Decreto legislativo - 18/05/2018 - n. 51 art. 7 - Trattamento di categorie particolari di dati personali

Categorie particolari di dati personali

Le categorie particolari di dati personali a cui si applicano le speciali condizioni di liceità sono individuate mediante il riferimento all'art. 9 GDPR: dati personali che rivelano l'origine razziale ed etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, ovvero i dati genetici, i dati biometrici intesi ad identificare in senso univoco una persona fisica, i dati relativi alla salute o alla vita sessuale della persona.

Rispetto alla disciplina previgente, l'articolo in esame amplia le categorie di dati ricompresi nel regime peculiare di liceità previsto per il trattamento dei dati sensibili, in quanto, mentre l'art. 6 Decisione quadro 2008/977/GAI si riferiva unicamente ai dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale e i dati relativi alla salute e alla vita sessuale, l'attuale art. 7 del d.lgs. n. 51/2018, riferendosi alle categorie di cui all'art. 9 del RGPD, ricomprende anche le diverse categorie dei dati genetici e biometrici.

Per quanto riguarda l'aspetto definitorio, per le nozioni di “dati relativi alla salute”, “dati biometrici” e “dati genetici” si rinvia all'art. 2 d.lgs. n. 51/2018 ed al relativo commento.

Con riferimento a dati che rivelano l'origine etnica e razziale, il considerando 37 della Direttiva (UE) 2016/680 chiarisce che l'utilizzo del termine “origine razziale” nella direttiva non implica, evidentemente, l'accettazione da parte dell'Unione europea di teorie che tentino di dimostrare l'esistenza di razze umane distinte.

L'espressione, infatti, è usata al diverso fine di tutelare le persone dall'eventualità di siffatta catalogazione.

Quanto ai dati relativi alla vita sessuale e all'orientamento sessuale, la direttiva e il d.lgs. n. 51/2018, parallelamente al Regolamento, hanno ampliato questa categoria rispetto alla legislazione previgente, che faceva riferimento unicamente ai dati relativi alla vita sessuale. In realtà, si ritiene che l'orientamento sessuale potesse anche in passato essere ricondotto alla più generale categoria dei dati idonei a rivelare la vita sessuale (Bolognini, 29).

Condizioni di liceità

Un ulteriore ampliamento si ha, rispetto alla previgente disciplina, con riferimento ai presupposti di liceità per il trattamento di tali dati.

L'art. 6 Decisione quadro 2008/977/GAI prevedeva la possibilità di trattare tali dati solo se strettamente necessario e solo se fossero previste garanzie adeguate da parte della legislazione nazionale.

Secondo l'attuale disciplina, invece, sono previste tre diverse condizioni di liceità per il trattamento delle categorie particolari di dati: trattamento strettamente necessario e assistito da garanzie adeguate per i diritti e le libertà dell'interessato e specificamente previsto dal diritto dell'Unione Europea o da legge o regolamento; trattamento necessario per salvaguardare gli interessi vitali dell'interessato o di altra persona fisica; trattamento di dati resi manifestamente pubblici dall'interessato.

La prima ipotesi riprende sostanzialmente quella già contemplata dalla decisione quadro, prevedendo che il trattamento sia autorizzato solo se strettamente necessario e assistito da garanzie adeguate per i diritti e le libertà dell'interessato e specificamente previsto dal diritto dell'Unione Europea o dalla legge o, nei casi in cui sia indicato dalla legge, da regolamento.

Si noti che la versione originaria dello schema di decreto non faceva riferimento alla stretta necessità, e tale indicazione è stata introdotta solo in seguito a specifiche osservazioni della commissione giustizia del senato elaborate al fine di dare più completa attuazione all'art. 10 Direttiva (UE) 2016/680 (consentendo così di recuperare, si noti, un requisito già presente nella decisione quadro e poi perso nelle formulazioni successive).

In realtà, se si esamina il testo della disposizione si nota che, nonostante l'integrazione introdotta per meglio adeguare la direttiva, la “stretta necessità” è stata comunque interpretata diversamente, nel testo del decreto, rispetto alla Direttiva. Quest'ultima infatti, nella formulazione letterale dell'articolo 10, riferiva tale requisito a tutte tre le ipotesi di liceità del trattamento, così come le garanzie adeguate (“il trattamento dei dati...è lecito solo se strettamente necessario, soggetto a garanzie adeguate per i diritti e le libertà dell'interessato e soltanto: a) se autorizzato dal diritto dell'Unione o dello Stato membro; b) per salvaguardare un interesse vitale dell'interessato o di un'altra persona fisica; o c) se il suddetto trattamento riguarda dati resi manifestamente pubblici dall'interessato”), mentre nel testo del decreto tale requisito viene riferito unicamente alla prima ipotesi di liceità del trattamento (ovvero quando previsto dal diritto presupposto), posto che per le altre due condizioni di liceità viene ribadita dall'art. 7 d.lgs. n. 51/2018 unicamente la necessità di far salve le garanzie di diritti e libertà (“ferme le garanzie dei diritti e delle libertà”) ma non vi è analoga previsione per la stretta necessità. Ne deriva che, se la norma fosse interpretata letteralmente, il trattamento per la salvaguardia degli interessi vitali dell'interessato e per i dati resi manifestamente pubblici potrebbe essere effettuato anche se non strettamente necessario. È preferibile quindi un'interpretazione conforme alla direttiva, che anche in questi casi faccia salvo il requisito della stretta necessità (che, peraltro, comunque è attuato anche attraverso il principio di minimizzazione).

Quanto alle basi giuridiche che autorizzano il trattamento, il d.lgs. n. 51/2018, recependo la Direttiva (UE) 2016/680, invece di far riferimento generico al “diritto dello Stato membro” e adottare l'ampia nozione di diritto presupposto dell'ordinamento comunitario, ha ristretto tale concetto limitando le fonti consentite alla legge e, solo nei casi previsti dalla legge, alle disposizioni regolamentari (sul diritto presupposto si rinvia anche al commento dell'art. 5 d.lgs. n. 51/2018).

Al fine di poter legittimamente trattare le categorie particolari di dati, sono quindi necessarie le seguenti condizioni: una base nel diritto dell'Unione europea o in una disposizione di legge o di regolamento; garanzie adeguate per i diritti e le libertà dell'interessato; la stretta necessità del trattamento in questione.

Per quanto riguarda le cautele che devono assistere il trattamento, il considerando 37 precisa che “garanzie adeguate per i diritti e le libertà dell'interessato potrebbero comprendere la possibilità di raccogliere tali dati unicamente in connessione con altri dati relativi alla persona fisica interessata, la possibilità di provvedere adeguatamente alla sicurezza dei dati raccolti, norme più severe riguardo all'accesso ai dati da parte del personale dell'autorità competente e il divieto di trasmissione di tali dati”.

Quanto alle garanzie adeguate, con riferimento alla corrispondente norma della Direttiva il WP 29 precisa che “Possono essere fornite garanzie giuridiche tramite requisiti sostanziali o procedurali supplementari. Potrebbero costituire requisiti sostanziali supplementari le ulteriori limitazioni alla finalità del trattamento (ad esempio determinate categorie di reato) o, in caso di misure preventive, una certa urgenza (ad esempio pericolo imminente con conseguenze probabilmente gravi per l'interesse vitale di molte persone). Il considerando 37 indica inoltre la possibilità di raccogliere tali dati unicamente in connessione con altri dati relativi alla persona fisica interessata. Potrebbero costituire garanzie procedurali anche l'autorizzazione preliminare di un giudice o di un altro organo indipendente e il divieto di trasmissione dei dati in questione. Le garanzie giuridiche dovrebbero essere di norma accompagnate/attuate da misure tecniche e organizzative quali misure aggiuntive di sicurezza dei dati volte a garantire la riservatezza e l'integrità dei dati e da norme più severe riguardo all'accesso ai dati da parte del personale dell'autorità competente”.

Con provvedimento del 26 novembre 2020 [doc. web n. 9522206] Il Garante per la protezione dei dati personali ha ordinato al Ministero dell'Interno, titolare del trattamento, di pagare la somma di euro 60.000,00 (sessantamila) a titolo di sanzione amministrativa pecuniaria. In particolare si trattava di un caso avvenuto all'interno di un Commissariato e riguardava un episodio di violenta reazione autolesionistica da parte di un uomo in stato di alterazione psico-fisica, che dichiarava di essere malato oncologico e di AIDS, e le cui immagini video sono state successivamente diffuse su internet. Dal video si vedeva chiaramente il viso dell'uomo, che era identificabile, e si desumevano informazioni rientranti nelle categorie particolari di dati personali. Le immagini erano state riprese “di propria iniziativa da uno degli operatori presenti sul posto, mediante l'attivazione di un dispositivo di comunicazione privato, tipo cellulare o smartphone, presuntivamente per offrire documentazione tanto degli atti di autolesionismo quanto del contestuale danneggiamento dei beni dello Stato”. Le riprese erano state effettuate su indicazione del capo equipaggio della pattuglia intervenuta, in una situazione eccezionale dal momento che l'ufficio era sprovvisto di telecamere di sorveglianza ed era necessario documentare urgentemente l'accaduto. L'agente di polizia aveva poi condiviso il filmato su una chat con i colleghi al fine di condividere le modalità operative.

Il Ministero nell'ambito del procedimento si è difeso cercando di attribuire i fatti unicamente ad una iniziativa personale e privata dell'operatore, non riconducibile all'amministrazione. Il Garante non ha però accolto tali motivazioni, e ha confermato che dalla documentazione in atti “è emerso che le riprese in questione (“parte integrante di atti di polizia giudiziaria”) sono state effettuate da agenti di polizia, nell'esercizio delle loro funzioni, al fine di documentare quanto stava accadendo nel suddetto Commissariato. Tali dati, che rientrano in “categorie particolari” di dati, ai sensi degli artt. 9 del Regolamento, 10 della Direttiva e 7 del d.lgs. n. 51/2018 (in considerazione delle lesioni che l'interessato si è procurato durante le riprese dell'agente e delle dichiarazioni dell'interessato che si odono nel video relativamente al suo stato di salute generale), sono stati trattati, quindi, dall'autorità̀ competente a fini di prevenzione, indagine, accertamento e perseguimento di reati, nei confronti di un interessato che si trovava in stato di arresto sotto la custodia di agenti di polizia”.

Il Garante ha inoltre confermato che “i successivi trattamenti riferiti ai dati in questione non sono risultati conformi alla citata disciplina in materia di protezione dei dati personali (artt. 4 della Direttiva e 3, comma 1, lett. a), b), c), e), f) e 7 del d.lgs. n. 51/2018)”. In particolare, è stato evidenziato che né il Commissariato né gli agenti intervenuti “risultano aver adottato alcuna misura idonea a garantire la dovuta sicurezza e riservatezza dei dati in parola né tantomeno a prevenirne la fuoriuscita e la diffusione via internet”. Pertanto, sono state ritenute “violate le disposizioni relative alla conservazione dei dati, alla compatibilità̀ del trattamento con le finalità̀ per cui erano stati raccolti, alla non eccedenza dei dati, all'adeguata sicurezza e protezione da trattamenti non autorizzati ed alle adeguate garanzie per i diritti e le libertà dell'interessato richieste per le particolari categorie di dati (artt. 3 e 7 del d.lgs. n. 51/2018)”. Il Garante ha quindi dichiarato l'illiceità̀ dei trattamenti dei dati dell'interessato per violazione dell'art. 3, comma 1, lett. a), b), e), f) e dell'art. 7 del d.lgs. n. 51/2018 e ingiunto al Ministero di valutare l'opportunità̀ “di promuovere adeguate ed ulteriori iniziative formative nei confronti del personale, anche periferico, della Polizia di Stato, per assicurare il rispetto dei diritti degli interessati” e di “individuare ulteriori misure tecnico-organizzative finalizzate a garantire che i trattamenti di dati personali effettuati nei diversi settori di attività̀ istituzionale dalle articolazioni centrali e territoriali siano svolti nel pieno rispetto dei principi e delle disposizioni previste dalla normativa vigente in materia di trattamento dei dati personali”.

La seconda ipotesi di liceità del trattamento dei dati sensibili è rappresentata dalla “salvaguardia di un interesse vitale dell'interessato o di un terzo”.

Nel testo della Direttiva e dei considerando non si rinvengono elementi utili per una corretta individuazione del bene tutelato dalla condizione in esame, e in particolare per comprendere se la stessa si riferisca solo ai casi in cui si renda necessario tutelare la vita dell'interessato o di un terzo o anche ai casi di rischio per l'incolumità fisica e la salute. Unico ausilio interpretativo è fornito dal considerando 46 GDPR, riferito all'analoga condizione prevista dall'art. 6 del Regolamento (2016/679, che fa riferimento ad un “interesse essenziale per la vita” e sembra quindi limitativo del concetto alla prima ipotesi) (anche Pelino, 290).

Una interpretazione restrittiva sarebbe in questo contesto ancor più giustificata, anche in considerazione della natura sensibile dei dati oggetto della disposizione in esame (diversamente dall'art. 6 GDPR, che pone tale condizione per il trattamento dei dati comuni).

Infine, ultimo criterio di liceità del trattamento è quello relativo ai dati resi manifestamente pubblici dall'interessato, ad esempio dati tratti da pubblici registri o pubblicati su pagine web senza restrizioni di accesso.

Con riferimento al corrispondente art. 10, lett. c) della Direttiva, il WP 29 precisa che “tale formulazione va interpretata partendo dal presupposto che l'interessato sia consapevole che i rispettivi dati saranno resi disponibili pubblicamente, il che significa che lo saranno per tutti, autorità comprese. In caso di dubbio dovrebbe essere applicata un'interpretazione restrittiva, poiché il presupposto è che l'interessato abbia volontariamente rinunciato alla protezione speciale per i dati sensibili rendendoli disponibili al pubblico, autorità comprese”. Il Gruppo di Lavoro propone altresì degli esempi concreti, precisando che “in casi quali la divulgazione di dati personali in una biografia, sulla stampa o su un sito Internet pubblico, l'intenzione è chiara. In altri casi, è più difficile da stabilire. Per esempio, la registrazione a un social network potrebbe prevedere l'accettazione di talune norme di protezione dei dati che stabiliscono che tutti i partner del fornitore (comprese le autorità di polizia nazionali) hanno accesso ai dati personali. Probabilmente in tali casi la maggior parte degli utenti non presta attenzione attivamente e di fatto non è consapevole che i suoi dati sono a disposizione delle autorità di polizia” (WP29 n. 258).

Cumulo tra le condizioni previste dall'art. 7 e quelle di cui all'art. 5

Affinché il trattamento di dati sensibili sia legittimo sarà quindi necessaria la sussistenza di una delle tre condizioni illustrate. Lo specifico trattamento di tali dati dovrà, inoltre, collocarsi nell'alveo di un trattamento lecito anche in considerazione dell'art. 5 d.lgs. n. 51/2018.

In proposito, si rende necessario analizzare i rapporti tra le condizioni di liceità previste dall'art. 5 d.lgs. n. 51/2018 per tutti i trattamenti di dati personali e quelle previste dall'art. 7 d.lgs. n. 51/2018 per le categorie particolari di dati, al fine di approntarvi una speciale tutela.

Infatti, i dati rientranti nelle categorie indicate dall'art. 9 GDPR, come indicato al considerando 37 Direttiva (UE) 2016/680, “per loro natura sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali”.

La prima condizione di liceità indicata per tali dati dall'art. 7 (che il trattamento sia “autorizzato” solo se strettamente necessario, se assistito da garanzie adeguate e se specificamente previsto dal diritto dell'Unione o da legge o regolamento) appare la stessa prevista dell'art. 5 d.lgs. n. 51/2018 per la generalità dei dati, applicata però in modo più stringente: in questo caso è richiesta una norma di legge o di Regolamento e la stessa dovrà prevedere specificamente il trattamento di tali categorie di dati; inoltre sono richieste le garanzie adeguate per i diritti e le libertà dell'interessato e la stretta necessità del trattamento.

Gli altri due casi (salvaguardia degli interessi vitali dell'interessato o di altra persona, e dati resi manifestamente pubblici dall'interessato) non sono invece riportati nella disposizione dell'art. 5 d.lgs. n. 51/2018.

Dalla lettura testuale della norma sembrerebbe peraltro che non sia necessaria, in queste due ipotesi, la presenza di una fonte di diritto presupposto, ma che la presenza della situazione indicata legittimi di per sé il trattamento (è infatti usata la disgiunzione “ovvero” e si ribadisce la necessità di garanzie adeguate, presumibilmente in quanto non previste da una norma presupposta).

Tuttavia, applicando tale interpretazione, si avrebbe la conseguenza paradossale che i dati rientranti nelle categorie particolari, e necessari per la salvaguardia degli interessi vitali dell'interessato o resi pubblici, sarebbero lecitamente trattabili anche in assenza di una norma di legge, mentre i dati comuni, che in realtà richiedono una tutela minore, non potrebbero essere trattati al verificarsi delle medesime situazioni (che non sono riportate nell'art. 5 d.lgs. n. 51/2018). Tale interpretazione comporterebbe come esito una minore protezione per i dati particolari, incompatibile con l'esigenza di approntare una tutela maggiore e più stringente per questa tipologia di dati.

In conclusione, invece che considerare l'art. 7 quale lex specialis che può derogare alla disposizione generale, è preferibile una lettura delle condizioni dell'art. 7 d.lgs. n. 51/2018 come aggiuntive e cumulative rispetto a quelle dell'art. 5 d.lgs. n. 51/2018, nel caso in cui si sia in presenza di dati particolari.

Perché sia lecito un trattamento di dati rientranti nelle categorie particolari, quindi, sarà necessario: a) che si operi in un contesto di trattamento lecito ai sensi dell'art. 5 d.lgs. n. 51/2018, e quindi nell'alveo della regolamentazione del diritto presupposto; b) che, all'interno di tale trattamento lecito, la disposizione di legge preveda una espressa autorizzazione al trattamento dei dati particolari o, in alternativa, che il trattamento sia necessario per la salvaguardia degli interessi fondamentali dell'interessato o di un terzo, o che abbia ad oggetto dati resi pubblici.

A favore della suddetta interpretazione la diversa terminologia utilizzata nelle due disposizioni, posto che nel primo caso si parla di “trattamento lecito” mentre nel secondo caso di “trattamento autorizzato” (nell'alveo, comunque, di un trattamento di per sé lecito).

La stessa interpretazione è data dal Gruppo di Lavoro art. 29 con riferimento ai corrispondenti articolo 8 e 10 della Direttiva, che devono essere letti come correlati tra loro. Infatti nel provvedimento n. 258 è specificato che “L'articolo 10 e l'articolo 8 della direttiva devono essere letti in combinato disposto. Pertanto, qualora non sia previsto dal diritto dell'Unione, il trattamento di categorie particolari di dati richiede sempre una specifica base giuridica nazionale (articolo 10, lettera a)) nei termini indicati al considerando 33. Questa specifica base giuridica deve soddisfare i requisiti aggiuntivi definiti dall'art. 10 della direttiva. Rispetto a quanto stabilito dall'art. 8 della direttiva, il trattamento deve essere “strettamente necessario” e devono essere messe in atto “garanzie adeguate”. In aggiunta, il WP 29 precisa che “Il Gruppo di lavoro raccomanda di interpretare l'art. 10, lettere b) e c), come puramente illustrativo di situazioni specifiche in cui il diritto nazionale potrebbe prevedere tale trattamento. L'articolo 10, lettera b), illustra la situazione in cui l'interesse vitale dell'interessato richiede il trattamento di categorie particolari di dati. L'art. 10, lettera c), illustra la situazione in cui l'interessato ha volontariamente rinunciato alla protezione dei dati sensibili rendendoli pubblici” (wp29 n. 258).

A conclusione, si ricorda che i trattamenti in violazione dell'art. 5, comma 1, possono costituire l'illecito penale previsto dall'art. 43, comma 1 d.lgs. n. 51/2018 rubricato “trattamento illecito di dati”, ove siano posti in essere al fine di trarne profitto o di recare ad altri un danno e se dal fatto deriva nocumento (il reato è punito con la reclusione da sei mesi a un anno e sei mesi e, se la condotta comporta comunicazione o diffusione dei dati, con la reclusione da sei mesi a due anni).

Anche questa considerazione va a favore dell'interpretazione per cui le condizioni dell'art. 5 e 7, d.lgs. n. 51/2018, per il caso dei dati particolari, sarebbero cumulative. Se, infatti, la previsione di una cornice legislativa che legittimi il trattamento per i compiti dell'autorità pubblica è elemento tanto essenziale da comportare, in caso di violazione dolosa, il configurarsi di un illecito penale, a maggior ragione tale requisito dovrà essere rispettato per i dati particolari, che presentano maggiori profili di rischio.

Il Garante per la protezione dei dati personali ha dato parere negativo all'utilizzo da parte Ministero dell'Interno-Dipartimento della pubblica sicurezza del sistema di riconoscimento facciale SARI – real time, che, attraverso una serie di telecamere installate in un'area geografica predeterminata e delimitata, consentiva “di analizzare in tempo reale i volti dei soggetti ivi ripresi, confrontandoli con una banca dati predefinita per lo specifico servizio (denominata “watch-list”)”. Nel caso in cui fosse riscontrata, attraverso un algoritmo di riconoscimento facciale, una corrispondenza tra un volto presente nella watch-list ed un volto ripreso da una delle telecamere, il sistema era in grado di generare un alert per richiamare l'attenzione degli operatori. In tale caso, poiché il sistema aveva finalità di prevenzione di reati e minacce alla sicurezza pubblica e, anche su delega dell'Autorità Giudiziaria, di indagine, accertamento e perseguimento di reati, Il Garante ha ritenuto che rientrasse nel campo di applicazione del Decreto 51/2018 e che, comportando un trattamento di dati biometrici, dovesse rispettare le condizioni di cui all'art. 7 dello stesso, essendo possibile solo se “specificamente previsto dal diritto dell'Unione europea o da legge o, nei casi previsti dalla legge, da regolamento”. Orbene, il Garante ha evidenziato che “nella documentazione fornita dal Ministero dell'Interno e tra le fonti normative da questo indicate non si rinviene alcuna disposizione specifica che consenta tale tipo di trattamento” e ha quindi dato parere negativo, avvertendo il Titolare che “il trattamento dei dati biometrici tramite il sistema Sari Real Time, appare non conforme alla disciplina di cui al Decreto, in mancanza di adeguate e specifiche disposizioni normative legittimanti” [GPDP, Parere sul sistema Sari Real Time – 25 marzo 2021 – doc. web n. 9575877]

Sanzioni

Per la violazione dell'articolo in esame l'art. 42 d.lgs. n. 51/2018 prevede la sanzione amministrativa pecuniaria da 50.000 a 150.000 Euro.

Inoltre, nel caso in cui il trattamento di dati personali in violazione di quanto disposto dall'art. 7 sia posto in essere al fine di trarne per sé o per altri profitto o di recare ad altri un danno, e dal fatto derivi nocumento, allora sarà configurabile anche l'ipotesi di illecito penale prevista dall'art. 43 comma 2 d.lgs. n. 51/2018 (trattamento illecito di dati), punita con la reclusione da uno a tre anni.