A) Premessa
1. Nel corso del 2016 il quadro normativo eurounitario in materia di protezione dei dati personali è stato oggetto di due coevi interventi rappresentati dall’approvazione del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)», e della Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016, «relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio».
In vista della prossima piena applicabilità del Regolamento 2016/679 (a decorrere dal 25 maggio 2018, ex art. 99, paragrafo 2, del Regolamento 2016/679, con effetto abrogativo della Direttiva 95/46/CE) e della prossima scadenza dei termini per il recepimento della Direttiva 2016/680 (gli Stati membri dovranno infatti adottare le disposizioni necessarie per conformarsi alla direttiva entro il 6 maggio 2018, ex art. 63, paragrafo 1, Direttiva 2016/680), la presente analisi mira a mettere in evidenza esclusivamente la questione del possibile controllo, da parte dell’autorità indipendente prevista dalla normativa eurounitaria (in Italia, Garante per la protezione dei dati personali), sull’attività giurisdizionale in campo civile e in campo penale.
La ricognizione, ancorché necessariamente sommaria in questa sede, sembra opportuna giacché l’impostazione della richiamata normativa europea (e quindi di riflesso, anche di quella interna) non è di facile lettura, posto che le disposizioni sono articolate in affermazioni di principio e numerose specifiche eccezioni, e tutto ciò a seconda del diverso punto di vista che, di volta in volta, viene preso in considerazione da tali disposizioni: ad esempio ambito di applicazione, definizioni, principi relativi al trattamento dei dati, diritti dell’interessato, attività del titolare del trattamento o del responsabile, attività e poteri dell’autorità di controllo.
2.1 Pur esulando dal tema in parola la ricognizione della disciplina sostanziale della protezione dei dati personali, a livello di premessa generale può essere registrata come novità di rilievo l’affermazione di principio contenuta nel considerando 4 del Regolamento 2016/679, secondo cui «il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità».
L’oggetto dell’intervento normativo eurounitario è il «trattamento di dati personali» con una definizione assai ampia sia del «dato personale» [1], sia del «trattamento» [2] (cfr. le identiche definizioni, di cui all’art. 4, nn. 1 e 2, del Regolamento 2016/679 e all’art. 3, nn. 1 e 2, della Direttiva 2016/680).
Le informazioni riconducibili alla definizione del «dato personale», rispetto alla corrispondente definizione contenuta nella Direttiva 95/46/CE, sono state aggiornate con l’inserimento di «un identificativo come il nome, … dati relativi all’ubicazione, un identificativo online» ovvero all’identità «genetica» [non presenti nell’art. 2, lett a), della Direttiva 95/46/CE] [3].
2.2 Quanto alle attività riconducibili al «trattamento», v’è da notare, per inciso, la modifica − che peraltro appare meramente testuale − rappresentata dalla sostituzione della parola «impiego», contenuta nella vigente Direttiva 95/46/CE, con la parola (ora presente nella traduzione del Regolamento 2016/679 e della Direttiva 2016/680) «uso», di sinonimo significato, in linea del resto con la parola presente nel testo inglese, «use», e con quella nel testo francese, «utilisation», immutate in tutti i testi normativi menzionati) [4].
2.3 L’amplissimo ambito attribuito, nella sua definizione, al termine «trattamento» è comunque delimitato da un’altra generale disposizione: quella relativa alla definizione dell’area di «applicazione materiale» della normativa in parola, la quale normativa infatti (ex art. 2, paragrafo 1, del Regolamento 2016/679 ed ex art 2, paragrafo 2, della Direttiva 2016/680) «si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi».
Sul punto v’è ancora da ricordare che, se il campo di applicazione (come da ultimo riportato) è rimasto il medesimo rispetto all’art. 3 della Direttiva 95/46/CE, tale più limitato campo di applicazione (cioè relativo al trattamento di dati personali «contenuti in un archivio o destinati a figurarvi») è stato, dal legislatore interno, esteso, con l’adozione di disposizioni di tutela del diritto alla riservatezza più generali (o di generale portata), e quindi anche a prescindere dalla destinazione del trattamento in un archivio, ciò quanto meno con riferimento all’attività giornalistica (cfr. Cass. n. 8889/2001 [5]). Anche in dottrina si è rilevato che la disciplina normativa interna è stata improntata ad «un modello che ha comportato il passaggio da una tutela garantita nel solo caso di informazioni raccolte in banche di dati automatizzate al riconoscimento di una tutela estesa ad ogni operazione effettuata su dati personali, a prescindere dalle modalità adottate e dagli strumenti impiegati» [6].
Invero lo stesso Codice in materia di protezione dei dati personali (d.lgs 30 giugno 2003, n. 196) nella definizione di «trattamento» fa riferimento alle descritte operazioni (aventi per oggetto dati personali) «anche se non registrati in una banca di dati» [cfr. art. 4, comma 1, lett. a), del Codice].
D’altra parte, per concludere sul punto, l’ambito, entro cui circoscrivere i trattamenti di dati personali «contenuti in un archivio o destinati a figurarvi», può essere, di per sé, di incerta definizione in concreto, specie quando, in disparte le banche-dati vere e proprie, si tratti di dati personali informatizzati [7].
B) Esclusione del controllo del Garante sull’autorità giudiziaria civile
1. Punto di partenza di ogni considerazione in ordine al tema in parola (sul controllo del Garante sull’attività giudiziaria) appare il considerando 20 del Regolamento 2016/679, ove nell’incipit si afferma in generale l’applicabilità del Regolamento stesso «anche alle attività delle autorità giurisdizionali e di altre autorità giudiziarie» [8].
Invero, sia pure per inciso, possono ricordarsi le specifiche previsioni del Regolamento 2016/679 che riguardano l’attività giudiziaria (menzionata in via esclusiva ovvero, in altri casi, insieme con altre autorità pubbliche), da intendersi riferite al settore civile armonizzato [9]: ad esempio, nel capo II (sui principi) e nel capo III (sui diritti dell’interessato) del Regolamento 2016/679 si vedano, sulla liceità del trattamento anche senza il consenso dell’interessato, l’art. 6, paragrafo 1, lettere c) ed f); sulla non applicabilità del divieto di trattamento dei dati sensibili, l’art. 9, paragrafo 2, lettera f); sulla negazione del diritto all’oblio, alla cancellazione di dati o ad altre limitazioni del trattamento da parte dell’interessato, l’art. 17, paragrafo 3, lettera e), e art. 18, paragrafo 2.
Si tratta di disposizioni vincolanti, di immediata applicazione, che sono modulate come eccezioni all’applicazione, all’attività giudiziaria civile, dei principi e dei diritti dell’interessato. Oltre a tali limitazioni già previste dal Regolamento 2016/679 e quindi non derogabili, lo stesso Regolamento 2016/679, nel considerando 20 e nella specifica disposizione dell’art. 20, paragrafo 3, consente agli Stati membri di adottare ulteriori e più “specifiche” limitazioni all’applicabilità dei principi generali e dei diritti dell’interessato, quando siano ritenute necessarie e proporzionate per salvaguardare «l’indipendenza della magistratura e dei procedimenti giudiziari» [art. 20, paragrafo 1, lettera f)] ovvero per salvaguardare «l’esecuzione delle azioni civili» [art. 20, paragrafo 1, lettera j)].
In realtà il legislatore interno, con l’art. 47 (Trattamenti per ragioni di giustizia) del Codice in materia di protezione dei dati personali ha equiparato all’attività giurisdizionale − nella limitata applicazione dei principi e dei diritti dell’interessato − anche quella svolta dal «Consiglio superiore della magistratura», dagli «altri organi di autogoverno» e dal «Ministero della giustizia», qualora il trattamento sia «effettuato per ragioni di giustizia», che viene espressamente a ricomprendere quei «trattamenti di dati personali direttamente correlati alla trattazione giudiziaria di affari e di controversie, o che, in materia di trattamento giuridico ed economico del personale di magistratura, hanno una diretta incidenza sulla funzione giurisdizionale, nonché le attività ispettive su uffici giudiziari» (con esplicita esclusione, da tale ambito, della «ordinaria attività amministrativo-gestionale di personale, mezzi o strutture, quando non è pregiudicata la segretezza di atti direttamente connessi alla predetta trattazione»). Nel dettare norme più specifiche in attuazione del Regolamento 2016/679, il contenuto dell’art. 47 del Codice in materia di protezione dei dati personali potrebbe essere giustificato, quindi, in forza del citato art. 20, paragrafo, 1, lettera f), del Regolamento 2016/679 per salvaguardare «l’indipendenza della magistratura e dei procedimenti giudiziari».
2.1 Ciò premesso in ordine all’applicazione della disciplina sostanziale del trattamento dei dati personali con riguardo all’attività giudiziaria civile, il tema in parola, e cioè quello della individuazione del soggetto preposto al controllo sul rispetto delle (limitate) disposizioni applicabili, è preso in esame innanzitutto nel considerando 20 (che pure non avendo natura direttamente precettiva è utile per comprendere l’impostazione generale dell’atto cui si riferisce).
Orbene in tale considerando 20 del Regolamento 2016/679, mentre si menzionano in generale le «attività» (al plurale) dell’autorità giurisdizionale (senza cioè alcuna distinzione tra funzioni giurisdizionali ivi comprese quelle di volontaria giurisdizione e altre attività amministrative affidate ai capi degli uffici ovvero ad essi riconducibili), si esprime una generale valutazione di “inopportunità” di un controllo sull’autorità giudiziaria affidato all’autorità amministrativa di controllo (Garante) limitatamente al trattamento di dati personali effettuato dalle autorità giurisdizionali «nell’adempimento delle loro funzioni giurisdizionali» (cfr. testualmente: «Non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell’adempimento delle loro funzioni giurisdizionali, al fine di salvaguardare l’indipendenza della magistratura nell’adempimento dei suoi compiti giurisdizionali, compreso il processo decisionale»).
2.2 La considerazione da ultimo espressa si ritrova tradotta in una specifica disposizione normativa, l’art. 55, paragrafo 3, del Regolamento 2016/679, secondo cui: «Le autorità di controllo non sono competenti per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali».
La norma è dunque chiarissima e netta, risultando enunciata la sua ratio nel richiamato considerando, nel senso, all’evidenza, di evitare ogni interferenza o commistione di poteri tra autorità giudiziaria e autorità amministrativa (quand’anche indipendente, come quella del Garante) o irrazionalità o distorsioni distopiche delle regole del processo (soprattutto nell’acquisizione e nella “gestione” del materiale probatorio).
In conclusione, fermo restando il limitato campo di applicazione delle disposizioni in materia di protezione dei dati personali nell’ambito giurisdizionale (come accennato sub 1 del presente paragrafo B), il Regolamento 2016/679 è chiaro nell’escludere che il controllo sulla corretta applicazione delle suddette disposizioni sia affidato all’autorità di controllo amministrativa nei confronti dell’autorità giudiziaria nell’esercizio della funzione giurisdizionale.
2.3 Trovando immediata applicazione (a decorrere come si è detto dal 25 maggio 2018), il Regolamento 2016/679 sembra dunque abrogare le contrarie disposizioni di legge interna, che avevano interpretato la Direttiva 95/46/CE (la quale direttiva nulla prevedeva di specifico con riferimento ai rapporti dell’autorità di controllo con le autorità giurisdizionali) come se il controllo (della suddetta autorità amministrativa indipendente) fosse, al contrario, in generale consentito, dandone quindi attuazione sotto tale profilo con disposizioni ad hoc dirette solo a limitarne la portata (si vedano i commi 5 e 6 dell’art. 160 del Codice in materia di protezione dei dati personali) [10].
Eppure, oltre che derivare, ovviamente, dal generale principio sulla separazione (o divisione) dei poteri, una netta delimitazione dei poteri dell’autorità amministrativa di controllo rispetto all’attività giurisdizionale era stata già esplicitata nel diritto comunitario, nella materia de qua, nel 2001 con l’adozione del Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000 (concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati), là dove, nell’istituire il Garante europeo della protezione dei dati (art. 41), escludeva le funzioni di controllo nei confronti della «Corte di giustizia delle Comunità europee nell’esercizio delle sue funzioni giurisdizionali» [cfr. art. 46, lett c), Regolamento n. 45/2001].
Quanto meno sotto il profilo in esame, relativo cioè all’attività giurisdizionale civile, le citate disposizioni del codice devono intendersi quindi sostanzialmente abrogate in parte qua a decorrere dal 25 maggio 2018 (ex art. 99, paragrafo 2, del Regolamento 2016/679).
Del resto, sia con riferimento alla legge n. 675 del 1996 (di recepimento, in sostanza, della Direttiva 95/46/CE) [11] sia con riferimento al Codice in materia di protezione dei dati personali [12], si erano segnalati profili di illegittimità costituzionale del controllo del Garante sulla magistratura, nonché l’intrinseca illogicità e irrazionalità di un controllo amministrativo nell’ambito del sistema processuale.
3. Il menzionato art. 55, paragrafo 3, del Regolamento 2016/679 (secondo cui: «Le autorità di controllo non sono competenti per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali») si riferisce, al plurale, «alle autorità giurisdizionali nell’esercizio delle loro funzioni». Si ritiene che tale disposizione sia da intendersi riferita non solo alle autorità giurisdizionali giudicanti, ma anche alle autorità giurisdizionali che, incardinate presso tribunali e corti, partecipano alla medesima funzione giurisdizionale civile, e cioè ai pubblici ministeri (con poteri generalmente requirenti, ma, nell’ordinamento italiano, anche di iniziativa nel pubblico interesse).
Sarebbe invero irrazionale una diversa interpretazione (in contrasto peraltro anche con il dato testuale), che, quanto al controllo del Garante, distinguesse tra i due uffici giudiziari posti all’interno delle Corti, in relazione ad un medesimo trattamento “giudiziario” di dati personali. Non sembra infatti ipotizzabile, in assenza di una diversa indicazione, che il controllo del Garante europeo, escluso espressamente per la Corte di giustizia [art. 46, lett c), Regolamento n. 45/2001], fosse invece ammesso per l’Avvocato generale presso la Corte medesima.
Infine possono essere richiamate le considerazioni (infra n. 5.1. del paragrafo C) che, sul piano costituzionale e su quello della razionalità interna del processo, depongono per una interpretazione che escluda il controllo del Garante sul trattamento dei dati personali effettuato dalle procure presso i rispettivi organi giudicanti civili.
4. Se, come si è detto, alcune (limitate) disposizioni sono applicabili anche all’attività giudiziaria e il Garante non è preposto al controllo, nel Regolamento 2016/679 ci si è posto il problema su come assicurare l’effettivo rispetto delle stesse disposizioni, prefigurandosi al riguardo (sempre nel considerando 20) una soluzione rappresentata dalla possibile istituzione di «organismi specifici all’interno del sistema giudiziario»: «Si dovrebbe poter affidare il controllo su tali trattamenti di dati ad organismi specifici all’interno del sistema giudiziario dello Stato membro, che dovrebbero in particolare assicurare la conformità alle norme del presente regolamento, rafforzare la consapevolezza della magistratura con riguardo agli obblighi che alla stessa derivano dal presente regolamento ed esaminare i reclami in relazione a tali operazioni di trattamento dei dati» (considerando 20).
Tuttavia, tale parte del considerando 20 non ha trovato una specifica disposizione normativa nell’ambito dell’articolato, sì che il controllo interno del rispetto delle disposizioni applicabili alle funzioni giurisdizionali dal 25 maggio 2018 continuerà ad essere affidato, per quanto riguarda l’Italia, alla vigilanza dei capi degli uffici giudiziari medesimi, oltre che al generale sistema valutativo di professionalità e/o disciplinare ed anche, in caso di danno, all’azionabilità della legge n. 117 del 1988 nei casi e secondo le regole ivi previste (senza necessità, quindi, di alcuna diversa regolamentazione al riguardo imposta dal diritto eurounitario) [13].
C) Esclusione del controllo del Garante sull’autorità giudiziaria penale
1. Le considerazioni che precedono, riguardano i rapporti tra Garante e «autorità giurisdizionali nell’adempimento delle loro funzioni giurisdizionali». E tuttavia tali considerazioni non appaiono esaustive, dal momento che il Regolamento 2016/679 − come chiarito nel considerando 19, e come disposto dall’art. 2, paragrafo 1, lett. d), dello stesso Regolamento − «non si applica ai trattamenti di dati personali (…) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse».
In effetti, per le suddette finalità in campo penale, i dati personali trattati dalle autorità pubbliche sono stati disciplinati da un atto dell’Unione più specifico, segnatamente dalla già citata direttiva 2016/680 del Parlamento europeo e del Consiglio (richiamata espressamente dal Regolamento 2016/679 nel considerando 19), da recepire entro il 6 maggio 2018, ex art. 63, paragrafo 1, della Direttiva 2016/680.
Qualche chiarimento al riguardo si impone in premessa sotto due profili, non solo cioè con riferimento in generale all’ambito di intervento normativo eurounitario in campo penale, ma anche, là dove questo è ammesso, in relazione al fatto che, nel nostro ordinamento costituzionale, l’autorità competente ai fini di indagine e accertamento e perseguimento di reati non è un’autorità amministrativa (come in altri Paesi), ma l’autorità giudiziaria rappresentata dal pubblico ministero. Sotto tale secondo profilo invece la disciplina eurounitaria accomuna nell’oggetto, sia pure con diversificate disposizioni, l’attività di prevenzione all’attività di repressione dei reati.
2. In campo penale, dunque, il Regolamento 2016/679 non dispone alcunché, così che, rinviando esso alla Direttiva 2016/680, deve concludersi che le considerazioni sopra svolte sub B − circa l’esclusione del controllo del Garante sulle «autorità giurisdizionali» (nell’esercizio delle funzioni giurisdizionali) − devono intendersi riferite al solo settore giurisdizionale civile (oltre che a quello giurisdizionale amministrativo).
Pertanto, in materia penale, l’unico riferimento normativo eurounitario in tema di protezione dei dati personali è costituito, a decorrere da maggio 2018, dalla Direttiva 2016/680, che, infatti, abroga espressamente la Decisione quadro del 2008/977/GAI che già era intervenuta in materia.
Come è noto, fino al Trattato di Lisbona era esclusa la competenza normativa della Comunità europea in campo penale (cd. terzo pilastro). Con l’approvazione dell’art 83 del Trattato sul funzionamento dell’Unione europea (Trattato di Lisbona), è stata ammessa una competenza cd. accessoria (si prevede l’adozione di “norme minime” da parte dell’Unione) e indiretta (nel senso che la eventuale adozione di direttive richiede sempre una trasposizione nel diritto interno) con esclusivo e limitato riferimento, però, «alla definizione dei reati e delle sanzioni in sfere di criminalità particolarmente grave che presentano una dimensione transnazionale derivante dal carattere o dalle implicazioni di tali reati o da una particolare necessità di combatterli su basi comuni».
La «dimensione transnazionale» è dunque attualmente l’unico possibile ambito di intervento normativo eurounitario in campo penale [14].
3. Infatti, con particolare riferimento alla materia del trattamento dei dati personali, l’esclusione della competenza normativa dell’Unione europea in campo penale è ricordata nelle premesse della Direttiva 2016/680 (cfr. il considerando 5), là dove è esplicitato a chiare lettere, per il passato (e cioè con riferimento alla direttiva 95/46/CE), quanto segue: «La direttiva 95/46/CE del Parlamento europeo e del Consiglio (…) si applica a qualsiasi trattamento di dati personali negli Stati membri sia nel settore pubblico che in quello privato. Non si applica invece ai trattamenti di dati personali effettuati per l’esercizio di attività che non rientrano nell’ambito di applicazione del diritto comunitario quali le attività nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia».
Di tal ché il Codice della protezione dei dati personali risulta all’evidenza eccedente l’ambito normativo imposto dal diritto comunitario, là dove all’art. 160 si disciplinano, tra i «particolari accertamenti» da parte del Garante, anche quelli nei confronti dell’autorità giudiziaria penale (oltre che, come si è visto supra paragrafo B, dell’autorità giudiziaria civile) (cfr. il comma 5: «Nell’effettuare gli accertamenti di cui al presente articolo nei riguardi di uffici giudiziari, il Garante adotta idonee modalità nel rispetto delle reciproche attribuzioni e della particolare collocazione istituzionale dell’organo procedente. Gli accertamenti riferiti ad atti di indagine coperti dal segreto sono differiti, se vi è richiesta dell’organo procedente, al momento in cui cessa il segreto») [15].
Peraltro, nella stessa Direttiva 2016/680 sì dà conto degli impegni assunti dagli Stati membri con la decisione quadro 2008/977/GAI del Consiglio nel settore della «cooperazione giudiziaria in materia penale» (oltre che in quello della cooperazione di polizia), sia pure nel limitato ed esclusivo ambito del «trattamento dei dati personali trasmessi o resi disponibili tra Stati membri» (cfr. il considerando 6 della Direttiva 2016/680 e il considerando 8 della stessa direttiva, ove si richiama l’art. 16, paragrafo 2, del Trattato di Lisbona che «conferisce al Parlamento europeo e al Consiglio il mandato di stabilire le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale e le norme relative alla libera circolazione di tali dati» alla luce della dichiarazione n. 21, relativa alla protezione dei dati personali nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia, allegata all’atto finale della conferenza intergovernativa che ha adottato il trattato di Lisbona, cfr. i considerando 10 e 11 della Direttiva 2016/680).
Per concludere sul punto, la Direttiva 2016/680, sia pure richiamando i generali principi in materia di protezione di dati personali (si vedano le definizioni, i requisiti di proporzionalità, liceità, l’indicazione delle figure etc.), circoscrive – come già le disposizioni adottate in sede di decisione quadro 2008/977/GAI – la prevista protezione dei dati personali [rectius «gli Stati membri … tutelano i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali», art. 1, paragrafo 2, lett. a) della Direttiva 2016/680] al solo settore della cooperazione giudiziaria in materia penale (art. 1, paragrafo 1) e nel limitato oggetto dello «scambio dei dati personali da parte delle autorità competenti all’interno dell’Unione, qualora tale scambio sia richiesto dal diritto dell’Unione o da quello dello Stato membro, non sia limitato né vietato per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali» [art. 1 paragrafo 2, lett. b) della Direttiva 2016/680] − analogamente a quanto già previsto, come si è detto, nella decisione quadro 2008/977/GAI all’art. 1, paragrafo 2, lettere a) e b).
È quindi solo in tale circoscritto settore della cooperazione penale – allorquando si possa prefigurare la trasmissione dei dati personali fra Stati membri («scambio dei dati personali da parte delle autorità competenti all’interno dell’Unione») – che anche l’autorità giudiziaria penale è chiamata al rispetto dei previsti principi nella Direttiva 2016/680.
4.1 Orbene, nel ben delimitato ambito di applicazione della Direttiva 2016/680 di cui supra n. 3 del presente paragrafo C, va quindi preso in esame il problema della individuazione del soggetto preposto al controllo del rispetto delle previsioni normative da parte dell’autorità giudiziaria penale.
Come si è visto (supra n. 2.2 del paragrafo B), nel generale campo della giurisdizione civile (settore armonizzato) il Regolamento 2016/679 è stato chiaro (all’art. 55, paragrafo 3) nel prevedere l’esclusione del controllo del Garante (cfr. «Le autorità di controllo non sono competenti per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali»), la cui ratio è esplicitata nel considerando 20 del Regolamento 2016/679 (cfr. testualmente: «Non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell’adempimento delle loro funzioni giurisdizionali, al fine di salvaguardare l’indipendenza della magistratura nell’adempimento dei suoi compiti giurisdizionali, compreso il processo decisionale»).
Nel campo penale, ove una limitata armonizzazione è prevista solo nel decritto ristretto ambito (vedi supra n. 3 del presente paragrafo C), la Direttiva 2016/680 deve necessariamente fare i conti con normative interne differenziate poiché non tutti gli ordinamenti degli Stati membri hanno l’impostazione della Costituzione italiana ove l’attività di indagine e repressione dei reati è affidata alla magistratura, in particolare agli uffici giudiziari delle procure (quanto invece ad autorità amministrative sia pure dotate di una certa indipendenza, ma comunque ricadenti, in termini di semplicistica approssimazione, sotto il “potere esecutivo”).
Tuttavia l’opzione dell’Unione è altrettanto chiara come nel Regolamento 2016/679, ed è esplicitata nel considerando 80 della Direttiva 2016/680: «Sebbene la presente direttiva si applichi anche alle attività delle autorità giurisdizionali nazionali e di altre autorità giudiziarie, non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali, al fine di salvaguardare l’indipendenza dei giudici nell’adempimento dei loro compiti giurisdizionali. Tale esenzione dovrebbe essere limitata all’attività giurisdizionale e non applicarsi ad altre attività a cui i giudici potrebbero partecipare in forza del diritto dello Stato membro. Gli Stati membri dovrebbero inoltre poter disporre che nella competenza delle autorità di controllo non rientri il trattamento di dati personali effettuato da altre autorità giudiziarie indipendenti nell’esercizio delle loro funzioni giurisdizionali, ad esempio le procure. In ogni caso, il rispetto delle norme della presente direttiva da parte di autorità giurisdizionali e altre autorità giudiziarie indipendenti è sempre soggetto a un controllo indipendente conformemente all’articolo 8, paragrafo 3, della Carta».
4.2 Tralasciando per il momento l’ultima statuizione («In ogni caso, il rispetto delle norme della presente direttiva da parte di autorità giurisdizionali e altre autorità giudiziarie indipendenti è sempre soggetto a un controllo indipendente conformemente all’articolo 8, paragrafo 3, della Carta»), è dunque evidente in primis che, secondo il considerando 80, sugli uffici giudiziari giudicanti nell’esercizio delle funzioni giurisdizionali il controllo dell’autorità amministrativa indipendente è nettamente escluso.
Infatti l’art. 45 della Direttiva 2016/680, dopo aver chiarito le competenze dall’autorità di controllo [«Ogni Stato membro dispone che ciascuna autorità di controllo sia competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti, ai sensi della presente direttiva nel territorio del rispettivo Stato membro» (paragrafo 1)], nel paragrafo 2, conformemente al primo periodo del citato considerando 80 della stessa Direttiva 2016/680, prevede il seguente divieto: «Ogni Stato membro dispone che ciascuna autorità di controllo non sia preposta a controllare i trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali».
In conclusione, sia pure nel limitato campo oggetto della direttiva (vedi supra n. 3 del presente paragrafo C) – in conformità con l’analoga norma dell’art. 55, paragrafo 3, del Regolamento 2016/679 per l’attività giurisdizionale civile – ogni interferenza tra controllo del Garante e Autorità giurisdizionale giudicante penale è espressamente esclusa.
5.1 Più flessibile appare invece la Direttiva 2016/680 sulla soluzione da adottare con riferimento al controllo sull’attività del pubblico ministero, stante la non uniformità negli ordinamenti degli Stati membri, come si è accennato, del ruolo attribuito al pubblico ministero nell’attività inquirente e requirente. La Direttiva 2016/680 (nel considerando 80 e nel secondo periodo del paragrafo 2 dell’art. 45) consente dunque opzioni diverse, rispetto alla soluzione primaria del divieto del controllo da parte dell’autorità amministrativa indipendente – id est, testualmente: «Gli Stati membri dovrebbero inoltre poter disporre che nella competenza delle autorità di controllo non rientri il trattamento di dati personali effettuato da altre autorità giudiziarie indipendenti nell’esercizio delle loro funzioni giurisdizionali, ad esempio le procure» (considerando 80); «Gli Stati membri possono disporre che le rispettive autorità di controllo non siano competenti per il controllo dei trattamenti effettuati da altre autorità giurisdizionali indipendenti nell’esercizio delle loro funzioni giurisdizionali»(art. 45, paragrafo 2, secondo periodo) −.
In effetti, il riferimento alle «altre autorità giurisdizionali indipendenti nell’esercizio delle loro funzioni giurisdizionali», contenuto nel testo normativo (art. 45, paragrafo 2, secondo periodo) inserito subito dopo la disposizione del divieto del controllo del Garante sui «trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle funzioni giurisdizionali» (divieto contenuto nello stesso art. 45, paragrafo 2, primo periodo), non può che interpretarsi come riguardante l’attività giudiziaria del pubblico ministero, cioè delle “procure” (termine quest’ultimo, in effetti, esplicitato nel corrispondente considerando 80).
È chiaro che alla luce del nostro ordinamento costituzionale tale opzione di esclusione (del controllo del Garante), consentita agli Stati membri nel recepimento della Direttiva 2016/680, dovrebbe essere una scelta obbligata da parte del legislatore interno, in quanto derivante dai principi costituzionali di indipendenza e autonomia della magistratura tutta.
In disparte possibili limitazioni delle garanzie di autonomia previste, nei riguardi del pubblico ministero, dall’ordinamento giudiziario, e quindi sul piano della gerarchia interna (alla luce dell’art. 107, ultimo comma, Cost.), il titolo IV (“La magistratura”) e la sezione I (“Ordinamento giurisdizionale”) della Costituzione si riferiscono infatti a giudici e pubblici ministeri, con comuni garanzie di indipendenza e autonomia (in primis, cfr. l’art. 104: «La magistratura costituisce un ordine autonomo e indipendente da ogni altro potere»). Anche quando la Carta costituzionale dispone in ordine alla direzione della polizia giudiziaria (con riferimento dunque all’attività di indagine e repressione dei reati), essa fa riferimento all’«autorità giudiziaria», senza quindi distinguere tra giudici e pubblici ministeri (cfr. l’art. 109: «L’autorità giudiziaria dispone direttamente della polizia giudiziaria») − tant’è vero che prima dell’attuale codice di procedura penale l’iniziativa delle indagini era affidata, nell’istruzione formale, ad un giudice, al giudice istruttore −.
In conclusione – e sempre nel limitato campo di applicazione della Direttiva 2016/680 (vedi supra n. 3 del presente paragrafo C) − risulta evidente che l’opzione in parola, di un possibile controllo del Garante sull’attività svolta dalle procure nell’esercizio delle loro funzioni giurisdizionali sembra riferita a quegli ordinamenti in cui gli uffici di procura nell’attività di indagine per l’accertamento del reato sono, per quanto dotati di un certo grado di indipendenza, organi attratti (per semplificare) nell’orbita del potere esecutivo. Nel sistema costituzionale italiano invece, per quanto si tratti di funzioni diverse (giudici e pubblici ministeri), anche con previsioni costituzionali ad hoc per il pubblico ministero (cit. art. 107, ultimo comma, Cost.), gli uffici di procura appartengono alla magistratura e partecipano alla funzione giurisdizionale fin dall’inizio delle indagini, per cui la previsione di un controllo del Garante − oltre che del tutto irrazionale, quale interferenza esoprocedimentale, nell’attività di indagine per l’accertamento di un reato e per l’acquisizione delle fonti di prova, con possibile vulnus del diritto di difesa di terzi (come le vittime del reato che nella fase delle indagini non sono costituite parte civile), e, soprattutto, con possibile sovrapposizione di esame e di giudizio, spettanti invece unicamente all’organo giudicante − risulterebbe in palese contrasto con la Costituzione (si pensi ad una decisione del Garante su ricorso dell’interessato/indagato, ad esempio, in caso di intercettazioni, sequestri, acquisizione di documenti o altro materiale probatorio, etc.) [16].
5.2 Per completezza d’analisi non resta che chiarire la portata dell’ultimo periodo del considerando 80 della Direttiva 2016/680, là dove, dopo aver escluso la competenza del Garante sull’attività giurisdizionale (dei giudici e, a seconda degli ordinamenti, dei pubblici ministeri), si dispone: «In ogni caso, il rispetto delle norme della presente direttiva da parte di autorità giurisdizionali e altre autorità giudiziarie indipendenti è sempre soggetto a un controllo indipendente conformemente all’articolo 8, paragrafo 3, della Carta». Il citato art. 8, paragrafo 3, della Carta di Nizza, prevede in effetti che, in materia di protezione dei dati di carattere personale e di rispetto delle regole al riguardo previste dalla legge, «Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente».
V’è da dire che detto considerando 80 della Direttiva 2016/680 in tale parte non ha trovato una specifica disposizione nell’articolato della medesima Direttiva 2016/680, per cui non emerge alcun obbligo di specifico recepimento per gli Stati membri.
In ogni caso, come per il considerando 20, del Regolamento 2016/679 che ha ipotizzato (senza alcuna disposizione vincolante) una possibile istituzione di «organismi specifici all’interno del sistema giudiziario» preposti a tale scopo (cfr. supra n. 4 del paragrafo B), può valere, anche nel circoscritto ambito penale in parola, la considerazione che il controllo del rispetto delle disposizioni applicabili alle funzioni giurisdizionali dovrebbe continuare ad essere affidato, per quanto riguarda l’Italia, alla generale vigilanza dei capi degli uffici giudiziari medesimi, oltre che al generale sistema valutativo di professionalità e/o disciplinare ed anche, in caso di danno, a quello della responsabilità civile nei casi e secondo le regole previste dalla legge n. 117 del 1988 (senza necessità quindi di alcuna diversa regolamentazione al riguardo) [17].
[1] Cfr. ex art. 4, n. 1 del Regolamento 2016/679 ed ex art. 3, n. 1, della Direttiva 2016/680 la definizione del «dato personale»: «qualsiasi informazione riguardante una persona fisica identificata o identificabile, (l’”interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, in particolare con riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di tale persona fisica».
[2] Cfr. ex art. 4, n. 2, del Regolamento 2016/679 ed ex art. 3, n. 2, della Direttiva 2016/680 la definizione del «trattamento»: «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione».
[3] Secondo l’attuale Codice in materia di protezione dei dati personali (d.lgs 30 giugno 2003, n. 196) la definizione di «dato personale» è scomposta in più definizioni: accanto ad una definizione sintetica di «dato personale», quale «qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” [art. 4, comma 1, lett. b)], si aggiunge quella dei “dati identificativi», quali «dati personali che permettono l’identificazione diretta dell’interessato» [art. 4, comma 1, lett. c)], nonché quella di «dati sensibili», quali «dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché’ i dati personali idonei a rivelare lo stato di salute e la vita sessuale» [art. 4, comma 1, lett. d)].
[4] Sul punto il Codice in materia di protezione dei dati personali (d.lgs 30 giugno 2003, n. 196) fa riferimento alla parola «utilizzo» [art. 4., comma 1, lett. a)].
[5] In Foro it., 2001, 9, parte 1, pag. 2448, con note di A. Palmieri, Protezione dei dati personali in Cassazione: eugenetica dei diritti della personalità?, e M. Granieri, Brevi note (para) giurisdizionali sulla giurisprudenza “olcese”.
[6] Così A. Ricci, Sulla «funzione sociale» del diritto alla protezione dei dati personali, in Contratto e Impr., 2017, 2, p. 586.
[7] Si riporta la definizione di “archivio” tratta dall’art. 2, lett. c), della vigente Direttiva 95/46, definizione riprodotta in modo identico nell’art. 4, n. 6, del Regolamento e nell’art. 3, n. 6 della Direttiva 680: «Qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico». Si veda Cass. n. 8105 del 2016, che include, nella disciplina delle banche-dati, gli «insiemi organizzati di informazioni» su dati personali, nella fattispecie sanitari; si riporta la massima tratta dal Ced della Cassazione: «Le cliniche o case di cura che trattano dati idonei a rivelare lo stato di salute o la vita sessuale, facendoli confluire in banche dati, devono effettuare la notificazione del trattamento all’Autorità Garante, ex art. 37, comma 1, lett. b, del d.lgs. n. 196 del 2003 (cd. “codice della privacy”), non rilevando, in senso contrario, né che tali banche dati abbiano una finalità generale (statistica o epidemiologica) e non siano specificamente dirette alla raccolta ed organizzazione di tali dati sensibili, né la mancanza di una specializzazione della struttura in una delle attività sanitarie contemplate dalla citata disposizione».
[8] Si riporta il considerando 20 del Regolamento (20) specificando che il termine «attività» (delle autorità giurisdizionali) è plurale anche nel testo inglese: «Sebbene il presente regolamento si applichi, tra l’altro, anche alle attività delle autorità giurisdizionali e di altre autorità giudiziarie, il diritto dell’Unione o degli Stati membri potrebbe specificare le operazioni e le procedure di trattamento relativamente al trattamento dei dati personali effettuato da autorità giurisdizionali e da altre autorità giudiziarie. Non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell’adempimento delle loro funzioni giurisdizionali, al fine di salvaguardare l’indipendenza della magistratura nell’adempimento dei suoi compiti giurisdizionali, compreso il processo decisionale. Si dovrebbe poter affidare il controllo su tali trattamenti di dati ad organismi specifici all’interno del sistema giudiziario dello Stato membro, che dovrebbero in particolare assicurare la conformità alle norme del presente regolamento, rafforzare la consapevolezza della magistratura con riguardo agli obblighi che alla stessa derivano dal presente regolamento ed esaminare i reclami in relazione a tali operazioni di trattamento dei dati».
[9] Con il trattato di Amsterdam del 2 ottobre 1997 entrato in vigore il 1º maggio 1999 la materia della giustizia civile (e non anche la giustizia penale) è stata esclusa dal titolo VI del Trattato sull’Unione europea (cd. terzo pilastro, non armonizzato) e inclusa nel primo pilastro.
[10] L’art. 160 del Codice in materia di protezione dei dati personali (d.lgs 30 giugno 2003, n. 196), nel disciplinare alcuni «particolari accertamenti» da parte del Garante, tra cui quelli nei confronti dell’autorità giudiziaria, dispone: «5. Nell’effettuare gli accertamenti di cui al presente articolo nei riguardi di uffici giudiziari, il Garante adotta idonee modalità nel rispetto delle reciproche attribuzioni e della particolare collocazione istituzionale dell’organo procedente. Gli accertamenti riferiti ad atti di indagine coperti dal segreto sono differiti, se vi è richiesta dell’organo procedente, al momento in cui cessa il segreto. 6. La validità, l’efficacia e l’utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali non conforme a disposizioni di legge o di regolamento restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale».
[11] Sia consentito di rinviare a F. Sorrentino, La protezione dei dati personali nel processo, in Questione giustizia, n. 1/2001, pp. 122 ss. e in https://www.giustizia-amministrativa.it.
[12] Sia consentito di rinviare a F. Sorrentino, È arrivato il “Codice della Privacy” (con molti dubbi di costituzionalità) – Limiti e problemi nel controllo sull’autorità giudiziaria, in Diritto e giustizia, 2003/41, pp. 101 ss. e in https://www.giustizia-amministrativa.it.
[13] In disparte il caso, ovviamente, di violazioni di singole disposizioni processuali (eventualmente dettate dal legislatore anche ai fini della protezione dei dati personali) da far valere con i rimedi endoprocedurali delle nullità e/o dell’inutilizzabilità.
[14] Per una ricognizione normativa eurounitaria e giurisprudenziale della Corte di giustizia in campo penale, si veda F. Rossi, Presente e futuro del processo di armonizzazione europea della parte generale del diritto penale, in Diritto Penale Contemporaneo, n. 4/2015, https://www.penalecontemporaneo.it.
[15] La questione era stata segnalata già in cit. F. Sorrentino, È arrivato il “Codice della Privacy” (con molti dubbi di costituzionalità) – Limiti e problemi nel controllo sull’autorità giudiziaria, in Diritto e giustizia, 2003/41, pp. 101 ss. e in https://www.giustizia-amministrativa.it, ove testualmente si avvertiva quanto segue: «Il citato articolo 3 della direttiva 1995/46/CE in verità prevede espressamente l’inapplicabilità delle sue disposizioni “ai trattamenti effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del Trattato sull’Unione europea”: poiché il titolo VI concerneva, all’epoca (cioè prima della riforma del Trattato di Amsterdam), appunto i settori della giustizia civile e penale (…), ben poteva desumersi dalla direttiva una indicazione contraria all’estensione della disciplina sulla protezione dei dati personali anche alla funzione giudiziaria e quindi al suddetto controllo da parte delle Autorità garanti nazionali nei confronti della Magistratura».
[16] Su questi temi ancora cit. F. Sorrentino, La protezione dei dati personali nel processo, in Questione giustizia, n. 1/2001, pp. 122 ss., e F. Sorrentino, È arrivato il “Codice della Privacy” (con molti dubbi di costituzionalità) – Limiti e problemi nel controllo sull’autorità giudiziaria, in Diritto e giustizia, 2003/41, p. 101
[17] In disparte il caso, ovviamente, di violazioni di singole disposizioni processuali (eventualmente dettate dal legislatore anche ai fini della protezione dei dati personali) da far valere con i rimedi endoprocedurali delle nullità e/o dell’inutilizzabilità, come sopra già osservato per l’attività giurisdizionale civile.