Privacy e profilazione in ambito penale
Il pericolo di creare in avvenire delle categorie di 'cattivi cittadini'
E’ attualmente all’esame del Parlamento uno schema di decreto legislativo (redatto nell’esercizio della delega conferita al Governo per il recepimento delle direttive europee) recante "Attuazione della Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio", decreto approvato dal Consiglio dei Ministri nella seduta dell’ 8/2/2018.
Secondo la relazione al decreto, esso costituirà una sorta di STATUTO GENERALE DELLA TUTELA DEI DATI PERSONALI IN AMBITO PENALE, fissando paletti, condizioni e sanzioni ai quali dovranno attenersi forze di polizia e magistratura nel trattare i dati di soggetti indagati ed imputati dall’inizio delle indagini all’esecuzione della pena (v. anche "Giustizia predittiva: niente profilazione per assumere provvedimenti penali", Articolo di Claudia Morelli, Altalex, 5/3/2018).
Oggetto del d. saranno quindi i trattamenti di dati personali - automatizzati o meno - da organizzare in un archivio a seguito di un trattamento di dati effettuati in ambito penale, ossìa nel corso di indagine, processo e fase esecutiva.
Il d. sostituirà il Regolamento Comunitario 2008/977 ed abrogherà gli artt. da 53 a 57 (Trattamenti da parte di forze di polizia) del vigente Codice Privacy.
Sempre il linea generale (tra le varie innovazioni), è prevista la nomina di un Responsabile per la protezione dei dati (DPO) nelle Procure e nei Tribunali, figura diversa da quella contemplata nel Regolamento europeo 2016/679, incaricato dal Titolare del trattamento con un contratto od altro atto giuridico che abbia forma scritta.
In aggiunta alle fattispecie penali oggi previste dal Codice Privacy, sono stati configurati i nuovi reati di profilazione finalizzata alla discriminazione e trattamento illecito di dati sensibili.
Un DPR stabilirà tempo e modalità di conservazione dei dati e di identificabilità dell’interessato; un regolamento stabilirà i presupposti di liceità dei trattamenti, mentre un’eventuale autorizzazione a decisioni fondate unicamente sulla profilazione dovrà essere decisa da un legge; infine, eventuali trattamenti non occasionali effettuati dalle forze di polizia ai fini di prevenzione e repressione dovranno essere individuati con decreto ministeriale.
Viene a questo punto allo scrivente il dubbio sull’opportunità di utilizzare quattro fonti normative differenti e di diverso grado per regolamentare gli aspetti di cui sopra attinenti all’unica materia della protezione dei dati personali.
Si osserva, inoltre, come, nell’ambito del trattamento effettuato in fase procedimentale dall’A.G. (Tribunale o Pubblico Ministero), la tutela dei diritti mutuati dall’ordinamento privacy (informazione, accesso, rettifica, cancellazione, ecc.) non potrà essere offerta dal Garante, ma, in caso di violazioni, l’interessato potrà avvalersi solo degli strumenti offerti dal codice di rito penale. Ad avviso di chi scrive, tuttavia, non potrà che attuarsi, in futuro, una modifica delle norme processuali in materia, che le renda così idonee a garantire i diritti di cui agli artt. 15, 16,17 18,20 e 21 del citato Regolamento europeo 2016/679.
In data 22 febbraio 2018, il Garante per la protezione dei dati personali ha dato parere favorevole allo schema di decreto, sia pur con alcuni suggerimenti riguardo a dodici aspetti (vedasi punti 2.1 - 2.12 e, in argomento, "Profilazione in ambito penale, sanzioni più alte in caso di illiceità", Articolo di Claudia Morelli in Altalex, 16/3/2018).
Tra l’altro, si è consigliato di inserire le norme dell’emanando decreto all’interno del Codice privacy.
Se così accadrà e se, alla fine, verrà dato corso alla Legge di delegazione europea del 2017, si potrà disporre di un decreto legislativo (si spera, uno solo) che armonizzi le norme previste dal Regolamento europeo e dal Codice della privacy. A questo punto sarebbe in futuro auspicabile l’emanazione di un T.U. (da aggiornare periodicamente) che raccolga tutta la normativa nazionale (leggi, decreti, regolamenti) in ambito di trattamento dei dati personali, magari corredato dai pareri del Garante in materia.
***
Come noto, il Regolamento europeo su citato definisce la ‘profilazione’ "qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica" (art. 4).
Anche se non ogni trattamento automatizzato è ‘profilazione’, quest’ultima risulta un trattamento astrattamente pericoloso perché ha un contenuto ‘valutativo’ e non descrittivo. Il dato personale risultato dalla profilazione è un dato che valuta un soggetto (ad es. ‘cattivo pagatore’) ed è emesso da una macchina che costruisce sillogismi seguendo schemi predeterminati.
L’astratto pericolo è che detta valutazione possa essere inesatta, mettendo così a rischio diritti e libertà degli interessati oggetto di profilazione valutativa (ad es., un’errata profilazione potrebbe fornire agli istituti bancari e finanziari l’immagine di un piccolo imprenditore quale ‘cattivo pagatore’ - e quindi inaffidabile dal punto di vista finanziario, con tutte le conseguenze in ordine alla concessione di mutui o prestiti in suo favore - mentre invece non lo è).
Il pericolo aumenta se il trattamento automatizzato profilativo riguarda dati personali in ambito penale, destinati ad essere raccolti in un archivio ed utilizzati in fase procedimentale.
In proposito l’art. 8 dello schema di decreto ha stabilito che:
1) sono vietate le decisioni (da parte dell’A.G. e quindi, si ritiene, di Tribunali penali, Giudici preliminari, Corti di Appello e di Cassazione, Tribunali del Riesame e di Sorveglianza) fondate unicamente su t. automatizzati, compresa la profilazione, che producano effetti negativi sul destinatario, sempre che non siano state autorizzate dal diritto comunitario o da disposizioni legislative nazionali;
2) tali disposizioni dovranno prevedere delle adeguate garanzie per i diritti e le libertà dell’interessato, compreso il diritto di ottenere l’intervento umano da parte del titolare del t.;
3) le decisioni di cui al punto 1 non potranno fondarsi su particolari categorie di dati (ad es. quelli relativi all’appartenenza ad una razza o ad una religione), salvo che siano in vigore adeguate misure a salvaguardia di diritti, libertà ed interessi legittimi degli interessati.
A questo proposito devono essere fatte alcune considerazioni.
Attualmente, il Giudice penale può tener conto di una sorta di ‘profilo personale’ dell’imputato, ossìa di una sua ‘capacità a delinquere’, desunta - tra l’altro - dai precedenti penali e giudiziari e dalla condotta antecedente, contemporanea o susseguente al reato.
Tuttavia, ciò incide solo sul potere discrezionale del Giudicante nel quantificare la pena (artt. 132 e 133 c.p.), ma non nel decidere se un soggetto è colpevole o innocente.
Al contrario, le decisioni di cui sopra possono riguardare la declaratoria di innocenza o colpevolezza o l’infliggibilità o meno di una misura cautelare.
Pertanto, ad avviso di chi scrive, anche in assenza di leggi che autorizzino le decisioni di cui al punto 1, potrà sempre sussistere il pericolo che un Giudice apprezzi negativamente il profilo di un imputato - così come risultante dall’archivio sopra citato, archivio magari pieno di denunce a suo carico, anche se mai esitate in un giudizio, a tal punto da farlo considerare un ‘cattivo cittadino’ - ed emani una sentenza di condanna od un’ordinanza di custodia in carcere nei suoi confronti fondata ‘intimamente’ sulla valutazione negativa, pur se la pronuncia non sarà mai stata ‘formalmente’ basata sulla profilazione.
Ovvero formuli una condanna o applichi una misura custodiale, non ‘unicamente’, ma ‘in gran parte’ motivata dal profilo di ‘cattivo cittadino’ dell’imputato.
Potrà inoltre avvenire che, in futuro, una legge consenta decisioni fondate ANCHE UNICAMENTE sulla profilazione di un soggetto.
Tale disposizione dovrà prevedere delle garanzie ‘adeguate’ per tutelare i diritti e le libertà di indagati ed imputati.
Purtroppo si può prospettare il pericolo che, in un momento di particolare allarme sociale e sensazione di insicurezza, vengano considerate come garanzie ‘adeguate’ quelle che tali saranno per gli umori popolari del tempo (ai quali, molto probabilmente, il Legislatore si adeguerà supino come più volte in passato), ma non certo per la reale salvaguardia di diritti e libertà degli interessati.
Per cui, considerato quanto sia difficile valutare l’ adeguatezza di una garanzia in un ambito, come quello penale, soggetto troppo spesso ad influenze di natura socio - politiche e quindi meta giuridiche, sarebbe preferibile, ad avviso dello scrivente, non consentire neanche per legge delle decisioni giudiziarie basate unicamente sulla profilazione, sempre che queste non siano in futuro permesse dal diritto comunitario.
Secondo la relazione al decreto, esso costituirà una sorta di STATUTO GENERALE DELLA TUTELA DEI DATI PERSONALI IN AMBITO PENALE, fissando paletti, condizioni e sanzioni ai quali dovranno attenersi forze di polizia e magistratura nel trattare i dati di soggetti indagati ed imputati dall’inizio delle indagini all’esecuzione della pena (v. anche "Giustizia predittiva: niente profilazione per assumere provvedimenti penali", Articolo di Claudia Morelli, Altalex, 5/3/2018).
Oggetto del d. saranno quindi i trattamenti di dati personali - automatizzati o meno - da organizzare in un archivio a seguito di un trattamento di dati effettuati in ambito penale, ossìa nel corso di indagine, processo e fase esecutiva.
Il d. sostituirà il Regolamento Comunitario 2008/977 ed abrogherà gli artt. da 53 a 57 (Trattamenti da parte di forze di polizia) del vigente Codice Privacy.
Sempre il linea generale (tra le varie innovazioni), è prevista la nomina di un Responsabile per la protezione dei dati (DPO) nelle Procure e nei Tribunali, figura diversa da quella contemplata nel Regolamento europeo 2016/679, incaricato dal Titolare del trattamento con un contratto od altro atto giuridico che abbia forma scritta.
In aggiunta alle fattispecie penali oggi previste dal Codice Privacy, sono stati configurati i nuovi reati di profilazione finalizzata alla discriminazione e trattamento illecito di dati sensibili.
Un DPR stabilirà tempo e modalità di conservazione dei dati e di identificabilità dell’interessato; un regolamento stabilirà i presupposti di liceità dei trattamenti, mentre un’eventuale autorizzazione a decisioni fondate unicamente sulla profilazione dovrà essere decisa da un legge; infine, eventuali trattamenti non occasionali effettuati dalle forze di polizia ai fini di prevenzione e repressione dovranno essere individuati con decreto ministeriale.
Viene a questo punto allo scrivente il dubbio sull’opportunità di utilizzare quattro fonti normative differenti e di diverso grado per regolamentare gli aspetti di cui sopra attinenti all’unica materia della protezione dei dati personali.
Si osserva, inoltre, come, nell’ambito del trattamento effettuato in fase procedimentale dall’A.G. (Tribunale o Pubblico Ministero), la tutela dei diritti mutuati dall’ordinamento privacy (informazione, accesso, rettifica, cancellazione, ecc.) non potrà essere offerta dal Garante, ma, in caso di violazioni, l’interessato potrà avvalersi solo degli strumenti offerti dal codice di rito penale. Ad avviso di chi scrive, tuttavia, non potrà che attuarsi, in futuro, una modifica delle norme processuali in materia, che le renda così idonee a garantire i diritti di cui agli artt. 15, 16,17 18,20 e 21 del citato Regolamento europeo 2016/679.
In data 22 febbraio 2018, il Garante per la protezione dei dati personali ha dato parere favorevole allo schema di decreto, sia pur con alcuni suggerimenti riguardo a dodici aspetti (vedasi punti 2.1 - 2.12 e, in argomento, "Profilazione in ambito penale, sanzioni più alte in caso di illiceità", Articolo di Claudia Morelli in Altalex, 16/3/2018).
Tra l’altro, si è consigliato di inserire le norme dell’emanando decreto all’interno del Codice privacy.
Se così accadrà e se, alla fine, verrà dato corso alla Legge di delegazione europea del 2017, si potrà disporre di un decreto legislativo (si spera, uno solo) che armonizzi le norme previste dal Regolamento europeo e dal Codice della privacy. A questo punto sarebbe in futuro auspicabile l’emanazione di un T.U. (da aggiornare periodicamente) che raccolga tutta la normativa nazionale (leggi, decreti, regolamenti) in ambito di trattamento dei dati personali, magari corredato dai pareri del Garante in materia.
***
Come noto, il Regolamento europeo su citato definisce la ‘profilazione’ "qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica" (art. 4).
Anche se non ogni trattamento automatizzato è ‘profilazione’, quest’ultima risulta un trattamento astrattamente pericoloso perché ha un contenuto ‘valutativo’ e non descrittivo. Il dato personale risultato dalla profilazione è un dato che valuta un soggetto (ad es. ‘cattivo pagatore’) ed è emesso da una macchina che costruisce sillogismi seguendo schemi predeterminati.
L’astratto pericolo è che detta valutazione possa essere inesatta, mettendo così a rischio diritti e libertà degli interessati oggetto di profilazione valutativa (ad es., un’errata profilazione potrebbe fornire agli istituti bancari e finanziari l’immagine di un piccolo imprenditore quale ‘cattivo pagatore’ - e quindi inaffidabile dal punto di vista finanziario, con tutte le conseguenze in ordine alla concessione di mutui o prestiti in suo favore - mentre invece non lo è).
Il pericolo aumenta se il trattamento automatizzato profilativo riguarda dati personali in ambito penale, destinati ad essere raccolti in un archivio ed utilizzati in fase procedimentale.
In proposito l’art. 8 dello schema di decreto ha stabilito che:
1) sono vietate le decisioni (da parte dell’A.G. e quindi, si ritiene, di Tribunali penali, Giudici preliminari, Corti di Appello e di Cassazione, Tribunali del Riesame e di Sorveglianza) fondate unicamente su t. automatizzati, compresa la profilazione, che producano effetti negativi sul destinatario, sempre che non siano state autorizzate dal diritto comunitario o da disposizioni legislative nazionali;
2) tali disposizioni dovranno prevedere delle adeguate garanzie per i diritti e le libertà dell’interessato, compreso il diritto di ottenere l’intervento umano da parte del titolare del t.;
3) le decisioni di cui al punto 1 non potranno fondarsi su particolari categorie di dati (ad es. quelli relativi all’appartenenza ad una razza o ad una religione), salvo che siano in vigore adeguate misure a salvaguardia di diritti, libertà ed interessi legittimi degli interessati.
A questo proposito devono essere fatte alcune considerazioni.
Attualmente, il Giudice penale può tener conto di una sorta di ‘profilo personale’ dell’imputato, ossìa di una sua ‘capacità a delinquere’, desunta - tra l’altro - dai precedenti penali e giudiziari e dalla condotta antecedente, contemporanea o susseguente al reato.
Tuttavia, ciò incide solo sul potere discrezionale del Giudicante nel quantificare la pena (artt. 132 e 133 c.p.), ma non nel decidere se un soggetto è colpevole o innocente.
Al contrario, le decisioni di cui sopra possono riguardare la declaratoria di innocenza o colpevolezza o l’infliggibilità o meno di una misura cautelare.
Pertanto, ad avviso di chi scrive, anche in assenza di leggi che autorizzino le decisioni di cui al punto 1, potrà sempre sussistere il pericolo che un Giudice apprezzi negativamente il profilo di un imputato - così come risultante dall’archivio sopra citato, archivio magari pieno di denunce a suo carico, anche se mai esitate in un giudizio, a tal punto da farlo considerare un ‘cattivo cittadino’ - ed emani una sentenza di condanna od un’ordinanza di custodia in carcere nei suoi confronti fondata ‘intimamente’ sulla valutazione negativa, pur se la pronuncia non sarà mai stata ‘formalmente’ basata sulla profilazione.
Ovvero formuli una condanna o applichi una misura custodiale, non ‘unicamente’, ma ‘in gran parte’ motivata dal profilo di ‘cattivo cittadino’ dell’imputato.
Potrà inoltre avvenire che, in futuro, una legge consenta decisioni fondate ANCHE UNICAMENTE sulla profilazione di un soggetto.
Tale disposizione dovrà prevedere delle garanzie ‘adeguate’ per tutelare i diritti e le libertà di indagati ed imputati.
Purtroppo si può prospettare il pericolo che, in un momento di particolare allarme sociale e sensazione di insicurezza, vengano considerate come garanzie ‘adeguate’ quelle che tali saranno per gli umori popolari del tempo (ai quali, molto probabilmente, il Legislatore si adeguerà supino come più volte in passato), ma non certo per la reale salvaguardia di diritti e libertà degli interessati.
Per cui, considerato quanto sia difficile valutare l’ adeguatezza di una garanzia in un ambito, come quello penale, soggetto troppo spesso ad influenze di natura socio - politiche e quindi meta giuridiche, sarebbe preferibile, ad avviso dello scrivente, non consentire neanche per legge delle decisioni giudiziarie basate unicamente sulla profilazione, sempre che queste non siano in futuro permesse dal diritto comunitario.
Articolo del: