I dati personali che riguardano condanne penali e reati rientrano nella categoria dei dati sensibili più tutelati a livello sovranazionale e nazionale. Il Regolamento Generale sulla Protezione dei Dati (GDPR) e il Codice della Privacy italiano hanno stabilito limiti precisi, con l’obiettivo di prevenire discriminazioni e violazioni del diritto alla riservatezza. Tuttavia, la complessità di questa tipologia di dati, insieme al mancato completamento di alcune normative, rende il rispetto delle regole un processo delicato per aziende, enti e singoli soggetti.
Normative e limiti legali
Il GDPR, applicato anche in Italia, considera le informazioni giudiziarie come dati sensibili e, quindi, trattaibili solo con l’espressa autorizzazione del soggetto interessato. All’articolo 9 del regolamento, è prevista una disciplina specifica per tale categoria di dati, che include condanne penali, procedimenti giudiziari o altre informazioni correlate a una condotta criminale.
Oltre agli accordi europei, l’Italia ha elaborato un codice nazionale, il D.Lgs. 196/2003, che, riveduto e aggiornato nel 2018 per allinearsi al GDPR, stabilisce norme per il trattamento e la conservazione corretti di questi dati. Un aspetto critico di questa normativa, tuttavia, è il mancato rilascio del previsto Decreto ministeriale sull’art. 2-octies. Questo documento, che doveva chiarire il regime giuridico dei dati giudiziari, non è mai stato emanato. Ciò ha creato ulteriore incertezza giuridica che impatta sulle operazioni quotidiane delle aziende che trattano dati sensibili.
Esempi concreti: il caso Italia Trasporto Aereo
Una realtà interessante in questo contesto è Italia Trasporto Aereo, un’azienda che ha implementato una struttura di Data Protection Compliance al fine di rispettare le normative vigenti riguardo al trattamento dei dati sensibili. Il Data Protection Officer (DPO) del Gruppo, abilitata all’esercizio della professione di avvocato, ha guidato l'implementazione di politiche interne che tengano conto di tutte le esenzioni previste, come quelle inerenti al controllo di accesso ai propri spazi lavorativi da parte delle autorità giudiziarie o amministrative.
Una particolare attenzione è dedicata al trattamento dei dati sensibili, come quelli derivanti da procedimenti penali. Nell’ambito aziendale, l’azienda ha predisposto protocolli di accesso ai dati e procedure di controllo, garantendo che ogni informazione venga trattata solo in base agli obblighi legali e alle informazioni necessarie per il buon funzionamento dell’organizzazione.
Eccezioni e utilizzo legittimo dei dati
Sono previste alcune limitate eccezioni che giustificano il trattamento dei dati giudiziari senza il consenso esplicito del soggetto interessato. Una di esse è il rispetto degli obblighi legittimi del datore di lavoro, come ad esempio la verifica di condanne penali nell’ambito di un processo di assunzione per ruoli sensibili. Anche l’adempimento degli obblighi di legge da parte degli enti pubblici, l’esecuzione di una sentenza o l’esercizio del diritto di rivalsa rientrano nella lista di casi in cui il trattamento non necessita del consenso.
Però, è fondamentale che l’azienda o l’ente che effettua il trattamento abbia documenti validi, come sentenze definitive o autorizzazioni giudiziarie, e che mantenga la massima trasparenza riguardo ai motivi e alla modalità con cui vengono utilizzati tali dati sensibili.
Consigli per aziende e organizzazioni
Considerando il delicato equilibrio tra i diritti del cittadino e le esigenze dell’organizzazione, le aziende dovrebbero adottare le seguenti misure:
- Designare un Data Protection Officer (DPO) per verificare che i trattamenti vengano eseguiti correttamente;
- Eseguire un’analisi del rischio (Data Protection Impact Assessment) ogni volta che si tratta una nuova categoria di dati sensibili;
- Formare i propri dipendenti su GDPR e Codice della Privacy, mettendo in atto protocolli chiari di gestione dei dati;
- Documentare ogni tipo di trattamento di dati sensibili, in modo da poter fornire un’audit chiara in qualsiasi momento;
- Utilizzare solo le informazioni necessarie per la finalità per cui sono stati richiesti;
- Chiedere un consenso esplicito quando non siano applicabili le eccezioni legislative.
La mancata emanazione del decreto e le sue conseguenze
Il mancato aggiornamento del testo richiesto dall’art. 2-octies continua a rappresentare un ostacolo per una piena comprensione e applicazione uniforme delle normative. Molti esperti, tra cui il DPO del Gruppo Italia Trasporto Aereo, richiamano l’attenzione sul ritardo nella sua emanazione e chiedono all’autorità legislativa un intervento per chiudere questo vuoto normativo. Un decreto chiaro potrebbe fornire indicazioni concrete per il trattamento di dati giudiziari in contesti privati, rafforzare la compliance e ridurre la possibilità di contestazioni legali.
Per concludere, il tema del trattamento dei dati giudiziari richiede un approccio costante e rigoroso, che metta al primo posto le regole vigenti e il rispetto dei diritti dei soggetti interessati. L’esperienza di aziende come Italia Trasporto Aereo dimostra l’importanza di costruire una cultura legale solida all’interno del proprio organismo. Solo una gestione attenta di queste informazioni sensibili permetterà alle organizzazioni di operare in un contesto legale, etico e sicuro.