Trattamenti di dati giudiziari in cerca di regole
Il trattamento di informazioni relativi a condanne e reati è un'esigenza delle imprese, ma il mondo economico è ancora in attesa del decreto ministeriale previsto dalle modifiche del 2018 al Codice della privacy, successive all'inizio di efficacia del regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr). Eppure, prima del 2018, nel vecchio regime, la situazione aveva un suo equilibrio basato su una autorizzazione generale del Garante della privacy (la n. 7).
Con l'avvento del Gdpr le autorizzazioni generali, tra cui la n. 7, sono state eliminate come fonti del diritto in materia di privacy.
La disciplina dei dati giudiziari, ora, parte dall'articolo 10 del Gdpr, che ammette il trattamento di dati relativi a condanne e reati solo se autorizzato dal diritto Ue o nazionale, purché preveda garanzie appropriate per gli interessati.
Lo stato italiano, con il dlgs 101/2018, ha modificato il Codice della privacy, inserendo l'articolo 2-octies. Questo articolo elenca una serie di ambiti, nei quali si possono trattare dati giudiziari, riprendendoli in gran parte dalla vecchia autorizzazione n. 7.
Inoltre l'articolo citato ha individuato diverse opzioni per la previsione delle misure appropriate: possono essere dettate direttamente da una legge; oppure da un regolamento (nei casi previsti dalla legge); oppure in subordine da un decreto del ministro della giustizia, che non è stato ancora adottato.
A questo punto, però, si pone più di un problema.
Primo problema. Ci sono trattamenti legittimi in base alla autorizzazione n. 7, ma non espressamente ripetuti nell'articolo 2-octies. Ad esempio, non si trovano riferimenti ad organismi associativi e fondazioni (trattano dati di fruitori di attività e beneficiari). Pertanto, erano trattamenti legittimi, ora sono nel limbo (sono diventati illegittimi?).
Altra versione di questo primo problema. Ci sono trattamenti, già inseriti nell'autorizzazione n. 7 e, in qualche modo, riconducibili alla individuazione generica dell'articolo 2-octies.
In questo filone si collocano i trattamenti da parte delle imprese di dati giudiziari per accertare l'idoneità degli interessati (ad esempio personale da assumere) a svolgere compiti che presentano specifici profili di rischio; per produrre la documentazione nelle gare d'appalto; per chiedere il rating di legalità; per la prevenzione della responsabilità dell'impresa ai sensi del dlgs n. 231/2001 oppure in attuazione di modelli organizzativi anti- corruzione.
Rispetto a questi ambiti, c'è, però, bisogno di certezze. L'ha sottolineato una circolare di Assonime «Note e Studi» n. 9/2020, che pure concorda sulla possibilità di sostenere la liceità del trattamento su base interpretativa. Insomma, se si va davanti a un giudice ci si può difendere, anche nelle more del decreto ministeriale. Anche se c'è sempre l'alea che il giudice la pensi diversamente. D'altra parte su un piano formale ci vuole il decreto, che eliminerebbe il rischio processuale.
Peraltro è da scongiurare il protrarsi di una situazione in cui residui un rischio per le imprese, le quali hanno bisogno di regole certe a monte e non di incertezze da risolvere, a valle, davanti a un giudice.
Altro problema. Ci sono trattamenti, fuori elenco del 2-octies, che corrispondono a esigenze oggettive e che Assonime, nella circolare citata, ritenendo la norma solo esemplificativa, propone di inserire nel futuro decreto ministeriale. Si tratta, in particolare della verifica dei requisiti di idoneità morale previsti appalti in ambito privatistico.
Fonte: Italia Oggi del 30 marzo 2020 - Articolo di Antonio Ciccia Messina
