Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero
Gazzetta Ufficiale n. 178 del 31 luglio 2008

Registro delle deliberazioni
Del. n. 46 del 26 giugno 2008

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), anche in riferimento all’art. 154, comma 1, lett. h);

RITENUTA la necessità di provvedere in relazione ai rischi connessi al trattamento di dati personali effettuato da consulenti tecnici e periti ausiliari del giudice e del pubblico ministero nell’ambito di procedimenti in sede civile, penale e amministrativa;

RILEVATA l’esigenza di individuare un quadro unitario di misure e di accorgimenti necessari e opportuni, volti a fornire orientamenti utili per i professionisti interessati;

VISTE le pertinenti disposizioni del codice di procedura civile (in particolare gli articoli da 61 a 64 e da 191 a 200) e del codice di procedura penale (in particolare gli articoli da 220 a 232, 359 e 360);

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante, n. 1/2000;

RELATORE il dott. Giuseppe Chiaravalloti;

DELIBERA:

  1. di adottare le “Linee guida” contenute nel documento allegato quale parte integrante della presente deliberazione;
  2. di inviare copia del presente provvedimento al Ministero della giustizia e al Consiglio superiore della magistratura, per opportuna conoscenza nonché –  per quanto di rispettiva competenza – per l’adozione di ogni iniziativa ritenuta idonea alla massima diffusione presso gli uffici giudiziari interessati;
  3. ai sensi dell’art. 143, comma 2, del Codice, di trasmettere al Ministero della giustizia-Ufficio pubblicazione leggi e decreti copia del presente provvedimento, unitamente alle menzionate “Linee guida”, per la loro pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.

Roma, 26 giugno 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
Buttarelli

Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici
e dei periti ausiliari del giudice e del pubblico ministero
(Deliberazione n. 46 del  26 giugno 2008 – Gazzetta Ufficiale n. 178 del 31 luglio 2008)

1. Premessa
1.1 Scopo delle linee guida
I consulenti tecnici e i periti ausiliari del giudice e del pubblico ministero coadiuvano e assistono l’autorità giudiziaria nello svolgimento delle proprie funzioni, quando ciò si rende necessario per compiere atti o esprimere valutazioni che richiedono particolari e specifiche competenze tecniche (art. 61 c.p.c.; artt. 220 e 359 c.p.p.).

L’attività svolta dai consulenti tecnici e dai periti è strettamente connessa e integrata con l’attività giurisdizionale, di cui mutua i compiti e le finalità istituzionali.

Nell’espletamento delle relative incombenze, il consulente e il perito di regola vengono a conoscenza e devono custodire, contenuti nella documentazione consegnata dall’ufficio giudiziario, anche dati personali di soggetti coinvolti a diverso titolo nelle vicende giudiziarie (quali le parti di un giudizio civile o le persone sottoposte a procedimento penale), e possono acquisire altre informazioni di natura personale nel corso delle operazioni (cfr. ad esempio, art. 194 c.p.c., richiesta di chiarimenti alle parti e assunzione di informazioni presso terzi; art. 228, comma 3, c.p.p., richiesta di notizie all’imputato, alla persona offesa o ad altre persone). L’attività dell’ausiliario comporta quindi il trattamento di diversi dati personali, talvolta di natura sensibile o di carattere giudiziario (art. 4, comma 1, lettere d) ed e) del Codice), di uno o più soggetti, persone fisiche o giuridiche.

A tali trattamenti, in quanto direttamente correlati alla trattazione giudiziaria di affari e di controversie, si applicano le norme del Codice relative ai trattamenti effettuati presso uffici giudiziari di ogni ordine e grado “per ragioni di giustizia” (art. 47, comma 2, del Codice; cfr. Provv. del Garante 31 dicembre 1998, doc. web n. 39608; Provv. 27 marzo 2002, doc. web n. 1063421).

Le presenti linee guida mirano a fornire indicazioni di natura generale ai professionisti nominati consulenti tecnici e periti dall’autorità giudiziaria nell’ambito di procedimenti civili, penali e amministrativi al fine esclusivo di garantire il rispetto dei princìpi in materia di protezione dei dati personali ai sensi del Codice in materia protezione dei dati personali (d.lg. 30 giugno 2003, n. 196).

1.2 Ambito considerato
Le predette indicazioni non incidono sulle forme processuali che gli ausiliari devono rispettare nello svolgimento delle attività e nell’adempimento degli obblighi derivanti dall’incarico e dalle istruzioni ricevuti dall’autorità giudiziaria, come disciplinati dalle pertinenti disposizioni codicistiche.

All’interno del paragrafo 6. sono poi formulate alcune indicazioni applicabili anche ai trattamenti di dati personali effettuati dai soggetti nominati consulenti tecnici dalle parti private con riferimento a procedimenti giudiziari (artt. 87, 194, 195 e 201 c.p.c.; artt. 225 e ss., 233 e 360 c.p.p.).

2. Il rispetto dei princìpi di protezione dei dati personali
2.1 Considerazioni generali
La peculiare disciplina posta dal Codice con riguardo ai trattamenti svolti per ragioni di giustizia (art. 47) rende non applicabili alcune disposizioni del medesimo Codice relative alle modalità di esercizio dei diritti da parte dell’interessato (art. 9), al riscontro da fornire al medesimo (art. 10), ai codici di deontologia e di buona condotta (art. 12), all’informativa agli interessati (art. 13), alla cessazione del trattamento (art. 16), al trattamento svolto da soggetti pubblici (artt. da 18 a 22), alla notificazione al Garante (artt. 37 e 38, commi da 1 a 5), a determinati obblighi di comunicazione all’Autorità, alle autorizzazioni e al trasferimento dei dati all’estero (artt. da 39 a 45), nonché ai ricorsi al Garante (artt. da 145 a 151).

Sono invece pienamente applicabili le altre pertinenti disposizioni del Codice. In particolare, il trattamento dei dati effettuato a cura di consulenti tecnici e periti deve avvenire:

  • nel rispetto dei princìpi di liceità e che riguardano la qualità dei dati (art. 11);
  • adottando le misure di sicurezza idonee a preservare i dati da alcuni eventi, tra i quali accessi e utilizzazioni indebite (artt. 31 e ss. e disciplinare tecnico allegato B) al Codice).

2.2 Liceità, finalità, esattezza, pertinenza
Il consulente e il perito possono trattare lecitamente dati personali, nei limiti in cui ciò è necessario per il corretto adempimento dell’incarico ricevuto e solo nell’ambito dell’accertamento demandato dall’autorità giudiziaria; devono rispettare, altresì, le disposizioni sulle funzioni istituzionali della medesima autorità giudiziaria contenute in leggi e regolamenti, avvalendosi in particolare di informazioni personali e di modalità di trattamento proporzionate allo scopo perseguito (art. 11, comma 1, lett. a) e b)), nel rigoroso rispetto delle istruzioni impartite dall’autorità giudiziaria.

In tale quadro, l’eventuale utilizzo incrociato di dati può ritenersi consentito se è chiaramente collegato alle indagini delegate ed è stato autorizzato dalle singole autorità giudiziarie dinanzi alle quali pendono i procedimenti o, se questi si sono conclusi, che ebbero a conferire l’incarico o da altra autorità giudiziaria competente.

Nel pieno rispetto dell’ambito e della natura dell’incarico ricevuto, il consulente e il perito sono tenuti ad acquisire, utilizzare e porre a fondamento delle proprie operazioni e valutazioni informazioni personali che, con riguardo all’oggetto dell’indagine da svolgere, siano idonee a fornire una rappresentazione (finanziaria, sanitaria, patrimoniale, relazionale, ecc.) corretta, completa e corrispondente ai dati di fatto anche quando vengono espresse valutazioni soggettive di ciascun interessato, persona fisica o giuridica. Ciò, non solo allo scopo di fornire un riscontro esauriente in relazione al compito assegnato, ma anche al fine di evitare che, da un quadro inesatto o comunque inidoneo di informazioni possa derivare nocumento all’interessato, anche nell’ottica di una non fedele rappresentazione della sua identità (art. 11, comma 1, lett. c)).

Particolare attenzione deve essere inoltre posta dal consulente e dal perito nell’acquisire e utilizzare solo le informazioni che risultino effettivamente necessarie in riferimento alle specifiche finalità di accertamento perseguite. In ossequio al principio di pertinenza nel trattamento dei dati, le relazioni e le informative fornite al magistrato ed eventualmente alle parti non devono né riportare dati, specie se di natura sensibile o di carattere giudiziario o comunque di particolare delicatezza, chiaramente non pertinenti all’oggetto dell’accertamento peritale, né contenere ingiustificatamente informazioni personali relative a soggetti estranei al procedimento (art. 11, comma 1, lett. d)).

3. Comunicazione dei dati
Le informazioni personali acquisite nel corso dell’accertamento possono essere comunicate alle parti, come rappresentate nel procedimento (ad esempio, attraverso propri consulenti tecnici), con le modalità e nel rispetto dei limiti fissati dalla pertinente normativa posta a tutela della segretezza e riservatezza degli atti processuali. Fermo l’obbligo per l’ausiliare di mantenere il segreto sulle operazioni compiute (art. 226 c.p.p.; cfr. anche art. 379-bis c.p.), eventuali comunicazioni di dati a terzi, ove ritenute indispensabili in funzione del perseguimento delle finalità dell’indagine, restano subordinate a quanto eventualmente direttamente stabilito per legge o, comunque, a preventive e specifiche autorizzazioni rilasciate dalla competente autorità giudiziaria.

4. Conservazione e cancellazione dei dati
In riferimento ai trattamenti di dati svolti per ragioni di giustizia non è applicabile la disposizione del Codice (art. 16) relativa alla cessazione del trattamento di dati personali, evenienza che, nel caso del trattamento effettuato dal consulente e dal perito, di regola coincide con l’esaurimento dell’incarico.

Trova, peraltro, applicazione anche ai trattamenti di dati personali effettuati per ragioni di giustizia il dettato dell’art. 11, comma 1, lett. e), del Codice il quale prevede che i dati non possono essere conservati per un periodo di tempo superiore a quello necessario al perseguimento degli scopi per i quali essi sono stati raccolti e trattati.

Ne consegue che, espletato l’incarico e terminato quindi il connesso trattamento delle informazioni personali, l’ausiliario deve consegnare per il deposito agli atti del procedimento non solo la propria relazione, ma anche la documentazione consegnatagli dal magistrato e quella ulteriore acquisita nel corso dell’attività svolta, salvo quanto eventualmente stabilito da puntuali disposizioni normative o da specifiche autorizzazioni dell’autorità giudiziaria che dispongano legittimamente ed espressamente in senso contrario.

Ove non ricorrano tali ultime due ipotesi, il consulente e il perito non possono quindi conservare, in originale o in copia, in formato elettronico o su supporto cartaceo, informazioni personali acquisite nel corso dell’incarico concernenti i soggetti, persone fisiche o giuridiche, nei cui confronti hanno svolto accertamenti.

Analogamente, la documentazione acquisita nel corso delle operazioni peritali deve essere restituita integralmente al magistrato in caso di revoca o di rinuncia all’incarico da parte dell’ausiliario.

Qualora sia prevista una conservazione per adempiere a uno specifico obbligo normativo (ad esempio, in materia fiscale o contabile), possono essere custoditi i soli dati personali effettivamente necessari per adempiere tale obbligo.

Eventuali, ulteriori informazioni devono essere quindi cancellate, oppure trasformate in forma anonima anche per finalità scientifiche o statistiche, tale da non poter essere comunque riferita a soggetti identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione (art. 4, comma 1, lett. b), del Codice).

Tutto ciò non pregiudica l’espletamento di eventuali ulteriori attività dell’ausiliare, conseguenti a richieste di chiarimenti o di supplementi di indagine, che il consulente e il perito possono soddisfare acquisendo dal fascicolo processuale, in conformità alle regole poste dai codici di rito, la documentazione necessaria per fornire i nuovi riscontri.

5. Misure di sicurezza
5.1 Misure idonee e misure minime

Limitatamente all’espletamento degli accertamenti, l’attività dell’ausiliare è connotata da peculiari caratteri di autonomia, in relazione alla natura squisitamente tecnica delle indagini che si svolgono, di regola, senza l’intervento del magistrato.

Ricevuto l’incarico e sino al momento della consegna al giudice o al pubblico ministero delle risultanze dell’attività svolta, incombono concretamente al consulente tecnico e al perito, riguardo ai dati personali acquisiti all’atto dell’incarico e alle ulteriori informazioni raccolte nel corso delle operazioni, le responsabilità e gli obblighi relativi al profilo della sicurezza prescritti dal Codice.

L’ausiliare è tenuto quindi a impiegare tutti gli accorgimenti idonei a evitare un’indebita divulgazione delle informazioni e, al contempo, la loro perdita o distruzione, adottando, a tal fine, le misure atte a garantire la sicurezza dei dati e dei sistemi eventualmente utilizzati. Egli deve curare personalmente, con il grado di autonomia riconosciuto per legge o con l’incarico ricevuto, sia le “misure idonee e preventive” cui fa riferimento l’art. 31 del Codice, sia le “misure minime” specificamente indicate negli articoli da 33 a 35 e nel disciplinare tecnico allegato B) al Codice, la cui mancata adozione costituisce fattispecie penalmente sanzionata (art. 169 del Codice). Ove reso necessario dal trattamento di dati sensibili o giudiziari effettuato con l’ausilio di strumenti elettronici, nell’ambito delle misure minime (art. 33, comma 1, lett. g) del Codice) deve essere redatto il documento programmatico sulla sicurezza, con le modalità e i contenuti previsti al punto 19. del citato disciplinare tecnico.

5.2 Incaricati
L’obbligo di preporre alla custodia e al trattamento dei dati personali raccolti nel corso dell’accertamento solo il personale specificamente incaricato per iscritto resta fermo anche nel caso in cui il consulente e il perito si avvalgano dell’opera di collaboratori, anche se addetti a compiti di collaborazione amministrativa (art. 30 del Codice). L’attività di tali incaricati deve essere oggetto di precise istruzioni oltre che sulle modalità e sull’ambito del trattamento consentito, anche in ordine alla scrupolosa osservanza della riservatezza relativamente ai dati di cui vengono a conoscenza.

6. I consulenti tecnici di parte nei procedimenti giudiziari
Ferma restando ogni altra disposizione contenuta nel Codice, nei provvedimenti generali adottati dal Garante e in un codice deontologico concernente le condizioni e i limiti applicabili ai trattamenti di dati personali effettuati dai consulenti tecnici di parte nei procedimenti giudiziari, anche a tali trattamenti trovano applicazione i princìpi di liceità e che riguardano la qualità dei dati (art. 11 del Codice) e le disposizioni in materia di misure di sicurezza volte alla protezione dei dati stessi (artt. 31 e ss. e disciplinare tecnico allegato B) al Codice).

In particolare, il consulente di parte:

  • può trattare lecitamente i dati personali nei limiti in cui ciò è necessario per il corretto adempimento dell’incarico ricevuto dalla parte o dal suo difensore ai fini dello svolgimento delle indagini difensive di cui alla legge n. 397/2000 o, comunque, per far valere o difendere un diritto in sede giudiziaria (art. 11, comma 1, lett. a) e b)); dati sensibili o giudiziari possono essere utilizzati solo se ciò è indispensabile;
  • può acquisire e utilizzare solo i dati personali comunque pertinenti e non eccedenti rispetto alle finalità perseguite con l’incarico ricevuto, avvalendosi di informazioni personali e di modalità di trattamento proporzionate allo scopo perseguito (art. 11, comma 1, lett. d));
  • salvi i divieti di legge posti a tutela della segretezza e riservatezza delle informazioni acquisite nel corso di un procedimento giudiziario (cfr., ad esempio, l’art. 379-bis c.p.p.) e i limiti e i doveri derivanti dal segreto professionale e dal fedele espletamento dell’incarico ricevuto (cfr. artt. 380 e 381 c.p.), può comunicare a terzi dati personali solo ove ciò risulti necessario per finalità di tutela dell’assistito, limitatamente ai dati strettamente funzionali all’esercizio del diritto di difesa della parte e nel rispetto dei diritti e della dignità dell’interessato e di terzi;
  • relativamente ai dati personali acquisiti e trattati nell’espletamento dell’incarico ricevuto da una parte, assume personalmente le responsabilità e gli obblighi relativi al profilo della sicurezza prescritti dal Codice, relativamente sia alle “misure idonee e preventive” (art. 31) sia alle “misure minime” (artt. da 33 a 35 e disciplinare tecnico allegato B) al Codice; art. 169 del Codice); ove l’incarico comporti il trattamento con strumenti elettronici di dati sensibili o giudiziari, è tenuto a redigere il documento programmatico sulla sicurezza (art. 33, comma 1, lett. g) e punto 19. del disciplinare tecnico allegato B));
  • deve incaricare per iscritto gli eventuali collaboratori, anche se adibiti a mansioni di carattere amministrativo, che siano addetti alla custodia e al trattamento, in qualsiasi forma, dei dati personali (art. 30 del Codice), impartendo loro precise istruzioni sulle modalità e l’ambito del trattamento loro consentito e sulla scrupolosa osservanza della riservatezza dei dati di cui vengono a conoscenza.