GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERAZIONE 26 giugno 2008 ( G.U. n. 178 del 31/07/2008)
Linee guida in materia di trattamento dei dati personali da parte dei
consulenti tecnici e dei periti ausiliari del giudice e del pubblico
ministero. (Deliberazione n. 46).
Il Garante per la protezione dei dati personali
Nella riunione odierna, in presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del
dott. Giovanni Buttarelli, segretario generale;
Visto il Codice in materia di protezione dei dati personali (d.lg.
30 giugno 2003, n. 196), anche in riferimento all'art. 154, comma 1,
lettera h);
Ritenuta la necessità di provvedere in relazione ai rischi
connessi al trattamento di dati personali effettuato da consulenti
tecnici e periti ausiliari del giudice e del pubblico ministero
nell'ambito di procedimenti in sede civile, penale e amministrativa;
Rilevata l'esigenza di individuare un quadro unitario di misure e
di accorgimenti necessari e opportuni, volti a fornire orientamenti
utili per i professionisti interessati;
Viste le pertinenti disposizioni del codice di procedura civile (in
particolare gli articoli da 61 a 64 e da 191 a 200) e del codice di
procedura penale (in particolare gli articoli da 220 a 232, 359 e
360);
Viste le osservazioni dell'Ufficio, formulate dal segretario
generale ai sensi dell'art. 15 del regolamento del Garante,
n. 1/2000;
Relatore il dott. Giuseppe Chiaravalloti;
Delibera:
1. Di adottare le «Linee guida» contenute nel documento allegato
quale parte integrante della presente deliberazione;
2. Di inviare copia del presente provvedimento al Ministero della
giustizia e al Consiglio superiore della magistratura, per opportuna
conoscenza nonché - per quanto di rispettiva competenza - per
l'adozione di ogni iniziativa ritenuta idonea alla massima diffusione
presso gli uffici giudiziari interessati;
3. Ai sensi dell'art. 143, comma 2, del Codice, di trasmettere al
Ministero della giustizia - Ufficio pubblicazione leggi e decreti
copia del presente provvedimento, unitamente alle menzionate «Linee
guida», per la loro pubblicazione nella Gazzetta Ufficiale della
Repubblica italiana.
Roma, 26 giugno 2008
Il presidente: Pizzetti
Il relatore: Chiaravalloti
Il segretario generale: Buttarelli
Allegato
Linee guida in materia di trattamento di dati personali da parte dei
consulenti tecnici e dei periti ausiliari del giudice e del pubblico
ministero (Deliberazione n. 46 del 26 giugno 2008)
1. Premessa.
1.1 Scopo delle linee guida.
I consulenti tecnici e i periti ausiliari del giudice e del
pubblico ministero coadiuvano e assistono l'autorità giudiziaria
nello svolgimento delle proprie funzioni, quando ciò si rende
necessario per compiere atti o esprimere valutazioni che richiedono
particolari e specifiche competenze tecniche (art. 61 c.p.c.;
articoli 220 e 359 c.p.p.). L'attività svolta dai consulenti tecnici
e dai periti è strettamente connessa e integrata con l'attività
giurisdizionale, di cui mutua i compiti e le finalità istituzionali.
Nell'espletamento delle relative incombenze, il consulente e il
perito di regola vengono a conoscenza e devono custodire, contenuti
nella documentazione consegnata dall'ufficio giudiziario, anche dati
personali di soggetti coinvolti a diverso titolo nelle vicende
giudiziarie (quali le parti di un giudizio civile o le persone
sottoposte a procedimento penale), e possono acquisire altre
informazioni di natura personale nel corso delle operazioni (cfr. ad
esempio, art. 194 c.p.c., richiesta di chiarimenti alle parti e
assunzione di informazioni presso terzi; art. 228, comma 3, c.p.p.,
richiesta di notizie all'imputato, alla persona offesa o ad altre
persone). L'attività dell'ausiliario comporta quindi il trattamento
di diversi dati personali, talvolta di natura sensibile o di
carattere giudiziario (art. 4, comma 1, lettere d) ed e) del Codice),
di uno o più soggetti, persone fisiche o giuridiche.
A tali trattamenti, in quanto direttamente correlati alla
trattazione giudiziaria di affari e di controversie, si applicano le
norme del Codice relative ai trattamenti effettuati presso uffici
giudiziari di ogni ordine e grado «per ragioni di giustizia»
(art. 47, comma 2, del Codice; cfr. Provv. del Garante 31 dicembre
1998, doc. web n. 39608; Provv. 27 marzo 2002, doc. web n. 1063421).
Le presenti linee guida mirano a fornire indicazioni di natura
generale ai professionisti nominati consulenti tecnici e periti
dall'autorità giudiziaria nell'ambito di procedimenti civili, penali
e amministrativi al fine esclusivo di garantire il rispetto dei
principi in materia di protezione dei dati personali ai sensi del
Codice in materia protezione dei dati personali (d.lg. 30 giugno
2003, n. 196).
1.2 Ambito considerato.
Le predette indicazioni non incidono sulle forme processuali che
gli ausiliari devono rispettare nello svolgimento delle attività e
nell'adempimento degli obblighi derivanti dall'incarico e dalle
istruzioni ricevuti dall'autorità giudiziaria, come disciplinati
dalle pertinenti disposizioni codicistiche.
All'interno del paragrafo 6. sono poi formulate alcune
indicazioni applicabili anche ai trattamenti di dati personali
effettuati dai soggetti nominati consulenti tecnici dalle parti
private con riferimento a procedimenti giudiziari (articoli 87, 194,
195 e 201 c.p.c.; articoli 225 e ss., 233 e 360 c.p.p.).
2. Il rispetto dei principi di protezione dei dati personali.
2.1 Considerazioni generali.
La peculiare disciplina posta dal Codice con riguardo ai
trattamenti svolti per ragioni di giustizia (art. 47) rende non
applicabili alcune disposizioni del medesimo Codice relative alle
modalità di esercizio dei diritti da parte dell'interessato
(art. 9), al riscontro da fornire al medesimo (art. 10), ai codici di
deontologia e di buona condotta (art. 12), all'informativa agli
interessati (art. 13), alla cessazione del trattamento (art. 16), al
trattamento svolto da soggetti pubblici (articoli da 18 a 22), alla
notificazione al Garante (articoli 37 e 38, commi da 1 a 5), a
determinati obblighi di comunicazione all'Autorità, alle
autorizzazioni e al trasferimento dei dati all'estero (articoli da 39
a 45), nonché ai ricorsi al Garante (articoli da 145 a 151).
Sono invece pienamente applicabili le altre pertinenti
disposizioni del Codice. In particolare, il trattamento dei dati
effettuato a cura di consulenti tecnici e periti deve avvenire:
nel rispetto dei principi di liceità e che riguardano la
qualità dei dati (art. 1);
adottando le misure di sicurezza idonee a preservare i dati da
alcuni eventi, tra i quali accessi e utilizzazioni indebite
(articoli 31 e ss. e disciplinare tecnico allegato B) al Codice).
2.2 Liceità, finalità, esattezza, pertinenza.
Il consulente e il perito possono trattare lecitamente dati
personali, nei limiti in cui ciò è necessario per il corretto
adempimento dell'incarico ricevuto e solo nell'ambito
dell'accertamento demandato dall'autorità giudiziaria; devono
rispettare, altresì, le disposizioni sulle funzioni istituzionali
della medesima autorità giudiziaria contenute in leggi e
regolamenti, avvalendosi in particolare di informazioni personali e
di modalità di trattamento proporzionate allo scopo perseguito
(art. 11, comma 1, lettera a) e b)), nel rigoroso rispetto delle
istruzioni impartite dall'autorità giudiziaria.
In tale quadro, l'eventuale utilizzo incrociato di dati può
ritenersi consentito se è chiaramente collegato alle indagini
delegate ed è stato autorizzato dalle singole autorità giudiziarie
dinanzi alle quali pendono i procedimenti o, se questi si sono
conclusi, che ebbero a conferire l'incarico o da altra autorità
giudiziaria competente.
Nel pieno rispetto dell'ambito e della natura dell'incarico
ricevuto, il consulente e il perito sono tenuti ad acquisire,
utilizzare e porre a fondamento delle proprie operazioni e
valutazioni informazioni personali che, con riguardo all'oggetto
dell'indagine da svolgere, siano idonee a fornire una
rappresentazione (finanziaria, sanitaria, patrimoniale, relazionale,
ecc.) corretta, completa e corrispondente ai dati di fatto anche
quando vengono espresse valutazioni soggettive di ciascun
interessato, persona fisica o giuridica. Ciò, non solo allo scopo di
fornire un riscontro esauriente in relazione al compito assegnato, ma
anche al fine di evitare che, da un quadro inesatto o comunque
inidoneo di informazioni possa derivare nocumento all'interessato,
anche nell'ottica di una non fedele rappresentazione della sua
identità (art. 11, comma 1, lettera c)).
Particolare attenzione deve essere inoltre posta dal consulente e
dal perito nell'acquisire e utilizzare solo le informazioni che
risultino effettivamente necessarie in riferimento alle specifiche
finalità di accertamento perseguite. In ossequio al principio di
pertinenza nel trattamento dei dati, le relazioni e le informative
fornite al magistrato ed eventualmente alle parti non devono né
riportare dati, specie se di natura sensibile o di carattere
giudiziario o comunque di particolare delicatezza, chiaramente non
pertinenti all'oggetto dell'accertamento peritale, né contenere
ingiustificatamente informazioni personali relative a soggetti
estranei al procedimento (art. il, comma 1, lettera d)).
3. Comunicazione dei dati.
Le informazioni personali acquisite nel corso dell'accertamento
possono essere comunicate alle parti, come rappresentate nel
procedimento (ad esempio, attraverso propri consulenti tecnici), con
le modalità e nel rispetto dei limiti fissati dalla pertinente
normativa posta a tutela della segretezza e riservatezza degli atti
processuali. Fermo l'obbligo per l'ausiliare di mantenere il segreto
sulle operazioni compiute (art. 226 c.p.p.; cfr. anche art. 379-bis
c.p.), eventuali comunicazioni di dati a terzi, ove ritenute
indispensabili in funzione del perseguimento delle finalità
dell'indagine, restano subordinate a quanto eventualmente
direttamente stabilito per legge o, comunque, a preventive e
specifiche autorizzazioni rilasciate dalla competente autorità
giudiziaria.
4. Conservazione e cancellazione dei dati.
In riferimento ai trattamenti di dati svolti per ragioni di
giustizia non è applicabile la disposizione del Codice (art. 16)
relativa alla cessazione del trattamento di dati personali, evenienza
che, nel caso del trattamento effettuato dal consulente e dal perito,
di regola coincide con l'esaurimento dell'incarico.
Trova, peraltro, applicazione anche ai trattamenti di dati
personali effettuati per ragioni di giustizia il dettato
dell'art. 11, comma 1, lettera e), del Codice il quale prevede che i
dati non possono essere conservati per un periodo di tempo superiore
a quello necessario al perseguimento degli scopi per i quali essi
sono stati raccolti e trattati.
Ne consegue che, espletato l'incarico e terminato quindi il
connesso trattamento delle informazioni personali, l'ausiliario deve
consegnare per il deposito agli atti del procedimento non solo la
propria relazione, ma anche la documentazione consegnatagli dal
magistrato e quella ulteriore acquisita nel corso dell'attività
svolta, salvo quanto eventualmente stabilito da puntuali disposizioni
normative o da specifiche autorizzazioni dell'autorità giudiziaria
che dispongano legittimamente ed espressamente in senso contrario.
Ove non ricorrano tali ultime due ipotesi, il consulente e il
perito non possono quindi conservare, in originale o in copia, in
formato elettronico o su supporto cartaceo, informazioni personali
acquisite nel corso dell'incarico concernenti i soggetti, persone
fisiche o giuridiche, nei cui confronti hanno svolto accertamenti.
Analogamente, la documentazione acquisita nel corso delle
operazioni peritali deve essere restituita integralmente al
magistrato in caso di revoca o di rinuncia all'incarico da parte
dell'ausiliario.
Qualora sia prevista una conservazione per adempiere a uno
specifico obbligo normativo (ad esempio, in materia fiscale o
contabile), possono essere custoditi i soli dati personali
effettivamente necessari per adempiere tale obbligo.
Eventuali, ulteriori informazioni devono essere quindi
cancellate, oppure trasformate in forma anonima anche per finalità
scientifiche o statistiche, tale da non poter essere comunque
riferita a soggetti identificati o identificabili, anche
indirettamente, mediante riferimento a qualsiasi altra informazione
(art. 4, comma 1, lettera b), del Codice).
Tutto ciò non pregiudica l'espletamento di eventuali ulteriori
attività dell'ausiliare, conseguenti a richieste di chiarimenti o di
supplementi di indagine, che il consulente e il perito possono
soddisfare acquisendo dal fascicolo processuale, in conformità alle
regole poste dai codici di rito, la documentazione necessaria per
fornire i nuovi riscontri.
5. Misure di sicurezza.
5.1 Misure idonee e misure minime.
Limitatamente all'espletamento degli accertamenti, l'attività
dell'ausiliare è connotata da peculiari caratteri di autonomia, in
relazione alla natura squisitamente tecnica delle indagini che si
svolgono, di regola, senza l'intervento del magistrato.
Ricevuto l'incarico e sino al momento della consegna al giudice o
al pubblico ministero delle risultanze dell'attività svolta,
incombono concretamente al consulente tecnico e al perito, riguardo
ai dati personali acquisiti all'atto dell'incarico e alle ulteriori
informazioni raccolte nel corso delle operazioni, le responsabilità
e gli obblighi relativi al profilo della sicurezza prescritti dal
Codice.
L'ausiliare è tenuto quindi a impiegare tutti gli accorgimenti
idonei a evitare un'indebita divulgazione delle informazioni e, al
contempo, la loro perdita o distruzione, adottando, a tal fine, le
misure atte a garantire la sicurezza dei dati e dei sistemi
eventualmente utilizzati. Egli deve curare personalmente, con il
grado di autonomia riconosciuto per legge o con l'incarico ricevuto,
sia le «misure idonee e preventive» cui fa riferimento l'art. 31 del
Codice, sia le «misure minime» specificamente indicate negli
articoli da 33 a 35 e nel disciplinare tecnico allegato B) al Codice,
la cui mancata adozione costituisce fattispecie penalmente sanzionata
(art. 169 del Codice). Ove reso necessario dal trattamento di dati
sensibili o giudiziari effettuato con l'ausilio di strumenti
elettronici, nell'ambito delle misure minime (art. 33, comma 1,
lettera g) del Codice) deve essere redatto il documento programmatico
sulla sicurezza, con le modalità e i contenuti previsti al punto 19.
del citato disciplinare tecnico.
5.2 Incaricati.
L'obbligo di preporre alla custodia e al trattamento dei dati
personali raccolti nel corso dell'accertamento solo il personale
specificamente incaricato per iscritto resta fermo anche nel caso in
cui il consulente e il perito si avvalgano dell'opera di
collaboratori, anche se addetti a compiti di collaborazione
amministrativa (art. 30 del Codice). L'attività di tali incaricati
deve essere oggetto di precise istruzioni oltre che sulle modalità e
sull'ambito del trattamento consentito, anche in ordine alla
scrupolosa osservanza della riservatezza relativamente ai dati di cui
vengono a conoscenza.
6. I consulenti tecnici di parte nei procedimenti giudiziari.
Ferma restando ogni altra disposizione contenuta nel Codice, nei
provvedimenti generali adottati dal Garante e in un codice
deontologico concernente le condizioni e i limiti applicabili ai
trattamenti di dati personali effettuati dai consulenti tecnici di
parte nei procedimenti giudiziari, anche a tali trattamenti trovano
applicazione i principi di liceità e che riguardano la qualità dei
dati (art. il del Codice) e le disposizioni in materia di misure di
sicurezza volte alla protezione dei dati stessi (articoli 31 e ss. e
disciplinare tecnico allegato B) al Codice).
In particolare, il consulente di parte:
può trattare lecitamente i dati personali nei limiti in cui
ciò è necessario per il corretto adempimento dell'incarico ricevuto
dalla parte o dal suo difensore ai fini dello svolgimento delle
indagini difensive di cui alla legge n. 397/2000 o, comunque, per far
valere o difendere un diritto in sede giudiziaria (art. 11, comma 1,
lettera a) e b)); dati sensibili o giudiziari possono essere
utilizzati solo se ciò è indispensabile;
può acquisire e utilizzare solo i dati personali comunque
pertinenti e non eccedenti rispetto alle finalità perseguite con
l'incarico ricevuto, avvalendosi di informazioni personali e di
modalità di trattamento proporzionate allo scopo perseguito
(art. 11, comma 1, lettera d));
salvi i divieti di legge posti a tutela della segretezza e
riservatezza delle informazioni acquisite nel corso di un
procedimento giudiziario (cfr., ad esempio, l'art. 379-bis c.p.p.) e
i limiti e i doveri derivanti dal segreto professionale e dal fedele
espletamento dell'incarico ricevuto (cfr. articoli 380 e 381 c.p.),
può comunicare a terzi dati personali solo ove ciò risulti
necessario per finalità di tutela dell'assistito, limitatamente ai
dati strettamente funzionali all'esercizio del diritto di difesa
della parte e nel rispetto dei diritti e della dignità
dell'interessato e di terzi;
relativamente ai dati personali acquisiti e trattati
nell'espletamento dell'incarico ricevuto da una parte, assume
personalmente le responsabilità e gli obblighi relativi al profilo
della sicurezza prescritti dal Codice, relativamente sia alle «misure
idonee e preventive» (art. 31,) sia alle «misure minime» (articoli da
33 a 35 e disciplinare tecnico allegato B) al Codice; art. 169 del
Codice); ove l'incarico comporti il trattamento con strumenti
elettronici di dati sensibili o giudiziari, è tenuto a redigere il
documento programmatico sulla sicurezza (art. 33, comma 1, lettera g)
e punto 19, del disciplinare tecnico allegato B));
deve incaricare per iscritto gli eventuali collaboratori, anche
se adibiti a mansioni di carattere amministrativo, che siano addetti
alla custodia e al trattamento, in qualsiasi forma, dei dati
personali (art. 30 del Codice), impartendo loro precise istruzioni
sulle modalità e l'ambito del trattamento loro consentito e sulla
scrupolosa osservanza della riservatezza dei dati di cui vengono a
conoscenza.
