Il punto su protezione dei dati personali, riservatezza e magistrati. Intervista di Paola Filippi a Giorgio Resta, professore ordinario di Diritto comparato presso l'Università di Roma Tre
1. Il d. lgs. n. 51 del 2018, emesso in esecuzione della direttiva UE 2016/680 sulla protezione dei dati personali, ha introdotto disposizioni in materia di tutela del trattamento dei dati personali di soggetti terzi acquisti in ambito penale.
Come si attua secondo la previsione normativa la tutela dei terzi? *
Il decreto ha introdotto, all’art. 14, 1° co., una norma assolutamente innovativa, che sancisce in capo a chiunque vi abbia interesse (dunque anche il terzo) il diritto di ottenere, con le forme particolarmente agili delle procedure di cui agli artt. 116 e 130 c.p.p., la rettifica, cancellazione o limitazione dei dati che lo riguardano, contenuti in atti giudiziari o indagini, anche in sede processuale. Si tratta di una tutela remediale importante, che valorizza anche in ambito giudiziario il diritto fondamentale alla protezione dei dati personali (art. 8 Carta dei diritti UE) e segnatamente all’autodeterminazione informativa. A tacer d’altro, tale disposizione, se riferita a dati eccedenti contenuti nelle trascrizioni delle intercettazioni, potrebbe dare un contributo ad importante se non proprio a risolvere, quanto meno a inquadrare correttamente sul piano teorico e valoriale molti dei problemi suscitati dal fenomeno del trial by media.
2. Il Palamara gate, oltre a scoperchiare il vaso di pandora sulla lottizzazione delle nomine e degli incarichi conferiti dal Consiglio superiore della Magistratura, in ragione dell’enorme quantità di conversazioni contenute nel cellulare di Luca Palamara ha posto in luce, come tema accessorio da alcuni sottovalutato, la questione del trattamento dei dati personali di persone terze rispetto al procedimento penale. In che termini i dati sensibili relativi a terze persone possono essere diffusi? Quali sono gli strumenti che i terzi possono attivare?
La domanda che mi pone è importante anche perché non è legata esclusivamente alle vicende di attualità. Ricordo, ad esempio, che una delle pronunzie più interessanti sull’art. 8 CEDU della Corte europea dei diritti dell’uomo è quella resa nel 2003 nella controversia Craxi c. Italia (II), quando la Repubblica italiana fu condannata per la violazione dell’obbligo positivo di protezione del diritto al rispetto della vita privata, in quanto alcuni giornali, per negligenza nella custodia degli atti processuali, pubblicarono stralci delle intercettazioni telefoniche depositate nel processo a carico di Bettino Craxi. Alcune delle conversazioni pubblicate attenevano a telefonate di natura strettamente privata e confidenziale tra la consorte di Craxi ed altri soggetti, tra i quali Veronica Lario, e non potevano come tali essere divulgate in quanto non pertinenti rispetto alle esigenze di controllo pubblico sul processo e non conformi con il parametro – diremmo oggi – di “essenzialità dell’informazione rispetto a fatti di interesse pubblico” (art. 137, 3° co., d.lgs. 196/2003). Questo tema interseca oggi due profili e due plessi normativi diversi: il d.lgs. 51 del 2018 per quanto concerne l’utilizzo, in sede processuale penale dei dati personali acquisiti al procedimento e la circolazione extraprocessuale dei dati stessi, che soggiace invece al più articolato Regolamento generale sulla protezione dei dati, con la normativa interna di adeguamento (d.lgs. 196/2003). In linea generale, la circolazione extraprocessuale dei dati personali deve essere legittimata da uno specifico presupposto di liceità, che “copra” tanto il soggetto che ostende il dato (ad esempio il pubblico ministero ex art. 116, 2° co., cpp) quanto colui che lo riceve e che risponderà, poi, del successivo utilizzo. In ogni caso, anche se legittimato nell’an, il successivo trattamento dei dati deve rispondere ai criteri generali di proporzionalità, finalità (funzionalità allo scopo), minimizzazione e, nel caso di giornalismo, come dianzi ricordato, essenzialità dell’informazione. Ove ravvisino violazioni di legge, i terzi possono in prima battuta esercitare i propri diritti ex art. 15 e ss. Reg. UE 2016/679 nei confronti del titolare del trattamento (dunque chi, avendo ricevuto i dati, autonomamente li utilizzi) e, in caso di infruttuoso esperimento di tali richieste, rivolgersi al Garante o all’autorità giudiziaria (la quale può accordare anche una tutela di tipo risarcitorio).
3. Qual è lo spazio di discrezionalità del detentore dei dati in relazione alla richiesta di distruzione? Ci sono situazioni che ne giustificano la diffusione contro la volontà del terzo?
La richiesta di cancellazione dei dati (art. 17 Reg. 2016/679) è uno dei diritti suscettibili di esercizio da parte dell’interessato che ritenga che non sussistano più (o, peggio, non siano mai stati ravvisabili) i presupposti di liceità che legittimino (o legittimino ancora) la conservazione dei dati, ad esempio perché si è conclusa l’attività rispetto alla quale quel determinato trattamento dei dati era funzionale. La conservazione ulteriore può dunque essere possibile, in questi casi, unicamente qualora un altro presupposto di liceità (evidentemente diverso dal consenso) legittimi o, come nel caso degli obblighi di legge, imponga la conservazione. Si tratta generalmente di presupposti di liceità a valenza pubblicistica, che dunque giustificano questa compressione del diritto alla protezione dei dati, purchè proporzionale, per fini di interesse generale.
4. Cosa si intende per dati personali e quali sono le conseguenze della loro divulgazione?
Il concetto di dato personale adoperato dalle fonti europee e dalla disciplina italiana di adeguamento è amplissimo – esso è stato oggetto peraltro di una apposita Opinion illustrativa del Gruppo dei garanti europei previsto dalla Direttiva 95/46/CE – e comprende non soltanto i dati direttamente identificativi, ma anche quelli dai quali possa, pur indirettamente, desumersi l’identità del soggetto (si pensi, ad esempio, all’indirizzo IP, che la Corte di giustizia UE, qualche anno fa, ha ritenuto possa integrare la fattispecie del dato personale). Le conseguenze di un’indebita divulgazione di dati personali (per tali intendendosi appunto anche quelli per i quali possa comunque giungersi ad identificare, pur in via mediata, l’interessato) possono integrare livelli di gravità assai variabile: si passa dalla marginale lesività della diffusione di dati neutri alle implicazioni drammatiche che può avere, ad esempio, l’indebita pubblicazione di dati sensibili come quelli sulla salute, l’orientamento sessuale, il profilo genetico. Gravi sono anche le ipotesi di divulgazione indebita (se in violazione del parametro dell’essenzialità dell’informazione) delle conversazioni captate in sede investigativa che, spesso estrapolate dal contesto, lungi dal soddisfare esigenze informative reali, rischiano di alimentare mero voyeurismo, confondendo - come già osservato dall’ex Presidente dell’Autorità garante Antonello Soro- ciò che è di pubblico interesse con ciò che è di interesse del pubblico.
5. Come si bilancia l’interesse all’informazione con l’interesse alla riservatezza?
Non esiste una “golden rule” e la risposta a questa domanda va riferita a una determinata società, a uno specifico ordinamento giuridico, e a un ben preciso momento storico. L’esperienza del diritto comparato ci illustra una grande varietà di risposte sia sul piano sincronico (il bilanciamento USA pende, come noto, quasi del tutto dal lato dell’informazione, finendo per sacrificare quello stesso interesse alla privacy che vide la luce proprio grazie alla pena del celebre giudice Brandeis e dell’avvocato Warren nel lontano 1890) sia su quello diacronico (ancora l’esempio USA è emblematico, visto che attesta un radicale cambiamento di impostazione nel secondo dopoguerra, a seguito dellla nomina da parte di Roosevelt di giudici come Hugo Black, teorici della tutela assoluta del 1° Emendamento). Dunque, se guardiamo al nostro ordinamento, oggi, nel contesto del sistema multilivello europeo, dobbiamo desumerne che quanto meno in astratto l’interesse all’informazione è garantito sino al punto in cui operi in maniera sinergica con il rispetto dei diritti altrui, e in particolare il diritto al rispetto della dignità umana, con le sue ramificazioni in termini di riservatezza, identità, reputazione. In particolare conviene osservare come le regole deontologiche dei giornalisti (la cui violazione può legittimare un divieto del trattamento da parte del Garante ex art. 139, 4° co. d.lgs. 196/2003 e integra oggi gli estremi di illeciti amministrativi di natura parapenale, come ha correttamente osservato la giurisprudenza interna) contengono dei criteri, eterointegrativi del sistema normativo di tutela dei dati personali, determinanti al fine di coniugare privacy e informazione (art. 137 e 139 d.lgs. 196/2003). I principi-cardine, ribadisco ricordando le auree pagine di Stefano Rodotà, sono quelli dell’essenzialità dell’informazione e della tutela della dignità della persona (in particolare se in condizione di vulnerabilità, ad esempio per malattia o sottoposizione ad atti coercitivi). Questo, ovviamente, in linea di stretto diritto, anche se non possiamo nasconderci che il diritto, disgiunto da una diffusa cultura degli operatori dell’informazione ben poco può (basti confrontare il modo in cui l’informazione relativa ai processi viene resa in un paese come la Germania, dove ad esempio si anonimizzano regolarmente i dati dei soggetti sottoposti a procedimento penale sino a che non sia definito il primo grado, quanto meno là dove questi non siano titolari di funzioni pubbliche o celebrità, e in Italia, dove tuttora vige un vero e proprio far West informativo).
6. Il Presidente dell’Associazione Nazionale Magistrati Giuseppe Santalucia ha ricevuto da alcuni magistrati del Comitato direttivo centrale della Anm richiesta diretta ad ottenere le interlocuzioni dei probiviri dell’ANM con l’autorità giudiziaria, contenenti dati personali di magistrati terzi non iscritti all’associazione.
Quale era lo spazio di discrezionalità in capo al Presidente dell’ANM in ordine alla consegna delle parti contenenti dati personali di magistrati non più associati all’ANM, in relazione ai quali era stata formulata richiesta di distruzione? Quali le eventuali conseguenze in caso di violazione del diritto alla riservatezza?
Quello della circolazione endoassociativa dei dati personali (degli associati e, soprattutto, dei terzi) è un tema delicatissimo, in quanto esige un bilanciamento tra la riservatezza individuale, libertà dell’associazione e libertà (degli associati) nell’associazione. Su di esso, in termini generali, meritano di essere tuttora attentamente meditate le pagine profonde, colte ed equilibrate di Pietro Rescigno. Complessità ulteriori sorgono qualora oggetto della circolazione endoassociativa siano dati acquisiti da procedimenti penali, di natura sensibile o giudiziaria e qualora il fine del trattamento sia l’esercizio dell’azione disciplinare, da parte degli organi competenti secondo le norme statutarie. In casi come quello in esame, le regole auree da seguire sono quelle della proporzionalità (da declinarsi in forme più stringenti in relazione ai dati sensibili), della funzionalità dell’ostensione all’esercizio dei compiti specificamente attribuiti dallo statuto a un determinato organo associativo e, in ogni caso, della minimizzazione, che comporta l’oscuramento di ogni dato personale ultroneo rispetto alle esigenze perseguite. Trasponendo questi principi al caso concreto che mi ha proposto, direi che si debba valutare: a) se la richiesta di ostensione fosse in sé legittima in quanto necessaria all’esercizio di specifiche competenze statutariamente attribuite al Comitato direttivo centrale e, se rispetto ai magistrati non più associati, potesse ancora ipotizzarsi la persistenza di poteri associativi (con una sorta di ultrattività che, tuttavia, mi parrebbe a prima vista quantomeno dubbia); b) il perimetro dell’ostensione e, dunque, quali dati ostendere e come, espungendo ogni dato ultroneo, tanto più se di natura sensibile o giudiziaria; c) calibrare l’esigenza addotta dai membri del Comitato direttivo centrale con la legittima aspettativa di riservatezza vantata dall’ex associato e rivendicata con l’apposita istanza di distruzione.
Non si tratta di valutazioni agevoli, ma assai importanti, non foss’altro perché un’eventuale indebita ostensione, da parte dell’associazione, di dati personali può integrare, a tacer d’altro, un illecito amministrativo “pesante”, per il quale sono previste sanzioni fino a 20 milioni di euro.
* in tema di protezione di dati personali La Direttiva sulla protezione dei dati personali in ambito giudiziario penale e di polizia, le intercettazioni e la tutela dei terzi di Federica Resta e Conservazione dei dati e diritto alla riservatezza. La Corte di giustizia interviene sulla data retention. I riflessi sulla disciplina internaConservazione dei dati e diritto alla riservatezza. La Corte di giustizia interviene sulla data retention. I riflessi sulla disciplina interna