ISBN 978-88-548-2217-7 ISSN: 2036-5993 Registrazione: 18/09/2009 n.313 presso il Tribunale di Roma

La Direttiva sulla protezione dei dati personali in ambito giudiziario penale e di polizia, le intercettazioni e la tutela dei terzi

La Direttiva sulla protezione dei dati personali in ambito giudiziario penale e di polizia, le intercettazioni e la tutela dei terzi

di Federica Resta*  

Sommario: 1. La direttiva 2016/680 - 2. Il recepimento della direttiva - 2.1. I dati personali contenuti in atti giudiziari, le intercettazioni e la tutela dei terzi.  

1. La direttiva 2016/680  

Una delle componenti più significative (ma, paradossalmente, anche meno conosciute) del nuovo quadro giuridico europeo in materia di protezione dei dati personali è rappresentato dalla direttiva 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, “relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio”.

La direttiva reca la disciplina- speculare a quella del Regolamento generale sulla protezione dei dati personali, n. 2016/679, “GDPR” – della protezione dei dati personali nell’esercizio dell’attività giudiziaria penale e di polizia, affidandola tuttavia a uno strumento giuridico di armonizzazione (e non di diretta unificazione) delle legislazioni, in ragione delle peculiarità della materia e della diversità dei sistemi processuali tra Stati membri, secondo quella specificità richiesta dalla dichiarazione 21, allegata all'atto finale della Cig che ha approvato il Trattato di Lisbona[1]

Innovando rispetto alla decisione quadro, che abroga, la direttiva estende la sua sfera applicativa dal solo ambito della cooperazione di polizia e giudiziaria a quello delle attività (giudiziaria penale e di polizia) svolte in ambito interno.

La distinzione dell’ambito applicativo tra regolamento e direttiva 680 è, dunque, tutta giocata sul duplice elemento soggettivo (svolgimento del trattamento da parte di autorità nazionali competenti nelle materie individuate) e teleologico-funzionale (perseguimento di fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica).

La concorrente applicazione dei due strumenti normativi, Gdpr e direttiva (fondata tanto sull’elemento soggettivo quanto su quello teleologico-funzionale della preordinazione del trattamento a fini preventivi o repressivi) determina, quindi, il singolare effetto di scindere la stessa disciplina dei trattamenti svolti per fini di giustizia in due sotto-sistemi distinti. L’attività giudiziaria (corrispondente all’esercizio di funzioni requirenti e giudicanti, anche in ambito esecutivo o di sorveglianza), in sede penale è soggetta (al pari dell’attività di polizia in senso stretto), per quanto concerne la disciplina di protezione dati, alla direttiva 2016/680

Così anche – come chiarito dal d.lgs. 51 del 2018 - l’attività giurisdizionale connessa all’applicazione di misure di sicurezza e prevenzione, correlata comunque alla prevenzione di reati , è disciplinata, ai fini privacy, dalla direttiva (e, naturalmente, dalle norme nazionali di recepimento: per l’Italia il d.lgs. 51).

Di contro, l’attività giudiziaria svolta da ogni altra giurisdizione (anche dalla stessa autorità giudiziaria, ma in sede civile) è attratta nell’ambito applicativo del Regolamento, con ciò che ne consegue in termini di diversa puntualità ed estensione degli obblighi del titolare, nonché di minore margine di flessibilità per la disciplina nazionale.

Tra le peculiarità della direttiva (che sono state peraltro oggetto di critiche da parte del Working Party 29, precedente organismo di coordinamento delle Autorità di protezione dati), vi sono la limitazione dei diritti dell’interessato nell’ambito di procedimenti penali in base alle norme processuali interne, l’esclusione (necessaria) di competenza dell’Autorità di controllo rispetto  ai trattamenti effettuati dalle “autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali” e quella (facoltativa) rispetto ai trattamenti svolti “da altre autorità giurisdizionali indipendenti nell’esercizio delle loro funzioni giurisdizionali” (art. 45, c.2, riferito in parte qua alle Procure, come chiarisce il C 80).

Le medesime autorità possono inoltre essere esentate dall’obbligo di designazione del responsabile della protezione dati (art. 32, c.1), deputato all’osservanza delle norme della direttiva e alla tenuta dei rapporti con l’autorità di controllo. Pur evitando ogni possibile interferenza di organi altri rispetto al giudiziario- la cui indipendenza è tutelata dalla stessa Carta di Nizza in funzione della garanzia del diritto di difesa- tali limitazioni avrebbero forse potuto essere sostituite da un sistema analogo a quello previsto dal previgente Codice privacy (d.lgs. 196 del 2003), in cui il potere di controllo sui trattamenti rimesso all’Autorità aveva incontrato il limite esterno del divieto di interferenza sull’esercizio della giurisdizione (cfr. anche art. 160, c.6), come espressamente rivendicato, tra l’altro, rispetto alle obiezioni sollevate rispetto al provvedimento del Garante del 2013 sulle misure di sicurezza negli uffici giudiziari (cfr. comunicato del Garante 25.9.2013).

Nel complesso, tuttavia, il testo finale della direttiva delinea un bilanciamento apprezzabile tra esigenze investigative e protezione dati, rappresentato ad esempio dalla differenziazione tra i dati “fondati su fatti” e quelli “fondati su valutazioni personali”, dalla tutela rafforzata accordata a “particolari categorie di dati”, nonché dal divieto di profilazione suscettibile di determinare discriminazioni fondate sulle stesse categorie di dati (si pensi al racial profiling). Importante anche il “paniere” di diritti riconosciuti all’interessato, ancorché comprimibili in ragione di particolari esigenze investigative o di sicurezza, purché la limitazione “costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi” dell’interessato, secondo la dizione Cedu.

Importante l’affermazione del diritto dell’interessato al risarcimento del danno derivato da trattamento illecito, nonché alla tutela amministrativa e giurisdizionale effettiva.  

2. Il recepimento della direttiva  

La direttiva 2016/680 è stata trasposta nel nostro ordinamento con il decreto legislativo n. 51 del 2018, secondo un criterio di recepimento assai puntuale, anche in ragione dell’assenza, nella legge di delegazione, di principi e criteri direttivi specifici, ulteriori rispetto a quello inerente la cornice edittale per le fattispecie delittuose da introdurre.

Ciononostante, il decreto ha compiuto alcune scelte essenziali, tra le quali:l’introduzione di una specifica fattispecie delittuosa modellata sulla falsariga del trattamento illecito di dati personali (con dolo, specifico, di danno o di profitto e condizione obiettiva di punibilità intrinseca fondata sul nocumento altrui) volta a colpire alcune forme qualificate di abuso del potere di trattamento in danno del cittadino; l’obbligatorietà della nomina del responsabile della protezione dati  anche per l’autorità giudiziaria nell’esercizio delle sue funzioni (laddove la direttiva consentiva anche di prescinderne); una tutela forte del terzo coinvolto in procedimenti penali; l’esenzione (doverosa) della competenza del Garante rispetto al controllo sulla legittimità dei trattamenti di dati personali svolti “ dall’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali, nonché di quelle giudiziarie del pubblico ministero” (art. 37, c.6); ambito, questo, in cui conseguentemente si esclude la tutela amministrativa di tipo sanzionatorio. Relativamente a questi trattamenti non è stata indicata un’autorità altra, ma si è rimesso il controllo di legittimità alla stessa sede processuale, con gli strumenti del processo, secondo la soluzione percorsa dal legislatore tedesco. 

Vi è certo da dire che, nella direttiva, l’esclusione di competenza dell’autorità di protezione dati  rispetto all’attività giudiziaria non equivale ad esclusione assoluta di attribuzione di altri organi di controllo, pur con modalità e garanzie tali da escludere ogni possibile violazione dei requisiti costituzionali di autonomia, soggezione esclusiva alla legge e indipendenza della magistratura da ogni altro potere. Una delle possibili soluzioni, ad esempio, avrebbe potuto essere l’attribuzione della relativa competenza al CSM, eventualmente anche integrandone la composizione (previe opportune modifiche normative) con esperti in materia.  

2.1. I dati personali contenuti in atti giudiziari, le intercettazioni e la tutela dei terzi  

Una delle innovazioni più importanti introdotte dal legislatore interno[2] concerne, però, l’introduzione, all’art. 14, del diritto di “chiunque vi abbia interesse” (dunque anche del terzo) di “richiedere la rettifica, cancellazione o limitazione dei suoi dati contenuti in atti giudiziari o indagini, anche in sede processuale, con le modalità di cui all’art. 116 c.p.p., precisandosi che “il giudice provvede con le forme dell'articolo 130 del codice di procedura penale”[3].

Vista la latitudine interpretativa della nozione di dato personale di cui all’art. 2, c.1, lett.a) d.lgs. 51, la norma è inequivocabilmente applicabile anche ai dati contenuti alle conversazioni intercettate, sia nella forma del file audio che della relativa trascrizione. Depone in tal senso la prassi del Garante, oltre che la giurisprudenza pronunciatasi in anni di vigenza del d.lgs. 196 del 2003, che recava una nozione di dato personale appena più limitativa dell’attuale.

In ragione dell’applicabilità della norma dell’art. 14, c.1 anche ai dati contenuti nelle conversazioni captate, contenute in brogliacci o file audio, essa sancisce in capo non solo alle parti processuali ma anche al terzo, il diritto di ottenere, con le forme particolarmente agili delle procedure di cui agli artt. 116 e 130 c.p.p., la rettifica, cancellazione o limitazione dei dati che lo riguardano.

Tale interpretazione è “suffragata”, oltre che dal C 47 della direttiva 2016/680, anche dalla interpretazione “ufficiale” fornita dal Presidente del Garante per la protezione dei dati personali, nell’ambito della Relazione indicata, secondo cui “È significativa, ad esempio, la previsione del diritto della persona (a prescindere dalla posizione processuale, includendovi anche il terzo estraneo alle indagini) di richiedere, con una procedura particolarmente agile, la cancellazione o rettifica dei propri dati illegittimamente trattati in ambito giudiziario penale. Norma, questa, che potrebbe risultare particolarmente utile anche rispetto alle conversazioni intercettate”. Analoga posizione è stata rappresentata nell’ambito del Convegno La rivoluzione mancata. A proposito di riforma della disciplina delle intercettazioni, tenutosi alla LUISS il 13 novembre 2018, disponibile su http://www.radioradicale.it/scheda/557504/, in cui si rilevava come la norma coprisse, sostanzialmente, alcune delle lacune derivanti dal differimento (allora vigente) dell’applicabilità dell’art. 2 del d.lgs. 216/2017, quale suo equivalente funzionale[4].

La richiesta va rivolta al titolare del trattamento (cfr. artt. 12-15 direttiva 2016/680, nonché artt. 10, 11 e 12 dello stesso d.lgs. 51, richiamati dall’art. 14) che, secondo la fase processuale, dovrà essere individuato con il regolamento attuativo di cui all’art. 5, c.2, d.lgs. 51. In ogni caso, il giudice (che potrebbe comunque ritenersi competente a decidere, per ragioni di terzietà, anche laddove il titolare per fase processuale sia il Pubblico Ministero) sarà tenuto a osservare le forme della procedura per la correzione degli errori materiali.

Quanto al contenuto delle richieste suscettibili di proposizione in questa sede da parte dell’interessato, la norma menziona anzitutto il diritto di cancellazione, da esercitarsi secondo i criteri generali di cui all’art. 269, c.2, c.p.p. (ove riguardi le intercettazioni) e, dunque, in relazione a dati non necessari a fini probatori o investigativi, dal momento che tale assenza di necessità renderebbe per ciò solo la conservazione di dati personali (a fortiori se di soggetti terzi rispetto alle indagini) illegittima per violazione dei principi di finalità, proporzionalità, non eccedenza di cui all’art. 3 dlgs 51 (salvo volersi riferire la nozione di necessità a procedimenti diversi, nei quali le conversazioni potrebbero rifluire ex art. 270 c.p.p.).

Qualora la cancellazione debba essere rigettata per esigenze di conservazione probatoria, l’interessato può però chiedere la limitazione del trattamento (v. infra), che consiste essenzialmente nel trasferire i dati “ad altro sistema di archiviazione” o nel rendere inaccessibili i dati stessi.

La rettifica concerne la correzione di dati inesatti: “Una persona fisica dovrebbe avere il diritto di ottenere la rettifica di dati personali inesatti che la riguardano, in particolare se relativi a fatti, e il diritto alla cancellazione quando il trattamento di tali dati viola la presente direttiva. Il diritto di rettifica, tuttavia, non dovrebbe avere effetti, ad esempio, sul contenuto di una prova testimoniale”. (cfr. C 47 della direttiva)

La limitazione concerne invece i casi nei quali la legittimità del trattamento del dato sia in discussione, ma non possa accertarsi, almeno nel momento considerato, l’effettiva fondatezza della richiesta o, comunque, quando i dati debbano essere conservati a fini  probatori (cfr. C 47 della direttiva).

Il C 47 precisa inoltre che le rettifiche, al pari delle cancellazioni e limitazioni di dati personali “dovrebbero essere comunicate ai destinatari a cui tali dati sono stati comunicati e alle autorità competenti da cui i dati inesatti provengono. I titolari del trattamento dovrebbero inoltre astenersi dal diffondere ulteriormente tali dati”.

La limitazione del trattamento, dunque, potrebbe essere una valida misura (da attuare ad esempio con la custodia nel luogo protetto previsto per le intercettazioni illegali ex art. 240, c.2, c.p.p., ovvero nell’archivio riservato) da attuare rispetto a dati personali contenuti, ad esempio, in conversazioni captate che, almeno in fase d’indagini, il p.m. ritenga di non dover depositare ma che non possa neppure cancellare perché, ad esempio, suscettibili di sviluppi investigativi se si versa in una fase iniziale del procedimento.

Naturalmente, poi, venuta meno la concreta possibilità di un’utilizzazione processuale, le intercettazioni oggetto di limitazione dovrebbero essere cancellate (con le forme dell’art. 269, c.2, cpp) anche d’ufficio, in ottemperanza ai principi di non eccedenza del trattamento che si applicano, appunto, anche agli atti giudiziari ex art. 3 dlgs 51/2018.

Si tratta di una norma che ben potrebbe essere valorizzata a fini di tutela, appunto, dei soggetti a qualunque titolo coinvolti nelle intercettazioni., laddove non abbiano sortito effetto i criteri di “sobrietà contenutistica” e minimizzazione selettiva imposti, in sede di trascrizione, dalla disciplina vigente, come riformata per effetto della successione tra le leggi Orlando e Bonafede.

Al fine di garantire la tutela effettiva dei terzi, tuttavia, sarebbe opportuno prevedere un onere informativo a carico del Pubblico ministero, come era previsto dall’art. 268-sexies c.p.p. di cui il d.d.l. Mastella di riforma delle intercettazioni della XV legislatura, prospettava l’introduzione (AS 1512, art. 10), per evitare che il soggetto apprenda dell’esistenza, in atti processuali, di proprie conversazioni, direttamente dalla stampa, quando ormai l’intervento ablativo sarebbe tardivo.

In alternativa (ove tale onere informativo venisse ritenuto eccessivamente gravoso, soprattutto a fronte di una pluralità di terzi da avvisare), si potrebbe riconoscere al terzo il diritto di chiedere preliminarmente conferma dell’esistenza di intercettazioni che lo coinvolgano e, quindi, previo ascolto delle registrazioni stesse, di attivare la procedura di distruzione di cui all’art. 269 cpp[5] ovvero, in caso di richieste più articolate, di esercitare i propri diritti alla limitazione o (più raramente) rettificazione dei dati.

In tal modo, tramite la connessione procedimentale tra il nuovo diritto di cui all’art. 14 d.lgs. 51 e l’istituto della distruzione di cui all’art. 269 c.p.p.  (testualmente rivolto agli «interessati»), ai terzi i cui dati siano occasionalmente captati in sede intercettativa potrebbe essere accordata una tutela effettiva, forse persino più di quanto si sia ipotizzato in, pur ampie e valide, ipotesi di riforma della disciplina delle intercettazioni.

   

*(le opinioni sono espresse a titolo esclusivamente personale e non impegnano in alcun modo l’Amministrazione di appartenenza)

[1] Secondo cui “La conferenza riconosce che potrebbero rivelarsi necessarie, in considerazione della specificità dei settori in questione, norme specifiche sulla protezione dei dati personali e sulla libera circolazione di tali dati nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia, in base all'articolo 16 del trattato sul funzionamento dell'Unione europea”.

[2] E tali definite dall’allora Presidente del Garante per la protezione dei dati personali, Antonello Soro, nella Relazione 2018

[3] La norma va letta in combinato disposto con il C 40 della direttiva 2016/680 e con il favor lì espresso per l’esercizio dei diritti da parte dell’interessato (“ è opportuno predisporre modalità volte ad agevolare l'esercizio, da parte dell'interessato, dei propri diritti conformemente alle disposizioni adottate a norma della presente direttiva, compresi i meccanismi per richiedere e, se possibile, ottenere, gratuitamente, in particolare, l'accesso ai propri dati personali, la loro rettifica o cancellazione e la limitazione del trattamento.).

[4] V. anche S. SIGNORATO; L’archivio delle intercettazioni. La custodia del materiale e la marcia verso la digitalizzazione delle intercettazioni, in Legislazione penale, 2020, 79 ss; S. RENZETTI, .

[5] S. RENZETTI, Una riforma (radicale?) per tornare allo spirito originario della legge: la nuova disciplina acquisitiva delle intercettazioni tra legalità, diritto vivente e soft law, in Legislazione penale, 2018, 1 ss.


User Rating: 0 / 5

No Internet Connection

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.