GDPR e Trattamento dei Dati con Finalità Difensive L'impatto del nuovo Regolamento UE 2016/679 sulle attività legate al Trattamento dei Dati con Finalità Difensive

La protezione dei dati è un diritto di libertà - Video del Garante della Privacy sul GDPR

In questo articolo cercheremo di approfondire l’impatto del nuovo Regolamento Europeo per la Protezione dei Dati (2016/679, GDPR) sulle attività legate al trattamento dei dati con finalità difensive, precedentemente regolamentate dalle seguenti disposizioni normative in materia di Privacy:

Tanto la disciplina generale quanto le eccezioni di specie cui si è fatto ora riferimento costituiscono una chiara conferma della peculiare rilevanza attribuita dal legislatore al diritto di agire e di difendersi in giudizio: diritto che, in quanto costituzionalmente garantito, legittima la previsione di determinate deroghe rispetto al regime ordinario al fine di assicurarne l’effettiva tutela. In tal senso d’altra parte si è costantemente espressa la Corte di Cassazione affermando più volte la derogabilità della disciplina dettata a tutela dell’interesse alla riservatezza dei dati personali quando il relativo trattamento sia esercitato per la difesa di un interesse giuridicamente rilevante, e nei limiti in cui ciò sia necessario per la tutela di quest’ultimo interesse (C. Cass. 15327/2009, 3358/2009, C. 12285/2008, C. 10690/2008, C. 8239/2003).

Prima di analizzare le conseguenze che l’entrata in vigore del GDPR può comportare su questa impalcatura normativa è opportuno fare un passo indietro e chiarire cosa si intende per finalità difensive nell’ambito del trattamento dei dati.

Finalità Difensive

Secondo la definizione di indagini difensive data dall’Enciclopedia Treccani, queste sono:

Indagini svolte dal difensore per ricercare e individuare elementi di prova a favore del proprio assistito nelle forme e per le finalità stabilite nel titolo VI bis del codice di procedura penale. Tale titolo, composto degli art. 391 bis-391 decies e introdotto dalla l.n. 397/2000, costituisce la principale innovazione della nuova disciplina in materia di indagini difensive.

Volendo estendere la portata di questa definizione oltre il CPP potremmo affermare che le finalità difensive si configurano ogniqualvolta un soggetto giuridico agisce per far valere o difendere un diritto in giudizio – sia esso civile, penale, amministrativo, arbitrato rituale, ricorso, mediazione, et al.; possiamo quindi pensare a una causa di licenziamento, alla necessità di un impresa di difendere un proprio diritto (ad es. un brevetto) che comporta l’utilizzo o il riferimento a dati personali dei propri dipendenti, e così via.

Come sappiamo, il GDPR prevede che tutti i Titolari del trattamento abbiano l’obbligo di fornire un’informativa adeguata (ex Art. 13 e 14), fatta eccezione per alcni casi previsti esplicitamente dall’Art. 14, comma 5, ovvero:

  • l’interessato dispone già delle informazioni (Art. 14, comma 5, lettera A);
  • comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato (Art. 14, comma 5, lettera B);
  • l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare (Art. 14, comma 5, lettera C);
  • i dati personali debbano rimanere riservati per obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri (Art. 14, comma 5, lettera D);

A questo proposito, il Garante italiano ha specificato (Informazioni all’interessato, 26/11/98) che la somministrazione dell’informativa non è necessaria nei casi in cui:

E’ importante tenere presente che le suddette eccezioni, come pure la richiesta di esonero, riguardano esclusivamente i casi in cui i dati sono raccolti presso soggetti terzi: non riguardano invece tutti i casi in cui questi siano forniti direttamente dall´interessato, a prescindere dalle modalità della loro raccolta: in entrambi i casi, la legge n. 675/1996 non prevede alcun esonero e non attribuisce al Garante la possibilità di sottrarre alcune notizie dall’obbligo di informativa (cfr. Art. 10, comma 1, lettere da A a F del Codice Privacy).

Quanto descritto sopra non vale per i cosiddetti “dati sensibilissimi” (salute e orientamento sessuale, ex. Direttiva 95/46/CE) per i quali è ancora in vigore il principio del pari rango, secondo cui il trattamento concernente dati sensibilissimi è possibile solo se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi è di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalità o altro diritto o libertà fondamentale e inviolabile.

La precisazione del Garante chiarisce una importante fattispecie, quella dell’utilizzo dei dati per finalità difensive giustificato sulla base dell’accettazione di accordi o clausole contrattuali che autorizzano al trattamento dei dati per finalità connesse all’attività lavorativa.

In estrema sintesi, si può concludere che – secondo quanto previsto dal Garante – l’informativa può essere omessa se il dato personale viene acquisto per finalità difensive da soggetti terzi, mentre va comunque data – con menzione esplicita delle finalità d’uso – in tutti i casi in cui vi sia una relazione diretta con l’interessato.

Per quanto riguarda il consenso, questo non è necessario nel caso in cui si stiano perseguendo finalità difensive, in quanto il perseguimento delle medesime in giudizio costituisce già una condizione di legittimità: questa linea interpretativa appare valida a prescindere dal tipo di dati, siano questi comuni ovvero sensibili/particolari.

Impatto del GDPR

In che modo l’entrata in vigore del GDPR può impattare su questo framework normativo posto in essere dal Garante italiano?

Il primo aspetto è certamente quello che riguarda la maggiore responsabilizzazione del Titolare del trattamento, che – a prescindere dalla necessità o meno di somministrare l’informativa e/o raccogliere il consenso – deve ottemperare a una serie di misure di sicurezza adeguate alla particolare tipologia di dati trattati (Art. 24), con particolare riguardo alle misure di protezione (Art. 25) e sicurezza (Art. 32).

Per quanto riguarda la necessità di somministrare l’informativa all’interessato, il GDPR risulta pienamente conforme rispetto alle disposizioni del Codice Privacy: l’informativa è necessaria unicamente nel caso in cui i dati siano raccolti direttamente presso l’interessato (Art. 13), mentre può essere omessa se questi vengono acquisiti presso soggetti terzi qualora il loro ottenimento o comunicazione siano espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato (art. 14, comma 5, lettera C).

Restano infine una serie di obblighi in carico al Titolare, in qualità di Data Controller, legati alla compilazione del Registro dei Trattamenti (Art. 30), della notifica al garante e/o all’interessato in caso di violazione/data breach (Artt. 33 e 34), della necessità di effettuare una valutazione di impatto (Privacy Impact Assessment) nei casi in cui il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche (art. 35), e degli adempimenti da svolgere nel caso di trasferimenti presso paesi terzi (Capitolo 5 – Artt. da 44 a 50).

Nel caso in cui il Titolare decida di avvalersi di collaboratori, come ad esempio tecnici o investigatori incaricati di svolgere indagini difensive, è inoltre necessaria la nomina di questi ultimi a Responsabili esterni del Trattamento (Art. 28). Per maggiori approfondimenti su questo tema, si consiglia la lettura dell’articolo dedicato all’impatto del GDPR sulla Richiesta di Accesso ai Dati di Traffico in Entrata (cfr. paragrafo Titolari e Responsabili).

Questo articolo fa parte di una serie di approfondimenti e riflessioni sul GDPR e sulle modalità di applicazione del Nuovo Regolamento Europeo della Protezione dei Dati in Italia, con focus specifico sulla compliance rispetto alla normativa previgente in materia civile e penale. Leggi gli altri articoli.

 

RELATED POSTS

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane. Microsoft MVP for Development Technologies dal 2018.

View all posts by Ryan