Durante il Consiglio dei Ministri dell’8 agosto è stato finalmente approvato il decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679. Il decreto si è reso necessario per coordinare e adeguare le norme del GDPR con il Codice privacy del 2003 relativamente alle norme non abrogate.
L’articolo 160 bis
Il decreto prevede, tra le altre norme di adeguamento, una norma apparentemente nuova (l’art. 160 bis) sull’utilizzabilità dei dati personali nei procedimenti giudiziari anche se illecitamente acquisiti e prevede all’art. 2 decies una riedizione della norma sull’inutilizzabilità dei dati personali trattati in violazione della disciplina rilevante in materia già presente anche nel vecchio Codice privacy al comma 2 dell’art. 11.
L’articolo 160 bis del nuovo decreto è inoltre quasi identico al testo del comma 6 del precedente art. 160 (sui poteri di controllo del Garante in alcune particolari situazioni) e oggi reca: “la validità, l’efficacia e l’utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento dei dati personali non conforme a disposizioni di legge o di regolamento restano disciplinate dalle pertinenti disposizioni processuali.”
L’art. 160 bis del decreto legislativo in commento è una sorpresa da un punto di vista della struttura del testo in quanto precedentemente, nel testo approvato il 21 marzo scorso dal Consiglio dei Ministri e nei testi pubblicati successivamente sul sito del Parlamento ed esaminati dalle Camere, non era presente. A ben vedere però le disposizioni ivi contenute erano presenti nel dlgs n. 196/2003 Codice privacy al comma 6 dell’art. 160 e, vista la non incompatibilità delle stesse con il Regolamento europeo, erano riproposte anche nello schema del decreto.
L’intento del legislatore è stato forse proprio quello di non consentire ai ricorrenti di sollevare davanti all’Autorità di controllo questioni giuridiche ed eccezioni processuali e veicolarle invece verso i competenti organi giudiziari richiamando all’applicazione delle disposizioni processuali e dei codici di rito.
Un principio generale applicabile sempre e a chiunque
Il principio dell’art. 160 bis è stato sostanzialmente tolto dal comma 6 dell’art. 160 (che in realtà riguarda altra materia ovvero il potere di controllo del Garante su soggetti istituzionali particolari, es. autorità giudiziaria o forze di polizia) e inserito in un nuovo articolo (appunto il 160 bis) creando così un articolo autonomo che a questo punto diventa non più applicabile in via particolare solo ai soggetti istituzionali oggetto di controllo dell’Autorità Garante, bensì un principio generale applicabile sempre e a chiunque. Sotto il profilo sostanziale nulla sembra mutato però rispetto a prima: sembra solo tutto più chiaro e definito. In sede processuale, rispetto alle questioni relative all’inutilizzabilità e/o utilizzabilità dei dati personali acquisiti illecitamente la disciplina applicabile resta quella dei codici di rito.
E’ sostanzialmente una norma processuale che attiene all’utilizzabilità dei dati personali e degli atti e dei documenti (che contengono dati personali) trattati in violazione delle disposizioni di legge del decreto, del regolamento europeo e delle altre norme dell’ordinamento italiano in materia di privacy. E’ una disposizione che si lega con l’altra disposizione uguale e contraria che stabilisce l’inutilizzabilità dei dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali oggi inserita nell’art. 2 decies. In sostanza questo art. 160 bis indica chiaramente e più nettamente, in quanto separato, un limite all’inutilizzabilità in sede processuale. L’art. 2 decies sull’inutilizzabilità non contrasta con questo articolato e rispetto alla disciplina precedente sembra cambiare poco per i motivi che seguono e che cercherò di spiegare.
La precedente norma sull’inutilizzabilità
La norma sull’inutilizzabilità in precedenza non indicava in quale sede i dati non potevano essere utilizzati e poteva sembrare una norma assoluta, rigida e valida sia per coloro (es. titolari del trattamento, responsabili) che, accertata dal Garante l’illiceità del trattamento, dovevano astenersi dall’utilizzare i dati personali per motivi di business sia anche per coloro che, parti processuali in un giudizio civile o penale, intendevano produrre tali dati come elementi di prova o a contrario eccepirne l’utilizzabilità davanti al giudice.
In passato la giurisprudenza soprattutto di merito ma anche in diversi provvedimenti dell’Autorità Garante, nonostante la norma sull’inutilizzabilità di cui all’art. 11 del vecchio Codice privacy, ha sempre stabilito che, ferma restando l’illiceità del trattamento dei dati da parte del titolare del trattamento, la competenza per la valutazione dell’utilizzabilità in sede processuale doveva essere demandata al giudice.
Sono frequenti, anche oggi, i casi nei procedimenti giudiziari in cui si discute di inutilizzabilità dei dati illecitamente trattati. Si pensi ai casi di infedeltà coniugale, riconoscimento di paternità, accessi abusivi a sistemi informatici commessi da taluno volto a provare altri delitti commessi da terzi, controllo illecito dei dipendenti a distanza dove spesso i dati personali illecitamente carpiti costituiscono la prova regina di una delle parti o, in sede penale, il corpo del reato e la prova che tale reato è stato commesso.
Si è sempre dibattuto davanti al giudice circa l’utilizzabilità di questo tipo di prove basate su dati personali proprio invocando il diritto alla privacy e l’articolo sull’inutilizzabilità in caso di captazione o trattamento illecito (pensate alle immagini, ai video, alle email private o aziendali acquisite senza diritto, Dna, elenchi di dati personali, informazioni riservate e intime su questo o su quel dato soggetto).
L’applicazione in sede penale
Vi è una leggere ma sostanziale differenza nei due ambiti processuali principali.
In sede penale vige il principio sancito dall’articolo 191 del codice di procedura penale relativo alle prove illegittimamente acquisite che stabilisce la loro inutilizzabilità in sede processuale se sono state acquisite in violazione di norme di legge (rilevabile anche d’ufficio). Secondo la giurisprudenza maggioritaria e la dottrina dominante però questa disposizione si deve interpretare come violazione di legge processuale, violazione di legge stabilita dal codice di rito o comunque da norma extra codice di procedura che regola le disposizioni processuali e non come “qualsiasi violazione stabilita dalla legge” e quindi non si estenderebbe alla normativa del codice privacy (che rimarrebbe limitata ai soli casi di inutilizzabilità per i titolari dei trattamenti o per i responsabili) . Si fa sempre l’esempio della normativa in tema di intercettazioni prevista dal codice di rito per la quale è in questo caso espressamente prevista l’inutilizzabilità nel processo delle intercettazioni (telefoniche e/o telematiche) effettuate in violazione delle norme previste. In tutti gli altri casi è al giudice che spetta l’interpretazione e la decisione sull’utilizzabilità o inutilizzabilità delle prove illegittimamente raccolte.
La norma dell’art. 160 bis in realtà sembra mutare poco l’attuale assetto interpretativo della tematica.
L’applicazione in sede civile
In sede civile la questione è un po’ diversa visto che il codice di procedura non contiene, a differenza di quello penale, una norma che sancisca un principio di inutilizzabilità delle prove illegittimamente acquisite in violazione di legge. Se ne desumerebbe la volontà del legislatore di separare la questione processuale della produzione dei documenti connessa al diritto di difesa dalla questione sostanziale relativa alle modalità di acquisizione della documentazione, che può essere oggetto di separata controversia civile, e lasciare solo all’apprezzamento del giudice nel caso concreto l’utilizzabilità di prove di cui pure sia dubbia la liceità soprattutto quando sono le parti ad aver contestato l’illecito accesso alle stesse.
Con l’estrapolazione nell’art. 160 bis della disciplina specifica e il rinvio alle diverse normative processuali il quadro interpretativo relativo all’inutilizzabilità o inutilizzabilità sembra essere più chiaro e delineato e forse eviterà che l’autorità di controllo debba pronunciarsi come in passato su questioni ed eccezioni inutilmente sollevate davanti ad una autorità non competente a decidere.
Questa sembra essere l’unico motivo che ha spinto il legislatore a creare un’articolo nuovo ed importante che non fa altro che ribadire un principio già presente, e forse poco compreso, nel vecchio Codice privacy.
