o espressamente consentito dalla legge (lett. b);
- per la cancellazione, si prevede una norma speciale e più restrittiva rispetto all’art. 99 del Codice, proprio in forza della previsione dell’art. 108 dello stesso Codice (lett. c).
4.2. Quanto alla lett. a), si rileva il corretto richiamo dell’art. 7, comma 2, del Regolamento UE, a garanzia della consapevole espressione del consenso. Questo profilo si collega alle osservazioni già svolte in ordine alla opportunità di un richiamo dello stesso articolo nelle norme generali applicabili a tutti i trattamenti (art. 4). Naturalmente, per l’ipotesi che l’Amministrazione ritenga di richiamare l’articolo 7 del Regolamento nell’art. 4 dello schema, si provvederà ad espungere il richiamo dagli articoli che disciplinano i soli ambiti.
Articolo 13 (Trattamento effettuato in attuazione di protocolli di intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata, stipulati con il Ministero dell'interno o con le prefetture-UTG).
1. Come si è detto (§.5.2.2.) la fonte attributiva del potere regolamentare è specificamente individuata nell’art. 2-octies, comma 6 cit. Questa, al contrario delle altre fonti legittimanti, è dettagliata e circoscrive il perimetro di attuazione prevedendo che il decreto “individua le tipologie dei dati trattati, gli interessati, le operazioni di trattamento eseguibili, anche in relazione all'aggiornamento e alla conservazione e prevede le garanzie appropriate per i diritti e le libertà degli interessati”. Mentre, prima della riforma del 2018, questa tipologia di trattamento era autorizzata dalla legge con il parere del Garante (art. 21 del Codice, abrogato dal d.lgs. n. 101 del 2018).
L’articolo dello schema in esame ha rispettato i limiti del potere conferito, ma emergono dei profili di criticità che è opportuno sottoporre all’attenzione dell’Amministrazione.
1.1. L’art. 83-bis del d.lgs. 6 settembre 2011, n. 159, introdotto nel codice delle leggi antimafia dall’art. 3, comma 7, del d.l. 16 luglio 2020, convertito, con modificazioni, dalla l. 11 settembre 2020, n. 120, ha previsto che il Ministero dell’interno può sottoscrivere con le imprese protocolli, o altre intese comunque denominate, al fine di prevenire e contrastare i fenomeni di criminalità organizzata anche estendendo convenzionalmente il ricorso alla documentazione antimafia. Nel sistema normativo questa disposizione si collega, sul versante delle procedure di gara, con la possibilità che le stazioni appaltanti prevedano che il mancato rispetto delle clausole contenute nei protocolli di legalità costituisca causa di esclusione dalla gara (art. 1, comma 17 della l. 6 novembre 2012, n. 190).
1.1.2. Probabilmente l’Amministrazione, nel prevedere che il trattamento “è autorizzato nei casi previsti dalla legge o dai regolamenti autorizzati dalla legge” (comma 1, alinea), ha inteso richiamare la suddetta norma autorizzatoria dei protocolli.
1.1.3. Ritiene la Sezione che la formulazione utilizzata è ambigua e rischia di ingenerare equivoci interpretativi in ordine all’esistenza di leggi o di regolamenti che disciplinano le condizioni del trattamento dei dati giudiziari nell’ambito in argomento. Invece, in presenza di una previsione legislativa che conferisce al Ministero dell’interno il potere di stipulare protocolli di intesa, è necessario che la stessa sia espressamente richiamata, atteso che costituisce la norma di legge che fonda il potere di stipulare i suddetti protocolli.
1.2. Inoltre, anche in questa disposizione, come in molti altri articoli dello schema di decreto, è presente la formula generale, secondo la quale il trattamento è autorizzato “purché avvenga nel rispetto dei limiti previsti dalla normativa europea, dal Codice, dalla legge”.
1.2.1. In mancanza nelle relazioni della esplicitazione di norme specifiche sovraordinate, europee e nazionali, inerenti il trattamento dei dati che siano direttamente riferibili ai protocolli in argomento, ritiene la Sezione che il riferimento debba intendersi alle norme del Regolamento UE del 2016 e del Codice che individuano le condizioni del trattamento di tutti i dati personali.
In applicazione dei rilievi svolti nella parte generale (§. 7.) il collegamento va eventualmente risolto attraverso il richiamo esplicito delle stesse nell’art. 4 dello schema.
1.3. Sulla base delle considerazioni che precedono si sottopone all’Amministrazione la formulazione del comma 1, alinea, che segue:
“1. Il trattamento dei dati giudiziari effettuato dai soggetti privati in attuazione di protocolli di intesa, per la prevenzione e il contrasto dei fenomeni di criminalità organizzata, stipulati con il Ministero dell'interno o con la prefettura-Ufficio Territoriale del governo, ai sensi dell’art. 83-bis del decreto legislativo 6 settembre 2011, n. 159, è autorizzato nel rispetto delle garanzie appropriate, a tutela degli interessati, che seguono:”
2. L’art. 13, comma 1, lett. b) così dispone:
“i dati devono essere acquisiti da sentenza definitiva, anche resa ai sensi dell'articolo 444 del codice di procedura penale, decreto penale di condanna divenuto irrevocabile, da provvedimenti definitivi di applicazione di misure di prevenzione;”.
2.1. Nella disposizione attuativa in esame emerge, innanzitutto, la mancata previsione della acquisibilità dei dati giudiziari tramite le certificazioni del casellario giudiziale.
Nelle relazioni è assente qualunque motivazione su tale profilo e, inoltre, non risulta la riconducibilità della liceità del trattamento all’art. 6 del Regolamento UE. In proposito, ritiene la Sezione che quest’ultima possa linearmente individuarsi nella lett. a) del §.1 dell’art. 6, secondo la quale il trattamento è lecito se “l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”.
2.1.2. Dal suddetto fondamento di liceità del trattamento può desumersi che non sussistono ragioni per escludere la possibilità della acquisizione tramite le certificazioni del casellario a richiesta. Infatti, chi stipula un protocollo ha già prestato il proprio consenso allo stesso e gli operatori che intendano entrare in rapporti con lo stipulante sono posti in condizione di conoscerne l’esistenza tramite la pubblicità prevista nella stessa disposizione. Quindi, andrebbe inserita tale possibilità di raccolta dei dati.
2.2. L’elenco di provvedimenti giudiziari contenenti dati giudiziari acquisibili nel trattamento non lascia dubbi sulla scelta che l’Amministrazione ha compiuto: solo provvedimenti di condanna definitivi e solo provvedimenti definitivi di applicazione di misure di prevenzione. Nella relazione si argomenta la scelta facendo riferimento a “fonti qualificate”, costituite da provvedimenti definitivi, in ragione “delle significative ripercussioni che il trattamento dei dati in questione può determinare per l’attività di impresa”.
2.2.1. Certamente i provvedimenti nominati nell’elenco rientrano tra quelli rilevanti nel contesto del codice delle leggi antimafia, specie le misure di prevenzione che ne costituiscono una specificità ed, inoltre, sono meritevoli di apprezzamento le valutazioni dell’Amministrazione a sostegno della scelta effettuata. Tuttavia, la Sezione ritiene che sia opportuno porsi un interrogativo. Si tratta della possibilità di estendere il perimetro dei provvedimenti acquisibili sino a farlo corrispondere al perimetro di rilevanza ad essi attribuito dallo specifico protocollo. Infatti, sulla base delle finalità dei protocolli non è irragionevole presumere che gli stessi possano attribuire rilevanza anche a provvedimenti giudiziari non definitivi e a provvedimenti cautelari di particolare gravità. Pertanto, sarebbe opportuno fondare la scelta dell’Amministrazione su una ricognizione empirica delle tipologie di protocolli sino ad ora stipulati, dandone conto nella relazione. Comunque, sarebbe preferibile una disposizione attuativa con un elevato grado di elasticità rispetto ai protocolli in modo da non impedire il trattamento di dati giudiziari ai quali le stesse parti contrattuali hanno deciso di attribuire rilevanza.
2.2.2. A tal fine, l’Amministrazione potrebbe valutare la possibilità di una formulazione generale quanto alla tipologia dei provvedimenti giudiziari contenti i dati, ma vincolata nella finalizzazione del trattamento lecito per il titolare al contenuto del protocollo.
2.3. Anche in considerazione di quanto rilevato rispetto alla certificazione del casellario e anche sulla base dei profili trasversali prima esaminati, si potrebbe ipotizzare una riformulazione della lettera b), del tipo di quella che segue:
“I dati giudiziari sono costituiti da quelli raccolti tramite i certificati del casellario giudiziale rilasciati su richiesta dell'interessato, ai sensi dell’articolo 24 e 27 del d.P.R. 14 novembre 2002, n. 313, e tramite la visura, ai sensi dell’articolo 33 dello stesso decreto, nonché dai provvedimenti giudiziari che hanno ad oggetto reati, misure di sicurezza o di prevenzione, a carattere definitivo e non definitivo, e che siano necessari per l'attuazione dei protocolli stipulati ai sensi del comma 1, alinea;”.
3. In generale, le garanzie appropriate, individuate nell’elenco dello stesso comma, 1 costituiscono specificazioni attuative strettamente collegate con la finalità dei protocolli ed assumono come normativa di riferimento il codice delle leggi antimafia e delle misure di prevenzione. Pertanto, sulla base di quanto risultante dallo stesso codice, hanno circoscritto i soggetti titolari di dati (lett. c) ed i reati rilevanti (lett. a). Inoltre hanno individuato ulteriori specifiche garanzie adattate alla fattispecie rispetto ai principi generali, prevedendo:
- eccezioni stringenti al divieto di comunicazione dei dati (lett. d) e all’obbligo di cancellazione (lett. f);
- la pubblicità del protocollo per rendere noto a terzi che sulla base dello steso è consentita l’acquisizione dei dati (lett. e).
3.1. In particolare, si ravvisa una criticità nella tecnica utilizzata per individuare i reati rilevanti nella formulazione della lett. a) del comma 1, secondo la quale “i dati possono riferirsi esclusivamente ai reati indicati dall'articolo 67, comma 8, dall'articolo 84 del decreto legislativo 6 settembre 2011, n. 159, e dall'articolo 80 del decreto legislativo 18 aprile 2016, n. 50”.
Infatti, l’art. 67 individua gli effetti delle misure di prevenzione; il comma 8, richiamato dallo schema di decreto in esame, dispone l’applicazione di alcuni di questi effetti (quelli previsti dai commi 1, 2 e 4) alle persone condannate, con sentenza definitiva, o di appello, per alcuni delitti e reati. E’ evidente che sarebbe opportuno un richiamo diretto delle disposizioni del codice penale e del codice di procedura penale che prevedono questi reati. Anche per il richiamo ai reati indicati dall’art. 84, vale l’opportunità di un richiamo espresso e diretto. Tanto più che la tecnica legislativa dell’articolo 84 è peculiare: nel dettare le definizioni di “comunicazione antimafia” e di “informazione antimafia”, individua le situazioni rilevanti ai fini dell’adozione dell’informazione antimafia interdittiva, anche attraverso il rinvio ad una serie di articoli del codice penale che disciplinano alcune fattispecie delittuose. In questo caso, quantomeno, il richiamo all’art. 84 deve essere specifico al comma o ai commi rilevanti. Infine, anche per il richiamo del codice dei contratti pubblici (art. 80 del decreto legislativo 18 aprile 2016, n. 50), è necessario che il richiamo sia specifico, al comma o ai commi di interesse, atteso che l’articolo disciplina i motivi di esclusione dalla partecipazione alla procedura di appalto o di concessione.
10. L’articolato: sistematica e aspetti formali.
Titolo
Appare opportuno:
- utilizzare la definizione di “dati giudiziari”;
- inserire l’art. 6-bis, comma 1-bis del decreto legislativo 6 settembre 1989, n. 322, recante “Norme sul sistema statistico nazionale e sulla riorganizzazione dell’Istituto nazionale di statistica ai sensi dell’articolo 24 della legge 23 agosto 1988, n. 400.”.
Preambolo
Secondo Visto: alla fine del periodo: aggiungere “e, in particolare, l’articolo 6 e l’articolo 10.”.
Quarto Visto: alla fine del periodo: aggiungere “e, in particolare, l’articolo 2-octies.”
Dopo il quarto Visto, aggiungere: “Visto l’articolo 6-bis, comma 1-bis, del decreto legislativo 6 settembre 1989, n. 322, recante “Norme sul sistema statistico nazionale e sulla riorganizzazione dell’Istituto nazionale di statistica ai sensi dell’articolo 24 della legge 23 agosto 1988, n. 400.”.
Valutare l’introduzione: di una parte generale (sino all’art. 4); di una parte contenente le norme specifiche per ciascun ambito, anticipando l’art. 13 dello schema rispetto all’art. 12; di una parte finale, prevedendo una disposizione di rinvio agli articoli del Codice relativi alle conseguenze della illiceità del trattamento.
In generale, ove sia richiamato l’art. 7, comma 2 del Regolamento, aggiungere il segno di interpunzione della virgola, dopo “7” e dopo “2”.
Articolo 4, rubrica: espungere “a tutti i trattamenti”.
Articolo 5
Rubrica: dopo “Trattamento” sostituire “svolto” con “effettuato”.
Comma 1, lett. b), sostituire “devono” con “sono”.
Comma 1, lett. c), sostituire “deve essere” con “è”; sostituire “reso” con “espresso”; utilizzare il segno di interpunzione della virgola.
Comma 1, lett. e), sostituire “raccolto” con “espresso”; terzo rigo, dopo “o” aggiungere l’articolo “la”; dopo “diffusione” sostituire “, resta fermo” con “e salvi.”
Articolo 6
Rubrica: dopo “Trattamento” sostituire l’intero periodo con “effettuato per ragioni di onorabilità”.
Comma 1, lett. b): secondo rigo, sostituire “raccolto” con “espresso”; sostituire “si rende” con “è”; terzo rigo, aggiungere “la” prima di “diffusione”; sostituire il periodo successivo sino alla fine, con “e fatta salva la comunicazione ai soggetti che, sulla base della legge, del regolamento o del contratto hanno il compito di valutare la sussistenza dei requisiti”.
Comma 1, lett. c): sostituire “devono essere” con “sono”; secondo rigo, dopo “requisiti”, espungere “soggettivi di onorabilità”.
Articolo 7
Rubrica: dopo “Trattamento” sostituire “svolto” con “effettuato”.
Comma 2, alinea: per omogeneità con le riformulazioni degli altri articoli rispetto a garanzie appropriate e per espungere il verbo servile, sostituire con il seguente: “2. Il trattamento rispetta le garanzie appropriate, a tutela degli interessati, che seguono:”
Comma 2, lett. b): per espungere il verbo servile, sostituire “devono riferirsi” con “si riferiscono”.
Comma 2, lett. c): per espungere il verbo servile, sostituire “devono” con “sono”.
Comma 2, lett. d): al fine di rendere più chiaro che lo specifico consenso è richiesto solo nel caso di comunicazione di dati tra imprese del medesimo gruppo e non nel caso di obbligo di comunicazione previsto dalla legge o di una comunicazione richiesta dall’autorità pubblica: al secondo rigo, dopo “avvenire” aggiungere “solo”; al terzo rigo, dopo la virgola, espungere “in caso di comunicazione dei dati”; al quarto rigo, dopo l’interpunzione con la virgola, sostituire “o” con “oppure”; ultimo rigo, sostituire “o richiesto da” con “o di richieste da parte delle autorità pubbliche”.
Articolo 8
Rubrica: dopo “Trattamento” sostituire “svolto” con “effettuato”.
Comma 1, lett. b): ultimo rigo, dopo “della”, espungere il refuso “di”.
Articolo 9
Rubrica: dopo “affidabilità” aggiungere “delle imprese”.
Comma 1, lett. e): ultimo rigo, sostituire “o richiesto da” con “o di richieste da parte delle autorità pubbliche”.
Articolo 10
Rubrica: dopo “Trattamento” sostituire “svolto” con “effettuato”, successivamente, sostituire “di un’” con “di una”.
Lett. a) e b): sarebbe preferibile una disposizione unitaria del seguente tenore “l'attività di investigazione è svolta esclusivamente sulla base di apposito incarico, conferito per iscritto, nel quale è espressamente indicata la norma che autorizza il trattamento da parte del committente e, nell’ipotesi dell’articolo 8, il procedimento al quale si riferisce il diritto che si intende esercitare;”;
lett. c): per semplificare ed espungere il verbo servile, sostituirla con “l'incarico fissa un termine per la conclusione dell’attività, non superiore a sei mesi, prorogabile con nuovo specifico incarico per periodi di pari durata;”;
lett. d): per semplificare, sostituirla con “i dati acquisiti dal l'investigatore privato non possono essere conservati dopo l'esaurimento dell'incarico;”
Articolo 11
Rubrica: dopo “Trattamento” sostituire “svolto” con “effettuato”.
Comma 1, lett. c): - terzo rigo, sostituire “ovvero sia” con “o è”; dopo “interessato” e dopo “Regolamento”, aggiungere il segno di interpunzione della virgola; - quarto rigo, sostituire “nel momento in cui si rende” con “o è”, dopo “necessaria”, espungere “la comunicazione”; - penultimo rigo, dopo “prescritto” espungere “da norme di” e aggiungere “dalla”; dopo “o” sostituire “richiesto da” con “per la richiesta da parte delle”.
Articolo 12
Rubrica: dopo “trattamento” sostituire l’intero periodo con “effettuato a fini statistici”.
Comma 1, lett. a): - dopo “pubbliche” espungere “.Con” ed aggiungere “o anche da fonti private, previo”; - secondo rigo, nel rispetto delle definizioni contenute nello schema, usare il carattere maiuscolo per la parola Regolamento; espungere il periodo successivo a “Regolamento”.
Comma 1, lett. b): secondo rigo, sostituire “ovvero” con “oppure”; sul presupposto che con “norma autorizzatoria” si sia inteso fare riferimento alle previsioni del programma statistico nazionale, prevederlo espressamente, altrimenti utilizzare una espressione più precisa.
Comma 1, lett. c): per eliminare l’uso di un verbo servile, sostituire “devono essere” con “sono”.
11. Conclusioni.
All’esito dell’esame e nello spirito di proficua collaborazione con l’Amministrazione, nonostante le svariate modifiche suggerite, questa Sezione ritiene di poter rendere un parere definitivo in luogo di quello interlocutorio, anche alla luce della circostanza che le norme attuative di rilevanza comunitaria sono state predisposte con grande ritardo rispetto alla norma attributiva del potere, risalente al 2018. Tanto non esonera l’Amministrazione dalla necessità di un puntuale esame delle criticità rilevate e di un loro motivato superamento. Si rimette dunque alla stessa la valutazione dell’opportunità di sottoporre nuovamente lo schema al parere di questa Sezione.
P.Q.M.
Nelle esposte considerazioni è il parere della Sezione.
|
|
|
|
|
|
L'ESTENSORE |
IL PRESIDENTE |
Giuseppa Carluccio |
Luigi Carbone |
|
|
|
|
|
|
|
|
|
|
|
|
IL SEGRETARIO
C. Giglio A. Colucci
|