Decreto legislativo - 18/05/2018 - n. 51 art. 5 - Liceita' del trattamentoLiceita' del trattamento
1. Il trattamento e' lecito se e' necessario per l'esecuzione di un compito di un'autorita' competente per le finalita' di cui all'articolo 1, comma 2, e si basa sul diritto dell'Unione europea o su disposizioni di legge o[, nei casi previsti dalla legge,] di regolamento o su atti amministrativi generali che individuano i dati personali e le finalita' del trattamento1. 2. Con decreto, rispettivamente, del Ministro della giustizia e del Ministro dell'interno, sono individuati, per i trattamenti o le categorie di trattamenti non occasionali di cui al comma 1, i termini, ove non gia' stabiliti da disposizioni di legge o di regolamento, e le modalita' di conservazione dei dati, i soggetti legittimati ad accedervi, le condizioni di accesso, le modalita' di consultazione, nonche' le modalita' e le condizioni per l'esercizio dei diritti di cui agli articoli 9, 10, 11 e 13. I termini di conservazione sono determinati in conformita' ai criteri indicati all'articolo 3, comma 1, tenendo conto delle diverse categorie di interessati e delle finalita' perseguite2. [1] Comma modificato dall'articolo 9, comma 3, lettera a), numero 1), del D.L. 8 ottobre 2021 n. 139, convertito con modificazioni dalla Legge 3 dicembre 2021, n. 205. Vedi anche l'articolo 9, comma 5, del D.L. 139/2021 medesimo, convertito con modificazioni dalla Legge 3 dicembre 2021, n. 205. [2] Comma modificato dall'articolo 9, comma 3, lettera a), numero 2), del D.L. 8 ottobre 2021 n. 139, convertito con modificazioni dalla Legge 3 dicembre 2021, n. 205. Vedi anche l'articolo 9, comma 5, del D.L. 139/2021 medesimo, convertito con modificazioni dalla Legge 3 dicembre 2021, n. 205. InquadramentoL'art. 5 attua l'art. 8 direttiva 2016/680 e stabilisce le condizioni di liceità del trattamento, che sono individuate con riferimento: – al titolare (il trattamento è lecito se rientra nell'esecuzione di un compito di un'autorità competente); – alla finalità perseguita (che deve rientrare in quelle di prevenzione, indagine, accertamento e persecuzione dei reati, o esecuzione di sanzioni penali, inclusa la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica); – al fondamento giuridico del trattamento stesso, che deve rinvenirsi nel diritto dell'Unione Europea ovvero nell'ordinamento interno e in particolare in disposizioni di legge o disposizioni regolamentari o atti amministrativi generali che individuino i dati personali e le finalità del trattamento. In generale, si sottolinea come nella materia in oggetto, a differenza di quanto avviene nel Regolamento, non sia prevista altra condizione di liceità se non quella in esame. Evidenti le ratio dell'esclusione del consenso come base giuridica, esplicitate nel considerando 35 Direttiva (UE) 2016/680: l'adempimento dei compiti affidati per legge istituzionalmente alle autorità competenti per finalità di prevenzione, indagine, accertamento e persecuzione dei reati, o esecuzione di sanzioni penali, consente loro di ordinare alle persone fisiche di dar seguito alle richieste formulate. Un consenso espresso in tale contesto, in cui la persona è tenuta ad adempiere a un obbligo di legge, non sarebbe espresso liberamente, mediante una libera manifestazione di volontà, e non potrebbe quindi ritenersi una valida base giuridica. È fatta comunque salva per gli Stati la possibilità di prevedere per legge che l'interessato possa acconsentire al trattamento dei propri dati personali, ad esempio per test del DNA nell'ambito di indagini penali o per il monitoraggio della sua ubicazione mediante dispositivo elettronico per l'esecuzione di sanzioni penali. Con riferimento ai corrispondenti artt. 8 e 10 della Direttiva, il WP chiarisce che “Il consenso volontario dovrebbe essere considerato una garanzia supplementare prevista dalla legge solo nei casi in cui un trattamento particolarmente invasivo per l'interessato sia autorizzato per legge. Pertanto, spetta al legislatore nazionale decidere se e in quale misura autorizzare il trattamento dei dati fatto salvo il consenso volontario dell'interessato e se includere categorie particolari di dati. In tali casi, l'interessato dovrebbe essere informato in maniera chiara e inequivocabile dall'autorità competente sulla volontarietà del suo consenso e dovrebbe avere la possibilità di ritirarlo in qualsiasi momento (ad esempio nel caso della raccolta di impronte digitali o di campioni biologici)” (WP29 n. 258) Desta invece perplessità l'esclusione della base giuridica della salvaguardia degli interessi vitali dell'interessato, pur auspicata dal considerando 35 della Direttiva 2016/680. Con riferimento al diritto presupposto che la norma richiama, il d.lgs. n. 51/2018, nell'attuare il corrispondente articolo della Direttiva (UE) 2016/680, aveva inizialmente operato una netta riduzione delle fonti previste, riferendosi solamente alle norme di legge o a quelle regolamentari se espressamente previsto dalla legge. La disposizione, tuttavia, è stata oggetto di modifica ad opera del d.l. 8 ottobre 2021 n. 139, convertito con modificazioni dalla l. n. 205/2021, che ha esteso il diritto presupposto alle fonti regolamentari, indipendentemente dalla loro previsione per legge, oltre che agli atti amministrativi generali. Nel secondo comma, la determinazione di elementi specifici connessi al trattamento dei dati personali è rimessa all'adozione di un apposito decreto del Ministro della giustizia e del Ministro dell'interno (ante 2021 era invece previsto un decreto del Presidente della Repubblica). Il diritto presupposto base giuridica del trattamentoAi sensi dell'articolo in esame, il criterio di liceità rappresentato dall'esecuzione di un compito da parte dell'autorità pubblica, richiede necessariamente la presenza di disposizioni comunitarie o nazionali che lo riempiano di contenuto, indicando, oltre ai compiti che legittimano il trattamento, anche i dati personali trattati e le finalità (in concreto) del trattamento. L'originale formulazione del legislatore italiano, poi modificata nel 2021, si discostava sul punto da quella dell'art. 8 della Direttiva 2016/680, che prevede che i compiti delle autorità competenti debbano basarsi sul “diritto” dell'Unione dello Stato membro, e che quest'ultimo debba indicare i dati personali nonché gli obiettivi e le finalità del trattamento. La nozione di diritto presupposto adottata dalla Direttiva è ampia e corrisponde anche a quanto previsto dall'art. 5, par. 3 GDPR e, in generale, alla definizione accolta nel diritto comunitario. Ai sensi del considerando 33 della Direttiva (UE) 2016/680 (che corrisponde, nel contenuto, al considerando 41 GDPR), qualora si faccia riferimento al diritto di uno Stato membro, a una base giuridica, o a una misura legislativa, non è necessariamente richiesta l'adozione di un atto legislativo da parte di un parlamento. Tuttavia, devono essere rispettati i requisiti di chiarezza, precisione e prevedibilità dell'applicazione di tale diritto, base giuridica o misura legislativa, in conformità alla giurisprudenza della Corte di Giustizia e della Corte Europea dei diritti dell'uomo. I requisiti di certezza, precisione e chiarezza sarebbero funzionali anche a rendere l'interessato edotto del trattamento, garantendogli il diritto ad una “autodeterminazione informativa” (Resta, 70; sul diritto presupposto anche Pelino, 14). Tuttavia, nonostante la nozione ampia, sempre secondo il considerando 33 della Direttiva (UE) 2016/680, il diritto dovrebbe comunque specificare: obiettivi, dati personali da trattare, finalità del trattamento, procedure per preservare l'integrità e la riservatezza dei dati, procedure per la distruzione dei dati. La corrispondente norma di recepimento italiano, nella sua formulazione originaria, pur facendo proprio, per l'ordinamento comunitario, il concetto di “diritto”, per l'ordinamento interno si discostava dalla Direttiva e restringeva la nozione, facendo riferimento solo a disposizioni di legge o di regolamento (con una ulteriore restrizione, in questo caso, posto che la fonte regolamentare era ammessa solo nei casi in cui fosse prevista da una norma di legge). Era inoltre previsto che le norme di legge o di regolamento dovessero individuare i dati personali e le finalità del trattamento. Ratio di tale restrizione, evidentemente, era quella di introdurre dei limiti rigorosi per le basi giuridiche applicabili nel caso di trattamenti da parte delle autorità competenti per finalità di prevenzione, indagine, accertamento e persecuzione dei reati, o esecuzione di sanzioni penali, che di per sé comportano maggiori esigenze di tutela della riservatezza dell'interessato. Come conseguenza applicativa, ne derivava in primo luogo che il trattamento, in assenza di specifiche disposizioni di legge o di regolamento, non potesse essere considerato lecito (ad esempio, non si sarebbe potuto basare il trattamento su circolari amministrative o su provvedimenti del Garante). La norma, tuttavia, è stata oggetto di modifica ad opera del d.l. n. 139/2021, convertito con modificazioni dalla l. n. 205/2021, che ha adottato una nozione più estesa di diritto presupposto, prevedendo come base giuridica anche le fonti regolamentari, indipendentemente dalla loro previsione per legge, oltre che gli atti amministrativi generali. È stata mantenuta, invece, la previsione per cui la norma di legge, o di regolamento o gli atti amministrativi generali debbano individuare i dati personali e le finalità del trattamento. Dunque, dalla formulazione della norma deriva anche che non tutte le norme di legge o di regolamento o atti amministrativi generali saranno idonei a legittimare il trattamento dei dati per le finalità di prevenzione e accertamento dei reati, ma solo quelli che si conformino ai requisiti indicati dall'art. 5 (individuazione dei dati trattati e della finalità del trattamento). La specificazione delle caratteristiche dei trattamenti non occasionali mediante decreto ministerialeAl fine di risolvere possibili criticità applicative, l'art. 5, comma 2 d.lgs. n. 51/2018 demanda a un decreto rispettivamente, del Ministro della giustizia e del Ministro dell'interno, l'individuazione, per i trattamenti o le categorie di trattamenti non occasionali di cui al comma 1, dei termini, ove non già stabiliti da disposizioni di legge o di regolamento, e delle modalità di conservazione dei dati, dei soggetti legittimati ad accedervi, delle condizioni di accesso, delle modalità di consultazione, nonché delle modalità e condizioni per l'esercizio dei diritti di cui agli articoli 9 (comunicazioni e modalità per l'esercizio dei diritti dell'interessato), 10 (informazioni da rendere disponibili o da fornire all'interessato), 11 (diritto di accesso dell'interessato) e 13 (esercizio dei diritti dell'interessato e verifica da parte del Garante). Gli elementi sopra indicati potranno essere individuati con riferimento ai singoli trattamenti oppure per categorie, avendo riferimento comunque a trattamenti non occasionali Occorre sottolineare che la versione originaria della norma, poi modificata dal d.l. n. 139/2021, convertito con modificazioni dalla l. n. 205/2021, prevedeva l'adozione di un decreto del Presidente della Repubblica, da adottarsi a norma dell'art. 17 comma 1 della l. n. 400/1988 (previa deliberazione del Consiglio dei ministri, e sentito il parere del Consiglio di Stato, che deve pronunciarsi entro 90 giorni dalla richiesta). Si evidenzia che non sono considerati dalla disposizione, e non dovranno quindi essere disciplinati dal decreto ministeriale, i diritti di cui all'art. 12 d.lgs. n. 51/2018 (rettifica, cancellazione, integrazione). Non si comprende la ratio di tale esclusione, essendo invece stati inclusi nella previsione tutti gli altri diritti di cui al capo II. Quanto alla specifica indicazione dei tempi di conservazione dei dati il legislatore ha precisato, su indicazione della commissione giustizia del senato, che gli stessi devono essere determinati in conformità ai principi di cui all'art. 3, comma 1 (quindi, in particolare, al principio di minimizzazione e di limitazione della conservazione), e “tenendo conto delle diverse categorie di interessati e delle finalità perseguite” al fine di ancorare i termini di conservazione a criteri sostanziali e di declinare anche in questo aspetto i principi di proporzionalità e differenziazione del trattamento in relazione alle diverse categorie di interessati. Non è stato accolto, invece, il suggerimento del Garante di distinguere i tempi di conservazione anche in relazione al tipo di reato perseguito. Sempre in riferimento ai tempi di conservazione, la relazione illustrativa sottolinea che la normativa interna già in vigore contiene in larga parte prescrizioni conformi alla direttiva e all'obbligo di distinzione dei dati, in particolare per quanto riguarda il d.m. n. 264/2000 (regolamento recante norme per la tenuta dei registri presso gli uffici giudiziari e correlate regole procedurali, adottate con decreto ministeriale 27 aprile 2009). L'obbligo di fissare termini di cancellazione in questo specifico settore non è infatti una novità della Direttiva ma era già stabilito dall'art. 5 della decisione quadro 2008/977/GAI, che richiedeva di prevedere adeguati termini per la cancellazione dei dati personali o per un esame periodico della necessità della memorizzazione, oltre a misure procedurali per garantire il rispetto di questi termini. SanzioniI trattamenti in violazione dell'art. 5, comma 1, possono costituire l'illecito penale previsto dall'art. 43, comma 1, rubricato “trattamento illecito di dati”, ove siano posti in essere al fine di trarne profitto o di recare ad altri un danno e se dal fatto deriva nocumento (il reato è punito con la reclusione da sei mesi a un anno e sei mesi e, se la condotta comporta comunicazione o diffusione dei dati, con la reclusione da sei mesi a due anni). BibliografiaPelino, in Bolognini-Pelino, Codice privacy: tutte le novità del d.lgs. 101/2018, Milano, 2018, cap. 2; Resta, in Riccio-Scorza-Belisario (a cura di), GDPR e normativa privacy commentario, Milano, 2018, art. 6, IV.2. |
