Consiglio di Stato, sez. C, parere definitivo 2022-02-15, n. 202200355

Sintesi tramite sistema IA Doctrine

L'intelligenza artificiale può commettere errori. Verifica sempre i contenuti generati.Beta

Segnala un errore nella sintesi

Sul provvedimento

Citazione :
Consiglio di Stato, sez. C, parere definitivo 2022-02-15, n. 202200355
Giurisdizione : Consiglio di Stato
Numero : 202200355
Data del deposito : 15 febbraio 2022
Fonte ufficiale :

Testo completo

N. 01588/2021 AFFARE

Numero 00355/2022 e data 15/02/2022 Spedizione

REPUBBLICA ITALIANA

Consiglio di Stato

Sezione Consultiva per gli Atti Normativi

Adunanza di Sezione del 21 dicembre 2021




NUMERO AFFARE

01588/2021

OGGETTO:

Ministero della giustizia.


Schema di decreto del Ministro della giustizia di concerto con il Ministro dell'interno concernente: "Regolamento recante la disciplina del trattamento di dati personali relativi a condanne penali e reati, ai sensi dell'articolo 2-octies del decreto legislativo 30 giugno 2003, n. 196, concernente il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE";

LA SEZIONE

Vista la nota di trasmissione prot. n. 12934 del 14 dicembre 2021, con la quale il Ministero della Giustizia ha chiesto il parere del Consiglio di Stato sull'affare consultivo in oggetto;

Esaminati gli atti e udito il relatore, consigliere G C;


Premesso

1. L’oggetto dello schema di decreto del Ministro della giustizia, di concerto con il Ministro dell'interno, è costituito dalle norme di attuazione dell'art. 2- octies del d.lgs. 30 giugno 2003, n. 196, cosiddetto Codice in materia di protezione dei dati personali (d’ora in poi Codice), inserito dall’art. 2, comma 1, lett. f), del d.lgs. 10 agosto 2018, n. 101. Per individuare nell’interezza l’oggetto dello schema è necessario precisare che l’art. 2- octies è stato successivamente richiamato in una disposizione del d.lgs. 6 settembre 1989, n. 322, concernente la disciplina del “Sistema statistico nazionale”;
si tratta dell’art. 6- bis , comma 1- bis , che è stato inserito dal d.l. 28 gennaio 2019, n. 4, convertito, con modificazioni, dalla l. 28 marzo 2019, n. 26, che riguarda il trattamento dei dati effettuato dal sistema statistico nazionale.

2. La materia dell’intervento normativo secondario all’esame di questa Sezione riguarda il trattamento dei dati personali relativi a condanne penali e reati (d’ora in poi dati giudiziari) e si inserisce nella disciplina eurounitaria della protezione delle persone fisiche rispetto al trattamento dei dati personali e alla libera circolazione degli stessi, come innovata nel 2016 con gli atti contestuali, costituiti dalla direttiva 2016/680/UE (d’ora in poi direttiva) e dal regolamento 2016/679/UE (d’ora in poi Regolamento UE).

3. L’Italia ha provveduto all’adeguamento legislativo del diritto interno alla direttiva e al Regolamento mediante novelle del Codice, di portata molto diversa in ragione della differente natura delle fonti e dell’oggetto.

4. La direttiva ha un oggetto specifico, costituito dal trattamento e dalla libera circolazione dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali. Essa è stata attuata con il d.lgs. 18 maggio 2018, n. 51, il quale:

- ha raccordato le proprie autonome previsioni con quelle del Codice;

- ha abrogato alcuni articoli dello stesso Codice;

- ha individuato un periodo temporale di vigenza dell’art. 57 del Codice, il quale attribuiva il potere di emanazione delle disposizioni regolamentari relative alla materia trattata.

Ai fini di interesse, è sufficiente precisare che, in attuazione di tale articolo, nel periodo di rituale vigenza dello stesso, il d.P.R. 15 gennaio 2018, n. 15 ha completato l’adeguamento del diritto nazionale a quello eurounitario nella specifica materia (cfr. il parere di questa Sezione n. 2039 del 2017).

5. Il Regolamento UE del 2016, che ha abrogato la precedente direttiva 1995/46/CE alla base dell’emanazione del Codice, ha, invece, portata generale oltre che diretta sulla protezione delle persone fisiche rispetto al trattamento dei dati personali e alla libera circolazione degli stessi.

Di conseguenza, l’adeguamento del diritto interno ha comportato una incisiva modifica dell’intero Codice, che è stata realizzata dal d.lgs. n. 101 del 10 agosto 2018 attraverso:

- a) l’abrogazione di interi titoli e capi nonché di specifici articoli e la sostanziale modifica di quasi tutti i restanti articoli;

- b) l’introduzione di interi capi.

6. In questo contesto di radicale riforma, l'art. 2- octies cit., che costituisce la fonte legislativa del potere regolamentare, si inserisce nelle innovazioni apportate alla Parte I del Codice “ Disposizioni generali ”, Titolo I “ Principi e disposizioni generali ”. Tali innovazioni sono costituite:

- a) dalla novella del Capo I “ Oggetto, finalità e Autorità di controllo ”, mediante la modifica degli artt. 1 e 2, l’inserimento dell’art. 2- bis e l’abrogazione degli artt. 3, 4, 5 e 6;

- b) dalla introduzione del nuovo Capo II, contenente “ Princip i” (artt. da 2- ter a 2- decies );

- c) dalla introduzione dei successivi Capo III, contenente “ Disposizioni in materia di diritti dell'interessato ” (artt. da 2- undecies a 2- terdecies ) e Capo IV, contenente “ Disposizioni relative al titolare del trattamento e al responsabile del trattamento ” (sino all’art. 2- septiesdecies ).

6.1. In particolare, la disposizione attributiva del potere regolamentare individua, secondo la stessa rubrica, i principi relativi al trattamento dei dati giudiziari.

Come emerge dalla formulazione letterale della stessa disposizione (comma 1), le previsioni comunitarie del Regolamento UE direttamente rilevanti per il trattamento dei dati giudiziari sono costituite da un lato dall’art. 2, §.2, dall’altro dal combinato disposto degli artt. 6 e 10.

L’art. 2, §.2, delimita l’ambito applicativo del Regolamento UE e, con esso, i confini di operatività delle disposizioni legislative attuative del diritto interno. L’art. 2- octies , comma 1, esclude espressamente il trattamento disciplinato dal d.lgs. n. 51 del 2018, attuativo della direttiva, nella specifica materia del trattamento effettuato dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse, così richiamando il contenuto dell’art. 2, §.2, lett. d) del Regolamento UE. Né possono sorgere dubbi sulla esclusione, posta dallo stesso art. 2 del Regolamento UE, dei trattamenti effettuati:

- a) per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione;

- b) dagli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione del titolo V, capo 2, TUE;

- c) da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico.

Inoltre, l’art. 2- octies , comma 1, richiama espressamente anche gli artt. 6, §.1 e l’art. 10 del Regolamento UE. Il primo delimita le condizioni, alternative, del trattamento lecito per tutti i dati personali (§.1) e la possibilità per gli Stati membri di dettare norme più specifiche per alcuni trattamenti necessari (§§. 2 e 3). Il secondo pone le condizioni per il trattamento dei dati giudiziari, il quale o avviene sotto il controllo dell’autorità pubblica, o è autorizzato dal diritto dell’Unione o dal diritto degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.

6.2. La disposizione legislativa attributiva del potere regolamentare, come emergerà nel prosieguo, appare conforme ai confini posti dal diritto eurounitario. Allo stesso potere regolamentare attribuito dall’art. 2- octies rinvia l’art. 6- bis , comma 1- bis del d.lgs. n. 322 del 1989, per il trattamento dei dati effettuato dal sistema statistico nazionale. Anche per questo settore, come emergerà nel prosieguo, appare assicurato il rispetto del diritto eurounitario.

7. I tratti essenziali dell’art. 2- octies , che attribuisce il potere regolamentare, possono così sintetizzarsi:

a) definisce il proprio ambito di intervento (comma 1):

- individuando i dati specifici oggetto del trattamento;

- escludendo il trattamento effettuato dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse;

- richiamando le previsioni del diritto eurounitario pertinenti;

- specificando che il trattamento, diverso da quello che avviene sotto il controllo dell’autorità pubblica, necessita della autorizzazione normativa, che preveda garanzie appropriate per i diritti e le libertà degli interessati, da parte della legge o da parte di un regolamento, se la fonte regolamentare è prevista dalla legge, così declinando la formula “ diritto degli Stati membri ”;

b) definisce l’ambito di intervento del potere regolamentare attribuito all’Amministrazione:

- conferendo un generale potere regolamentare al Ministro della giustizia di “ individuare ” i trattamenti di tali dati e le garanzie appropriate per i diritti e le libertà degli interessati, tutte le volte che manchino disposizioni di legge o di regolamento che ne autorizzino il trattamento e prevedano le garanzie appropriate (comma 2);

- elencando, “ in particolare ”, gli ambiti o materie o settori (d’ora in poi ambiti), già regolati da leggi e regolamenti che prevedono obblighi, compiti, finalità, in cui emerge la necessità dell’utilizzo dei dati giudiziari e quindi del trattamento degli stessi (comma 3);

- riaffermando il potere regolamentare alle condizioni del comma 2 rispetto agli ambiti di materie prima individuate dallo stesso legislatore (comma 4);

c) disciplina nello specifico il contenuto delle norme secondarie per il trattamento di dati giudiziari effettuato in attuazione di protocolli di intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata, stipulati con il Ministero dell'interno o con le prefetture (comma 6);

d) rinvia all’art. 2- sexies del Codice, per il trattamento dei dati che avviene sotto il controllo dell’autorità pubblica, che è restato fuori dall’ambito del potere regolamentare conferito (comma 5).

7.1. Il suddetto potere regolamentare è richiamato, per il trattamento dei dati giudiziari effettuato per fini statistici, dalla disposizione legislativa del 2019 (art. 6- bis , comma 1- bis , del d.lgs. n. 322 del 1989), con la quale – come emergerà nel prosieguo – il legislatore rispetto a questo specifico settore ha effettuato una scelta diversa da quella precedente, dove (comma 5) aveva escluso l’utilizzo del regolamento per i casi di trattamento effettuati sotto il controllo dell’autorità facendo rinvio all’art. 2- sexies del Codice.

7.2. Quanto agli aspetti procedurali, l’art. 2- octies prevede:

- a) il parere del Garante per la protezione dei dati personali (d’ora in poi Garante);

- b) il concerto con il Ministro dell’interno, limitatamente all’ambito regolato dal comma 6.

8. Lo schema di decreto è composto da quattordici articoli, non suddivisi in sezioni.

Nella prima parte (articoli da 1 a 4): individua l’oggetto;
elenca le definizioni;
precisa la “ base giuridica ”;
prevede disposizioni comuni a tutti i trattamenti disciplinati negli articoli successivi (da 5 a 13).

Nella seconda parte disciplina in ciascun articolo un diverso ambito di dati trattati:

- in riferimento al rapporto di lavoro (art. 5);

- per ragioni di onorabilità (art. 6);

- dalle imprese in ambito assicurativo (art. 7);

- per la tutela dei diritti (art. 8);

- per finalità di verifica della solidità, solvibilità ed affidabilità (art. 9);

- per l’attività di investigazione privata (art. 10);

- nello svolgimento delle professioni intellettuali (art. 11);

- ai fini statistici (art. 12);

- in attuazione di protocolli di intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata, stipulati con il Ministero dell'interno o con le prefetture (art. 13).

L’ultimo articolo contiene la clausola di invarianza finanziaria (art. 14).

9. Lo schema di decreto è corredato dalla relazione illustrativa, dalla relazione tecnica, dall’analisi di impatto della regolazione (AIR), dall’analisi tecnico-normativa (ATN).

10. Il Garante ha espresso rituale parere favorevole, con osservazioni e raccomandazioni, nell’Adunanza del 24 giugno 2021. Peraltro, come risulta dalle relazioni, lo stesso è stato preceduto da varie interlocuzioni.

11. Il Ministero dell’interno, con nota a firma del direttore dell’” ufficio affari legislativi e relazioni parlamentari ” in data 9 dicembre 2021, ha espresso il formale assenso al proseguimento dell' iter di adozione, previa espunzione all'articolo 13, comma 1, lettera b) delle seguenti parole: “ fermo il disposto di cui all'articolo 83-bis del decreto legislativo 6 settembre 2011, n. 159, ”.


Considerato

1. I profili preliminari.

1.1. La Sezione rileva che, dalla documentazione in atti, non risulta il concerto espresso formalmente dal Ministro dell’interno sullo schema di decreto. Come è noto, l’atto di concerto può essere sottoscritto solo dal Ministro competente o “ d’ordine ” del Ministro stesso, mentre è stato espresso dal capo dell’ufficio legislativo. Pertanto, l’Amministrazione dovrà provvedere all’acquisizione del formale concerto prima dell’invio dello schema di decreto alla Presidenza del Consiglio dei ministri.

1.2. Il Garante ha espresso un parere favorevole articolato e complesso all’esito del quale ha formulato numerose osservazioni e qualche raccomandazione. Le relazioni dell’Amministrazione danno conto del parere e riconoscono che le osservazioni e le raccomandazioni sono state parzialmente condivise e recepite.

La Sezione, anche per esigenze di semplificazione del parere, sceglie di illustrare sinteticamente solo quelle osservazioni o raccomandazioni non recepite dall’Amministrazione. Quanto alle osservazioni o raccomandazioni recepite dall’Amministrazione, la scelta è quella di esporle solo nella misura in cui si colleghino alle argomentazioni di merito attinenti alle criticità che si rileveranno nell’articolato.


2. La struttura del presente parere.

2.1. La valenza eurounitaria delle norme di attuazione all’attenzione di questa Sezione rende necessaria una prospettiva di analisi che, partendo dalle disposizioni europee, si interroghi sulla compatibilità con le stesse del diritto primario interno. Proprio l’angolo di visuale europeo costituisce un utile ausilio interpretativo per fugare ogni dubbio sul nucleo portante della norma attributiva del potere regolamentare, e più precisamente, delle norme attributive del potere, visto che nel 2019, come si è detto, è sopravvenuta quella concernente il sistema statistico nazionale. Dalla interpretazione su queste basi delle norme legislative primarie derivano conseguenze a supporto delle criticità rilevate nello schema di decreto.

2.2. Per queste ragioni, il parere, dopo il tema preliminare delle definizioni, svolge un’analisi volta a delimitare il perimetro del potere regolamentare conferito dalla legge alla luce del Regolamento UE e a valutare il suo inserimento nel sistema delle norme unionali e nazionali inerenti la protezione di tutti i dati personali, quindi trae le conseguenze sulle scelte fatte dall’Amministrazione in ordine alle materie per le quali è stata prevista la disciplina attuativa del trattamento dei dati giudiziari, pervenendo alla conclusione della necessità, quantomeno nella relazione, di una distinzione in tre categorie degli ambiti di trattamento, rispetto al potere regolamentare conferito dalla legge.

2.3. Dalle stesse premesse discende, inoltre, la necessità di raccordare l’art. 2- octies , comma 5, che rinvia all’art. 2- sexies del Codice, con l’art. 6- bis , comma 1- bis del d.lgs. n. 322 del 1989, rispetto al trattamento dei dati giudiziari a fini statistici.

2.4. Inoltre, dall’inserimento della disciplina di settore concernente i soli dati giudiziari in quella concernente tutti i dati personali, nonché dal rilievo che nella materia assumono quelle norme che restano sullo sfondo del trattamento, costituendone solo il presupposto che occasiona il trattamento dei dati, si trarranno criteri per l’analisi critica delle disposizioni attuative dello schema di decreto.

2.5. Nell’ottica suddetta si illustreranno:

- le criticità rilevate sotto il profilo del mancato inserimento dell’intervento settoriale nel contesto normativo europeo e nazionale della tutela di tutti i dati personali, della mancata motivazione delle scelte o della mancata distinzione tra normativa che pone le condizioni del trattamento e normativa che, prevedendo obblighi, adempimenti e finalità in capo ai soggetti, fonda la necessità del trattamento dei dati, nonché le criticità rilevate sotto il profilo della individuazione dei dati giudiziari, che costituiscono l’oggetto del trattamento in ogni singolo ambito;

- le conseguenti criticità rilevate nell’articolato, anche tenendo conto del parere del Garante, isolando la trattazione di profili comuni a più articoli.

Infine, si esporranno le osservazioni ispirate dall’esigenza di perseguire una buona qualità della regolazione normativa.


3. Le definizioni: l’articolo 2.

Per semplificare la redazione delle osservazioni e la formulazione delle proposte di riformulazione dell’articolato, si scrutina preliminarmente la disposizione attinente alle definizioni.

In generale: l’elenco deve utilizzare l’ordine alfabetico, inserendovi anche le nuove definizioni che si suggerisce di introdurre.


3.2. La lett. c).

L’art. 2, lett. c) così dispone: " dati giudiziari": dati personali relativi a condanne penali, a reati o a connesse misure di sicurezza, nonché all'applicazione con provvedimento giudiziario di misure di prevenzione. ”.

La definizione adottata dall’Amministrazione ricalca, nella prima parte, l’articolo 10 del Regolamento UE ed aggiunge, tra i dati personali penali, quelli relativi “ all'applicazione con provvedimento giudiziario di misure di prevenzione ”.

Infatti, l’articolo 10 cit., rubricato come “ Trattamento dei dati personali relativi a condanne penali e reati ”, così dispone: “ Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell'articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica. ”.

3.2.1. La Sezione ritiene necessario che la definizione dell’oggetto specifico dello schema di decreto, declinato nei diversi ambiti, sia rapportata all’ordinamento penale nazionale, sostanziale e processuale. Solo così il decreto emanando, per il tramite della legge nazionale che ha conferito il relativo potere, può svolgere la funzione sua propria, che è quella di dare attuazione ad una norma regolamentare europea direttamente applicabile, ma rivolta a Stati diversi, la quale proprio per la sua genericità ed ampiezza non può che essere adattata alla varietà degli ordinamenti nazionali. Naturalmente, l’adattamento deve avvenire nel rispetto di eventuali limiti risultanti dalla norma europea.

3.2.2. Si ritiene che dall’articolo 10 cit. non derivino limiti all’ambito di intervento della normativa nazionale, né rispetto al carattere “definitivo” dei provvedimenti giudiziari penali, né rispetto alla tipologia dei provvedimenti giudiziari e ai vari esiti possibili del processo penale, diversi dalla condanna.

Non possono sorgere dubbi sulla circostanza che, in mancanza dell’espressa previsione del “carattere definitivo” dei provvedimenti penali, sia ricompreso ogni provvedimento penale, anche non definitivo.

Quanto alla tipologia dei provvedimenti penali, nessuna restrizione emerge direttamente dall’articolo 10. Questo non richiama alcuna tipologia di provvedimenti e, piuttosto, assume l’ottica opposta del loro contenuto: “ i dati personali relativi a ” condanne, reati, misure di sicurezza.

Quanto ai variegati possibili esiti di un processo penale, nelle sue varie fasi, si ritiene che non può rinvenirsi un limite nell’utilizzo del termine “ condanne penali ”. In questa direzione rileva il peso specifico che assume la finalizzazione del contenuto dei dati personali ai reati, che emerge dall’articolo 10 cit., dovendo essere individuato il contenuto dei primi in relazione ai secondi e non al tipo di decisione assunta. Così, il contenuto dei dati giudiziari in relazione ai reati consente di comprendere qualunque provvedimento penale che attenga al reato, dalla fase delle indagini, alle misure cautelari, alla imputazione, alla decisione di condanna, all’esecuzione della pena. Mentre il richiamo iniziale alle “ condanne penali ” assume solo un ruolo esemplificativo, quasi di “provvedimento simbolo” tra tutti quelli possibili. Non può dirsi neanche che serva ad escludere i provvedimenti di assoluzione, posto che, per il principio generale del costante aggiornamento dei dati, certamente rientra tra i provvedimenti oggetto di trattamento anche la decisione di assoluzione che segua ad una di condanna o anche solo ad una misura cautelare.

3.2.3. L’Amministrazione, accogliendo un suggerimento del Garante, ha ricompreso tra i dati giudiziari quelli concernenti le misure di prevenzione, così aggiungendole alle sole misure di sicurezza previste dall’articolo 10 cit. Questa Sezione condivide la scelta, trattandosi di misure previste e disciplinate nell’ordinamento interno. A sostegno dell’estensione, l’Amministrazione ha messo in risalto il collegamento con il riferimento al “ reato ” presente nell’articolo 10 cit., trattandosi di informazioni “ connesse alla attribuzione di un reato ” in quanto presuppongono “ l’accertamento di condotte penalmente illecite ”.

E’ opportuno soffermarsi sulla legittimità di tale estensione poiché, secondo l’ordinamento nazionale vigente, le misure di prevenzione, che sono possibili nei casi espressamente previsti dalla legge, non presuppongono l’accertamento di condotte penalmente illecite, ma la sola pericolosità giudizialmente accertata del soggetto rispetto alla possibile commissione di reati.

3.2.4. Per ricomprendere tutte le misure di sicurezza e tutte le misure di prevenzione, è determinante la possibilità di una interpretazione estensiva dell’articolo 10 cit. alla luce della finalità perseguita dal Regolamento UE, che è quella della estensione delle garanzie a tutela dei diritti e degli interessi dei titolari dei dati giudiziari. Questa prospettiva, facendo leva sul “fatto di reato” – in fase di accertamento o di condanna o semplicemente come prevedibile sulla base della accertata pericolosità del soggetto – consente di ricomprendere nella rimessione alla regolamentazione dello Stato nazionale:

- a) le misure di sicurezza, anche se irrogate, come è possibile nell’ordinamento italiano, indipendentemente dalla condanna per un reato;

- b) le misure di prevenzione, anche se irrogabili per il solo pericolo della commissione di un reato.

3.2.5. Sulla base delle argomentazioni che precedono, si propone la definizione che segue:

dati personali relativi a provvedimenti giudiziari che hanno ad oggetto reati o misure di sicurezza o misure di prevenzione, a carattere definitivo e non definitivo; ”.


3.3. Le integrazioni delle definizioni proposte dalla Sezione.

3.3.1. Si suggerisce di inserire la seguente, nuova definizione:

“Garanzie appropriate”: le garanzie appropriate per la tutela dei diritti e delle libertà degli interessati previste dal presente regolamento con l’elencazione in ogni ambito regolato, che si aggiungono alla prima essenziale garanzia della necessità o indispensabilità del trattamento, prevista in ogni articolo concernente ciascun ambito;” .

Nello schema di decreto si utilizza l’espressione “ ulteriori garanzie ” per indicare le garanzie specifiche introdotte dalle disposizioni attuative nella regolamentazione di ciascun ambito, che si aggiungono alla connotazione principale di ogni trattamento, costituita dalla necessità o indispensabilità del trattamento, individuata nell’alinea del comma 1 o nel comma 1.

La sostituzione dell’aggettivo “ ulteriori ” con “ appropriate ”, che si propone, si fonda su due considerazioni: - l’aggettivo “ appropriate ” è quello utilizzato dall’art. 2- octies , che è la legge attributiva del potere;
- appare maggiormente idoneo ad esprimere l’adeguamento delle fattispecie presenti nell’ordinamento nazionale al diritto europeo.

Inoltre, l’introduzione di una definizione evita di ripetere la finalità delle garanzie previste in ogni articolo che disciplina il singolo ambito di trattamento.

3.3.2. Si suggerisce di inserire la seguente, nuova definizione:

“Interessato”: il soggetto titolare dei dati giudiziari ;”.

Si reputa opportuna l’introduzione della definizione per rendere esplicito il destinatario delle garanzie appropriate previste dal presente schema di decreto.

3.3.3. Si suggerisce di inserire la seguente, nuova definizione:

“Soggetti privati”: i soggetti che effettuato il trattamento dei dati giudiziari autorizzato dal presente regolamento, con l’eccezione dell’articolo 12; ”.

Lo schema di decreto ha per oggetto il trattamento effettuato dai soggetti privati, secondo quanto previsto dalla fonte legittimante del potere regolamentare, costituita dall’art. 2- octies , che esclude i trattamenti di dati personali da parte delle autorità a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché il trattamento di dati giudiziari che avviene sotto il controllo dell’autorità. La delimitazione dell’oggetto trova conferma in tutte le relazioni. Non emerge, invece, in alcuni articoli dello schema e questa Sezione ha provveduto a rilevarlo con le riformulazioni proposte.

3.3.4. Si suggerisce di inserire la seguente, nuova definizione:

Trattamento”: la definizione di cui all’art. 4, n. 2 del Regolamento, secondo il quale si intende per “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”; ”.

L’intento è quello di rendere più agile l’immediata comprensione di una parola chiave in tutto lo schema di decreto. Per questa ragione si propone all’Amministrazione di valutare l’opportunità di richiamare la definizione contenuta nel Regolamento e di riportarne il contenuto, nonostante la stessa sarebbe stata comunque direttamente applicabile.

3.3.5. Si suggerisce di inserire la seguente, nuova definizione:

“Trattamento autorizzato”: il trattamento abilitato dalle disposizioni del presente regolamento, che non necessita di richiesta; ”.

L’intento è quello di eliminare ogni possibile ambiguità nell’utilizzo di una terminologia la quale, ordinariamente, rimanda ad un procedimento amministrativo che si conclude con un provvedimento di autorizzazione. Invece, secondo la legge fondante, il trattamento è “ autorizzato da una legge o… ”;
secondo le relazioni, con il presente decreto si provvede “ ad abilitare il trattamento di specifici dati (quelli giudiziari) prima non consentito (o consentito solo in forma del pregresso regime autorizzatorio) ”.


3.4. L’integrazione proposta dal Garante.

Il Garante ha chiesto di implementare le definizioni, mediante il richiamo dell’applicabilità dell’articolo 4 del Regolamento UE e dell'articolo 2- ter , comma 4, del Codice, censurando gli articoli dello schema (5, 6, 7 e 11) nella parte in cui configurano la “ diffusione ” come una modalità della “ comunicazione ”, così sovrapponendo i diversi concetti di comunicazione e di diffusione.

L’osservazione non è stata recepita dall’Amministrazione, con argomentazioni condivisibili, alle quali si può aggiungere che la previsione del divieto di “ diffusione ” risponde all’esigenza di individuare disposizioni attuative che prevedano garanzie appropriate rispetto al trattamento di dati “ sensibili ”, quali sono quelli giudiziari, con la conseguenza che il rafforzamento mediante la previsione del divieto anche di diffusione, appare appropriata e rispondente alle finalità del potere conferito.


4. Il potere regolamentare conferito dalla legge alla luce del regolamento UE.

4.1. Il perimetro dello scrutinio delle disposizioni legislative alla luce del diritto comunitario è delimitato dall’oggetto del parere sottoposto all’esame di questa Sezione, costituito dallo schema di decreto che prevede disposizioni di attuazione di natura regolamentare. Quindi, è limitato alle disposizioni legislative che hanno conferito il potere regolamentare esercitato;
mentre, non è esteso a quella parte (art. 2- octies , comma 5) con la quale il legislatore si è occupato del trattamento dei dati giudiziari che “ avviene sotto il controllo dell’autorità ”, disponendo l’applicazione delle disposizioni dell’art. 2- sexies del Codice, ed escludendo il ricorso al regolamento di attuazione.

Le previsioni dell’art. 2- octies , come prima sintetizzate (§.7 del Premesso), sono conformi alle disposizioni del Regolamento UE, perché rispettose dei limiti esterni (art. 2, §.2) e rispettose delle condizioni poste per il trattamento dei dati personali, in generale (art. 6), e dei dati giudiziari, in particolare (art. 10).

La disposizione di legge in argomento, da un lato (comma 1) esclude dal potere regolamentare i dati giudiziari trattati esclusivamente sulla base delle previsioni dello specifico d.lgs. n. 51 del 2018, attuativo della direttiva comunitaria, in conformità all’art. 2, §.2 del Regolamento UE. Dall’altro, (commi 1, 2, 3, 4 e 6) attribuisce il potere regolamentare avvalendosi della facoltà di introdurre nel diritto interno disposizioni più specifiche, come previsto nel Regolamento UE (cfr. §.§. 1, 2 e 3). Il tutto, nel rispetto della fonte base del trattamento dei dati giudiziari costituita dalla legge, o da un regolamento autorizzato dalla legge, secondo la regola generale dell’ordinamento nazionale, consentita dalla previsione eurounitaria (art. 10) per prevedere “ garanzie appropriate per i diritti e le libertà degli interessati ”.

4.1.1. In definitiva, ai sensi del combinato disposto delle norme eurounitarie costituite dagli artt. 6 e 10, il legislatore nazionale ha la possibilità di prevedere norme specifiche del trattamento dei dati giudiziari, finalizzate a garanzie appropriate per i diritti e le libertà dell’interessato, rispetto ad ogni ambito, materia, settore presente nell’ordinamento nazionale che contenga obblighi, compiti, finalità collegati all’utilizzo di tali dati, purché lecito per l’esistenza di almeno una delle condizioni di cui all’art. 6 §.1.

4.2. L’inserimento nel contesto del diritto europeo dell’art. 2- octies , quale disposizione legislativa portante attributiva del potere regolamentare, consente di pervenire ad una interpretazione sistematica dei vari commi, superando la non proprio limpida formulazione legislativa, e di coglierne le statuizioni portanti.

Così, può dirsi che l’art. 2- octies :

a) individua, nel rispetto dell’art. 10, l’obiettivo che le disposizioni regolamentari nazionali attuative del Regolamento UE devono perseguire, costituito dalla previsione di garanzie appropriate per i diritti e le libertà degli interessati, a condizione che tali garanzie siano mancanti nell’ordinamento interno (cfr. comma 1 e richiamo specifico contenuto nell’ incipit del comma 2);
condizione che, secondo l’avviso della Sezione, può essere interpretativamente estesa alla presenza di garanzie insufficienti, che è connaturale alla natura delle norme nazionali secondarie emanande, attuative di un regolamento europeo di per sé direttamente applicabile;

b) attribuisce, nel rispetto degli artt. 10 e 6, §.2 e §.3, un potere attuativo generale al Ministero della giustizia rispetto all’individuazione degli ambiti della normativa nazionale, legislativa e regolamentare, nei quali viene in rilievo il trattamento dei dati giudiziari;

c) delimita il perimetro esterno di tale potere regolamentare nel rispetto del perimetro del Regolamento UE sovraordinato (art. 2 §.2, lett. d), escludendo il trattamento delle autorità a fini di prevenzione…ecc. e nel rispetto dell’art. 10 dello stesso Regolamento, escludendo gli ambiti di trattamento che avvengono sotto il controllo dell’autorità pubblica, per i quali rinvia alle disposizioni previste dall’art. 2- sexies del Codice;

d) pone al Ministero un limite interno a tale potere generale di scelta, costituito dalla assenza o dalla insufficienza nell’ordinamento interno delle garanzie appropriate a tutela degli interessati (cfr. il combinato disposto del comma 1 e del comma 2), nel rispetto dell’art. 10.

Poi, secondo le coordinate suddette e in applicazione delle stesse:

a) elenca “ in particolare ” alcuni ambiti di intervento per il Ministero, ribadendo il limite costituito dalla assenza o dalla insufficienza nell’ordinamento interno delle garanzie appropriate a tutela degli interessati (cfr. il comma 4 ed il collegamento ivi contenuto con i commi 2 e 3), probabilmente sul ragionevole presupposto che in tali ambiti vi fosse almeno insufficienza di garanzie appropriate nell’ordinamento nazionale;

b) disciplina nel dettaglio il trattamento effettuato in attuazione di protocolli di intesa stipulati dal Ministero dell’interno o dalle prefetture, ribadendo la finalità di prevedere garanzie appropriate;
tanto, sul ragionevole presupposto della non esistenza nell’ordinamento di norme legislative o regolamentari concernenti questo trattamento.

4.2.1. Dall’interpretazione della disposizione suddetta si ricava, inoltre, che il trattamento dei dati giudiziari, come risulta anche dalle relazioni dell’Amministrazione, concerne i privati e mai l’autorità pubblica, sia pure con l’eccezione del trattamento dei dati statistici. D’altra parte, se questa deduzione non fosse corretta, l’inserimento nell’elenco di cui al comma 3 di alcuni ambiti (lett. e) ed f)), formulati in termini così generali ed astratti da poter essere messi in diretta relazione anche con il trattamento da parte della autorità pubblica, violerebbe i perimetri dell’oggetto che lo stesso legislatore del 2018 si è posto.

4.3. Occorre ora affrontare il tema di come si coniuga la disciplina del trattamento dei dati giudiziari nel sistema statistico nazionale, prevista dall’art. 6- bis , comma 1- bis , del d.lgs. n. 322 del 1989, con l’art. 2- octies , del quale si limita a prevedere l’applicabilità. Per vero l’Amministrazione, che pure si sofferma sulla legislazione di settore, non assume una posizione esplicita sul carattere speciale della disciplina;
piuttosto, esalta l’omogeneità della materia e la ravvisata necessità, da parte del legislatore, di garanzie rafforzate per il trattamento dei dati giudiziari nell’ambito statistico.

Non appare dubitabile l’attribuzione al Ministero della giustizia del potere di adottare disposizioni di attuazione in tale ambito, secondo la struttura del potere regolamentare risultante dall’art. 2- octies . Né alcun dubbio appare prospettabile rispetto alla applicabilità, anche per l’ambito di trattamento in oggetto, del limite interno posto al potere regolamentare, costituito dalla insufficienza, quantomeno, di garanzie appropriate. Queste, come nell’elenco di cui all’ art. 2- octies , comma 3, sono state valutate preventivamente dallo stesso legislatore con l’art. 6- bis , comma 1- bis .

Tuttavia, per via del rinvio contenuto nel comma 5 alle disposizioni previste dall’art. 2- sexies del Codice, così escludendo il potere regolamentare rispetto agli ambiti di trattamento che avvengono sotto il controllo dell’autorità pubblica, è opportuno soffermarsi su tale profilo.

Va premesso che, per i confini di indagine che derivano dalla natura regolamentare dello schema di decreto sottoposto all’attenzione della Sezione, non è questa la sede in cui sia scrutinabile la compatibilità comunitaria del rinvio dell’art. 2- octies , comma 5 all’art. 2- sexies del Codice.

Ai fini di interesse, può dirsi certo che quel rinvio escludente il potere regolamentare ricomprende anche il trattamento dei dati giudiziari a fini statistici. In tale senso è determinante l’art. 2- sexies , comma 2, let. cc) del Codice, il quale ricomprende tutti i trattamenti effettuati a fini statistici da parte dei soggetti che fanno parte del sistema statistico nazionale tra quelli effettuati da soggetti con compiti di interesse pubblico o con compiti connessi all’esercizio di pubblici poteri e, quindi, tra quelli che svolgono un trattamento necessario per motivi di interesse pubblico rilevante consentito dalla legge perché svolto nel pubblico interesse (art. 2- ter , comma 1- bis ).

Pertanto, tra la disposizione generale posta dall’art. 2- octies , comma 5 del Codice, come novellato nel 2018 per adeguarsi al Regolamento UE (che esclude anche per il trattamento dei dati statistici il potere regolamentare) e la disposizione speciale del comma 1- bis dell’art.6- bis , sopravvenuta nel 2019 (concernente il solo trattamento di dati giudiziari da parte del sistema statistico nazionale, che invece prevede l’esercizio del potere regolamentare conferito dall’art. 2- octies ) sussiste una parziale incompatibilità. La stessa, secondo il parere della Sezione, va risolta a favore della disposizione normativa sopravvenuta anche sulla base del principio di specialità.

Tale conclusione trova conferma nell’art. 108 del Codice, secondo cui il trattamento di tutti i dati da parte dei soggetti che fanno parte del sistema statistico nazionale resta disciplinato dalla legge di settore costituita dal d.lgs. n. 322 del 1989, oltre che dagli articoli del Codice, pure modificati nel 2018, ad esso direttamente applicabili (artt. 99, 104, 106, 106 e 107).

4.3.1. In definitiva, il legislatore del 2019, nel novellare le norme di settore dopo l’intervento del Regolamento UE, rispetto ai dati giudiziari a fini statistici ha effettuato una scelta diversa da quella generale del d.lgs. del 2018, ma coerente con la salvezza della disciplina speciale del Codice. Da un lato, per tutti i dati personali ha individuato i contenuti del programma statistico nazionale, adottato sentito il Garante, rispetto a tutti i profili rilevanti per il trattamento degli stessi, comprese le misure per tutelare i diritti fondamentali e le libertà degli interessati, qualora non individuati da leggi o regolamenti (art. 6- bis , comma 1- bis , primo e secondo periodo). Dall’altro, per i soli dati giudiziari (comma 1- bis , ultimo periodo), mediante il rinvio al potere conferito al Ministero della giustizia, ha ritenuto necessarie ulteriori disposizioni attuative regolamentari che prevedessero garanzie appropriate per i diritti e le libertà degli interessati, così valutando preventivamente, quantomeno, l’insufficienza delle stesse, come nel caso dell’elenco di cui al comma 3 dell’art. 2- octies .

4.3.2. Né la coesistenza della fonte legislativa, che individua i contenuti del programma statistico nazionale, e di quella regolamentare, mediante la previsione di disposizioni attuative per prevedere “ garanzie appropriate per i diritti e le libertà degli interessati ”, appare in contrasto con l’art. 10 del regolamento UE, posto che certamente legge e regolamento possono concorrere, trovando il trattamento dei dati regolamentazione nella legge o nel regolamento autorizzato dalla legge, secondo la regola generale dell’ordinamento nazionale.

4.3.3. Infine, quanto argomentato è idoneo anche a supportare la tesi dell’Amministrazione, che non ha recepito l’osservazione del Garante volta ad integrare l’art. 12 in modo da riferirlo anche ai trattamenti svolti ai fini di ricerca storica o scientifica.

4.4. La delimitazione dell’oggetto del potere regolamentare ai soli dati giudiziari e la finalizzazione alla individuazione delle garanzie appropriate a tutela dei titolari degli stessi, qualora non sussistenti o insufficienti nell’ordinamento nazionale, incide necessariamente sull’esercizio del potere attuativo.

Nell’ambito di un approccio corretto al sistema delle fonti, il carattere settoriale dei dati personali oggetto dello schema di decreto richiede il raccordo con la disciplina sovraordinata, sia europea che nazionale, che concerne tutti i dati personali. Infatti, la prima, costituita dal Regolamento UE del 2016, ha portata precettiva diretta;
la seconda, costituita dal Codice, è stata profondamente innovata nel 2018 proprio sulla base delle incisive innovazioni introdotte dal diritto europeo. L’ottica di inserimento dello schema di decreto nel sistema di tutela di tutti i dati personali fa assumere rilievo alle norme europee e/o nazionali le quali, nel disciplinare il trattamento di tutti i dati personali, si applicano anche al settore dei dati giudiziari. Ed è proprio l’esistenza di norme sovranazionali a tutela dei dati personali in generale che consente la valutazione anche di queste, oltre che di quelle nazionali cui si riferisce espressamente l’art. 2- octies (cfr. §.4.2.), ai fini della verifica della inesistenza o insufficienza delle garanzie che legittimano l’introduzione di garanzie appropriate nell’ordinamento interno.

Di conseguenza, l’Amministrazione chiamata a predisporre le disposizioni attuative di settore: da un lato, dovrebbe consapevolmente assumere il sistema suddetto come contesto entro cui inserire la disciplina attuativa;
dall’altro, dovrebbe valutare la sussistenza o meno dell’opportunità di procedere ad un richiamo delle norme sovraordinate direttamente applicabili anche ai dati giudiziari;
infine, dovrebbe valutare se garanzie appropriate a tutela dei dati giudiziari siano già presenti nell’ordinamento sovraordinato oltre che nell’ordinamento interno rispetto, eventualmente, ai singoli ambiti.

Sempre per via del carattere settoriale della disciplina emananda, che concerne le condizioni di liceità del trattamento dei dati giudiziari e ai fini della compitezza del settore regolato, l’Amministrazione potrebbe valutare l’opportunità o meno di un raccordo, anche solo mediante la tecnica del mero rinvio, con le norme del Codice rilevanti nel caso di illiceità del trattamento.

4.4.1. Nelle relazioni è del tutto assente il raccordo con le norme, del Regolamento UE e del Codice, direttamente applicabili e riferite al trattamento e alle connesse garanzie di tutti i dati personali. Il richiamo è presente solo eccezionalmente, e rispetto a qualche articolo, soprattutto in relazione a norme direttamente riferibili all’ambito regolato, delle quali si darà conto nell’esame dei rispettivi articoli. Così come è assente ogni valutazione di adeguatezza o meno delle norme sovranazionali generali rispetto alle garanzie appropriate necessarie per il carattere “sensibile” dei dati giudiziari.

4.4.2. Queste carenze, ad avviso della Sezione, si sono tradotte nella predisposizione di inappropriate disposizioni a carattere generale, riferite a tutti gli ambiti disciplinati dallo schema di decreto, nonché nell’inadeguatezza dello stesso articolo 1, che ne individua l’oggetto. Hanno inciso, inoltre, nelle previsioni attuative concernenti i singoli ambiti, con richiami generici al diritto europeo e alle leggi e regolamenti nazionali.


5. Il potere regolamentare e la necessaria riconducibilità alla legge attributiva.

5.1. Come si è detto (§.

Iscriviti per avere accesso a tutti i nostri contenuti, è gratuito!
Hai già un account ? Accedi