Si trova all’esame del Parlamento uno schema di decreto delegato (redatto nell’esercizio della delega conferita al Governo per il recepimento delle direttive europee), di attuazione della direttiva 680/2016, destinata ad abrogare la decisione quadro 2008/977/GAI del Consiglio, decreto approvato dal Consiglio dei Ministri nella seduta dell’ 8 febbraio 2018.
Si da attuazione alla Direttiva (UE) 2016/680, del Parlamento europeo e del Consiglio del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati.
Privacy ambito penale: lo scopo del decreto
Come si legge dalla relazione allegata al decreto, il provvedimento costituirà una sorta di “statuto generale della tutela dei dati personali in ambito penale”, che ha lo scopo di fissare limiti, condizioni e sanzioni a cui tutte le autorità pubbliche - forze di polizia, magistrati, pubblici ministeri - dovranno attenersi nel trattamenti dei dati delle persone ai fini della giustizia penale.
Oggetto del provvedimento in questione sono i trattamenti, autorizzati o no, di dati personali, destinati ad essere organizzati in un archivio in seguito ad un trattamento effettuato in ambito penale, cioè indagini e processi penali o in esecuzione di sanzioni penali.
Il decreto in questione sostituirà il Regolamento UE n. 2008/977 e il titolo I e II della parte II del nostro Codice della privacy, abrogando gli articoli 53 e 57 (trattamenti da parte di forze di polizia).
Restano in vigore, invece, gli articoli precedenti, dedicati all’informatica giuridica.
È stata posta l’attenzione, quindi, sulla profilazione e su tutte quelle tecniche di trattamento di dati automatizzati: ovvero su tutti quei meccanismi che permettono di inserire una moltitudine di dati in un archivio, per poi utilizzarli ai fini della decisione (in questo caso) penale.
Il legislatore, pertanto, ha ritenuto opportuno dare a questi dati una maggiore protezione a causa “dei rischi insiti in tale tipologia per i diritti e le libertà degli individui”.
Privacy ambito penale: il decreto
Tuttavia, il legislatore non ha pensato di vietare apriori questi trattamenti, ma ha stabilito, che queste modalità debbano essere previste dalla legge, perché solo la fonte primaria soddisfa la condizione di liceità.
All’articolo 8 ha stabilito che:
- sono vietate le decisioni basate unicamente su trattamenti automatizzati, compresa la profilazione, che producono effetti negativi sul destinatario, salvo che siano state autorizzate dal diritto della Ue o da apposite disposizioni legislative.
- le disposizioni di legge devono prevedere garanzie adeguate per i diritti e le libertà dell’interessato. In ogni caso è garantito il diritto di ottenere l’intervento umano da parte del titolare del trattamento
- le decisioni di cui al punto uno non possono basarsi sulle categorie particolari di dati personali (quelli relativi all’appartenenza a razza, religione, sesso etc.), salvo che siano in vigore misure adeguate a salvaguardia dei diritti, delle libertà e degli interessi legittimi dell’interessato
L’articolo in esame, sostanzialmente rende possibile la profilazione a fini penali, pur stabilendo che la stessa deve essere prevista dalla legge, la quale dovrà predisporre adeguate garanzie e in ogni caso, assicurare al soggetto interessato il diritto ad ottenere l’intervento umano a integrazione e correzione dell’algoritmo.
Ottenere l’intervento umano in caso di trattamenti automatizzati, diviene un vero e proprio diritto.
Al fine di garantire tutto ciò, lo schema del decreto prevede due nuove fattispecie penali: viene introdotto il reato di profilazione finalizzata alla discriminazione e quello di trattamento illecito di dati sensibili.
LEGGI ANCHE: Tutto quello che devi sapere sulla privacy nelle scuole
Privacy ambito penale: sanzioni
Vengono, poi, introdotte anche alcune sanzioni amministrative a presidio degli adempimenti organizzativi e di sistema che lo schema di decreto prevede.
Ad esempio la garanzia della sicurezza dei dati, il rispetto delle normative procedimentali da parte del titolare e del responsabile del trattamento.
È prevista anche la nomina obbligatoria di un DPO, un Responsabile per la protezione dei dati (figura diversa da quella contemplata nel Regolamento europeo 2016/679, incaricato dal Titolare del trattamento con un contratto od altro atto giuridico che abbia forma scritta), ossia un soggetto con funzioni di protezione dei dati anche all’interno dei Tribunali e delle Procure.
Lo schema di decreto demanda ad interventi regolamentari la disciplina degli aspetti che sono esiziali, come il tempo di conservazione dei dati o il tempo di identificabilità dell’interessato.
Un regolamento stabilirà i presupposti di liceità dei trattamenti, mentre un’eventuale autorizzazione a decisioni fondate unicamente sulla profilazione dovrà essere decisa da un legge; infine, eventuali trattamenti non occasionali effettuati dalle forze di polizia ai fini di prevenzione e repressione dovranno essere individuati con decreto ministeriale.
Il provvedimento all’esame del Parlamento, predispone anche una serie di diritti e di tutele per gli interessati, che riprendono, anche nella terminologia, quelli che ritroviamo nel Codice privacy: diritto di informazione, di accesso, di rettifica, di cancellazione.
È previsto anche il diritto di presentare reclamo dinanzi Garante della Privacy, in caso di diniego non motivato.
Tuttavia, la competenza del Garante non si estende anche al procedimento penale: se infatti il trattamento viene effettuato da una autorità giudiziaria, cade la tutela amministrativa, potendosi ricorrere solo a quella endo-procedimentale penale e quindi, in caso di presunte violazioni nel trattamento dei propri dati, l’interessato dovrà ricorrere agli strumenti a tutela del diritto di difesa previsti dagli articoli 116 e 130 del codice di procedura penale.
Dei piccoli chiarimenti a conclusione
Abbiamo parlato della giustizia predittiva: si tratta di meccanismi (che si fondano su database e algoritmi) con cui “predire” gli esiti giudiziari. In pratica, si permette agli operatori del giudizio di anticipare il risultato potenziale della causa, vinta o persa, e l’entità dell’eventuale risarcimento.
Ancora, il Regolamento europeo ha definito la profilazione come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica. In particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica” (art. 4).
Bisogna notare che la profilazione (più degli altri trattamenti automatizzati) ha un contenuto valutativo e non descrittivo (da qui la preoccupazione del legislatore): il dato personale risultato dalla profilazione è un dato che valuta un soggetto ed è emesso da una macchina che costruisce sillogismi seguendo schemi predeterminati.
Tutto ciò risulta più pericolo se il trattamento profilativo riguarda dati personali raccolti ed utilizzati in ambito penale: una valutazione inesatta (proprio perché automatica), metterebbe a rischio diritti e libertà degli interessati oggetto di profilazione valutativa.
Un’ultima considerazione può essere fatta: anche senza tecniche automatizzate, il Giudice penale tiene già conto di una sorta di profilo personale dell’imputato e della sua probabile capacità a delinquere, desunta dai precedenti penali e giudiziari e dalla condotta antecedente, contemporanea o susseguente al reato.
Tutto ciò, però, incide solo sul potere discrezionale del Giudicante al fine di quantificare la pena, ma non è utilizzato per decidere se un soggetto è colpevole o innocente. Al contrario, le decisioni assunte con tecniche di profilazione possono riguardare la decisione sull’innocenza o la colpevolezza.
È per questo che, a prescindere da una legge che autorizzi decisioni fondate unicamente su trattamenti automatizzati, è necessario tutelare l’imputato di un processo penale da un uso distorto di questi strumenti.
