La protezione dei dati personali è un diritto fondamentale riconosciuto dall’art. 8 della Carta di Nizza e garantito dal GDPR e dalla LED (Law Enfocement Directive) che stabiliscono norme rigorose per ogni tipo di trattamento, compresa la comunicazione dei dati personali.
Tuttavia, la complessità di questa particolare normativa spesso porta a malintesi e violazioni, specialmente quando si tratta della comunicazione di dati tra diversi titolari del trattamento.
In particolare, la comunicazione di dati personali da parte di imprese e P.A. alle Forze di Polizia rappresenta un’area critica e spesso fraintesa della protezione dei dati.
In un contesto sempre più regolamentato, comprendere le condizioni e le motivazioni giuridiche per la condivisione di tali informazioni personali è essenziale per garantire la conformità ai principi della Data Protection e per proteggere i diritti delle persone.
Indice degli argomenti
Il quadro normativo di riferimento
Il GDPR e la LED, insieme al Codice della Privacy italiano, costituiscono il quadro normativo principale per la protezione dei dati personali.
L’art. 4 n. 2 del GDPR e l’art.2, comma 1 lett. b) del D.lgs.51/2018, definiscono, conformemente, il trattamento dei dati personali come qualsiasi operazione eseguita con i dati, compresa la comunicazione di dati personali mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione.
La comunicazione di dati personali costituisce quindi un trattamento.
In particolare, l’art. 2-ter, comma 4 del Codice della Privacy specifica che per “comunicazione” deve intendersi il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione.
La trasmissione e la messa a disposizione di dati personali all’interessato, infatti, non è una comunicazione ma costituisce l’agevolazione dell’esercizio del diritto di accesso previsto dall’art. 15 del GDPR.
Le basi giuridiche appropriate
Nel rispetto del principio di liceità, ogni trattamento di dati personali, compresa la comunicazione, deve essere suffragato da una idonea base giuridica che va individuata tra quelle indicate nell’art. 6 del GDPR e negli artt. 5 e 7 del D.lgs. 51/2018.
Secondo quanto stabilito dall’art. 5 del D.lgs. 51/2024, le Forze di Polizia possono richiedere ad imprese e P.A. la comunicazione di dati personali, se tale comunicazione:
- è necessaria per l’esecuzione di un compito istituzionale per finalità di polizia e di giustizia;
- si basa sul diritto dell’Unione europea o su disposizioni di legge o di regolamento o su atti amministrativi generali che individuano i dati personali e le finalità del trattamento.
D’altra parte, le basi giuridiche valide per la comunicazione di dati personali, da parte di imprese o P.A. alle Forze di Polizia richiedenti, vanno individuate:
- nella necessità di adempiere un obbligo legale al quale è soggetto il titolare del trattamento (art. 6, paragrafo 1, lett. c) del GDPR) oppure;
- nella necessità di eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
Tali basi giuridiche, secondo quanto stabilito dall’art. 6, paragrafo 3 del GDPR, devono essere stabilite:
- dal diritto dell’Unione; o
- dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
In combinazione con quest’ultima norma, l’art. 2 ter, comma 1 del Codice Privacy stabilisce che “la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del GDPR è costituita da una norma di legge o di regolamento o da atti amministrativi generali”.
Pertanto, ogni richiesta di comunicazione di dati personali posta da una Forza di Polizia ad un titolare del trattamento (impresa o P.A.) deve necessariamente indicare la norma di legge o di regolamento o l’atto amministrativo generale che autorizza la comunicazione stessa.
Le richieste da parte delle forze di polizia
A integrazione del quadro normativo sopra delineato, va anche evidenziato che l’articolo 23 del GDPR stabilisce che la legge unionale o nazionale può limitare i diritti degli interessati e gli obblighi dei titolari in merito alla protezione dei dati.
Questo è possibile solo attraverso specifiche misure legislative che rispettino i diritti fondamentali e siano necessarie e proporzionate in una società democratica.
Tali limitazioni sono previste per salvaguardare importanti interessi pubblici come:
- la sicurezza pubblica;
- la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica.
Le forze di polizia, quindi, non solo possono, ma anzi devono richiedere la comunicazione di dati personali ai titolari del trattamento quando è necessario. Tuttavia, queste richieste devono sempre essere basate su una norma giuridica specifica, che deve essere chiaramente indicata al momento della richiesta.
È fondamentale che ogni richiesta di dati personali da parte delle Forze di Polizia sia supportata da una base giuridica adeguata. La mancanza di tale supporto espone l’impresa o la P.A., titolare del trattamento, a pesanti sanzioni per violazione delle normative sulla protezione dei dati.
Casi comuni di richieste non adeguatamente suffragate
Potrebbe capitare, ad esempio, che una richiesta di comunicazione di dati personali da parte di una Forza di polizia non sia suffragata dall’indicazione della norma giuridica in base alla quale si sta procedendo, apparendo così, almeno formalmente, non giustificata in modo adeguato.
Alcuni esempi comuni di richieste inadeguate potrebbero includere:
- richieste vaghe o generiche: richieste che non specificano chiaramente la base giuridica e/o lo scopo della richiesta;
- mancanza di proporzionalità: richieste che richiedono più dati di quanto sia necessario per lo scopo dichiarato;
- assenza di documentazione: richieste che non sono accompagnate dalla documentazione appropriata che giustifica la necessità della comunicazione dei dati.
Un esempio pratico
La ricezione della richiesta
All’azienda Alfa perviene da parte di un Comando/Ufficio di Polizia la richiesta di conoscere il nominativo della persona a cui è associato una specifica utenza telefonica intestata alla stessa Alfa.
Tale richiesta dovrebbe riportare almeno:
- l’intestazione del Comando/Ufficio richiedente e la firma del funzionario responsabile della stessa unità organizzativa;
- lo scopo e la norma giuridica che giustifica la richiesta (ad esempio art. 348 c.p.p. “Assicurazione fonti di prova” – per finalità di indagini di p.g.);
- le modalità e i tempi per il riscontro.
Attenzione: la richiesta deve essere sempre posta per iscritto e consegnata a mano o tramite posta ordinaria, raccomandata o elettronica (preferibilmente PEC).
Per la verità, la Polizia Giudiziaria può porre la richiesta anche verbalmente ma in questo caso, ai sensi dell’art. 357 c.p.p., deve comunque documentare l’acquisizione delle informazioni personali tramite una annotazione o un verbale, a seconda della circostanza investigativa che prevede l’esecuzione di un atto non-tipizzato o tipizzato.
Le linee di azione del titolare del trattamento
L’azienda Alfa dovrebbe:
- prendere in carico la richiesta a cura di un soggetto al vertice e/o primo riporto alla direzione (come, ad esempio, area personale e/o facility nel caso in esame);
- verificare che la richiesta provenga effettivamente dal Comando o dall’Ufficio richiedente (nel caso di utilizzo della PEC, questo adempimento non è necessario);
- controllare che la richiesta riporti chiaramente lo scopo e la norma giuridica di riferimento;
- valutare la proporzionalità della richiesta, assicurandosi che non vengano chiesti più dati del necessario;
- accertarsi che la richiesta sia corredata della documentazione eventualmente necessaria;
- in esito alle suddette verifiche, qualora sia necessario, richiedere al Comando/Ufficio di Polizia eventuali integrazioni o specificazioni;
- quindi, recuperare e trasmettere i dati richiesti al Comando/Ufficio richiedente nel più breve tempo possibile, avendo cura di rispettare eventuali condizioni specificate nella richiesta (ad esempio mantenere riservata la comunicazione);
- garantire che l’intero processo di gestione della richiesta sia curato esclusivamente da personale specificamente formato e autorizzato.
In particolare, nel caso descritto nell’esempio in esame, l’azienda Alfa, oltre al nome della persona a cui è associata l’utenza telefonica, dovrebbe comunicare anche la data in cui è stata associata l’utenza stessa (va, infatti, considerata la possibilità che l’indagine riguardi un periodo di tempo precedente alla consegna dell’utenza al dipendente) nonché il codice fiscale del collaboratore, per prevenire eventuali casi di omonimia.
Inoltre, laddove per evadere la richiesta fosse necessario coinvolgere altri collaboratori e/o fornitori, a questi devono essere trasmesse esclusivamente le informazioni indispensabili oppure deve essere “offuscata” la richiesta specifica, richiedendo informazioni su più soggetti, in modo che non sia evidente il reale obiettivo della richiesta.
Infine, bisogna archiviare la documentazione con accesso riservato per un periodo di tempo di almeno 3 anni (vds. Art.10, comma 3, lett. e) del D.P.R. 15/2018).
Conclusioni
Si è, dunque, cercato di evidenziare come la corretta gestione della comunicazione dei dati personali alle Forze di Polizia possa risultare un adempimento critico per le imprese e le Pubbliche Amministrazioni. Garantire la conformità alla normativa sulla protezione dei dati non è solo una questione di adempimento legale, ma anche di rispetto dei diritti fondamentali degli individui.
In questo articolo abbiamo esplorato il complesso quadro normativo che disciplina questo tipo di comunicazioni, sottolineando l’importanza di una giustificazione giuridica solida per ogni richiesta. Abbiamo evidenziato come le basi giuridiche appropriate, stabilite nel GDPR e nel Codice della Privacy, siano essenziali per legittimare tali richieste e prevenire potenziali sanzioni.
Attraverso esempi concreti e linee di azione pratiche, abbiamo fornito una guida utile per assicurare che le comunicazioni dei dati personali siano effettuate in modo corretto e trasparente. Le imprese e le pubbliche amministrazioni dovrebbero auspicabilmente adottare un approccio rigoroso e metodico, verificando sempre l’autenticità e la legittimità delle richieste, garantendo, contestualmente, che il processo sia gestito da personale adeguatamente formato e autorizzato.
In conclusione, la protezione dei dati personali si conferma ancora una volta come un equilibrio delicato tra la necessità di garantire la sicurezza pubblica, le attività investigative della polizia giudiziaria ed il rispetto dei diritti fondamentali delle persone.
Un approccio attento e informato può aiutare ad orientarsi in questo complesso scenario, assicurando che le comunicazioni siano sempre giustificate, proporzionate e conformi alle normative vigenti.
È un tipo di approccio va considerato anche nel caso in cui si ricevano richieste di comunicazione di dati da parte di avvocati per varie finalità aventi rilevanza giuridica. Ma queste sono situazioni diverse che meritano una autonoma riflessione.
Magari ne parliamo in un prossimo articolo. Restate sintonizzati.