Persona, diritti personalità - Riservatezza, privacy -  Redazione P&D - 06/01/2019

Data protection il punto di vista del giudice - S.V.

Convegno Torino, 16/3/2018
DIRITTO E TECNOLOGIA
A partire soprattutto dagli anni ’90 vi è stata una vera rivoluzione nell’ambito della comunicazione via rete, con lo sviluppo delle piattaforme on line, dei motori di ricerca, della tecnologia informativa, della digitalizzazione.
Questo ha comportato un aumento incredibile dei flussi di dati personali, fra l’altro all’interno dell’Unione Europea
Di pari passo si è sviluppata la normativa comunitaria e nazionale in materia di protezione dati:
-nell’anno 1995 è stata emessa la Direttiva 95/46/CE del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, con l’osservazione, tra i considerando, che “l’integrazione economica e sociale derivante dall’instaurazione e dal funzionamento del mercato interno ai sensi dell’art. 7° del trattato comporterà necessariamente un sensibile aumento dei flussi transfrontalieri di dati personali tra tutti soggetti della vita economica e sociale degli Stati membri..”
-nel 2007 (12 dicembre), la Carta dei diritti fondamentali dell’Unione Europea si statuisce (capo II “Libertà”), art. 7 -Rispetto della vita privata e della vita familiare, “Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni”; art. 8 Protezione dei dati di carattere personale”, “I Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano” “II tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. “III Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente”.;
-nel 2009 (1° dicembre) con l’entrata in vigore del trattato di Lisbona, all’art. 16 p.1 del trattato sul funzionamento dell’Unione Europea (“TFUE”), si stabilisce che “Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”; -nel 2016, è emanato il Reg. (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27.04.2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che abroga la direttiva 95/46CE (regolamento generale sulla protezione dei dati), Regolamento entrato in vigore il 24 maggio 2016 (venti giorni dopo la data di pubblicazione in Gazz. Uff del 04.05.2016) e che si applicherà dal 25 maggio 2018.
CONTESTO ITALIANO
Nel 2003 veniva emanato in Italia il D.Lgs 30.06.2003 n. 196 - Codice in materia di protezione dei dati personali.
In esso veniva indicato, tra i principi generali, il principio della necessità del trattamento dei dati (art. 3 Principio di necessità nel trattamento dei dati: “I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità”.
Riguardo in particolare la normativa sul trattamento dei dati in ambito giudiziario, veniva inserito nel codice predetto uno specifico Titolo (trattamento in ambito giudiziario), nella parte seconda dedicata a Disposizioni relative a specifici settori, ove, al capo III (informatica giuridica), vi sono due articoli riguardanti i principi generali e i dati identificativi degli interessati.
Più specificamente, all’art. 52 del D.Lgs 30.06.2003 n. 196, veniva concessa facoltà all’interessato di attivarsi con una specifica istanza, che deve contenere “motivi legittimi”, se desidera che il suo nome venga anonimizzato, chiedendo l’annotazione in calce alla sentenza volta a precludere, in caso di riproduzione della sentenza o provvedimento in qualsiasi forma, per finalità di informazione giuridica su riviste giuridiche, supporti elettronici o mediante reti di comunicazione elettronica, l’indicazione delle generalità e di altri dati identificativi del medesimo interessato riportati sulla sentenza o provvedimento.
Nel 2014, 6 ottobre, il Presidente del Garante per la protezione dei dati personali, Dott. Antonello Soro, inviava al primo Presidente della Corte di Cassazione, Dott. Giorgio Santacroce, una lettera in merito “alla pubblicazione integrale sul web delle sentenze pronunciate dalla Corte di Cassazione e protezione dei dati personali” in quanto, collegandosi al sito della Corte di Cassazione, era stato istituito il servizio “sentenze Web” pubblico, aperto a tutti i cittadini, senza registrazioni, chiavi di accesso o altro, per la consultazione delle sentenze edite dalla Suprema Corte, con tutti i nomi delle parti “in chiaro”.
Il Garante, richiamando il caso esaminato dalla Corte di Giustizia C-131/12 (sentenza il 13.05.2014, Google-Spain) esprimeva le proprie preoccupazioni per il mancato oscuramento dei dati personali contenuti nelle sentenze, che espongono al rischio di indicizzazione, decontestualizzazione e magari di alterazione dei dati stessi, suggerendo di espungere dai provvedimenti i dati identificativi.
Ma la Corte di Cassazione non ha modificato la propria impostazione e il servizio “sentenze Web” della Corte di Cassazione è attualmente fruibile e aggiornato, con una banca dati con i nomi “in chiaro”.
Nel 2015 vedeva veniva emanata la legge 7.08.15 n. 124 in materia di riorganizzazione delle Amministrazioni pubbliche; l’art. 1 si occupava delle modifiche e integrazioni del Codice dell’Amministrazione digitale. Nello schema di decreto legislativo conseguente, si proponeva la modifica del codice della privacy, aggiungendo all’art. 52, il comma 4-ter del seguente tenore:
“4-ter. Le sentenze e le altre decisioni rese dall'autorità giudiziaria successivamente al 1° gennaio 2016 sono pubblicate sui siti Internet istituzionali delle autorità che le hanno emanate, su quelli di terzi e in qualsiasi forma, per finalità di informazione giuridica su riviste giuridiche, supporti elettronici o mediante reti di comunicazione elettronica, previa anonimizzazione dei dati personali in esse contenuti, fatti salvi quelli dei giudici e degli avvocati.".
Comma poi non aggiunto.
Nel frattempo il 17.03.2016, il Garante per la protezione dei dati personali, Dott. Antonello Soro, con una lettera indirizzata al Presidente della Camera arbitrale per i contratti pubblici presso l’ANAC, in merito alla “Pubblicazione nel sito internet dell’ANAC dei lodi arbitrali depositati presso la Camera arbitrale per i contratti pubblici” indicava che la pubblicazione dei lodi volta all’informazione giuridica potrà legittimamente avvenire previo oscuramento dei dati che consentano di individuare le persone coinvolte, in base al principio di proporzionalità.
Ma nel maggio 2016, il Consiglio di Stato nell’adunanza della Commissione speciale dell’11 maggio 2016 con riferimento allo schema di decreto legislativo recante modifiche e integrazioni al Codice dell’amministrazione digitale, (ai sensi dell’art. 1 della L. 07.08.15 n. 124 in materia di riorganizzazione delle Amministrazioni pubbliche), così si esprimeva:
“...la generalizzata “anonimizzazione” delle decisioni dell’autorità giudiziaria, svincolata da una valutazione caso per caso da parte degli organi giudicanti già prevista dalla vigente normativa, potrebbe comportare un “ingiustificato” appesantimento dell’attività amministrativa connessa con l’esercizio della funzione giurisdizionale, con conseguenti effetti negativi sull’efficacia e sulla speditezza della stessa”.
IL VALORE DEL PRECEDENTE GIURISPRUDENZIALE
La necessità di creare, in ambito giuridico, precedenti chiari e decifrabili appare indispensabile.
La giurisprudenza, dunque, diventa dato nel momento in cui viene utilizzato il documento informatico, idoneo al trattamento.
Si scontrano pertanto due ambiti di esigenze: l’esigenza della pubblicità del precedente giurisprudenziale e il diritto alla privacy di parti e testimoni.
L’art. 6 CEDU prescrive il diritto ad un processo equo: il giudizio deve essere pubblico
Vi possono essere deroghe: moralità, ordine pubblico, sicurezza nazionale, minori e protezione della vita delle parti.
L’art. 111 Cost. non ripete la suddetta formula, ma, parlando di giusto processo, non può non contenere un riferimento implicito alle convenzioni internazionali e alla CEDU, dunque al concetto di processo equo in quanto pubblico.
Collegati al concetto di processo pubblico e dunque equo vi sono quelli di conoscibilità e trasparenza dell’attività giudiziaria, di necessità di conoscenza die precedenti giurisprudenziali, per tutelare il caso singolo (che non venga deciso in modo difforme da altri casi analoghi) e per favorire la prevedibilità delle decisioni.
L’art. 51, c. 2, d.lgs. privacy (196/2003) prevede: “Le sentenze e le altre decisioni dell'autorità giudiziaria di ogni ordine e grado depositate in cancelleria o segreteria sono rese accessibili anche attraverso il sistema informativo e il sito istituzionale della medesima autorità nella rete Internet, osservando le cautele previste dal presente capo”.
Costituisce dunque un servizio pubblico quello di fornire gli elementi del database della giurisprudenza.
L’art. 52 del codice privacy prevede:
“1. Fermo restando quanto previsto dalle disposizioni concernenti la redazione e il contenuto di sentenze e di altri provvedimenti giurisdizionali dell'autorità giudiziaria di ogni ordine e grado, l'interessato può chiedere per motivi legittimi, con richiesta depositata nella cancelleria o segreteria dell'ufficio che procede prima che sia definito il relativo grado di giudizio, che sia apposta a cura della medesima cancelleria o segreteria, sull'originale della sentenza o del provvedimento, un'annotazione volta a precludere, in caso di riproduzione della sentenza o provvedimento in qualsiasi forma, per finalità di informazione giuridica su riviste giuridiche, supporti elettronici o mediante reti di comunicazione elettronica, l'indicazione delle generalità e di altri dati identificativi del medesimo interessato riportati sulla sentenza o provvedimento.
2. Sulla richiesta di cui al comma 1 provvede in calce con decreto, senza ulteriori formalità, l'autorità che pronuncia la sentenza o adotta il provvedimento. La medesima autorità può disporre d'ufficio che sia apposta l'annotazione di cui al comma 1, a tutela dei diritti o della dignità degli interessati....
5. Fermo restando quanto previsto dall'articolo 734-bis del codice penale relativamente alle persone offese da atti di violenza sessuale, chiunque diffonde sentenze o altri provvedimenti giurisdizionali dell'autorità giudiziaria di ogni ordine e grado è tenuto ad omettere in ogni caso, anche in mancanza dell'annotazione di cui al comma 2, le generalità, altri dati identificativi o altri dati anche relativi a terzi dai quali può desumersi anche indirettamente l'identità di minori, oppure delle parti nei procedimenti in materia di rapporti di famiglia e di stato delle persone....
7. Fuori dei casi indicati nel presente articolo è ammessa la diffusione in ogni forma del contenuto anche integrale di sentenze e di altri provvedimenti giurisdizionali.
Questi pertanto sono i ristretti limiti alla diffusione delle decisioni dell’autorità giudiziaria.
E d’altra parte, l’anonimizzazione dei dati giudiziari comporta particolari costi e tempi di attuazione, che rientrano nel bilanciamento delle opposte esigenze (pubblicità vs privacy).
A) PREMESSA

IL CONTROLLO DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI E L’AUTORITA’ GIUDIZIARIA SECONDO LE PIU’ RECENTI NORME COMUNITARIE
1. Nel corso del 2016 il quadro normativo eurounitario in materia di protezione dei dati personali è stato oggetto di due coevi interventi:
-Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)»
-Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016, «relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio».
Il Regolamento 2016/679 diventa pienamente applicabile a decorrere dal 25 maggio 2018.
I termini per il recepimento della Direttiva 2016/680 scadono il 6 maggio 2018.
Di seguito si analizza la questione del possibile controllo, da parte dell’autorità indipendente prevista dalla normativa eurounitaria (in Italia, Garante per la protezione dei dati personali), sull’attività giurisdizionale in campo civile e in campo penale.
2. L’oggetto dell’intervento normativo eurounitario è il «trattamento di dati personali» con una definizione assai ampia sia del «dato personale», sia del «trattamento» (che riguarda anche dati non registrati in una banca dati).
1. Il considerando 20 del Regolamento 2016/679 afferma in generale l’applicabilità del Regolamento stesso «anche alle attività delle autorità giurisdizionali di altre autorità giudiziarie».
Specifiche previsioni del Regolamento 2016/679 che riguardano l’attività giudiziaria sono:
-capo II (sui principi) e nel capo III (sui diritti dell’interessato), sulla liceità del trattamento anche senza il consenso dell’interessato, l’art. 6, paragrafo 1, lettere c) ed f) (“1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: c)il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento...f)il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”); -sulla non applicabilità del divieto di trattamento dei dati sensibili, l’art. 9, paragrafo 2, lettera f) (“1. È’ vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. 2. Il paragrafo 1 non si applica se sui verifica uno dei seguenti casi...f)il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogni qualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali”);
-sulla negazione del diritto all’oblio, alla cancellazione di dati o ad altre limitazioni del trattamento da parte dell’interessato, l’art. 17, paragrafo 3, lettera e), e art. 18, paragrafo 2 (“1. L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: a)i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati....3. I paragrafi 1 e 2non si applicano nella misura in cui il trattamento sia necessario...e)per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria”).
Si tratta di disposizioni vincolanti, di immediata applicazione, che sono modulate come eccezioni all’applicazione, all’attività giudiziaria civile, dei principi e dei diritti dell’interessato. Limitazioni al diritto alla privacy.
Il considerando 4 del Regolamento 2016/679 prevede: «il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità».
B) ESCLUSIONE DEL CONTROLLO DEL GARANTE SULL’AUTORITÀ
GIUDIZIARIA CIVILE
Oltre a tali limitazioni già previste dal Regolamento 2016/679 e quindi non derogabili, lo stesso Regolamento 2016/679, nel considerando 20 e nella specifica disposizione dell’art. 20, paragrafo 3, consente agli Stati membri di adottare ulteriori e più “specifiche” limitazioni all’applicabilità dei principi generali e dei diritti dell’interessato, quando siano ritenute necessarie e proporzionate per salvaguardare «l’indipendenza della magistratura e dei procedimenti giudiziari».
2. Ciò premesso, in ordine all’applicazione della disciplina sostanziale del trattamento dei dati personali con riguardo all’attività giudiziaria civile, riguardo alla individuazione del soggetto preposto al controllo sul rispetto delle (limitate) disposizioni applicabili, il considerando 20 del Regolamento 2016/679, mentre si menzionano in generale le «attività» (al plurale) dell’autorità giurisdizionale (senza cioè alcuna distinzione tra funzioni giurisdizionali, ivi comprese quelle di volontaria giurisdizione e altre attività amministrative affidate ai capi degli uffici ovvero ad essi riconducibili), si duce: «Non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell’adempimento delle loro funzioni giurisdizionali, al fine di salvaguardare l’indipendenza della magistratura nell’adempimento dei suoi compiti giurisdizionali, compreso il processo decisionale»).
3. Tale concetto è espresso nell’art. 55, paragrafo 3, del Regolamento 2016/679, secondo cui: «Le autorità di controllo non sono competenti per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali».
La norma è dunque chiarissima nell’intento di evitare ogni interferenza o commistione di poteri tra autorità giudiziaria e autorità amministrativa (quand’anche indipendente, come quella del Garante) o distorsioni delle regole del processo (soprattutto nell’acquisizione e nella “gestione” del materiale probatorio).
Il Regolamento 2016/679 sembra dunque abrogare le contrarie disposizioni di legge interna, che avevano interpretato la Direttiva 95/46/CE (la quale direttiva nulla prevedeva di specifico con riferimento ai rapporti dell’autorità di controllo con le autorità giurisdizionali) come se il controllo (della suddetta autorità amministrativa indipendente) fosse, al contrario, in generale consentito, dandone quindi attuazione sotto tale profilo con disposizioni ad hoc dirette solo a limitarne la portata.
Si vedano i commi 5 e 6 dell’art. 160 del Codice in materia di protezione dei dati personali (196/2003): «5. Nell’effettuare gli accertamenti di cui al presente articolo nei riguardi di uffici giudiziari, il Garante adotta idonee modalità nel rispetto delle reciproche attribuzioni e della particolare collocazione istituzionale dell’organo procedente. Gli accertamenti riferiti ad atti di indagine coperti dal segreto sono differiti, se vi è richiesta dell’organo procedente, al momento in cui cessa il segreto. 6. La validità, l’efficacia e l’utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali non conforme a disposizioni di legge o di regolamento restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale».
Tutto ciò deriva, ovviamente, dal generale principio sulla separazione (o divisione) dei poteri.
E una netta delimitazione dei poteri dell’autorità amministrativa di controllo rispetto all’attività giurisdizionale era stata già esplicitata nel diritto comunitario, nella materia de qua, nel 2001 con l’adozione del Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000 (concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati), là dove, nell’istituire il Garante europeo della protezione dei dati (art. 41), escludeva le funzioni di controllo nei confronti della «Corte di giustizia delle Comunità europee nell’esercizio delle sue funzioni giurisdizionali».
Del resto, sia con riferimento alla legge n. 675 del 1996 (di recepimento, in sostanza, della Direttiva 95/46/CE), sia con riferimento al Codice in materia di protezione dei dati personali, si erano segnalati profili di illegittimità costituzionale del controllo del Garante sulla magistratura, nonché l’intrinseca illogicità e irrazionalità di un controllo amministrativo nell’ambito del sistema processuale.
Il menzionato art. 55, paragrafo 3, del Regolamento 2016/679 (secondo cui: «Le autorità di controllo non sono competenti per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali») si riferisce, al plurale, «alle autorità giurisdizionali nell’esercizio delle loro funzioni».
Si ritiene che tale disposizione sia da intendersi riferita non solo alle autorità giurisdizionali giudicanti, ma anche alle autorità giurisdizionali che, incardinate presso tribunali e corti, partecipano alla medesima funzione giurisdizionale civile, e cioè ai pubblici ministeri (con poteri generalmente requirenti, ma, nell’ordinamento italiano, anche di iniziativa nel pubblico interesse).
Sarebbe invero irrazionale una diversa interpretazione (in contrasto peraltro anche con il dato testuale), che, quanto al controllo del Garante, distinguesse tra i due uffici giudiziari posti all’interno delle Corti, in relazione ad un medesimo trattamento “giudiziario” di dati personali.
4. Se, come si è detto, alcune (limitate) disposizioni sono applicabili anche all’attività giudiziaria e il Garante non è preposto al controllo, nel Regolamento 2016/679 ci si è posto il problema su come assicurare l’effettivo rispetto delle stesse disposizioni, prefigurandosi al riguardo (sempre nel considerando 20) una soluzione rappresentata dalla possibile istituzione di «organismi specifici all’interno del sistema giudiziario»: «Si dovrebbe poter affidare il controllo su tali trattamenti di dati ad organismi specifici all’interno del sistema giudiziario dello Stato membro, che dovrebbero in particolare assicurare la conformità alle norme del presente regolamento, rafforzare la consapevolezza della magistratura con riguardo agli obblighi che alla stessa derivano dal presente regolamento ed esaminare i reclami in relazione a tali operazioni di trattamento dei dati» (considerando 20).
Tuttavia, tale parte del considerando 20 non ha trovato una specifica disposizione normativa nell’ambito dell’articolato, sì che il controllo interno del rispetto delle disposizioni applicabili alle funzioni giurisdizionali dal 25 maggio 2018 continuerà ad essere affidato, per quanto riguarda l’Italia, alla vigilanza dei capi degli uffici giudiziari medesimi, oltre che al generale sistema valutativo di professionalità e/o disciplinare ed anche, in caso di danno, all’azionabilità della legge n. 117 del 1988 nei casi e secondo le regole ivi previste (senza necessità, quindi, di alcuna diversa regolamentazione al riguardo imposta dal diritto eurounitario).
1. Le considerazioni che precedono, riguardano i rapporti tra Garante e «autorità giurisdizionali nell’adempimento delle loro funzioni giurisdizionali».
E tuttavia tali considerazioni non appaiono esaustive, dal momento che il Regolamento 2016/679 − come chiarito nel considerando 19, e come disposto dall’art. 2, paragrafo 1, lett. d), dello stesso Regolamento − «non si applica ai trattamenti di dati personali...effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse».
C) ESCLUSIONE DEL CONTROLLO DEL GARANTE SULL’AUTORITÀ
GIUDIZIARIA PENALE
In effetti, per le suddette finalità in campo penale, i dati personali trattati dalle autorità pubbliche sono stati disciplinati da un atto dell’Unione più specifico, la già citata Direttiva 2016/680 del Parlamento europeo e del Consiglio (richiamata espressamente dal Regolamento 2016/679 nel considerando 19), da recepire entro il 6 maggio 2018, ex art. 63, paragrafo 1, della Direttiva 2016/680.
Qualche chiarimento al riguardo si impone in premessa sotto due profili, non solo cioè con riferimento in generale all’ambito di intervento normativo eurounitario in campo penale, ma anche, là dove questo è ammesso, in relazione al fatto che, nel nostro ordinamento costituzionale, l’autorità competente ai fini di indagine e accertamento e perseguimento di reati non è un’autorità amministrativa (come in altri Paesi), ma l’autorità giudiziaria rappresentata dal pubblico ministero.
2. Fino al Trattato di Lisbona era esclusa la competenza normativa della Comunità europea in campo penale.
Con l’approvazione dell’art 83 del Trattato sul funzionamento dell’Unione europea (Trattato di Lisbona), è stata ammessa una competenza cd. accessoria (si prevede l’adozione di “norme minime” da parte dell’Unione) e indiretta (nel senso che la eventuale adozione di direttive richiede sempre una trasposizione nel diritto interno) con esclusivo e limitato riferimento, però, «alla definizione dei reati e delle sanzioni in sfere di criminalità particolarmente grave che presentano una dimensione transnazionale derivante dal carattere o dalle implicazioni di tali reati o da una particolare necessità di combatterli su basi comuni».
3. Infatti, con particolare riferimento alla materia del trattamento dei dati personali, l’esclusione della competenza normativa dell’Unione europea in campo penale è ricordata nelle premesse della Direttiva 2016/680 (considerando 5), là dove è esplicitato a chiare lettere, per il passato (e cioè con riferimento alla direttiva 95/46/CE), quanto segue: «La direttiva 95/46/CE del Parlamento europeo e del Consiglio... si applica a qualsiasi trattamento di dati personali negli Stati membri sia nel settore pubblico che in quello privato. Non si applica invece ai trattamenti di dati personali effettuati per l’esercizio di attività che non rientrano nell’ambito di applicazione del diritto comunitario quali le attività nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia».
Per tale motivo il Codice della protezione dei dati personali risulta all’evidenza eccedente l’ambito normativo imposto dal diritto comunitario, là dove all’art. 160 si disciplinano, tra i «particolari accertamenti» da parte del Garante, anche quelli nei confronti dell’autorità giudiziaria penale (oltre che, come si è visto supra paragrafo B, dell’autorità giudiziaria civile) (cfr. il comma 5: «Nell’effettuare gli accertamenti di cui al presente articolo nei riguardi di uffici giudiziari, il Garante adotta idonee modalità nel rispetto delle reciproche attribuzioni e della particolare collocazione istituzionale dell’organo procedente. Gli accertamenti riferiti ad atti di indagine coperti dal segreto sono differiti, se vi è richiesta dell’organo procedente, al momento in cui cessa il segreto»).
Pertanto, la Direttiva 2016/680 circoscrive – come già le disposizioni adottate in sede di decisione quadro 2008/977/GAI – la prevista protezione dei dati personali al solo settore della cooperazione giudiziaria in materia penale (art. 1, paragrafo 1) e nel limitato oggetto dello «scambio dei dati personali da parte delle autorità competenti all’interno dell’Unione, qualora tale scambio sia richiesto dal diritto dell’Unione o da quello dello Stato membro, non sia limitato né vietato per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali».
La «dimensione transnazionale» è dunque attualmente l’unico possibile ambito di intervento normativo eurounitario in campo penale.
È quindi solo in tale circoscritto settore della cooperazione penale che anche l’autorità giudiziaria penale è chiamata al rispetto dei previsti principi nella Direttiva 2016/680.
4. Orbene, nel ben delimitato ambito di applicazione della Direttiva 2016/680 di cui supra n. 3 del presente paragrafo C, va quindi preso in esame il problema della individuazione del soggetto preposto al controllo del rispetto delle previsioni normative da parte dell’autorità giudiziaria penale.
Nel campo penale, la Direttiva 2016/680 deve necessariamente fare i conti con normative interne differenziate poiché non tutti gli ordinamenti degli Stati membri hanno l’impostazione della Costituzione italiana ove l’attività di indagine e repressione dei reati è affidata alla magistratura, in particolare agli uffici giudiziari delle procure (quanto invece ad autorità amministrative sia pure dotate di una certa indipendenza, ma comunque ricadenti, in termini di semplicistica approssimazione, sotto il “potere esecutivo”).
Tuttavia l’opzione dell’Unione è altrettanto chiara come nel Regolamento 2016/679, ed è esplicitata nel considerando 80 della Direttiva 2016/680: «Sebbene la presente direttiva si applichi anche alle attività delle autorità giurisdizionali nazionali e di altre autorità giudiziarie, non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali, al fine di salvaguardare l’indipendenza dei giudici nell’adempimento dei loro compiti giurisdizionali. Tale esenzione dovrebbe essere limitata all’attività giurisdizionale e non applicarsi ad altre attività a cui i giudici potrebbero partecipare in forza del diritto dello Stato membro. Gli Stati membri dovrebbero inoltre poter disporre che nella competenza delle autorità di controllo non rientri il trattamento di dati personali effettuato da altre autorità giudiziarie indipendenti nell’esercizio delle loro funzioni giurisdizionali, ad esempio le procure. In ogni caso, il rispetto delle norme della presente direttiva da parte di autorità giurisdizionali e altre autorità giudiziarie indipendenti è sempre soggetto a un controllo indipendente conformemente all’articolo 8, paragrafo 3, della Carta».
5. E’ dunque evidente in primis che, secondo il considerando 80, sugli uffici giudiziari giudicanti nell’esercizio delle funzioni giurisdizionali il controllo dell’autorità amministrativa indipendente è nettamente escluso.
Infatti l’art. 45 della Direttiva 2016/680, dopo aver chiarito le competenze dall’autorità di controllo [«Ogni Stato membro dispone che ciascuna autorità di controllo sia competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti, ai sensi della presente direttiva nel territorio del rispettivo Stato membro» (paragrafo 1)], nel paragrafo 2, conformemente al primo periodo del citato considerando 80 della stessa Direttiva 2016/680, prevede il seguente divieto: «Ogni Stato membro dispone che ciascuna autorità di controllo non sia preposta a controllare i trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali».
In conclusione, sia pure nel limitato campo oggetto della direttiva (vedi supra n. 3 del presente paragrafo C) – in conformità con l’analoga norma dell’art. 55, paragrafo 3, del Regolamento 2016/679 per l’attività giurisdizionale civile – ogni interferenza tra controllo del Garante e Autorità giurisdizionale giudicante penale è espressamente esclusa.
6. Più flessibile appare invece la Direttiva 2016/680 sulla soluzione da adottare con riferimento al controllo sull’attività del pubblico ministero, stante la non uniformità negli ordinamenti degli Stati membri, come si è accennato, del ruolo attribuito al pubblico ministero nell’attività inquirente e requirente.
La Direttiva 2016/680 (nel considerando 80 e nel secondo periodo del paragrafo 2 dell’art. 45) consente dunque opzioni diverse, rispetto alla soluzione primaria del divieto del controllo da parte dell’autorità amministrativa indipendente – id est, testualmente: «Gli Stati membri dovrebbero inoltre poter disporre che nella competenza delle autorità di controllo non rientri il trattamento di dati personali effettuato da altre autorità giudiziarie indipendenti nell’esercizio delle loro funzioni giurisdizionali, ad esempio le procure» (considerando 80); «Gli Stati membri possono disporre che le rispettive autorità di controllo non siano competenti per il controllo dei trattamenti effettuati da altre autorità giurisdizionali indipendenti nell’esercizio delle loro funzioni giurisdizionali»(art. 45, paragrafo 2, secondo periodo) .
In effetti, il riferimento alle «altre autorità giurisdizionali indipendenti nell’esercizio delle loro funzioni giurisdizionali», contenuto nel testo normativo (art. 45, paragrafo 2, secondo periodo) inserito subito dopo la disposizione del divieto del controllo del Garante sui «trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle funzioni giurisdizionali» (divieto contenuto nello stesso art. 45, paragrafo 2, primo periodo), non può che interpretarsi come riguardante l’attività giudiziaria del pubblico ministero, cioè delle “procure” (termine quest’ultimo, in effetti, esplicitato nel corrispondente considerando 80).
È chiaro che alla luce del nostro ordinamento costituzionale tale opzione di esclusione (del controllo del Garante), consentita agli Stati membri nel recepimento della Direttiva 2016/680, dovrebbe essere una scelta obbligata da parte del legislatore interno, in quanto derivante dai principi costituzionali di indipendenza e autonomia della magistratura tutta.
In conclusione – e sempre nel limitato campo di applicazione della Direttiva 2016/680 (vedi supra n. 3 del presente paragrafo C) − risulta evidente che l’opzione in parola, di un possibile controllo del Garante sull’attività svolta dalle procure nell’esercizio delle loro funzioni giurisdizionali sembra riferita a quegli ordinamenti in cui gli uffici di procura nell’attività di indagine per l’accertamento del reato sono, per quanto dotati di un certo grado di indipendenza, organi attratti (per semplificare) nell’orbita del potere esecutivo.
Nel sistema costituzionale italiano invece, per quanto si tratti di funzioni diverse (giudici e pubblici ministeri), anche con previsioni costituzionali ad hoc per il pubblico ministero (cit. art. 107, ultimo comma, Cost.), gli uffici di procura appartengono alla magistratura e partecipano alla funzione giurisdizionale fin dall’inizio delle indagini, per cui la previsione di un controllo del Garante − oltre che del tutto irrazionale, quale interferenza esoprocedimentale, nell’attività di indagine per l’accertamento di un reato e per l’acquisizione delle fonti di prova, con possibile vulnus del diritto di difesa di terzi (come le vittime del reato che nella fase delle indagini non sono costituite parte civile), e, soprattutto, con possibile sovrapposizione di esame e di giudizio, spettanti invece unicamente all’organo giudicante − risulterebbe in palese contrasto con la Costituzione (si pensi ad una decisione del Garante su ricorso dell’interessato/indagato, ad esempio, in caso di intercettazioni, sequestri, acquisizione di documenti o altro materiale probatorio, etc.).
7. Non resta che chiarire la portata dell’ultimo periodo del considerando 80 della Direttiva 2016/680, là dove, dopo aver escluso la competenza del Garante sull’attività giurisdizionale (dei giudici e, a seconda degli ordinamenti, dei pubblici ministeri), si dispone: «In ogni caso, il rispetto delle norme della presente direttiva da parte di autorità giurisdizionali e altre autorità giudiziarie indipendenti è sempre soggetto a un controllo indipendente conformemente all’articolo 8, paragrafo 3, della Carta». Il citato art. 8, paragrafo 3, della Carta di Nizza, prevede in effetti che, in materia di protezione dei dati di carattere personale e di rispetto delle regole al riguardo previste dalla legge, «Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente».
V’è da dire che detto considerando 80 della Direttiva 2016/680 in tale parte non ha trovato una specifica disposizione nell’articolato della medesima Direttiva 2016/680, per cui non emerge alcun obbligo di specifico recepimento per gli Stati membri.
In ogni caso, come per il considerando 20, del Regolamento 2016/679 che ha ipotizzato (senza alcuna disposizione vincolante) una possibile istituzione di «organismi specifici all’interno del sistema giudiziario» preposti a tale scopo (cfr. supra n. 4 del paragrafo B), può valere, anche nel circoscritto ambito penale in parola, la considerazione che il controllo del rispetto delle disposizioni applicabili alle funzioni giurisdizionali dovrebbe continuare ad essere affidato, per quanto riguarda l’Italia, alla generale vigilanza dei capi degli uffici giudiziari medesimi, oltre che al generale sistema valutativo di professionalità e/o disciplinare ed anche, in caso di danno, a quello della responsabilità civile nei casi e secondo le regole previste dalla legge n. 117 del 1988 (senza necessità quindi di alcuna diversa regolamentazione al riguardo).


FONTI
-Silvia Toffoletto, avvocato in Milano, “Privacy by design e contenzioso. La forza del precedente giurisprudenziale e la tutela della riservatezza”, Milano, 11/10/2016;

-Enrico Consolandi, giudice in Milano,“Per un contenzioso calcolabile”;


-Federico Sorrentino, sostituto procuratore generale presso la Corte di Cassazione, “Il controllo del garante per la protezione dei dati personali e l’autorità giudiziaria secondo le più recenti norme eurounitarie”, 15/2/2018.