Diffusione online delle sentenze e protezione dei dati personali

La pubblicazione online di una sentenza costituisce una violazione della privacy?

La regola

A norma dell’art. 52, comma 7, DLgs n. 196 del 30/6/2003 (Codice in materia di protezione dei dati personali), «è ammessa la diffusione in ogni forma del contenuto anche integrale di sentenze e di altri provvedimenti giurisdizionali».

Tale norma deve ritenersi tuttora vigente, in quanto non abrogata dal recente DLgs n. 101 del 10/8/2018 (Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento UE 2016/679 – GDPR).

Le eccezioni

Vi sono dei casi in cui non è ammesso diffondere il contenuto integrale delle sentenze e degli altri provvedimenti giurisdizionali.

Le eccezioni sono le seguenti:

  1. la cancelleria o la segreteria dell’ufficio giudiziario ha apposto uno specifico avvertimento sull’atto («In caso di diffusione omettere le generalità e gli altri dati identificativi di….» – cfr art. 52, comma 3, DLgs n. 196 del 30/6/2003);
  2. sull’atto non è presente alcun avvertimento, ma affronta delle questioni particolarmente delicate (atti di violenza sessuale, situazioni che coinvolgono minori, questioni relative ai rapporti di famiglia o allo stato delle persone – art. 52, comma 5, DLgs n. 196 del 30/6/2003).

L’avvertimento indicato nell’ipotesi sub 1 può essere apposto sull’atto

  • sia su istanza dell’interessato, «depositata nella cancelleria o segreteria dell’ufficio che procede prima che sia definito il relativo grado di giudizio» (cfr art. 52, comma 1, DLgs n. 196 del 30/6/2003),
  • sia per iniziativa dell’Autorità Giudiziaria procedente, per la «tutela dei diritti o della dignità degli interessati» (art. 52, comma 2, DLgs n. 196 del 30/6/2003).

Anonimizzazione dei provvedimenti giurisdizionali

Quando ricorre una delle eccezioni sopra indicate sarà possibile diffondere la sentenze e gli altri provvedimenti giurisdizionali, ma sarà necessario oscurare o rimuovere da tali atti le generalità dei soggetti coinvolti e ogni altro dato idoneo a identificarli (c.d. anonimizzazione dei provvedimenti giurisdizionali).

Le linee guida del Garante per la Protezione dei Dati Personali

Il Garante, nel dettare le linee guida in materia di trattamento di dati personali nella riproduzione di provvedimenti giurisdizionali per finalità di informazione giuridica (Gazzetta Ufficiale n. 2 del 4 gennaio 2011), enuncia la ratio che sta alla base della regola sopra riportata:

«La diffusione dei provvedimenti giurisdizionali costituisce fonte preziosa per lo studio e l’accrescimento della cultura giuridica e strumento indispensabile di controllo da parte dei cittadini dell’esercizio del potere giurisdizionale».

Nel contempo, il Garante fornisce un prezioso contributo nel chiarire le modalità concrete attraverso le quali vanno adottate le cautele previste dal cit. art. 52, DLgs n. 196 del 30/6/2003.

Con nota n. 1778014, in data 3/1/2011, il Garante sintetizza dette linee guida come segue:

«Devono essere oscurati, sempre e in ogni caso, i dati dei minori e delle parti nei procedimenti che hanno ad oggetto i rapporti di famiglia e lo stato delle persone (ad es. controversie in materia di matrimonio, filiazione, adozione, abusi familiari, richieste di rettificazione di sesso), anche quando il giudizio si riferisca ad aspetti patrimoniali o economici. Devono, inoltre, essere omessi i dati relativi ad altre persone dai quali si possa desumere, anche indirettamente, l’identità dei soggetti tutelati. I dati vanno oscurati non solo nei provvedimenti riprodotti per esteso, ma anche in quelli diffusi sotto forma di massima o nell’ambito di un elenco.

Oltre a questa forma di tutela assoluta, in tutti gli altri casi chiunque sia interessato (le parti in un giudizio civile o l’imputato in un processo penale, ma anche un testimone o un consulente) può rivolgere un’istanza al giudice, prima della conclusione del processo, con la quale chiede che, in caso di riproduzione del provvedimento per finalità di informazione giuridica, siano oscurati le generalità e ogni altro elemento in grado di identificarlo.

L’istanza deve indicare i “motivi legittimi” che la giustificano: ad es. la delicatezza del caso o la particolare natura dei dati contenuti nel provvedimento (stato di salute, vita sessuale). Se l’istanza è accolta si appone una annotazione sull’originale della sentenza. L’anonimizzazione può essere disposta dal giudice, anche d’ufficio, nei casi in cui la diffusione di informazioni particolarmente delicate possa arrecare conseguenze negative alla vita di relazione o sociale dell’interessato (ad es. in ambito familiare o lavorativo).

Non spetta all’ufficio giudiziario, ma a chi riceve la copia dei provvedimenti con l’annotazione che dispone l ́oscuramento delle generalità, provvedere in tal senso ove intenda riprodurli o diffonderli, anche sotto forma di massima, per finalità di informazione giuridica».

La giurisprudenza

Più sopra si è evidenziato che l’Autorità Giudiziaria, nel pronunciare la sentenza o nell’emettere il provvedimento, può disporre che venga apposto sull’atto il seguente avvertimento: «In caso di diffusione omettere le generalità e gli altri dati identificativi di….» (cfr art. 52, comma 2, DLgs n. 196 del 30/6/2003).

L’esercizio di tale potere, come accennato, è finalizzato alla «tutela dei diritti o della dignità degli interessati» (cfr sempre art. 52, comma 2, DLgs n. 196 del 30/6/2003).

Ciò detto, laddove sussistano in concreto tali esigenze («tutela dei diritti o della dignità degli interessati»), ci si chiede se l’Autorità Giudiziaria “possa” o “debba” adottare la misura di cui sopra.

Si pensi, ad esempio, all’ipotesi in cui in una sentenza vengano trattate questioni relative alla salute di una parte coinvolta.

Benché tale ipotesi non rientri strettamente tra le eccezioni previste dall’art. 52, comma 5, DLgs n. 196 del 30/6/2003 (atti di violenza sessuale, situazioni che coinvolgono minori, questioni relative a rapporti di famiglia o allo stato delle persone), è evidente che la diffusione della sentenza o del provvedimento potrebbe ledere i diritti o la dignità dell’interessato.

Al riguardo, la Corte di Cassazione, con sentenza n. 10512 del 20/5/2015, focalizza l’attenzione sul punto di equilibrio esistente

  • tra l’esigenza di «pubblicazione dei provvedimenti giurisdizionali, a scopo di informativa giuridica»,
  • e i diritti di «rilevanza costituzionale» dell’individuo.

Ad esito di tale valutazione, la Corte di Cassazione, nella sentenza menzionata dichiara «illecita la diffusione delle generalità del ricorrente, con riferimento ad un provvedimento giurisdizionale, ove si indicava il suo stato di salute e le sue invalidità».

A sommesso avviso dello scrivente, per quanto sia apprezzabile il ragionamento della Suprema Corte nel caso riportato, è pur vero che la parte coinvolta in un procedimento giudiziario ha comunque la facoltà e l’onere di presentare l’istanza ex art. 52, comma 1, DLgs n. 196 del 30/6/2003.

Se detta istanza non viene presentata tempestivamente, dovrebbe presumersi che la parte coinvolta non abbia interesse all’anonimizzazione della sentenza o del provvedimento.

Conseguentemente, la misura di anonimizzazione d’iniziativa dell’Autorità Giudiziaria dovrebbe essere intesa come un presidio di carattere sussidiario in presenza di casi particolari.

Del resto, come afferma l’Autorità Garante per la Protezione dei Dati Personali (cfr nota n. 3506270 del 3/11/2014):

«La sentenza è pubblica: in primo luogo perché è emessa nel nome del popolo; come nel nome del popolo – recita l ́art. 101 Cost.- è amministrata la giustizia. Ed è pubblica perché conclude un processo la cui “pubblicità” si è storicamente affermata in funzione di garanzia del cittadino, rispetto alla tradizionale segretezza (e quindi insindacabilità) del potere esercitato con l’istruttoria giudiziale. In un senso diverso, la sentenza (quella di legittimità soprattutto) è pubblica perché afferma dei principi che costituiscono un patrimonio giuridico collettivo, cui ciascuno deve poter attingere».

Competenza e autonomia del responsabile della protezione dei dati

A norma dell’art. 39, comma 1, Regolamento UE 2016/679 (GDPR), il responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO) è incaricato almeno dei seguenti compiti:

«a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la forma- zione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

d) cooperare con l’autorità di controllo;

e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione».

Tenuto conto dei compiti sopra elencati, il responsabile della protezione dei dati dovrà essere una persona:

  • dotata di competenze adeguate allo svolgimento dei compiti stessi,
  • dotata di sufficiente autonomia rispetto al titolare e al responsabile del trattamento dei dati.

Competenze del responsabile della protezione dei dati

A norma dell’art. 37, comma 5, GDPR «Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39».

Quindi, il titolare e il responsabile del trattamento, nel designare il responsabile della protezione dei dati, dovranno sincerarsi che la persona prescelta abbia dette «qualità professionali».

Tali qualità vanno valutate in considerazione della «specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai […] alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo» (cit. Tribunale Amministrativo Regionale per il Friuli-Venezia Giulia, sentenza n. 287/2018, pubblicata in data 13/9/2018).

Pertanto, il profilo professionale da ricercare «non può che qualificarsi come eminentemente giuridico» (cfr sempre Tribunale Amministrativo Regionale per il Friuli-Venezia Giulia, sentenza n. 287/2018, pubblicata in data 13/9/2018).

Autonomia del responsabile della protezione dei dati

A norma dell’art. 37, comma 6, GDPR, il responsabile della protezione dei dati può essere

  • sia «un dipendente del titolare del trattamento o del responsabile del trattamento»,
  • sia un terzo che assolve «i suoi compiti in base a un contratto di servizi».

Tuttavia, in molti casi, tale alternativa sembra essere solo ipotetica, poiché i compiti che deve assolvere il responsabile della protezione dei dati presuppongono un’ampia autonomia di quest’ultimo, autonomia difficilmente conciliabile con il vincolo di subordinazione tipico del lavoro dipendente.

A riguardo, v’è anche da sottolineare che l’art. 38, comma 3, GDPR, precisa quanto segue:

  • «Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti»;
  • «Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti».

Un esempio pratico per trattare i dati personali in modo trasparente

Di seguito si vedrà come gestire i documenti informatici archiviati nel cloud con la massima trasparenza nei confronti del soggetto interessato al trattamento.

Creare delle cartelle

All’interno del proprio spazio web (c.d. cloud) verranno create più cartelle (nell’esempio si tratta di Google Drive, ma molti altri gestori forniscono servizi con caratteristiche analoghe).

 

 

Con un doppio click sulla singola cartella (nell’esempio sotto riportato, la cartella “Tizio”) sarà possibile :

  • visualizzare e gestire i documenti ivi contenuti;
  • verificare e gestire la condivisione della cartella stessa.

Condividere le cartelle

Una volta entrati nella cartella, apparirà la seguente schermata:

 

 

Poi, cliccando sul pulsante indicato nella foto che precede, apparirà la seguente schermata:

 

 

Attraverso questo form sarà possibile (tra l’altro):

  • condividere con altre persone il contenuto della cartella;
  • attribuire ad ogni persona le credenziali opportune, a seconda del caso e del ruolo che la persona assumerà nel trattamento dei dati personali.

Quindi, ogni cartella potrà essere condivisa:

  1. con l’interessato al trattamento dei dati personali;
  2. con uno o più collaboratori;
  3. con altri soggetti.

Precisare le finalità del trattamento dei dati personali

Prima di iniziare ad utilizzare la cartella creata, si suggerisce, in conformità a quanto previsto dal Regolamento UE 2016/679 (GDPR), di precisare le finalità del trattamento dei dati personali.

Il software messo a disposizione dal cloud utilizzato nell’esempio permette di specificare dette finalità in un apposito spazio, ben visibile da tutte le persone che avranno l’accesso alla cartella.

 

 

Registro del trattamento dei dati personali

Bisogna anche precisare che, dal momento in cui la cartella viene creata, il software messo a disposizione dal cloud utilizzato nell’esempio, terrà traccia, cronologicamente, di tutte le modifiche e di chi le ha apportate.

Attraverso la scheda “Dettagli” riportata più sotto sarà possibile controllare sempre i dettagli della cartella:

  • chi è il proprietario;
  • con chi viene condivisa;
  • ecc.

 

 

Invece, attraverso la scheda “Attività” riportata più sotto sarà possibile controllare

  • ogni operazione effettuata all’interno della cartella (aggiunta e cancellazione files, modifiche, ecc.);
  • chi ha compiuto dette operazioni;
  • quando le ha compiute.

 

GDPR Compliance

Con il sistema illustrato sarà possibile trattare i dati personali in conformità a quanto prescritto dal GDPR, in quanto:

  • allo stato dell’arte, il cloud costituisce uno strumento sufficientemente sicuro (vedi “GDPR: come archiviare i documenti informatici in modo sicuro?“);
  • le finalità del trattamento dei dati personali vengono palesate prima ancora di iniziare il trattamento stesso;
  • l’interessato al trattamento dei dati personali, munito delle credenziali di accesso alla cartella contenente i dati al medesimo riferibili, potrà costantemente monitorarli e controllare se detti dati sono coerenti alle finalità del trattamento;
  • il software messo da disposizione dal cloud, tenendo traccia cronologica di ogni modifica apportata, potrà essere utile ai fini della tenuta del registro dei trattamenti.

Ovviamente, il sistema illustrato non garantisce la completa conformità del trattamento se non si usano anche altre accortezze, quali, ad esempio:

  • l’utilizzo di passwords “solide”;
  • la corretta scelta di applicazioni sicure per la gestione del cloud;
  • l’aggiornamento delle stesse applicazioni;
  • ecc.

 

GDPR: come archiviare i documenti informatici in modo sicuro?

L’art. 32, Regolamento UE 2016/679 (GDPR), dispone quanto segue:

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]”.

Considerato che, in concreto, non sono definite tali misure di sicurezza, è necessario domandarsi quale sia il modo più sicuro per archiviare i documenti informatici.

Possesso del supporto e possesso dei files

Spesso si pensa che avere il possesso del supporto materiale sul quale sono salvati i documenti informatici sia la soluzione più sicura.

Ciò potrebbe essere vero se il supporto materiale non fosse connesso (mai) al web, direttamente (un pc, uno smartphone, ecc.) o indirettamente (una c.d. penna usb, un hard-disk esterno, ecc.).

Tuttavia, oggi è pressoché impensabile usare un dispositivo informatico soltanto offline.

Quindi, la sicurezza dei dati archiviati sul dispositivo informatico è affidata esclusivamente alla “tenuta” del software ivi installato.

Laddove tale software presentasse delle vulnerabilità, o semplicemente non fosse aggiornato, un malintenzionato potrebbe facilmente appropriarsi dei dati presenti sul dispositivo informatico.

Il proprietario del dispositivo informatico, in tal caso, pur rimanendo in possesso del dispositivo stesso, verrebbe spogliato del contenuto senza neppure accorgersi dell’intrusione da parte di terzi.

In casa o in banca?

Le considerazioni svolte più sopra devono indurre a valutare soluzioni alternative, tenendo conto che custodire dei documenti informatici è come custodire denaro o preziosi: è meglio nasconderli in casa sotto il materasso o depositarli in banca in una cassetta di sicurezza?

Fuor di metafora, la soluzione alternativa attualmente più sicura per archiviare documenti informatici sembrerebbe quella di affidarne la custodia a chi è esperto di sicurezza informatica e detiene i mezzi per contrastare efficacemente gli accessi non autorizzati.

La soluzione di cui si parla è quella che comunemente viene definita come cloud.

Il “cloud”

Si tratta di uno “spazio” localizzato su un computer (configurato come server) messo a disposizione da imprese specializzate.

Su questo spazio è possibile trasferire e archiviare i propri documenti informatici, accedendo telematicamente tramite delle credenziali.

Considerato che i dati sono trasferiti e archiviati in modo sicuro, perché criptati (naturalmente ci si riferisce ai servizi resi dai “big” del settore), il proprietario dei documenti dovrà principalmente preoccuparsi

  1. di utilizzare delle password “solide”;
  2. di modificare le password con una certa frequenza;
  3. di scegliere con prudenza le applicazioni che avranno accesso al cloud;
  4. di curarsi di aggiornare tempestivamente dette applicazioni.

Al resto, ci penserà il gestore del cloud.

Consenso al trattamento dei dati personali da parte di un minore – art. 8 GDPR

Il minore ha la capacità di esprimere il consenso al trattamento dei dati personali?

L’art. 8, Regolamento UE 2016/679 (GDPR), fissa la seguente regola:

  • se il minore ha meno di 16 anni, il consenso può essere prestato o autorizzato dal titolare della responsabilità genitoriale,
  • se il minore ha più di 16 anni, il consenso può essere prestato dal minore stesso.

Tale norma, però, ha una portata circoscritta, in quanto

  • non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore” (v. art. 8, ultimo comma GDPR);
  • riguarda l’ipotesi di “offerta diretta di servizi della società dell’informazione ai minori” (si tratta di servizi prestati “normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi”; v. art. 2 del DLgs 70/2003 e art. 1, comma1, lettera b, della Legge 317/1986).

Il titolare del trattamento dei dati personali, dovrà adoperarsi “in ogni modo ragionevole […] in considerazione delle tecnologie disponibili” per verificare che il consenso sia stato prestato o autorizzato

  • o da un minore che abbia compiuto 16 anni,
  • oppure dal titolare della responsabilità genitoriale sul minore.

Qualora il titolare del trattamento dei dati personali non si sia adoperato in tal senso (o non abbia la possibilità di provarlo), potrà incorrere

  • sia in una responsabilità civile, ai sensi dell’art. 82, GDPR;
  • sia in una responsabilità amministrativa, ai sensi dell’art. 83, comma 4, lettera a, GDPR, che prevede “sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”.

Trattamento dei dati personali

Il “trattamento dei dati personali” è regolato da una rigorosa e complessa normativa, il Regolamento UE 2016/679 (GDPR).

Ci sono almeno tre fondamentali motivi in forza dei quali “vale la pena” (visti gli oneri economici e burocratici) uniformare la propria attività a detto Regolamento:

  • la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale (Considerando n. 1, GDPR);
  • una imprudente gestione dei dati personali potrebbe facilmente arrecare danni gravi e irreparabili al titolare di tale diritto;
  • le responsabilità, in caso di violazione del diritto in questione, sono decisamente importanti (oltre alla responsabilità civile, l’art. 84 del GDPR prevede sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore).

Senza alcuna pretesa di esaustività, al fine di inquadrare in modo semplice il contesto in cui opera il Regolamento citato si risponde in modo sintetico a 4 domande.

Cosa si intende per “trattamento dei dati personali”?

Prima di rispondere a tale domanda è bene precisare che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (art. 4, comma 1, numero 1, GDPR).

In particolare “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (v. sempre art. 4, comma 1, numero 1, GDPR).

La persona in tal modo identificabile è definita dal GDPR con il termine “interessato”.

Ciò detto, per “trattamento dei dati personali” si intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Quando il trattamento dei dati personali è consentito?

Il trattamento dei dati personali è consentito (art. 6 GDPR):

  • quando è autorizzato dall’interessato;
  • quando è autorizzato dalla legge.

Nel secondo caso può farsi rientrare anche l’ipotesi del trattamento dei dati personali effettuato “da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico” (in questa ipotesi, forse è più corretto parlare di trattamento libero, anziché di trattamento autorizzato).

Quando il trattamento dei dati personali è lecito?

Non è sufficiente che il trattamento dei dati personali sia consentito (autorizzato dall’interessato, permesso/autorizzato dalla legge), ma è necessario che sia effettuato entro determinati limiti e ispirato a determinati principi (cfr art. 5, GDPR).

Cosa si rischia in caso di trattamento dei dati personali illecito?

Un trattamento dei dati personali illecito può comportare delle rilevanti responsabilità in capo a chi ha violato le prescrizioni del GDPR:

  • illecito civile (il responsabile è tenuto al risarcimento integrale dei danni arrecati);
  • illecito amministrativo (il responsabile è tenuto al pagamento di sanzioni pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore).