Il rischio della “cristallizzazione” delle informazioni sul web
Il rischio della “cristallizzazione” delle informazioni sul web, a fronte di oggettive difficoltà pratiche/giuridiche, nell´ottenere la loro cancellazione, una volta decorso il termine di pubblicazione (qual è il termine per la pubblicità legale dei provvedimenti del sovraindebitamento?) e, soprattutto, laddove un termine non sia fissato o comunque i dati non siano cancellati, dopo il raggiungimento dello scopo perseguito, in violazione del cd. “diritto all´oblio”.
PRINCIPI COMUNITARI
- Il principio di necessità, il quale comporta un obbligo di attenta configurazione di sistemi informativi e di programmi informatici per ridurre al minimo l´utilizzazione di dati personali;
- Il principio di pertinenza e non eccedenza dei dati personali;
- Il principio di indispensabilità del trattamento di dati sensibili e giudiziari.
Tali principi devono trovare applicazione anche in presenza di norme di legge e di regolamento che impongano la pubblicazione di atti o documenti.
In tal caso, deve essere rimessa alla cura dell´amministrazione la selezione, all´interno dell´atto o documento in via di pubblicazione, dei dati personali da oscurare o comunque da espungere.
Tra i presupposti di liceità del trattamento dei dati personali il GDPR all’art. 6, lett. e) fa riferimento alla necessarietà del trattamento per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, caso tipico, naturalmente dell’ente pubblico.
L’art. 9 del GDPR tra le eccezioni al divieto generale di trattare dati personali sensibili fa rientrare:
il trattamento necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali.
L’art. 10 del GDPR, poi, con riferimento al trattamento dei dati giudiziari chiarisce che lo stesso deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.
CASO PRATICO INSERITO NELLA RELAZIONE DEL GARANTE PRIVACY 2019
L’Autorità si è occupata della protezione dei dati riferiti alle persone coinvolte nelle procedure di composizione delle crisi da sovraindebitamento presso i tribunali, disciplinata dalla legge 27 gennaio 2012, n. 3, secondo la quale, tra l’altro, il giudice stabilisce “idonea forma di pubblicità” relativamente ad alcuni atti della procedura, tra i quali la proposta di accordo o di piano del consumatore ed il provvedimento di omologazione dell’accordo e del piano del consumatore (cfr. artt. 10, comma 2, 12, comma 2 e 12-bis, comma 3, l. n. 3/2012).
Al riguardo il Garante ha segnalato al Csm e al Ministero della giustizia che in un reclamo era stata lamentata la pubblicazione in forma integrale sul sito web di un tribunale della relazione del professionista incaricato, che per legge viene allegata alla proposta di piano del consumatore (cfr. art. 9, comma 3-bis, l. n. 3/2012), riguardante la famiglia del reclamante e contenente dati quali il reddito della stessa, la situazione economica, lo stato di difficoltà nonché i dati sensibili relativi allo stato di salute del fratello invalido.
Più in dettaglio, ancorché il Garante non sia competente per il controllo dei trattamenti effettuati dall’Autorità giudiziaria nell’esercizio delle proprie funzioni (cfr. art. 154, comma 7, del Codice), purtuttavia, il RGPD trova applicazione anche ai trattamenti di dati personali effettuati per ragioni di giustizia nell’ambito di procedimenti dinanzi agli uffici giudiziari di ogni ordine e grado o presso il Ministero della giustizia, anche se per tali finalità sono previste alcune limitazioni in relazione ai diritti degli interessati ex art. 23, par. 1, lett. f ), del RGPD, e art. 2-duodecies del Codice.
Ai trattamenti effettuati per fini di giustizia sono comunque applicabili i principi generali in materia di trattamento dati, tra i quali, per quanto qui interessa, quello di minimizzazione dei dati, secondo il quale “i dati personali sono […] adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (cfr. art. 5, comma 1, lett. c), del RGPD).
Orbene, nella fattispecie considerata, la segnalazione al Ministero ed al Csm è stata ritenuta necessaria in quanto la pubblicazione in forma integrale della relazione allegata alla proposta del consumatore ex art. 9, comma 3-bis, l. n. 3/2012 (facilmente raggiungibile da chiunque, digitando il cognome del reclamante su internet all’interno del motore di ricerca di Google) è apparsa in contrasto con l’art. 2-septies, comma 8, del Codice, in base al quale i dati relativi alla salute non possono essere diffusi, oltre che in violazione dei principi di proporzionalità e non eccedenza e minimizzazione dei dati, di cui all’art. 5 del RGPD, riconducibile agli artt. 8 CEDU e 8 CDFUE (nota 18 febbraio 2019).
Avv. Elena Ceserani