Garante per i dati personali - 5/06/2019 - n. 146 art. 1Ai sensi dell'art. 21, comma 1, del decreto legislativo 10 agosto 2018, n. 101, adotta il presente provvedimento recante le prescrizioni relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b) e 4, nonché al Capo IX del regolamento riportate nell'allegato 1 facente parte integrante del provvedimento medesimo, e ne dispone la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai sensi dell'art. 21, comma 2, del decreto legislativo n. 101/2018. InquadramentoIn attuazione delle disposizioni di cui al Regolamento (UE) 2016/679, l'art. 21 d.lgs. n. 101/2018 ha demandato all'Autorità Garante per la protezione dei dati personali (di seguito, “Garante”) il compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni contenute nelle autorizzazioni generali già adottate dallo stesso Garante, relative alle situazioni di trattamento di cui agli artt. 6, paragrafo 1, lett. c) ed e), 9, paragrafo 2, lett. b) e 4, nonché al Capo IX, del Regolamento (UE) 2016/679, che risultano compatibili con le disposizioni eurounitarie e con lo stesso d.lgs. n. 101/2018, che ha novellato il d.lgs. n. 196/2003, provvedendo altresì al loro aggiornamento ove necessario. Con il provvedimento n. 497 del 13 dicembre 2018, il Garante ha individuato le prescrizioni contenute nelle Autorizzazioni generali nn. 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016 che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, deliberando, come richiesto proprio dall'art. 21, comma 1, d.lgs. 101/2018, di avviare una consultazione pubblica volta ad acquisire osservazioni e proposte riguardo alle predette prescrizioni, che si è conclusa decorsi 60 (sessanta) giorni dalla data di pubblicazione del relativo avviso (G.U. n. 9 dell'11 gennaio 2019). Durante la consultazione pubblica, il Garante ha raccolto le osservazioni e le proposte pervenute, inerenti ai risvolti applicativi del provvedimento prescrittivo n. 497/2018 da parte di soggetti interessati, associazioni di categoria e organizzazioni rappresentative dei settori di riferimento. Successivamente, con il provvedimento n. 146/2019, il Garante ha dunque ritenuto di apportare specifiche modifiche e integrazioni, alla luce dei contributi maggiormente significativi e pertinenti inviati dai partecipanti alla predetta consultazione pubblica, anche al fine di rendere maggiormente chiare e precise le prescrizioni indicate nonché di armonizzarle nel contesto normativo vigente. Per mezzo di tale ultimo provvedimento, fra le altre cose, il Garante ha anche individuato, aggiornandole, le prescrizioni relative al trattamento di categorie particolari di dati personali da parte degli investigatori privati che, a suo avviso, risultano essere compatibili con le disposizioni eurounitarie e con lo stesso d.lgs. n. 101/2018. Tale verifica di “compatibilità” ha comportato, in primis, l'eliminazione di alcune disposizioni della precedente versione della presente autorizzazione generale e, in secundis, un allineamento sul piano definitorio, al fine di espungere dal testo le definizioni oramai da considerarsi obsolete, poiché superate dalle nuove definizioni dell'impianto normativo del Regolamento (UE) 2016/679. Viene dunque effettuato un intervento prevalentemente di “armonizzazione” rispetto al Regolamento (UE) 2016/679, piuttosto che di “innovazione”. Considerazioni generaliL'art. 21, comma 1 d.lgs. n. 101/2018 ha demandato al Garante il compito di effettuare, nel termine di novanta giorni dall'entrata in vigore del decreto stesso, una verifica della compatibilità rispetto al Regolamento (UE) 2016/679 delle prescrizioni contenute nelle autorizzazioni generali già adottate dallo stesso Garante, relative alle situazioni di trattamento di cui agli artt. 6, paragrafo 1, lett. c) ed e), 9, paragrafo 2, lett. b) e 4, nonché al Capo IX, del Regolamento (UE) 2016/679, per il tramite di un provvedimento di carattere generale che avrebbe dovuto essere posto in consultazione pubblica entro novanta giorni dall'entrata in vigore del d.lgs. n. 101/2018. Al termine della suddetta procedura di verifica, per mezzo del provvedimento n. 497/2018, il Garante ha effettivamente accertato la necessità che la valutazione di compatibilità delle disposizioni del Codice di Deontologia con il Regolamento (UE) 2016/679 non potesse prescindere da una loro lettura che tenesse integralmente conto del mutato quadro normativo di riferimento in materia di protezione dei dati personali. Per tali ragioni, con il provvedimento n. 497/2018 il Garante ha individuato le prescrizioni compatibili con le disposizioni eurounitarie, deliberando di voler avviare anche la consultazione pubblica richiesta dal legislatore italiano. Obiettivo della consultazione era quello di acquisire osservazioni e proposte rispetto alle prescrizioni individuate con il predetto provvedimento, con specifico riguardo ai risvolti applicativi dei principi ivi enunciati, nonché agli eventuali profili di criticità riscontrabili o anche già sperimentati nel settore di riferimento, a cura di tutti i soggetti interessati, anche eventualmente attraverso le associazioni di categoria e le organizzazioni rappresentative dei settori di riferimento. Il Garante ha in particolare avuto modo di accertare che i richiami al d.lgs. n. 196/2003 contenuti nelle disposizioni dell'autorizzazione generale che contenessero specifiche prescrizioni, nonché la terminologia utilizzata, necessitavano di essere opportunamente aggiornati ai sensi delle corrispondenti disposizioni del Regolamento (UE) 2016/679 e del medesimo d.lgs. n. 196/2003, come modificato dal d.lgs. n. 101/2018. Per quanto concerne la consultazione pubblica, entro 60 (sessanta) giorni dal suo avvio (che è avvenuto in data 11 gennaio 2019) tutti i soggetti interessati, le associazioni di categoria e le organizzazioni rappresentative dei settori di riferimento hanno fatto pervenire al Garante i loro contributi in merito ai risvolti applicativi del provvedimento prescrittivo n. 497/2018 – ossia, verosimilmente entro il 12 marzo 2019. Successivamente, con il provvedimento n. 146/2019, il Garante ha dunque ritenuto di apportare specifiche modifiche e integrazioni, alla luce dei contributi maggiormente significativi e pertinenti inviati dai partecipanti alla predetta consultazione pubblica, anche al fine di rendere maggiormente chiare e precise le prescrizioni indicate nonché di armonizzarle nel contesto normativo. Ambito di applicazione e finalità del trattamentoPer quanto concerne l'ambito di applicazione, il paragrafo 3.1 del provvedimento n. 146/2019 non si discosta da quanto già previsto in occasione della precedente autorizzazione generale, prevedendo dunque che le prescrizioni individuate dal Garante sono dirette alle persone fisiche e giuridiche, agli istituti, agli enti, alle associazioni e agli organismi che esercitano un'attività di investigazione privata autorizzata con licenza prefettizia (art. 134 r.d. n. 773/1931, e successive modificazioni e integrazioni). Anche con riferimento alle finalità del trattamento bisogna registrare che non si rinvengono modifiche da parte del Garante rispetto alla precedente impostazione. Pertanto, in continuità con il passato, il Garante prevede che il trattamento delle categorie particolari di dati personali di cui all'art. 9, paragrafo 1, del Regolamento (UE) 2016/679 può essere effettuato unicamente per l'espletamento dell'incarico ricevuto dai soggetti sopra richiamati e in particolare: • per permettere a chi conferisce uno specifico incarico, di fare accertare, esercitare o difendere un proprio diritto in sede giudiziaria che, quando concerne dati genetici, relativi alla salute, alla vita sessuale o all'orientamento sessuale della persona, deve essere di rango pari a quello del soggetto al quale si riferiscono i dati, ovvero consistere in un diritto della personalità o in un altro diritto o libertà fondamentale; • su incarico di un difensore in riferimento ad un procedimento penale, per ricercare e individuare elementi a favore delrelativo assistito da utilizzare ai soli fini dell'esercizio del diritto alla prova (art. 190 c.p.p. e l. n. 397/2000). Prescrizioni specificheNell'ambito delle prescrizioni specifiche, restano invariati il divieto per l'investigatore privato di intraprendere, di propria iniziativa, investigazioni, ricerche e altre forme di raccolta di dati personali, dal momento che le stesse possono essere eseguite solo ed esclusivamente sulla base di un apposito incarico conferito per iscritto – incarico che deve menzionare specificamente il diritto che si intende esercitare in sede giudiziaria, ovvero il procedimento penale al quale l'investigazione è collegata, nonché i principali elementi di fatto che giustificano l'investigazione, ivi incluso il termine ragionevole entro cui questa deve concludersi. Bisogna, tuttavia, effettuare alcune precisazioni in merito all'obbligo di fornire l'informativa sul trattamento dei dati personali nell'ambito dello svolgimento delle investigazioni difensive, rispetto al quale il Garante stabilisce espressamente che «Deve essere fornita all'interessato l'informativa di cui agli artt. 13 e 14 del Regolamento (UE) 2016/679, salvo, nel caso in cui i dati personali non siano stati ottenuti presso l'interessato, che questa rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento» (paragrafo 3.3 del provvedimento n. 146/2019). Ebbene, sulla base del richiamato art. 14 del Regolamento (UE) 2016/679 e stante la disposizione di cui al paragrafo 5, lett. b) del medesimo articolo, è possibile arrivare a sostenere che gli investigatori privati sono legittimati a non fornire l'informativa sul trattamento dei dati personali direttamente agli interessati, laddove i dati non siano stati raccolti presso questi ultimi, se e nella misura in cui «comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all'art. 89, paragrafo 1, o nella misura in cui l'obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni». Va da sé che questo tipo di approccio, ovviamente, comporterebbe per il titolare del trattamento l'onere di dover valutare, caso per caso e nel pieno rispetto del noto principio di accountability, se e in che misura la comunicazione delle informazioni direttamente nei confronti degli interessati risulti impossibile, ovvero implichi uno sforzo sproporzionato, o ancora rischi di rendere impossibile o pregiudicare gravemente lo svolgimento delle investigazioni difensive o la necessità fare accertare, esercitare o difendere un proprio diritto in sede giudiziaria. SanzioniL'art. 21, comma 5 d.lgs. n. 101/2018 prevede espressamente che «Salvo che il fatto costituisca reato, le violazioni delle prescrizioni contenute nelle autorizzazioni generali di cui al presente articolo e nel provvedimento generale di cui al comma 1 sono soggette alla sanzione amministrativa di cui all'art. 83, paragrafo 5 del Regolamento (UE) 2016/679». Il legislatore italiano prevede, dunque, che in caso di violazione delle prescrizioni di cui al provvedimento n. 146/2019, una volta adottate all'esito del procedimento di consultazione pubblica, si applichi la sanzione amministrative pecuniaria fino a 20.000.000 euro, ovvero per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. |
