Il Ministero della giustizia ha richiesto, ed ottenuto in senso favorevole, il parere del Garante sullo schema di regolamento recante l’individuazione dei trattamenti di dati personali relativi a condanne penali e reati e delle relative garanzie.
L’art. 2-octies, comma 2, del Codice Privacy (D. Lgs. n. 196/2003) stabilisce che i casi in cui il trattamento dei dati di cui all’articolo 10 del Regolamento UE 679/2016, che non sia già ammesso da norme di legge o regolamento e che non avvenga sotto il controllo dell’autorità pubblica, siano legittimati da apposito decreto del Ministro della giustizia.
Il parere favorevole è stato reso su di un testo che ha recepito gran parte delle indicazioni fornite dall’Autorità nel corso di diverse interlocuzioni con il Ministero: all’interno sono state rafforzate significativamente le tutele previste per gli interessati, nonché definite garanzie minime nei principali settori nei quali possono essere trattati i suddetti dati giudiziari. In particolare, tra questi, rientrano l’ambito forense, il mondo del lavoro, la verifica dei requisiti di onorabilità, solidità e affidabilità di soggetti privati, l’ambito assicurativo, delle professioni intellettuali, della ricerca storica e statistica, nonché, specialmente per quanto attiene i trattamenti svolti da soggetti no-profit, quello della mediazione e conciliazione delle controversie civili e commerciali. In merito alle garanzie ed ai settori di applicazione, il Garante ha richiesto che le prime siano utilizzate come parametro di riferimento minimo anche per i trattamenti effettuati in ambito pubblico sulla base di previsioni normative diverse.
Degna di nota è l’estensione dell’applicazione del regolamento anche ai dati relativi alle misure di prevenzione, quali le misure per gli indiziati di appartenenza ad associazione di tipo mafioso, così come la prescrizione del rispetto, da parte di tutti i titolari del trattamento, dei principi di proporzionalità e di minimizzazione previsti dal Regolamento UE 679/2016, dovendo trattare esclusivamente dati indispensabili per il tempo strettamente necessario rispetto alle finalità perseguite. Viene, inoltre, stabilito che, nel trattare i dati, debba essere verificata l’affidabilità delle fonti e vengano adottate specifiche garanzie al fine di assicurare l’esattezza dei dati trattati, da mantenere aggiornati sulla base dell’evoluzione della posizione giudiziaria dell’interessato. Ancora, l’Autorità richiede che venga prestata particolare attenzione ai dati giudiziari raccolti da fonti aperte in caso di trattamenti svolti al fine di verificare la solidità, la solvibilità e l’affidabilità nei pagamenti: in tali casi, si sottolinea, le fonti legittime di raccolta dovrebbero essere esclusivamente individuate nei siti internet istituzionali e in quelli di ordini professionali e di associazioni di categoria.
Il Garante ha, infine, sottolineato che, nella maggior parte dei casi, il consenso dell’interessato non può essere considerato un’idonea base giuridica legittimante il trattamento dei dati giudiziari, in particolare per quanto attiene la gestione del rapporto di lavoro: in tale fattispecie, il dipendente si trova in una posizione di disparità nei confronti del proprio datore di lavoro e, pertanto, non è garantita la libera espressione del consenso.