L’Autorità Garante, in un recente provvedimento, ha ammonito una agenzia di investigazione privata per violazione del principio di minimizzazione dei dati personali trattati nello svolgimento di investigazioni difensive.
Diversi soggetti, in particolare gli avvocati e i praticanti avvocati iscritti nei relativi albi e registri e chi esercita un’attività di investigazione privata autorizzata in conformità alla legge, utilizzano dati personali per svolgere investigazioni difensive collegate a un procedimento penale (l. 7 dicembre 2000, n. 397) o, comunque, per far valere o difendere un diritto in sede giudiziaria.
L’utilizzo di questi dati è imprescindibile per garantire una tutela piena ed effettiva dei diritti, con particolare riguardo al diritto di difesa e al diritto alla prova; un’efficace tutela di questi due diritti non è pregiudicata, ed è anzi rafforzata, dal principio secondo cui il trattamento dei dati personali deve rispettare i diritti, le libertà fondamentali e la dignità delle persone interessate, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali.
Accanto ai provvedimenti attuativi vigenti che prevedono già garanzie e accorgimenti da osservare per la protezione dei dati personali utilizzati per far valere un diritto in sede giudiziaria o per svolgere investigazioni difensive, l’Autorità Garante ha disposto una serie di regole raccolte nel “Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere le investigazioni difensive”.
Nell’ambito delle attività di investigazione privata le regole dettate dalla normativa vigente stabiliscono che:
- Contenuto e forma del mandato: l’investigatore privato non possa di sua iniziativa effettuare delle investigazioni senza avere ricevuto mandato in forma scritta, che deve far riferimento al diritto che si vuole esercitare oppure al procedimento penale a cui l’investigazione si riferisce;
- Limite allo svolgimento dell’incarico: l’investigazione possa essere eseguita solo dal soggetto incaricato;
- Informativa sul trattamento dei dati personali: l’informativa sul trattamento dei dati agli interessati possa essere fornita anche in forma orale, ed eventualmente omessa, per i dati raccolti presso terzi qualora gli stessi siano trattati per far valere o difendere un diritto in sede giudiziaria o per svolgere investigazioni difensive, tenendo presente che non sono raccolti presso l’interessato i dati provenienti da un rilevamento lecito a distanza, soprattutto quando non sia tale da interagire direttamente con l’interessato;
- Limitazione del trattamento dei dati: il trattamento dei dati debba cessare immediatamente dopo la fine dell’investigazione e la segretezza dei dati mantenuta anche in caso di fine mandato o rinuncia;
- Base di legittimità del trattamento di dati particolari: il consenso dell’interessato, che non va richiesto per adempiere a obblighi di legge, non occorra altresì, per i dati anche di natura sensibile, oggi “dati particolari”, utilizzati per perseguire finalità di difesa di un diritto anche mediante investigazioni difensive.
In tema di trattamento di “dati particolari”, l’Autorità Garante, in un recente provvedimento, ha ammonito una agenzia di investigazione privata che, incaricata di verificare la correttezza della condotta di una lavoratrice in merito alla fruizione di permessi retribuiti giustificati dalle condizioni di salute della madre, ha riportato, nel rapporto investigativo, l’indicazione della specifica malattia di cui presumibilmente quest’ultima era affetta
La vicenda è stata portata all’attenzione del Garante con un reclamo presentato dall’interessata nel quale si richiedeva all’Autorità di assumere provvedimenti nei confronti dell’agenzia investigativa a seguito di un trattamento di dati personali relativi allo stato di salute, non conforme alla disciplina rilevante in materia di protezione dei dati personali.
In particolare il Garante pur riconoscendo la legittimità della raccolta di informazioni relative allo stato di salute della reclamante, ritenendole conferenti all’oggetto del mandato (art. 9, par. 2, lett. f), del GDPR), che comportava tra gli altri la necessità di accertare che i permessi fossero effettivamente finalizzati all’assistenza della madre, ha ritenuto eccedente e non rilevante, ai fini dell’espletamento degli accertamenti commissionati e oggetto dell’incarico investigativo, l’indicazione nella relazione investigativa della specifica patologia di cui era presumibilmente affetta la madre della reclamante.
Il Garante, verificate le argomentazioni dell’Agenzia investigativa, ha ritenuto violato il principio di minimizzazione contenuto nel GDPR, secondo cui i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
Sulla base dei criteri indicati dall’art. 83 del GDPR, considerando che la condotta aveva esaurito i suoi effetti, che il trattamento di dati personali relativi allo stato di salute era legittimo ancorché eccedente, che il numero di interessati al trattamento era limitato ad uno, che non risultavano eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento, né elementi tali da fare ritenere il carattere doloso della condotta dell’agente, l’Autorità Garante ha ritenuto che nel caso di specie non ricorressero i presupposti per infliggere una sanzione amministrativa pecuniaria.
Nel provvedimento in esame l’Autorità Garante ha altresì ribadito che l’attività di investigazione privata, autorizzata con licenza prefettizia (art. 134 del regio decreto 18 giugno 1931, n. 773, e successive modificazioni e integrazioni) è, di per sé, lecita, ma deve essere esercitata nel rispetto delle norme che la disciplinano e delle disposizioni in materia di protezione dei dati personali.