Il trattamento dei dati giudiziari è disciplinato non solo dal Regolamento europeo, ma anche dal Codice Privacy e da altre norme interne.
Per dati giudiziari si intende: dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza. Essi rivelano l'esistenza di provvedimenti penali suscettibili di iscrizione nel casellario giudiziale, oppure la qualità di indagato o imputato. Tali tipi di dati - una volta definiti dati sensibili - oggi rientrano nella categoria dei dati a trattamento speciale (ex art. 9 GDPR).
Occorre premettere che, come specificato dal considerando 19 del GDPR, il trattamento dei dati giudiziari da parte di soggetti pubblici rientra nella disciplina di cui alla legge al D. Lgs. n. 51 del 2018, attuativa della Direttiva UE 680/2016, che regolamenta i trattamenti dei dati personali da parte delle autorità competenti per la prevenzione, indagine, accertamento e perseguimento di reati o esecuzioni di sanzioni penali. Per cui la disciplina del Regolamento europeo riguarda esclusivamente i soggetti privati.
Ovviamente la tutela dei dati giudiziari è più stringente, in quanto tale categoria di dati può determinare discriminazioni per i soggetti interessati. In base all'art. 10 del Regolamento europeo (GDPR), il trattamento di tali categorie di dati deve avvenire:
1) sulla base di una condizione di liceità prevista dall'art. 6 del GDPR;
2) sotto il controllo dell'autorità pubblica;
3) a seguito di autorizzazione da parte di legge del diritto dell'UE o nazionale, ma in presenza di garanzie adeguate per i diritti e le libertà degli interessati;
La normativa italiana consente, a differenza del GDPR, che il trattamento dei dati giudiziari possa avvenire anche se autorizzato da un regolamento, nei casi previsti dalla legge.
L'articolo 10 precisa anche che "un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica". E' da ricordare che se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di dati giudiziari, l'art. 37, co. 1, lett. c) del GDPR prevede l'obbligo di designare un DPO.
Il decreto di adeguamento del Codice Privacy ha espressamente introdotto l'art. 2 octies che regolamenta il trattamento anche di tale categoria di dati, specificando che: "In mancanza delle predette disposizioni di legge o di regolamento, i trattamenti dei dati" giudiziari e le relativa garanzie sono individuati con "decreto del Ministro della giustizia, da adottarsi, ai sensi dell'articolo 17, comma 3, della legge 23 agosto 1988, n. 400, sentito il Garante". E' attualmente in discussione il decreto ministeriale, al quale il Garante ha espresso parere positivo.
Questo decreto include nei dati giudiziari anche i dati relativi all’applicazione di misure di prevenzione a seguito di provvedimento giudiziario. Il Garante ha infatti chiarito che "anche i dati inerenti le misure di prevenzione partecipano, infatti, di quell’idoneità ad esprimere un particolare disvalore, suscettibile di esporre il soggetto a forme le più varie di stigmatizzazione (in contrasto anche con la presunzione d’innocenza e il principio di colpevolezza), tale dunque da esigere una tutela rafforzata rispetto ai dati “comuni”.
In base al decreto è consentito il trattamento dei dati giudiziari:
- per la gestione di rapporti di lavoro;
- per verificare e accertare i requisiti di onorabilità;
- da parte di imprese assicurative;
- per la tutela dei diritti;
- per verificare la solidità, la solvibilità e l’affidabilità in caso di contratti;
- per le investigazioni private;
- nelle professioni intellettuali;
- per fini statistici da parte dei soggetti che fanno parte del Sistema Statistico Nazionale (SISTAN);
- per la prevenzione e il contrasto della criminalità organizzata, in attuazione di protocolli stipulati con il Ministero dell’Interno o con le prefetture.
In particolare l’uso giudiziario dei dati personali è consentito dal principio di proporzionalità, garantito dal considerando 4 del GDPR, e quindi dalla equivalenza tra il diritto alla riservatezza del dato personale ed il diritto che si intende reclamare alla autorità giudiziaria.
Il decreto prevede che il trattamento dei dati giudiziari sia:
- effettuato "unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati proporzionate e necessarie in rapporto agli obblighi, ai compiti o alle finalità per i quali è autorizzato il trattamento";
- limitato ai “soli dati necessari per realizzare le finalità previste, sempre che le stesse non possano essere soddisfatte, caso per caso, mediante il trattamento di dati anonimizzati o di dati personali di natura diversa” (principio di minimizzazione);
- sia soggetto a verifica periodica che i dati siano esatti, aggiornati, adeguati, pertinenti e necessari rispetto alle finalità del singolo caso;
- sia soggetto all’obbligo di cancellazione dei dati nel caso in cui, anche a seguito delle verifiche, risultino non adeguati, non pertinenti o non necessari (è permessa l’eventuale conservazione, a norma di legge, dell’atto o del documento in cui sono contenuti).
Provvedimenti dei Garanti europei
L'11 febbraio 2022 l'Autorità di controllo spagnola ha sanzionato Amazon perché richiedeva il casellario giudiziale a fini di assunzione di dipendenti. Il Garante spagnolo ha chiarito che anche un certificato negativo deve intendersi come dato giudiziario, e che allo stato in Spagna non esiste norma che consente ad Amazon di acquisire tale dato, in particolare non in base al consenso né in base ai legittimi interessi del titolare. In Italia, invece, il decreto di adeguamento del Codice Privacy ha espressamente introdotto l'art. 2 octies che consente alcuni tipi di trattamenti di tali dati.