Decreto legislativo - 30/06/2003 - n. 196 art. 2 duodecies - Limitazioni per ragioni di giustizia 1Limitazioni per ragioni di giustizia 1
1. In applicazione dell'articolo 23, paragrafo 1, lettera f), del Regolamento, in relazione ai trattamenti di dati personali effettuati per ragioni di giustizia nell'ambito di procedimenti dinanzi agli uffici giudiziari di ogni ordine e grado nonché dinanzi al Consiglio superiore della magistratura e agli altri organi di autogoverno delle magistrature speciali o presso il Ministero della giustizia, i diritti e gli obblighi di cui agli articoli da 12 a 22 e 34 del Regolamento sono disciplinati nei limiti e con le modalità previste dalle disposizioni di legge o di Regolamento che regolano tali procedimenti, nel rispetto di quanto previsto dall'articolo 23, paragrafo 2, del Regolamento. 2. Fermo quanto previsto dal comma 1, l'esercizio dei diritti e l'adempimento degli obblighi di cui agli articoli da 12 a 22 e 34 del Regolamento possono, in ogni caso, essere ritardati, limitati o esclusi, con comunicazione motivata e resa senza ritardo all'interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell'interessato, per salvaguardare l'indipendenza della magistratura e dei procedimenti giudiziari. 3. Si applica l'articolo 2-undecies, comma 3, terzo, quarto e quinto periodo. 4. Ai fini del presente articolo si intendono effettuati per ragioni di giustizia i trattamenti di dati personali correlati alla trattazione giudiziaria di affari e di controversie, i trattamenti effettuati in materia di trattamento giuridico ed economico del personale di magistratura, nonché i trattamenti svolti nell'ambito delle attività ispettive su uffici giudiziari. Le ragioni di giustizia non ricorrono per l'ordinaria attività amministrativo-gestionale di personale, mezzi o strutture, quando non è pregiudicata la segretezza di atti direttamente connessi alla trattazione giudiziaria di procedimenti. [1] Articolo inserito dall'articolo 2, comma 1, lettera f), del D.Lgs. 10 agosto 2018, n. 101. InquadramentoL'art. 2-duodecies cod. privacy introduce limitazioni all'esercizio dei diritti previsti dal Regolamento nel contesto di procedimenti avanti all'Autorità giudiziaria ordinaria, al CSM o altri organi di autogoverno e al Ministero della Giustizia. La ratio, conforme all'art. 23, comma 1, lett. f) GDPR, ed espressamente riconosciuta al secondo comma, ult. periodo della disposizione nazionale in commento, è quella di garantire l'indipendenza della magistratura e dei procedimenti giudiziari da possibili interferenze in conseguenza dell'esercizio dei diritti dell'interessato. Il bilanciamento, pur all'interno di linee generali applicabili, dovrebbe sempre tenere conto delle specificità del caso singolo, dunque dell'oggetto e della portata dell'iniziativa inidividuale, ai fini della valutazione dell'effettivo pregiudizio all'indipendenza della magistratura, facendo salvo il contenuto essenziale del diritto alla protezione dei dati personali, come previsto dall'art. 52, par. 1 Carta UE. Va pertanto esclusa l'automatica applicazione della limitazione. La disposizione nazionale in commento costituisce ipotesi particolare rispetto alla più generale previsione di cui all'art. 2-undecies. Diversamente da quest'ultima, la limitazione riguarda espressamente non solo i diritti dal 15 al 22, ma anche l'intera previsione dell'art. 12, il diritto all'informativa (artt. 13 e 14 GDPR) e l'art. 34 GDPR. Non riguarda invece i principi di cui all'art. 5 GDPR (non menzionati neppure dall'art. 2-undecies). Evoluzione normativa della limitazionePer contestualizzare meglio la rilevanza concreta, non certo secondaria, della limitazione di diritti per ragioni di giustizia, giova sinteticamente ricostruirne l'evoluzione storica anche alla luce della casistica applicativa del Garante. Nel vigore della l. n. 675/1996, l'istituto in commento (già contemplato nel suo nucleo essenziale) è stato per esempio applicato alla divulgazione della notizia della sieropositività di un interessato, riportata in un verbale di sommarie informazioni ex art. 351 c.p.p. approdato poi agli atti di un procedimento giudiziario (cfr. GPDP, 5 novembre 2003 [1053828]), alla divulgazione alla stampa di una richiesta di rinvio a giudizio prima ancora della notificazione all'imputato (cfr. GPDP, Relazione 1998, 12 aprile 1998, par. 2.14.b), al trattamento dei dati raccolti da una psicologa ausiliaria del Giudice per la valutazione di un “profilo personologico” (cfr. GPDP 27 marzo 2002 [1063421]). È notevole rilevare che in questi tre casi, meramente esemplificativi di una serie assai più ampia, le richieste di esercizio dei diritti degli interessati (rispettivamente di opposizione al trattamento nei primi due casi e di accesso nell'ultimo) sono state ritenute inammissibili dal Garante, avendo la l. n. 675/1996, allora vigente, escluso (art. 4, comma 1, lett. d) l'esercizio dei diritti dell'interessato tutte le volte in cui un trattamento di dati fosse caduto nell'alveo concettuale dei trattamenti per ragioni di giustizia. In tali casi, pertanto, era a priori impedita, e non semplicemente limitata, la tutela del diritto fondamentale della persona alla protezione dei propri dati personali proprio laddove l'esigenza di tutela avrebbe dovuto essere massima, ossia nei rapporti con lo Stato. La soluzione normativa nazionale si poneva dunque in termini aberranti rispetto al diritto dell'Unione, criticità che ha richiesto una rimeditazione del precetto normativo, avvenuta effettivamente con il codice privacy del 30 giugno 2003, che ha introdotto una più bilanciata disciplina articolata su due assi: 1) permettere l'esercizio dei diritti dell'interessato, con la sola eccezione del diritto all'informativa e di quello di rivolgere istanze dirette al titolare e riceverne riscontro (cfr. art. 47, comma 1, lett. a) cod. privacy, disposizione oggi abrogata); 2) spostare la portata delle limitazioni per ragioni di giustizia sul versante degli strumenti di tutela, ristretti alla possibilità di agire in via amministrativa attraverso reclamo o segnalazione (cfr. l'abrogato art. 8, comma 3, cod. privacy) al Garante, con instaurazione tuttavia della procedura di accertamento di cui all'art. 160 cod. priv. (cfr. GPDP 24 luglio 2003 [1081354]). Restava naturalmente salva la possibilità di agire in via giurisdizionale, con ricorso all'Autorità giudiziaria ordinaria ex art. 152 cod. privacy. «Nei confronti dei trattamenti operati per ragioni di giustizia nell'ambito degli uffici giudiziari non trova integrale applicazione la disciplina posta dalla normativa in materia di trattamento dei dati personali; in particolare, non può essere esperito il rimedio del ricorso al Garante, che è quindi inammissibile. È invece possibile sollecitare, attraverso l'invio di una segnalazione o di un reclamo all'Autorità, la verifica della rispondenza di detti trattamenti ai requisiti stabiliti dalla legge o dai regolamenti [...]» (Garri, Pecora, Staglianò, cit.). La soluzione attuale.L'attuale disciplina introdotta ad esito della riforma attuata con il d.lgs. n. 101/2018 lascia immutati alcuni tratti concettuali dell'assetto precedente, pur operando modifiche strutturali. Più in particolare, viene garantito il riconoscimento integrale dei diritti dell'interessato (né potrebbe essere diversamente alla luce degli artt. 23 GDPR e 52, par. 1 Carta UE), senza esclusione per il diritto a ricevere l'informativa. Viene spostata tuttavia la concreta disciplina delle limitazioni al di fuori del codice privacy, operando un rinvio alla disciplina di settore, anche regolamentare, cfr. comma 1 art. 2-duodecies: «[I] diritti e gli obblighi di cui agli articoli da 12 a 22 e 34 del Regolamento sono disciplinati nei limiti e con le modalità previste dalle disposizioni di legge o di regolamento che regolano tali procedimenti». Non sono previste soluzioni transitorie nelle more di una completa composizione della normativa di rinvio. Rispetto agli strumenti di tutela, l'assetto attuale mantiene la struttura previgente: in via amministrativa, sarà esperibile il reclamo, ai sensi dell'art. 77 GDPR, non derogabile, né derogato dall'art. 2-duodecies, diversamente dall'art. 2-undecies primo comma, si rimanda al relativo commento per le criticità su tale specifico punto. Potrà essere attivata la procedura ex art. 160 cod. privacy, in virtù del richiamo espresso al terzo comma, per la quale vanno ripetuti i rilievi già espressi nel commento della norma citata da ultimo, v. ivi § 9. Ritardo, limitazione, esclusione dell'esercizio dei dirittiIl secondo comma dell'art. 2-duodecies dispone che l'esercizio dei diritti riconosciuti agli artt. dal 12 al 22 e all'art. 34 GDPR possa essere ritardato, limitato o perfino escluso, con comunicazione motivata e tempestiva all'interessato. La comunicazione può tuttavia essere omessa quando può «compromettere la finalità della limitazione», sempre osservando tuttavia parametri di necessità e proporzionalità. La soluzione si presta agli stessi rilievi espressi a proposito dell'art. 2-undecies. Innanzitutto, l'ipotesi, invero estrema, dell'esclusione dell'esercizio dei diritti appare in contrasto con l'art. 23 GDPR, che tollera al più una limitazione dei diritti e fa salva l'«essenza» degli stessi, come pure in contrasto con l'art. 52, par. 1 Carta dei diritti fondamentale dell'UE, che ugualmente fa salvo il «contenuto essenziale» dei diritti, dunque è corretto ritenere che vada disapplicata. In secondo luogo, la possibilità di omettere la comunicazione all'interessato se ciò può compromettere le finalità della limitazione del trattamento (ripetitiva della medesima clausola enunciata alla lett. h) dell'art. 23.2 GDPR) va pur sempre collocata nel quadro di tutele predisposto dal secondo paragrafo dell'art. 23 GDPR, che impone precisi obblighi di contenuto alle disposizioni che contemplano limitazioni, ossia, per esempio, la specificazione de «la portata delle limitazioni introdotte», «garanzie per prevenire abusi o l'accesso o il trasferimento illeciti», «i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell'ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento», «i rischi per i diritti e le libertà degli interessati». Giova altresì ricordare che l'art. 23 GDPR, in quanto disposizione di deroga (parziale) dell'ordinario tessuto di diritti, va interpretata in senso particolarmente stretto, cfr., ex multis, CGUE 7 novembre 2013, C-473/12, punto 39 e arresti ivi citati: «Le deroghe e le restrizioni alla tutela dei dati personali de[vono] operare entro i limiti dello stretto necessario», principio enunciato del resto, per l'Italia, già all'art. 14 preleggi. Si rimanda per ulteriore giurisprudenza ai riferimenti nel commento all'art. 2-undecies cod. priv.. Trattamenti «per ragioni di giustizia» e trattamenti diversiL'ultimo comma dell'art. 2-duodecies cod. privacy individua opportunamente le caratteristiche essenziali dei trattamenti svolti per ragioni di giustizia. Sono tali ex lege non solo quelli correlati alla trattazione giudiziaria di affari e di controversie (tuttavia non si richiede più come in passato, cfr. l'abrogato art. 47, comma 2, cod. privacy, una correlazione «diretta»), ma anche quelli «svolti nell'ambito delle attività ispettive su uffici giudiziari». Rispetto al passato, le parole «nell'ambito di» allargano ulteriormente lo spettro applicativo. Con un ampliamento ancora più significativo (e di liceità dubbia: i confini dell'art. 23 GDPR sono rigorosi), sono stati considerati come svolti per ragioni di giustizia anche i trattamenti «in materia di trattamento giuridico ed economico del personale di magistratura», laddove in passato (cfr. abrogato art. 47 cod.) ciò era previsto unicamente in ipotesi di «diretta incidenza sulla funzione giurisdizionale». Non rientrano invece nell'alveo concettuale dei trattamenti per ragioni di giustizia, ma sono trattamenti amministrativi e dunque sottoposti alla disciplina generale, quelli che riguardano «l'ordinaria attività amministrativo-gestionale di personale, mezzi o strutture, quando non è pregiudicata la segretezza di atti direttamente connessi alla trattazione giudiziaria di procedimenti». Su quest'ultimo punto, si registra piena continuità con la disciplina pregressa. BibliografiaPelino, in Bolognini, Pelino, Codice privacy: tutte le novità del d.lgs. n. 101/18, Milano, 2018, 69 e ss.; Garri, Pecora, Staglianò, Massimario del GPDP 1997-2001. I principi affermati dal Garante nei primi cinque anni di attività (sub GPDP [doc. web n.1050491]). |
