Fonti normative
Gdpr: art. 10
Considerando: 19, 75
Codice della Privacy: art. 2 sexies e octies (articolo inserito dall’art. 2 comma 1 lettera f del D.lgs 101/2018)
Premessa
Il quadro normativo di riferimento è quello che deriva dal combinato disposto del GDPR, del d.lgs.101/2018 e delle norme del Codice Privacy sopravvissute al decreto di armonizzazione.
Il Gdpr pone particolare attenzione al trattamento di questa tipologia di dati dal momento che, come spiegato nel Considerando 75, il loro uso può “comportare discriminazioni, furto o usurpazione di identità, perdite finanziarie, pregiudizio alla reputazione … o qualsiasi altro danno economico significativo
Il Codice della Privacy, il Gdpr e l’adeguamento della normativa nazionale
Il Codice della Privacy previgente dettava disposizioni specifiche per il trattamento dei dati giudiziari e in particolare, gli articoli 21 e 22 del Codice stabilivano che questi dati potevano essere trattati da soggetti pubblici, prevedendo alternativamente il fondamento nella legge o l’autorizzazione del Garante, e l’articolo 27 disciplinava invece il trattamento di tali dati da parte di privati o di enti pubblici economici, consentendolo soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.
Tali articoli sono abrogati dalla riforma in quanto incompatibili con il Regolamento UE che, agli artt. 6 e 10, ha affrontato il tema della liceità del trattamento di questa tipologia di dati.
Dal combinato disposto delle anzidette norme emerge che il trattamento è lecito, ex art 6, se: l’interessato ha espresso il consenso per una o più specifiche finalità; se è necessario all’esecuzione di un contratto; per adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento; per la salvaguardia degli interessi vitali dell’interessato o di altra persona fisica; per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; per il perseguimento del legittimo interesse del titolare .
Alle predette condizioni generali si devono poi aggiungere quelle individuate dal successivo art. 10. Questa norma infatti detta due ulteriori condizioni (tra loro alternative) che rendono lecito il trattamento della tipologia dei dati che stiamo qui analizzando; queste sono: il controllo della autorità pubblica sul trattamento o se questo è autorizzato dal diritto dell’Unione o degli Stati membri. La norme prevede poi una eccezione quando il trattamento consiste nella tenuta di un registro completo delle condanne penali.
All’attuazione dell’articolo 10 provvede poi l’articolo 2-octies del Codice della protezione dei dati personali che individua i principi relativi al trattamento di questi dati ravvisando la liceità di tale trattamento se svolto sotto il controllo di una autorità pubblica e, in difetto, è subordinata alla sussistenza di una disposizione di legge o di regolamento che lo autorizzi e che preveda garanzie appropriate per i diritti degli interessati. In difetto di disposizioni normative il comma 2 precisa che i trattamenti e le relative garanzie potranno essere individuati con decreto del Ministro della giustizia, sentito il Garante.
Il successivo comma 3 elenca poi i casi in cui il trattamento di questi particolari dati è consentito in quanto autorizzato da una norma già entrata in vigore. La disposizione contiene una elencazione – che peraltro pare non esaustiva – che spazia dalle disposizioni relative alla mediazione civile, al rating di legalità delle imprese, dal diritto di accesso ai documenti amministrativi all’attività assicurativa, al diritto del lavoro.
In tale ultima situazione, il comma 4 precisa che, quando le disposizioni vigenti non individuano garanzie appropriate per il trattamento di questi dati, sarà il decreto del Ministro della Giustizia (comma 2) a prevederle.
–
Quando il trattamento dei dati relativi a condanne penali e reati è svolto sotto il controllo dell’autorità pubblica, il comma 5 richiama l’applicazione dell’articolo 2-sexies (v. sopra), ai sensi del quale il fondamento giuridico del trattamento deve specificare i tipi di dati trattati, le operazioni eseguibili e il motivo di interesse pubblico. Il comma 6, infine, demanda al decreto del Ministro della Giustizia (comma 2) il compito di autorizzare i trattamenti dei dati effettuato in attuazione di protocolli d’intesa per la prevenzione delle infiltrazioni mafiose stipulati da soggetti diversi (comuni, società private ecc.) con il Ministero dell’Interno o le Prefetture. Nelle more dell’emanazione del decreto, l’articolo 22, comma 13 dello schema (v. infra), autorizza il trattamento dei dati effettuato in attuazione dei suddetti protocolli previo parere del Garante.
–
Riproduzione riservata
Avv. Elisa Boreatti
