Alla luce della recente pubblicazione delle Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria (di seguito, le “Regole deontologiche”), appare utile svolgere alcune riflessioni riguardo alle novità introdotte da tali Regole e dal D.Lgs. 10 agosto 2018 n. 101 (il “Decreto di adeguamento”) in materia di protezione dei dati trattati nell’ambito delle investigazioni difensive.
Come noto, le Regole deontologiche sono state approvate dal Garante per la protezione dei dati personali (il “Garante”) in sostituzione del previgente Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive, già Allegato 6 del Codice Privacy, del 2008 (il “Codice di deontologia”), all’esito della verifica di conformità al GDPR svolta ai sensi dell’art. 20, comma 4, del Decreto di adeguamento.
La verifica, oltre ad un aggiornamento formale dei riferimenti al nuovo quadro normativo nazionale ed europeo, ha comportato la soppressione o la ridefinizione di talune previsioni alla luce del diverso approccio richiesto ai titolari del trattamento, nel rispetto dei principi di cui all’art. 5 GDPR (in particolare, quelli di accountability, minimizzazione, privacy by default e by design).
Appare quindi opportuno approfondire il tema, analizzando i principali interventi di modifica del Codice di deontologia ai fini del coordinamento delle relative previsioni con quelle poste dal GDPR e dal Decreto di adeguamento applicabili alle investigazioni difensive.
Principali interventi di coordinamento con il GDPR e il decreto di adeguamento
Volendosi soffermare sulle modifiche più significative, giova innanzitutto rilevare che l’intervento del Garante, volto al coordinamento delle disposizioni di deontologia già contenute nell’Allegato 6 al GDPR, ha comportato la sostituzione dei riferimenti ai principi ispiratori del precedente quadro normativo con quelli espressi dal Regolamento europeo: pertanto, al posto dei richiami alla pertinenza, completezza e non eccedenza dei dati, viene introdotto il richiamo al principio di minimizzazione dei dati rispetto alle finalità difensive (ai sensi del richiamato art. 5 GDPR).
In via preliminare si segnala che in data 13 dicembre 2018 il Garante ha individuato con provvedimento n. 497 le Prescrizioni relative al trattamento di categorie particolari di dati da parte degli investigatori privati contenute nell’Autorizzazione generale n. 6/2016 che risultano compatibili con il GDPR e con il Decreto di adeguamento, avviando al contempo una consultazione pubblica – attualmente in corso – volta ad acquisire osservazioni e proposte riguardo alle predette prescrizioni.
Nessun richiamo è, invece, espressamente presente, nelle Regole deontologiche, al trattamento dei dati personali relativi a condanne penali e reati di cui all’art. 10 GDPR: giova tuttavia segnalare che il terzo comma dell’art. 2-octies del Codice Privacy sancisce espressamente che, fermi restando i commi 1 e 2 del medesimo articolo, “il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza è consentito se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, riguardanti, in particolare: (…omissis…) g) l’esecuzione di investigazioni o le ricerche o la raccolta di informazioni per conto di terzi ai sensi dell’articolo 134 del testo unico delle leggi di pubblica sicurezza”.
Occorre altresì richiamare un’altra disposizione che il Decreto di adeguamento ha introdotto nel Codice Privacy: si tratta dell’art. 2-undecies, che pone una limitazione all’esercizio dei diritti di cui agli artt. da 15 a 22 del GDPR da parte degli interessati “qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto: (…omissis…) e) allo svolgimento delle investigazioni difensive o all’esercizio di un diritto in sede giudiziaria”. Elemento, questo, di grande utilità ai fini del corretto svolgimento dell’attività investigativa.
L’obbligo di rendere l’informativa privacy agli interessati
Un aspetto particolarmente rilevante riguarda, poi, l’obbligo dell’investigatore privato di fornire agli interessati la propria informativa sul trattamento dei dati personali, ai sensi degli artt. 13 e 14 del GDPR.
In particolare, con riguardo ai casi in cui i dati siano raccolti presso l’interessato (art. 13 del Regolamento), l’art. 11 delle Regole deontologiche, richiamando espressamente l’art. 3 delle medesime Regole, consente all’investigatore privato di fornire l’informativa “in un unico contesto, anche mediante affissione nei locali dello Studio e, se ne dispone, pubblicazione sul proprio sito Internet, anche utilizzando formule sintetiche e colloquiali”.
Con riguardo, invece, all’obbligo di rendere l’informativa nel caso in cui i dati non siano stati raccolti presso l’interessato (art 14 GDPR), si evidenzia come sia stato eliminato il Preambolo del Codice di deontologia – il cui testo non è stato reinserito nelle Regole deontologiche – e, conseguentemente, sia stato modificato l’art. 11 del Codice di deontologia.
In particolare, il Preambolo, ribadendo espressamente quanto statuito dall’art. 13, comma 5, lett. b) del Codice Privacy (norma abrogata dal Decreto di adeguamento), affermava la possibilità per l’investigatore di “omettere l´informativa stessa per i dati raccolti presso terzi, qualora gli stessi siano trattati solo per il periodo strettamente necessario per far valere o difendere un diritto in sede giudiziaria o per svolgere investigazioni difensive, tenendo presente che non sono raccolti presso l´interessato i dati provenienti da un rilevamento lecito a distanza, soprattutto quando non sia tale da interagire direttamente con l´interessato”.
A seguito dell’abrogazione della norma di riferimento (l’art. 13, comma 5, lett. b) del Codice Privacy e della eliminazione dell’intero Preambolo (e, nello specifico, del passaggio sopra riportato), si è così posto il tema di verificare se sia ormai da ritenersi esclusa la possibilità di omettere l’informativa per i dati raccolti presso terzi.
Ebbene, nonostante vi siano opinioni discordanti in proposito, sembrerebbero sussistere, ad avviso di chi scrive, argomenti per sostenere che vi sia ancora tale possibilità: infatti, il nuovo art. 11 delle Regole deontologiche, prevede che “L’investigatore privato può fornire l’informativa in un unico contesto ai sensi dell’articolo 3 delle presenti regole, ponendo in particolare evidenza l’identità e la qualità professionale dell’investigatore, nonché la natura facoltativa del conferimento dei dati, fermo restando quanto disposto dall’art. 14 del Regolamento, nel caso in cui i dati personali non siano stati ottenuti presso l’interessato”.
Occorre notare, al riguardo, che l’art. 14 del GDPR esonera il titolare del trattamento – nel caso che ci riguarda, l’investigatore privato – dall’obbligo di fornire all’interessato la propria informativa nel caso in cui i dati non siano stati ottenuti presso l’interessato, a talune condizioni, incluso quando “comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all’articolo 89, paragrafo 1, o nella misura in cui l’obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo pubbliche le informazioni”.
A ben vedere, quindi, sembrerebbe possibile sostenere, in certi casi, che il rilascio dell’informativa da parte dell’investigatore privato, laddove i dati non siano stati raccolti presso il titolare, possa effettivamente compromettere o rendere addirittura impossibile l’esercizio dell’attività investigativa e, quindi, il conseguimento delle finalità di trattamento.
Lo stesso potrebbe valere nei casi in cui fornire l’informativa risulti impossibile o implichi uno sforzo sproporzionato per l’investigatore: ciò in quanto, l’elenco che segue l’enunciazione della condizione in esame – che si riferisce espressamente ai trattamenti “a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici” – per il fatto che venga preceduto dall’espressione “in particolare” sembrerebbe essere stato individuato dal legislatore europeo a titolo meramente esemplificativo e non esaustivo, lasciando così aperta la possibilità che la disposizione riguardi anche diverse tipologie di trattamenti rispetto a quelle espressamente citate, come quelli svolti per effettuare indagini difensive.
Potrebbe, dunque, argomentarsi – in assenza di ulteriori elementi interpretativi che potranno, eventualmente, essere forniti dai prossimi provvedimenti dell’Autorità – che permanga la possibilità per gli investigatori di non essere obbligati a fornire, in ogni caso, la propria informativa privacy per i dati raccolti presso terzi, laddove sussistano i presupposti indicati dall’art. 14 GDPR (tra cui, nello specifico, quelli sopra indicati di cui al comma 5, lett. b dell’art. 14 GDPR).
Ciò che, invece, probabilmente è mutato è il fatto che l’esonero dal rendere l’informativa per i dati raccolti presso terzi non sembra più operare in virtù di un meccanismo automatico, ossia per il solo fatto che il titolare svolga delle investigazioni difensive, bensì necessita oggi di una verifica ad hoc da parte di quest’ultimo, chiamato a valutare la sussistenza delle condizioni di esonero previste dall’art. 14 GDPR.
La conservazione dei dati raccolti
Giova, infine, svolgere alcune precisazioni in merito al tema della conservazione dei dati.
Infatti, l’art. 10 delle Regole deontologiche fa, oggi, riferimento non più all’art. 11, comma 1, lett. e) del Codice Privacy (abrogato dal Decreto di adeguamento), bensì all’art. 5 GDPR, che codifica i principi di «minimizzazione dei dati» (secondo cui “i dati devono essere limitati a quanto necessario rispetto alle finalità per le quali sono trattati”) e «limitazione della conservazione» (per il quale i dati devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”).
In base a tali principi, letti in combinato disposto con quello di accountability che di fatto permea l’intero assetto del Regolamento (in base al quale il titolare deve assicurarsi che il trattamento rispetti i principi e le norme del GDPR, essendo in grado di comprovarlo ai sensi dell’art. 5.2 GDPR), potrebbe essere avanzata una lettura particolarmente rigoristica del diritto di conservazione dei dati da parte dell’investigatore privato titolare del trattamento, tale per cui potrebbe ritenersi che il diritto alla conservazione sia limitato alla sola durata dell’investigazione e cessare una volta raggiunta e completata tale finalità di trattamento.
Tuttavia, ferma restando la rilevanza dei principi sopra citati, giova evidenziare come, nel caso di specie, il Garante abbia scelto di mantenere inalterata la sostanza dell’art. 10 in esame: in particolare, fatti salvi i nuovi richiami all’art. 5 GDPR ed al principio della trasparenza, la disposizione ancora oggi ammette la possibilità della “conservazione temporanea di materiale strettamente personale dei soggetti che hanno curato l’attività svolta, a i soli fini dell’eventuale dimostrazione della liceità, trasparenza e correttezza del proprio operato”.
Di fatto, quindi, l’investigatore privato sembra mantenere il diritto – anche nel nuovo impianto normativo – di conservare i dati personali raccolti in fase di indagine anche a seguito della conclusione della stessa, per mero uso personale, a fini di difesa della liceità, trasparenza e correttezza del proprio operato, ciò peraltro risultando perfettamente in linea con i presupposti di liceità del trattamento sanciti dagli artt. 6.1, lett. f) e 9.2, lett. f) GDPR.
Il senso e le potenzialità delle Regole deontologiche
La cosa più meritevole di essere però qui evidenziata non è tanto la nuova veste o formulazione del Codice deontologico, oggi tradotto nelle Regole deontologiche, quanto piuttosto la necessità, oggi come dieci anni fa, di comprendere appieno il senso di queste regole e le potenzialità racchiuse in esse.
Sia qui consentita una reminiscenza personale e professionale. Nel biennio 2007 – 2008, quando ancora operavo in forze all’Autorità Garante per la protezione dei dati personali, in quel periodo come dirigente dell’Unità Attività Forense, Ordini Professionali e Concessionari di Pubblici Servizi, ebbi il privilegio di coordinare, assieme al collega e amico Mario De Bernart, i tavoli di lavoro congiunti con Avvocati e Investigatori per la stesura del Codice di condotta che poi fu approvato e divenne l’Allegato 6 al Codice Privacy. Ebbene, l’intuizione che a quel tempo avemmo, anche grazie agli stimoli e alla guida di Giovanni Buttarelli, Peppino Chiaravalloti e Franco Pizzetti, all’epoca rispettivamente Segretario generale, Vicepresidente e Presidente del Garante, portò quel Codice di condotta ad interessare un perimetro di attività vastissimo, che sarebbe destinato ad andare ben al di là delle semplici investigazioni difensive di cui al codice di procedure penale.
Infatti, l’intento dei regolatori del 2008 era quello di introdurre uno strumento flessibile di liceità e legittimità di tutti quei trattamenti necessari per difendere e far valere un diritto sia in sede giudiziaria che in sede extra giudiziaria.
In tal senso, il Codice di condotta ieri e le Regole deontologiche oggi hanno una valenza applicativa incredibilmente vasta, includendo soprattutto quei trattamenti borderline che spesso in azienda o in qualsiasi luogo di lavoro (incluse p.a. e ambiti professionali) sono volti a far emergere condotte illecite con rilevanza civilistica, penalistica o anche solo in violazione di codici etici o di condotta aziendali.
Lo strumento della nomina dell’avvocato esterno e dell’investigatore privato è una straordinaria garanzia messa in piedi da avvocati, investigatori e dal Garante per interpretare quel bisogno sempre crescente di indagini sui luoghi di lavoro, attraverso la selezione con parole chiave e filtri di email e documenti rilevanti per condurre una investigazione preliminare a seguito di un valido fumus, anche in ragione di un disvelamento di notizie e comportamenti nella cornice del whistleblowing.
E tutto ciò anche prima o addirittura a prescindere dalla sussistenza di un procedimento penale e del ricevimento di un avviso di garanzia. Questo passaggio va stressato enormemente, perché spesso registro la tendenza a chiudere il Codice di condotta nello stresso recinto delle sole investigazioni difensive di cui al codice di procedura penale.
Porre la debita attenzione a tali meccanismi è cruciale nella società digitalizzata in cui viviamo, laddove la disponibilità pressoché totale dei dati in ogni circostanza, non deve mai far dimenticare l’essenzialità del rispetto di regole basilari di controllo e garanzia che valgono tanto nella vita reale quanto in quella virtuale ed elettronica, per permettere ai titolari del trattamento (aziende, PA liberi professionisti, ecc..) di poter raccogliere adeguatamente le prove di eventuali comportamenti illeciti e valutare come difendersi in giudizio o fuori dalle Corti, ma sempre nel rispetto dei diritti e delle libertà degli interessati al trattamento.
