Dati personali per fini penali: vietata profilazione di massa
di Annamaria Villafrate - Numerose e importanti le novità del decreto legislativo n. 51/2018 (sotto allegato), che attua la normativa europea sul trattamento dei dati personali nell'ambito dei procedimenti penali. L'ampliamento e la tutela dei diritti delle persone fisiche è assicurata dalla figura del Responsabile del trattamento dei dati, ma anche da tutta una serie di limiti e di sanzioni che puniscono gli utilizzi illeciti dei dati personali.
Di seguito l'analisi degli aspetti più rilevanti del decreto:
- Dati personali a fini penali: le novità
- Principi di trattamento dei dati
- Trattamento dei dati da parte delle Forze di Polizia
- Divieto di profilazione
- Diritti dell'interessato
- Limiti ai diritti dell'interessato
- Titolare e responsabile del trattamento
- Responsabile della protezione dei dati
- Trasferimento dei dati a Paesi terzi o organizzazioni Internazionali
- Violazioni: rimedi e sanzioni
- Illeciti penali
Dati personali a fini penali: le novità
Nell'ambito della riforma che sta portando l'Italia ad adeguarsi alla normativa europea sulla privacy e il trattamento dei dati personali, c'è anche la materia dei dati personali a fini penali. Di essa si cui occupa il dlgs. n. 51/2018, attuando la direttiva (Ue) 2016/680.
L'art. 1 precisa che il decreto attua la disciplina "relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati".
Le disposizioni del decreto andranno a sostituire le regole sul trattamento dei dati personali, da parte delle Forze di polizia per finalità di giustizia contenute nel Codice Privacy dlgs. n. 196/2003.
Principi di trattamento dei dati
L'art. 3 del decreto contiene l'elenco dei principi da rispettare in caso di trattamento dei dati personali, che devono essere:
- trattati in modo lecito e corretto;
- raccolti per finalità determinate, espresse e legittime e trattati compatibilmente a queste finalità;
- adeguati, pertinenti e non eccedenti rispetto alle finalità;
- esatti e, se occorre, aggiornati attraverso l'adozione di misure che consentano di cancellare o modificare i dati inesatti;
- conservati in modo da consentire l'identificazione degli interessati per il tempo necessario a raggiungere le finalità del trattamento e controllati periodicamente per verificare se è necessario conservarli, cancellarli o renderli anonimi, decorso il termine previsto per la conservazione;
- trattati con modalità e tecniche adeguate a garantirne la sicurezza e la protezione da trattamenti non autorizzati, illeciti, ma anche dall'eventuale perdita, distruzione o danni accidentale.
Trattamento dei dati da parte delle Forze di Polizia
Le autorità di pubblica sicurezza o le Forze di polizia possono acquisire informazioni, atti e documenti da altri soggetti, anche per via telematica, avvalendosi di convenzioni tese ad agevolarne la consultazione tramite reti di comunicazione elettronica, pubblici registri, elenchi, schedari e banche dati. I dati trattati dalle Forze di polizia devono essere conservati separatamente da quelli registrati per finalità amministrative.
Il Centro elaborazione dati del Dipartimento della pubblica sicurezza assicura l'aggiornamento periodico dei dati anche attraverso interrogazioni autorizzate del casellario giudiziale e dei carichi pendenti del Ministero della giustizia o di altre banche dati delle Forze di polizia.
Organi, uffici e comandi di polizia devono periodicamente verificare e aggiornare i dati anche senza l'ausilio di strumenti elettronici.
Divieto di profilazione
L'art. 8 del decreto vieta "le decisioni basate unicamente su un trattamento automatizzato, compresa la profilazione, che producono effetti negativi nei confronti dell'interessato, salvo che siano autorizzate dal diritto dell'Unione europea o da specifiche disposizioni di legge." In sostanza i giudici non potranno più ricorrere al trattamento automatizzato di dati personali per valutare la condotta, l'attendibilità o gli spostamenti della persona interessata, a cui deve essere "garantito il diritto di ottenere l'intervento umano da parte del titolare del trattamento".
Diritti dell'interessato
Il capo II del decreto contiene la disciplina dei diritti dell'interessato:
- ricevere informazioni sul trattamento dei propri dati in forma concisa, intellegibile, facilmente accessibile, gratuita e scritta;
- conoscere l'identità e i dati di contatto del titolare del trattamento, del responsabile della protezione dei dati, se previsto, e le finalità del trattamento dei dati;
- proporre reclamo al Garante;
- chiedere al titolare del trattamento l'accesso, la rettifica, la cancellazione e la limitazione del trattamento dei dati personali che lo riguardano;
- quando previsto dalla legge o da regolamenti, ricevere informazioni funzionali all'esercizio dei propri diritti: titolo giuridico del trattamento; periodo di conservazione dei dati o criteri per determinare tale periodo; categorie dei destinatari dei dati personali e tutte le informazioni utili all'esercizio dei diritti, soprattutto se gli stessi sono stati raccolti a sua insaputa;
- accedere a tutti i dati che lo riguardano (art. 11 del decreto), chiedendone conferma al titolare del trattamento;
- chiedere, senza giustificato ritardo, al titolare del trattamento, la rettifica, la cancellazione e la limitazione del trattamento dei propri dati.
Limiti ai diritti dell'interessato
I diritti dell'interessato (artt. 10, 11 e 12) vanno incontro ad alcuni limiti:
- se contenuti in una decisione giudiziaria, in atti o documenti oggetto di trattamento nel corso di accertamenti o indagini, nel casellario giudiziale o in un fascicolo oggetto di trattamento nel corso di un procedimento penale o in fase di esecuzione penale, infatti, possono essere esercitati conformemente a quanto previsto dalle disposizioni di legge o di regolamento che disciplinano questi atti e procedimenti;
- chiunque vi abbia interesse, durante il procedimento penale o dopo la sua definizione, può chiedere, ai sensi dell'art 116 c.p.p, la rettifica, la cancellazione o la limitazione dei dati personali che lo riguardano. Su tali richieste il giudice provvede ai sensi dell'art 130 c.p.p.;
- l'esercizio di alcuni diritti può essere ritardato, limitato o escluso, nel momento in cui la limitazione è necessaria a proporzionata, rispetta i diritti fondamentali e gli legittimi interessi della persona fisica interessata e non compromette: il buon esito dell'attività di prevenzione, indagine, accertamento, perseguimento di reati, esecuzione di sanzioni penali, applicazione delle misure di prevenzione personali, patrimoniali e misure di sicurezza, tutela la sicurezza pubblica, quella nazionale, diritti e libertà altrui.
Titolare e responsabile del trattamento
Il titolare del trattamento deve attuare, riesaminare e aggiornare, se occorre, misure tecniche e organizzative adeguate per garantire che il trattamento dei dati avvenga in conformità al presente decreto. L'obiettivo è di garantire la protezione dei dati e tutelare i diritti degli interessati, disponendo che siano trattati solo i dati necessari per le finalità del trattamento e rendendoli inaccessibili a un numero indefinito di soggetti.
Egli in forma scritta o elettronica deve tenere un registro contenente tutte le attività del trattamento, in cui indicare determinate informazioni. Quando un trattamento deve essere effettuato per conto del titolare del trattamento, costui può avvalersi di responsabili del trattamento che devono predisporre misure tecniche e organizzative adeguate per la tutela dell'interessato e la protezione dei suoi dati personali, nel rispetto delle istruzioni impartite dal titolare del trattamento.
Responsabile della protezione dei dati
Il titolare del trattamento deve designare un responsabile della protezione dei dati che abbia conoscenza della normativa e delle prassi in materia di protezione dei dati, i cui dati di contatto devono essere pubblicati e comunicati al Garante.
Egli deve assolvere ai seguenti compiti:
- informare il titolare e i dipendenti che trattano i dati degli obblighi che sono tenuti a rispettare in adempimento della legge statale ed europea;
- vigilare sull'osservanza della normativa privacy;
- fornire, su richiesta, un parere relativo alla valutazione d'impatto sulla protezione dei dati e sorvegliarne l'esecuzione
- cooperare con il Garante Privacy;
- fungere da punto di contatto con il Garante per le questioni relative al trattamento dei dati.
Trasferimento dei dati a Paesi terzi o organizzazioni Internazionali
Il trasferimento di dati personali oggetto di trattamento che devono essere trasferiti per essere trattati da un Paese terzo o da un'organizzazione internazionale è consentito se:
- il trasferimento è necessario per le finalità previste dal decreto;
- il soggetto che li tratterà è un'autorità competente;
- lo Stato che ha la disponibilità dei dati ne autorizza il trasferimento;
- la Commissione europea adotta una decisione di adeguatezza, o se sono state fornite o esistono garanzie adeguate.
In mancanza dell'autorizzazione preliminare il trasferimento è consentito solo se necessario per prevenire una minaccia grave e immediata alla sicurezza pubblica o agli interessi vitali di uno Stato membro o di un Paese terzo.
Violazioni: rimedi e sanzioni
Chi, nel corso di un procedimento penale, rileva violazioni in materia di trattamento dei dati che lo riguardano può:
- fare reclamo al Garante privacy
- ricorrere all'autorità giudiziaria, anche nella forma della class action e chiedere il risarcimento del danno patrimoniale e non patrimoniale.
Sono poi previste sanzioni amministrative, al di fuori dei trattamenti svolti in ambito giudiziario, quando vengono violate specifiche disposizioni del decreto.
Illeciti penali
Ai fini del decreto, commette un reato in materia di trattamento dei dati personali:
- chi tratta illecitamente dati altrui al fine di trarne per sé o per altri profitto o recare un danno a terzi;
- chi dichiara o attesta falsamente notizie o circostanze o produrre atti o documenti falsi;
- non osservare il provvedimento del Garante (art. 143, comma 1, lettera c del Codice privacy) in un procedimento sul trattamento dei dati.
Autore: Annamaria Villafrate