IL TRATTAMENTO DEI "DATI PERSONALI DI REATO”

APPUNTI E SPUNTI PER MIGLIORARE LE PRATICHE DI SICUREZZA URBANA PARTECIPATA ANCHE ALLA LUCE DELLE RECENTI LINEE GUIDA N. 3/2019 (EDPB EX ART. 68 GDPR).

 

L'insostenibile trascuratezza dell'essere un dato personale di reato

Chi scrive ha da tempo evidenziato il fatto che, ad oggi, permane una sorta di apparentemente inconsapevole e colpevole disinteresse (e trascuratezza) dottrinale che si pone nel solco di una certa “frettolosità” nell'interpretare la normativa di riferimento con riguardo ad un tema che, invece, meriterebbe grande attenzione tecnica, scientifica ed istituzionale.

 

Il tema è quello del trattamento dei “dati di reato” relativi alle persone fisiche quando e se non immediatamente (si potrebbe dire “d'acchito”) rientranti nell'ambito di applicazione della Direttiva UE 2016/680 recepita in Italia dal Dlgs n. 51/2016 poiché, ad esempio, non riferibili a dati personali di un individuo contenuti in una sentenza penale di condanna quale ipotesi di trattamento pacificamente riferibile all'ambito applicativo (soggettivo e materiale) della normativa nazionale d'attuazione della succitata Direttiva.

 

I “dati personali di reato” e la “coperta normativa verosimilmente corta

Usando il linguaggio semplice e colloquiale che viene sollecitato dalla normativa europea sul trattamento dei dati personali, la questione critica si potrebbe introdurre ai non “addetti ai lavori” nel seguente modo: se è facile comprendere che chi ruba, o tenta di rubare, compie un fatto umano previsto dalla legge penale come reato, le cose si complicano molto qualora ci si trovi a trattare i dati personali dell'autore del furto, o di chi è sospettato essere tale, al di fuori della classica ipotesi della denuncia alle forze di polizia da parte della vittima (o da chi abbia assistito direttamente alla commissione del delitto).

 

Lo stesso potrebbe dirsi anche per il fatto umano di chi, sempre ad esempio, sferri un pugno provocando delle lesioni ad altri, o rischi di provocarle, ovvero di colui che danneggi la proprietà altrui. In tutte queste ipotesi il trattamento di dati personali che consentono l'identificazione di chi ha rotto il naso ad un individuo, o ha danneggiato la proprietà di altri, vi è da considerare un tipo di trattamento di dati delicato e speciale, poiché in grado di ripercuotersi in negativo, gravemente e a lungo, sulla persona fisica a cui quei dati personali (afferenti a simili gravi fatti umani) si riferiscono.

 

Gli aspetti critici che nascono da queste ipotesi, almeno dall'angolo visuale del possibile trattamento dei dati personali che le stesse comportano, sono molti ed importanti soprattutto in ragione delle sempre più diffuse pratiche di sicurezza urbana partecipata (c.d. controllo del vicinato o, in sigla, CDV) che vedono impegnati moltissimi cittadini insieme alle forze dell'ordine nell'incrementare la vigilanza preventiva mediante la formula, di matrice anglosassone, nota come “neighbourhood-watch”.

 

Un'importante convegno regionale: la questione è stata pubblicamente posta

La trascuratezza che è dato riscontrare rispetto a questo tema è stata di recente ri-sottolineata nel corso di un importante convegno pubblico tenutosi a Milano, il 25/06/2019, presso le strutture della Regione Lombardia, ove autorevoli esponenti delle istituzioni lombarde hanno parlato (in generale) delle pratiche del controllo del vicinato e dove, peraltro, lo Scrivente, in qualità di relatore circa l'argomento “principale” ivi discusso (“Il trattamento dati personali nelle pratiche della sicurezza urbana partecipata”), ha riproposto e spiegato alcuni profili giuridici della detta questione, con un'occhio di particolare riguardo a ciò che potremmo definire (non impropriamente) attinente al sempre più diffuso trattamento “atipico dei dati personali di reato”.

 

Come dovrebbe essere noto (agli “addetti ai lavori”) tale tipo di trattamento di dati, sebbene non rientrante tra le categorie dei c.d. “dati particolari” ex art. 9 del GDPR (reg. UE 2016/679), è disciplinato e protetto da una serie di cautele e limiti che non si ritrovano solo nell'art. 10 del medesimo Regolamento, bensì, anche, nella citata Direttiva 2016/680, nelle normative nazionali di recepimento della stessa e pure in quelle regolamentari di specificazione delle legislazioni adottate da ogni singolo Stato membro dell'Unione.

 

Questo per sottolineare che, senza dubbio, anche i fatti umani costituenti reato possono costituire (delicati) dati personali riferibili a persone fisiche e, come tali, rappresentare di riflesso (ossia, quali beni giuridici di secondo grado) una parte significativa di quel diritto fondamentale di protezione dell'uomo previsto dall'art. 8 della Carta dei Diritti Fondamentale dell'Unione Europea (nota anche come Carta di Nizza).

 

L'aspetto centrale della questione afferente a tale tipo di trattamento è, dunque, quello di capire non solo quando ci si trovi ad avere a che fare con un “dato di reato” ma anche quale normativa (primaria e secondaria) applicare esattamente per il corretto trattamento di tale tipologia di dato in determinate fattispecie concrete e che non siano quelle "tipiche" degli operatori di polizia istituzionali o professionali di chi, ad esempio, lavora o svolge una funzione di carattere giuridico (un avvocato, un investigatore munito di licenzia prefettizia, un magistrato).

 

Punto nevralgico e SOLUZIONE offerta: un uovo di Colombo, per chi lo vorrà vedere

Le questioni che si dovrebbero affrontare rispetto al tema in discussione sono molte. 

 

Un punto nevralgico (e specifico) delle moderne pratiche di c.d. “neighbourhood-watch” va, però, toccato subito per mettere in chiaro, e auspicabilmente (quota parte) risolvere, una criticità che, da tempo, accompagna il metodo applicativo di tale formula: l'uso della messaggistica istantanea privata (in concreto e spesso, “WhatsApp”) anche per appostare dati personali e dati personali di reato (ad es. filmati o fotografie di particolari condotte criminali, etc.).

 

La criticità è piuttosto semplice da comprendere e, a risalente ripetuto parere di chi scrive, facilmente "risolvibile" (tranne, ovviamente, nel caso in cui non ci si voglia rendere conto dell'esistenza “dell'uovo di Colombo” e si intendano, invece, propinare altre “soluzioni” poiché ritenute più appaganti, ovvero maggiormente in linea con un certo pensiero politico o, infine, perché confacenti ad una risalente metodologia di chi, senza averne titolo, si è speculativamente arrogato il diritto di essere tra i pochi eletti a poter spiegare agli altri come si dovrebbe praticare la sicurezza urbana partecipata, magari previo apposito corso a pagamento: sic!).

 

Orbene, senza pretesa di approfondire qui l'intero argomento rispetto ad ogni possibile prospettiva dello stesso, basti per ora dire che l'art. 10 del GDPR stabilisce che <<Il trattamento dei dati personali relativi alle condanne penali E AI REATI o a connesse misure di sicurezza sulla base dell'articolo 6, paragrafo 1 [id est: le basi legittimanti il trattamento], deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati>>.

 

Tale norma del GDPR è abbastanza chiara, almeno con riguardo alle prescrizioni che la stessa pone rispetto al come si possono trattare i dati personali di reato, ossia: A) o sotto il controllo dell'autorità pubblica; B) ovvero perché esiste una norma che autorizzi a farlo e che indichi bene il modo in cui proteggere i dati.

 

E' evidente (soprattutto per chi abbia una qualche embrionale cognizione in materia di trattamento dei dati personali) che un gruppo organizzato di persone che pratica il “neighbourhood-watch” per le finalità allo stesso sottese non potrebbe lecitamente utilizzare “WhatsApp” (nemmeno) per trasmettere dati personali di reato.

 

Anche le recenti Linee Guida sulla Videosorveglianza (video-audio ripresa), rese note dal 12/07/2019 per come elaborate dal Comitato Europeo per la Protezione dei Dati (di cui sotto), sono state chiare nell'indicare che, un conto è lecitamente trasmettere il filmato di un soggetto riconoscibile ripreso nel mentre commette un reato alle forze dell'Ordine o al proprio avvocato, altra cosa, illecita, è appostare il medesimo filmato in rete, ovvero diffonderlo tra privati cittadini (poiché, come si suol dire, in tale ultimo caso, il "balance test" da effettuare tra diritti contrastanti e libertà individuali contrapposte, prevarrebbe a favore  della protezione dei dati).  

 

Va da sé, pertanto, che in assenza di una norma specifica ad hoc, l'attuale soluzione praticabile sarebbe quella di realizzare una applicazione di MESSAGGISTICA ISTANTANEA apposita (simile ma ben distinta/separata da quelle delle grandi società informatiche) e DA PORRE SOTTO IL CONTROLLO DELLE FORZE DELL'ORDINE locale che, peraltro, nella stragrande maggioranza dei casi, senza dubbio ove esistono gruppi di controllo del vicinato, è già parte attiva degli stessi se non anche dello loro formazione.

  

Ma detto in estrema sintesi questo, e pure a voler sottolineare che, almeno a parere di chi scrive, sussiste (come minimo) il legittimo fondamento da (saper giuridicamente) porre a base delle pratiche di sicurezza urbana partecipata, occorre tornare alla questione più generale.

 

Lo scenario di possibile discussione è vasto e complesso

Se, come accennato, nella previgente normativa domestica sussisteva una maggiore specificità lessicale e i riferimenti normativi avevano una più definita delimitazione applicativa (se non altro terminologica) con riferimento particolare al concetto di dato giudiziario e ambito di polizia, oggi, certamente, non è più così o, almeno, non è più sostenibile che lo sia ancora.

 

In buona sostanza (ed in via di regola generale) se sino al 2016 si poteva ancora sostenere (non sempre a ragione) che il dato personale afferente ai reati era esclusivamente quello c.d. “giudiziario” e l'ambito di trattamento era solo quello riservato alle forze dell'ordine per l'attuazione delle finalità (dirette o indirette) di polizia, attualmente tale tesi interpretativa non è più "predicabile" sia sotto il profilo normativo, sia avuto riguardo al modo pratico in cui i dati di reato sono (sempre più) utilizzati anche da parte di chi non è tout court autorità pubblica o autorità competente (e nemmeno un qualificato professionista, o un giurista iscritto in un albo professionale).

 

Vediamo alcuni dei molti spunti normativa che si potrebbero analizzare al suddetto proposito.

 

L'art. 4 del Dlgs 196/2003, ante novella 2018, ad esempio, alla sua lettera «e) indicava quali “dati giudiziari”, quei dati personali idonei a rivelare provvedimenti di cui all’art. 3, co. 1, lett. da a) ad o) e da r) a u), del DPR n. 313/2002, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli artt 60 e 61 del cpp» e, all'art. 22, forniva i «principi applicabili al trattamento di dati sensibili e giudiziari>> ivi specificando che <<i soggetti pubblici conformano il trattamento dei dati sensibili e giudiziari».

 

Il non ancora effettivamente abrogato DPR n. 15/2018 (G.U. n. 61 14-03-2018) in materia di «//trattamento dei dati effettuato per le finalità di polizia, da organi, uffici e comandi di polizia» era/è molto esplicito nell'individuare il proprio ambito applicativo soggettivo.

 

Così come l'autorizzazione generale n. 7/2016 (15/12/2016 n. 5803630) che, invero, si riferiva e si riferisce, esplicitamente, al trattamento dei dati giudiziari (sebbene) da parte di privati, enti pubblici economici e soggetti pubblici, parla espressamente di <<dati giudiziari>>.

 

Oggi i "confini normativi" apparentemente previgenti ci sono ancora?

Oggi, alla luce del GDPR e della Direttiva UE 2016/680, tale delimitazione terminologica ed applicativa si assottiglia moltissimo sino a “quasi” scomparire del tutto.

 

Il considerando n. 91 e l'art. 10 del GDPR confermano, ad esempio, che (a certe condizioni) i dati afferenti ai dati di reato possono essere trattati anche da chi non è autorità pubblica.

  

L'art. 1, par. 1 della Direttiva 2016/680 parla di «reati o esecuzioni di sanzioni penali» così rafforzando il significato “umanistico” e materiale da attribuire al concetto di dato di reato, rendendolo del tutto indipendente, in termini di riferimento applicativo della normativa, da un accertamento giurisdizionale da parte di un organo o ente istituzionale (ivi, invero, specificando "reati "o" sanzioni").

  

Il considerando n. 12 della detta Direttiva si riferisce alle attività di polizia e delle altre autorità preposte anche qualora non vi sia previa conoscenza della rilevanza penale di un fatto e «ad altre autorità incaricate dell'applicazione della legge» a prevenzione e tutela degli interessi della società tanto da, quindi, ulteriormente scollegare il detto concetto di dato di reato sia dall'accertamento giudiziale (anzi, addirittura, dalla previa conoscenza della rilevanza penalistica dello stesso), sia da quelle autorità istituzionali che, a vari livelli, possono contribuire ad accertarlo.

 

Il considerando n. 13 della Direttiva si riferisce al reato quale «concetto autonomo» del diritto dell'unione europea e, oltretutto, sia gli artt. 6 e 7 della stessa, che l'art. 4 del Dlgs 51/2018, pongono la eloquente distinzione tra categorie di interessati al trattamento di dati di reato (rei; potenziali rei; vittime; persone informate) e tra dati afferenti a reati fondati su fatti e dati basati su valutazioni personali ivi ponendo un obbligo di distinzione tra gli uni e gli altri.

 

Ed ancora, l'art. 3, parag. 7, lett. b, della citata Direttiva, nonché l'art. 2, parag. 1, lett g 2 del Dlgs n. 51/2018, si riferiscono alle “autorità competenti” anche nei seguenti significativi termini: «qualsiasi altro organismo o entità incaricato dagli ordinamenti interni di esercitare l'autorità pubblica e i poteri pubblici a fini di prevenzione, indagini, accertamento e perseguimento di reati//» con ciò, pertanto, erodendo definitivamente "l'egemonia" nel possibile trattamento di “dati di reato” che si poteva in tale materia attribuire alle (sole) forze di polizia o autorità pubbliche intese in senso meramente istituzionale.

Chi può davvero trattare i dati personali di reato? Quando? Come?

E detto questo, a tal punto, occorre una sintesi esemplificativa che ci dovrebbe permettere di ancor meglio centrare l'argomento in parola e le (risolvibili) delicate, sempre più estese e trascurate criticità che lo stesso porta con sé.

  

Invero, se rimane indubbio che le forze dell'ordine italiane oggi applicano il menzionato Dlgs n. 51/2018 nel mentre eseguono, ad esempio, l'identificazione o l'arresto di una persona per porre in esecuzione un ordine giudiziario relativo alla commissione di un reato, abbiamo visto che esiste un ampio (sempre più vasto, in realtà) ambito di trattamento “atipico” di “dati di reato” (nel senso giuridico-umanistico del termine) che sfugge a tale pacifica ipotesi applicativa e che non costituisce affatto un mero esercizio di teorica scolastica, o di fantasia.

  

E poiché per reato, come accennato, si può e si deve in generale intendere “un fatto umano antigiuridico a cui un ordinamento ricollega una sanzione penale” ecco che, allora, niente esclude che anche chi non fa parte delle forze dell'ordine (o non sia un operatore professionale del diritto o un investigatore) si trovi spesso a poter trattare (comunicare, diffondere, “appostare”) dati di reato concernenti persone fisiche identificate o identificabili.

  

Al riguardo non è possibile sbrigativamente “licenziare” l'argomento sostenendo che il dato di reato consisterebbe solo in quel dato “assistito/caratterizzato” da una sentenza penale di condanna, ovvero che sia tale solo se trattato da parte dell'autorità. Questa visione, recentemente prospettata da alcuni giuristi poco esperti in materia di trattamento dati, è davvero limitata, limitativa e, peraltro, nemmeno corrisponde al contenuto e significato (letterale e comprensibile) della normativa europea che, notoriamente, andrebbe in ogni caso interpretata estensivamente e non in modo restrittivo ovvero, ancor peggio, “miope”.

 

Sovviene pure al proposito il “caso František Ryneš” (richiamato anche dalle menzionate Linee Guida n. 3 del 12/07/2019), ove la Corte di Giustizia UE si è occupata dei dati raccolti da un proprietario di una abitazione che aveva ripreso con il sistema di sorveglianza domestico (CCTV) l’immagine riconoscibile (e, poi, difatti, identificata) di chi gli stava mandando in frantumi alcune finestre. La CGUE ha stabilito che la videosorveglianza con registrazione e conservazione di tali dati personali costituisce trattamento automatico di dati (sentenza C-212/13, František Ryneš v Úřad pro ochranu osobních údajů , 11/12/2014).

 

Ma ciò che occorre chiedersi per quanto riguarda il tema in argomento è se il suddetto trattamento (indubbiamente) di dati costituisca, anche, un “trattamento di dati personali di reato”?

 

A questa domanda si dovrebbe rispondere di sì poiché, a sommesso avviso di chi scrive, un simile caso di trattamento costituisce in primo luogo la video-ripresa di un fatto umano (riconducibile a persone identificabili) antigiuridico contrastato dalla legge penale  a cui il/un legislatore ricollega come conseguenza una pena.

 

Ma si pensi anche al caso in cui un negoziante video-riprenda una persona che, a viso scoperto, sia intenta a scassinargli il negozio prima di fuggire e che, poi, tale filmato, venga trasmesso al proprietario dell'esercizio commerciale adiacente per permettergli di capire se si fosse trattato del medesimo ladro che il mese prima lo aveva derubato ed era stato solo parzialmente immortalato di spalle (anche) dalle telecamere di tale secondo negozio.

  

Si tratta di esempi reali, il cui accadimento concreto è molto meno raro di quello che si potrebbe immaginare. Anzi, oggi, sono fattispecie da considerarsi diffusissime in tutta Europa.

  

Ed alcuni dei molti esempi che si potrebbero fare con riguardo a tali “ipotesi atipiche” di trattamento di “dati di reato” si trovano anche nelle recenti Linee Guida n. 3/2019 elaborate dal Comitato Europeo Per la Protezione dei dati (ex art. 68 del GDPR) riguardanti la “video sorveglianza o video-audio ripresa” e pubblicate in data 12/07/2019.

 

Le nuove linee Guida EDPB n. 3/2019 ci possono aiutare o ispirare?

Si tratta di Linee Guida scritte abbastanza bene e che, tra l'altro, oltre a riprendere alcuni argomenti già resi oggetto del Provvedimento del Garante Italiano 8 aprile 2010, contengono vari spunti sull'argomento, spesso interessanti, altre volte curiosi, altre ancora solo accennati, ma che, in ogni caso, fanno capire come il tema relativo al trattamento “atipico” dei “dati di reato” da parte di chi non è, o non è tout court <<autorità competente>> (ex Dlgs n. 51/2018) o <<autorità pubblica>> (ex art. 10 GDPR), sia sempre più meritevole di attenzione e, soprattutto, necessiti di specifici approfondimenti giuridici ad hoc e, forse, di più esaustive prescrizioni appositamente dedicate ad esso (senza qui voler mettere in discussione i responsabilizzanti principi del "case by case" che caratterizzano tutta la normativa europea in materia di trattamento dati personali).

  

Le dette Linee Guida, ad esempio al paragrafo 4.2, si occupano (in modo apparentemente “frettoloso”) della <<divulgazioni di filmati alle forze dell'ordine>> ivi indicando e spiegando con due esempi solo quanto segue: <<La divulgazione come “trattamento dati” è definita all’articolo 4, paragrafo 2, GDPR, come trasmissione (ad es. comunicazione individuale), diffusione (ad esempio, la pubblicazione online) o la messa a disposizione in altro modo.

 

I terzi sono definiti all’articolo 4, paragrafo 10, GDPR (inoltre, il WP Group 29 ha adottato delle specifiche linee guida al riguardo).

Ad ogni modo, qualsiasi divulgazione di filmati contenenti dati personali deve avere una specifica base giuridica (Articolo 6, paragrafo 4, GDPR).

Esempio:un titolare che desideri caricare una registrazione su Internet deve fare affidamento su una base giuridica per tale trattamento, ad esempio ottenendo il consenso dell’interessato secondo Articolo 6, paragrafo 1, lettera a), GDPR.

La stessa valutazione deve essere effettuata dal destinatario che, in particolare, dovrà identificare la sua base giuridica ai sensi dell'Articolo 6 (ad esempio la ricezione del materiale).

Esempio: il sistema di videosorveglianza posto su una barriera all’ingresso di un parcheggio è stata installata con lo scopo di risolvere eventuali richieste di risarcimento danni. Si verifica un danno e la registrazione viene trasferita ad un avvocato per seguirne il caso. In questo caso la finalità della registrazione è il trasferimento del dato personale contenuto nella registrazione.

Laddove nella medesima situazione, però, la registrazione venisse pubblicata online per puro divertimento, in questo caso la finalità sarebbe diversa e non sarebbe compatibile con la finalità iniziale. Inoltre sarebbe problematico identificare una base giuridica per tale trattamento (pubblicazione) e si potrebbe immaginare il consenso dell’interessato>>.

  

Spiegazioni esemplificative queste, che, tuttavia, sono meri accenni al problema e, quindi, non permettono nemmeno di porsi nell'ottica di cominciare ad affrontare la vera sottesa attuale tematica (e che, anzi, a loro volta, fanno sorgere diversi interrogativi ad esempio relativamente alle indicate pubblicazioni on line basate sul consenso). E ciò parrebbe vero soprattutto se tali “sbrigativi” accenni si volessero utilizzare per interpretare correttamente la normativa di complessivo riferimento, tenendo conto della attuale realtà organizzata per la più parte, almeno nel mondo del neighbourhood-whatc, in via di mero fatto.

  

Realtà in cui, come detto, sono diventati numerosissimi i gruppi di persone che, quotidianamente, praticano la sicurezza urbana partecipata con le forze dell'ordine locali in attuazione di un modello europeo finalizzato alla prevenzione dei reati nei quartieri residenziali (anche) mediante il trattamento “atipico” di quantità sempre più importanti di dati di reato riferibili a persone fisiche: e ciò, va ripetuto, si verifica al di là dei casi già pacificamente soggetti all'applicazione della Direttiva UE 2016/680, ovvero, per meglio dire, delle normative nazionali di recepimento della stessa.

 

A fronte di questo fenomeno (sociale non più trascurabile) occorrerebbe, quindi, una celere, approfondita e condivisa analisi costruttiva (in primo luogo giuridica, prima ancora che sociologica o, persino, "criminologica") di tale realtà europea composta, ad oggi, da milioni di persone che si dedicano volontaristicamente alle necessarie (nobili) pratiche conosciute in Italia con il nome di Controllo del Vicinato

 

Lorenzo Tamos (Avvocato e DPO) 

Milano: appunti tratti da un resoconto formativo di fine luglio 2019