Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero

[v. Comunicato stampa]

LINEE GUIDA IN MATERIA DITRATTAMENTO DI DATI PERSONALI DA PARTE DEI CONSULENTI TECNICI E DEI PERITIAUSILIARI DEL GIUDICE E DEL PUBBLICO MINISTERO 

(Pubblicato sulla G.U. n. 178 del 31/7/2008 - Registro deliberazioni  Del. n. 46 del 26/6/2008)

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza delprof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componentie del dott. Giovanni Buttarelli, segretario generale;

VISTO il Codice in materia di protezionedei dati personali (d.lg. 30 giugno 2003, n. 196), anche in riferimentoall'art. 154, comma 1, lett. h);

RITENUTA la necessità di provvedere inrelazione ai rischi connessi al trattamento di dati personali effettuato daconsulenti tecnici e periti ausiliari del giudice e del pubblico ministeronell'ambito di procedimenti in sede civile, penale e amministrativa;

RILEVATA l'esigenza di individuare unquadro unitario di misure e di accorgimenti necessari e opportuni, volti afornire orientamenti utili per i professionisti interessati;

VISTE le pertinenti disposizioni delcodice di procedura civile (in particolare gli articoli da 61 a 64 e da 191 a200) e del codice di procedura penale (in particolare gli articoli da 220 a232, 359 e 360);

VISTE le osservazioni dell'Ufficio,formulate dal segretario generale ai sensi dell'art. 15 del regolamento delGarante, n. 1/2000;

RELATORE il dott. Giuseppe Chiaravalloti;

DELIBERA:

di adottare le "Lineeguida" contenute nel documentoallegato quale parte integrante della presente deliberazione;

di inviare copia del presenteprovvedimento al Ministero della giustizia e al Consiglio superiore dellamagistratura, per opportuna conoscenza nonché – per quanto dirispettiva competenza – per l'adozione di ogni iniziativa ritenuta idoneaalla massima diffusione presso gli uffici giudiziari interessati;

ai sensi dell'art. 143, comma 2,del Codice, di trasmettere al Ministero della giustizia-Ufficio pubblicazioneleggi e decreti copia del presente provvedimento, unitamente alle menzionate "Lineeguida", per la loropubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.

Roma, 26 giugno 2008

IL PRESIDENTE Pizzetti

IL RELATORE Chiaravalloti

IL SEGRETARIOGENERALE  Buttarelli

LINEE GUIDA IN MATERIA DITRATTAMENTO DI DATI PERSONALI DA PARTE DEI CONSULENTI TECNICI E DEIPERITI AUSILIARI DEL GIUDICE E DEL PUBBLICO MINISTERO

 (Deliberazionen. 46 del 26/6/2008 - Gazzetta Ufficiale n. 178 del 31/7/2008)

1. Premessa 1.1 Scopo delle linee guida I consulentitecnici e i periti ausiliari del giudice e del pubblico ministero coadiuvano eassistono l'autorità giudiziaria nello svolgimento delle proprie funzioni, quandociò si rende necessario per compiere atti o esprimere valutazioni cherichiedono particolari e specifiche competenze tecniche (art. 61 c.p.c.; artt.220 e 359 c.p.p.).

L'attività svolta dai consulenti tecnicie dai periti è strettamente connessa e integrata con l'attivitàgiurisdizionale, di cui mutua i compiti e le finalità istituzionali.

Nell'espletamento delle relativeincombenze, il consulente e il perito di regola vengono a conoscenza e devonocustodire, contenuti nella documentazione consegnata dall'ufficio giudiziario,anche dati personali di soggetti coinvolti a diverso titolo nelle vicendegiudiziarie (quali le parti di un giudizio civile o le persone sottoposte aprocedimento penale), e possono acquisire altre informazioni di natura personalenel corso delle operazioni (cfr. ad esempio, art. 194 c.p.c., richiesta dichiarimenti alle parti e assunzione di informazioni presso terzi; art. 228,comma 3, c.p.p., richiesta di notizie all'imputato, alla persona offesa o adaltre persone). L'attività dell'ausiliario comporta quindi il trattamento didiversi dati personali, talvolta di natura sensibile o di carattere giudiziario(art. 4, comma 1, lettere d) ed e) del Codice), di uno o più soggetti, personefisiche o giuridiche.

A tali trattamenti, in quantodirettamente correlati alla trattazione giudiziaria di affari e dicontroversie, si applicano le norme del Codice relative ai trattamentieffettuati presso uffici giudiziari di ogni ordine e grado "per ragioni digiustizia" (art. 47, comma 2, del Codice; cfr. Provv. del Garante 31 dicembre 1998, Provv. 27 marzo2002).

Le presenti linee guida mirano a fornireindicazioni di natura generale ai professionisti nominati consulenti tecnici eperiti dall'autorità giudiziaria nell'ambito di procedimenti civili, penali eamministrativi al fine esclusivo di garantire il rispetto dei princìpi inmateria di protezione dei dati personali ai sensi del Codice in materiaprotezione dei dati personali (d.lg.30 giugno 2003, n. 196).

1.2 Ambito considerato Le predette indicazioni non incidono sulle formeprocessuali che gli ausiliari devono rispettare nello svolgimento delleattività e nell'adempimento degli obblighi derivanti dall'incarico e dalleistruzioni ricevuti dall'autorità giudiziaria, come disciplinati dallepertinenti disposizioni codicistiche.

All'interno del paragrafo 6. sono poi formulatealcune indicazioni applicabili anche ai trattamenti di dati personalieffettuati dai soggetti nominati consulenti tecnici dalle parti private conriferimento a procedimenti giudiziari (artt. 87, 194, 195 e 201 c.p.c.; artt.225 e ss., 233 e 360 c.p.p.).

2. Il rispetto dei princìpi di protezionedei dati personali 2.1 Considerazioni generali La peculiare disciplina posta dal Codice con riguardoai trattamenti svolti per ragioni di giustizia (art. 47) rende non applicabilialcune disposizioni del medesimo Codice relative alle modalità di esercizio deidiritti da parte dell'interessato (art. 9), al riscontro da fornire al medesimo(art. 10), ai codici di deontologia e di buona condotta (art. 12),all'informativa agli interessati (art. 13), alla cessazione del trattamento(art. 16), al trattamento svolto da soggetti pubblici (artt. da 18 a 22), allanotificazione al Garante (artt. 37 e 38, commi da 1 a 5), a determinatiobblighi di comunicazione all'Autorità, alle autorizzazioni e al trasferimentodei dati all'estero (artt. da 39 a 45), nonché ai ricorsi al Garante (artt. da145 a 151).

Sono invece pienamente applicabili lealtre pertinenti disposizioni del Codice. In particolare, il trattamento deidati effettuato a cura di consulenti tecnici e periti deve avvenire:

nel rispetto dei princìpi diliceità e che riguardano la qualità dei dati (art. 11);

adottando le misure di sicurezzaidonee a preservare i dati da alcuni eventi, tra i quali accessi eutilizzazioni indebite (artt. 31 e ss. e disciplinare tecnico allegato B) alCodice).

2.2 Liceità, finalità, esattezza,pertinenza Il consulente e ilperito possono trattare lecitamente dati personali, nei limiti in cui ciò ènecessario per il corretto adempimento dell'incarico ricevuto e solonell'ambito dell'accertamento demandato dall'autorità giudiziaria; devonorispettare, altresì, le disposizioni sulle funzioni istituzionali dellamedesima autorità giudiziaria contenute in leggi e regolamenti, avvalendosi inparticolare di informazioni personali e di modalità di trattamentoproporzionate allo scopo perseguito (art. 11, comma 1, lett. a) e b)), nelrigoroso rispetto delle istruzioni impartite dall'autorità giudiziaria.

In tale quadro, l'eventuale utilizzoincrociato di dati può ritenersi consentito se è chiaramente collegato alleindagini delegate ed è stato autorizzato dalle singole autorità giudiziariedinanzi alle quali pendono i procedimenti o, se questi si sono conclusi, cheebbero a conferire l'incarico o da altra autorità giudiziaria competente.

Nel pieno rispetto dell'ambito e dellanatura dell'incarico ricevuto, il consulente e il perito sono tenuti adacquisire, utilizzare e porre a fondamento delle proprie operazioni evalutazioni informazioni personali che, con riguardo all'oggetto dell'indagineda svolgere, siano idonee a fornire una rappresentazione (finanziaria,sanitaria, patrimoniale, relazionale, ecc.) corretta, completa e corrispondenteai dati di fatto anche quando vengono espresse valutazioni soggettive diciascun interessato, persona fisica o giuridica. Ciò, non solo allo scopo difornire un riscontro esauriente in relazione al compito assegnato, ma anche alfine di evitare che, da un quadro inesatto o comunque inidoneo di informazionipossa derivare nocumento all'interessato, anche nell'ottica di una non fedelerappresentazione della sua identità (art. 11, comma 1, lett. c)).

Particolare attenzione deve essereinoltre posta dal consulente e dal perito nell'acquisire e utilizzare solo leinformazioni che risultino effettivamente necessarie in riferimento allespecifiche finalità di accertamento perseguite. In ossequio al principio dipertinenza nel trattamento dei dati, le relazioni e le informative fornite almagistrato ed eventualmente alle parti non devono né riportare dati, specie sedi natura sensibile o di carattere giudiziario o comunque di particolaredelicatezza, chiaramente non pertinenti all'oggetto dell'accertamento peritale,né contenere ingiustificatamente informazioni personali relative a soggettiestranei al procedimento (art. 11, comma 1, lett. d)).

3. Comunicazione dei dati Leinformazioni personali acquisite nel corso dell'accertamento possono esserecomunicate alle parti, come rappresentate nel procedimento (ad esempio,attraverso propri consulenti tecnici), con le modalità e nel rispetto deilimiti fissati dalla pertinente normativa posta a tutela della segretezza eriservatezza degli atti processuali. Fermo l'obbligo per l'ausiliare dimantenere il segreto sulle operazioni compiute (art. 226 c.p.p.; cfr. ancheart. 379-bis c.p.), eventuali comunicazioni di dati a terzi, ove ritenuteindispensabili in funzione del perseguimento delle finalità dell'indagine,restano subordinate a quanto eventualmente direttamente stabilito per legge o,comunque, a preventive e specifiche autorizzazioni rilasciate dalla competenteautorità giudiziaria.

4. Conservazione e cancellazione deidati In riferimento ai trattamenti di dati svolti per ragioni digiustizia non è applicabile la disposizione del Codice (art. 16) relativa allacessazione del trattamento di dati personali, evenienza che, nel caso deltrattamento effettuato dal consulente e dal perito, di regola coincide conl'esaurimento dell'incarico.

Trova, peraltro, applicazione anche aitrattamenti di dati personali effettuati per ragioni di giustizia il dettatodell'art. 11, comma 1, lett. e), del Codice il quale prevede che i dati nonpossono essere conservati per un periodo di tempo superiore a quello necessarioal perseguimento degli scopi per i quali essi sono stati raccolti e trattati.

Ne consegue che, espletato l'incarico eterminato quindi il connesso trattamento delle informazioni personali,l'ausiliario deve consegnare per il deposito agli atti del procedimento nonsolo la propria relazione, ma anche la documentazione consegnatagli dalmagistrato e quella ulteriore acquisita nel corso dell'attività svolta, salvoquanto eventualmente stabilito da puntuali disposizioni normative o daspecifiche autorizzazioni dell'autorità giudiziaria che disponganolegittimamente ed espressamente in senso contrario.

Ove non ricorrano tali ultime dueipotesi, il consulente e il perito non possono quindi conservare, in originaleo in copia, in formato elettronico o su supporto cartaceo, informazionipersonali acquisite nel corso dell'incarico concernenti i soggetti, personefisiche o giuridiche, nei cui confronti hanno svolto accertamenti.

Analogamente, la documentazione acquisitanel corso delle operazioni peritali deve essere restituita integralmente almagistrato in caso di revoca o di rinuncia all'incarico da partedell'ausiliario.

Qualora sia prevista una conservazioneper adempiere a uno specifico obbligo normativo (ad esempio, in materia fiscaleo contabile), possono essere custoditi i soli dati personali effettivamentenecessari per adempiere tale obbligo.

Eventuali, ulteriori informazioni devonoessere quindi cancellate, oppure trasformate in forma anonima anche perfinalità scientifiche o statistiche, tale da non poter essere comunque riferitaa soggetti identificati o identificabili, anche indirettamente, medianteriferimento a qualsiasi altra informazione (art. 4, comma 1, lett. b), delCodice).

Tutto ciò non pregiudica l'espletamentodi eventuali ulteriori attività dell'ausiliare, conseguenti a richieste dichiarimenti o di supplementi di indagine, che il consulente e il perito possonosoddisfare acquisendo dal fascicolo processuale, in conformità alle regoleposte dai codici di rito, la documentazione necessaria per fornire i nuoviriscontri.

5. Misure di sicurezza 5.1Misure idonee e misure minime Limitatamenteall'espletamento degli accertamenti, l'attività dell'ausiliare è connotata dapeculiari caratteri di autonomia, in relazione alla natura squisitamentetecnica delle indagini che si svolgono, di regola, senza l'intervento delmagistrato.

Ricevuto l'incarico e sino al momentodella consegna al giudice o al pubblico ministero delle risultanzedell'attività svolta, incombono concretamente al consulente tecnico e alperito, riguardo ai dati personali acquisiti all'atto dell'incarico e alleulteriori informazioni raccolte nel corso delle operazioni, le responsabilità egli obblighi relativi al profilo della sicurezza prescritti dal Codice.

L'ausiliare è tenuto quindi a impiegaretutti gli accorgimenti idonei a evitare un'indebita divulgazione delleinformazioni e, al contempo, la loro perdita o distruzione, adottando, a talfine, le misure atte a garantire la sicurezza dei dati e dei sistemieventualmente utilizzati. Egli deve curare personalmente, con il grado di autonomiariconosciuto per legge o con l'incarico ricevuto, sia le "misure idonee epreventive" cui fa riferimento l'art. 31 del Codice, sia le "misureminime" specificamente indicate negli articoli da 33 a 35 e neldisciplinare tecnico allegato B) al Codice, la cui mancata adozione costituiscefattispecie penalmente sanzionata (art. 169 del Codice). Ove reso necessariodal trattamento di dati sensibili o giudiziari effettuato con l'ausilio distrumenti elettronici, nell'ambito delle misure minime (art. 33, comma 1, lett.g) del Codice) deve essere redatto il documento programmatico sulla sicurezza,con le modalità e i contenuti previsti al punto 19. del citato disciplinaretecnico.

5.2 Incaricati L'obbligo di preporre alla custodia e al trattamentodei dati personali raccolti nel corso dell'accertamento solo il personalespecificamente incaricato per iscritto resta fermo anche nel caso in cui ilconsulente e il perito si avvalgano dell'opera di collaboratori, anche seaddetti a compiti di collaborazione amministrativa (art. 30 del Codice).L'attività di tali incaricati deve essere oggetto di precise istruzioni oltreche sulle modalità e sull'ambito del trattamento consentito, anche in ordinealla scrupolosa osservanza della riservatezza relativamente ai dati di cuivengono a conoscenza.

6. I consulenti tecnici di parte neiprocedimenti giudiziari Ferma restando ogni altra disposizione contenutanel Codice, nei provvedimenti generali adottati dal Garante e in un codicedeontologico concernente le condizioni e i limiti applicabili ai trattamenti didati personali effettuati dai consulenti tecnici di parte nei procedimentigiudiziari, anche a tali trattamenti trovano applicazione i princìpi di liceitàe che riguardano la qualità dei dati (art. 11 del Codice) e le disposizioni inmateria di misure di sicurezza volte alla protezione dei dati stessi (artt. 31e ss. e disciplinare tecnico allegato B) al Codice).

In particolare, il consulente di parte:

può trattare lecitamente i datipersonali nei limiti in cui ciò è necessario per il corretto adempimentodell'incarico ricevuto dalla parte o dal suo difensore ai fini dellosvolgimento delle indagini difensive di cui alla legge n. 397/2000 o, comunque,per far valere o difendere un diritto in sede giudiziaria (art. 11, comma 1,lett. a) e b)); dati sensibili o giudiziari possono essere utilizzati solo seciò è indispensabile;

può acquisire e utilizzare solo idati personali comunque pertinenti e non eccedenti rispetto alle finalitàperseguite con l'incarico ricevuto, avvalendosi di informazioni personali e dimodalità di trattamento proporzionate allo scopo perseguito (art. 11, comma 1,lett. d));

salvi i divieti di legge posti atutela della segretezza e riservatezza delle informazioni acquisite nel corsodi un procedimento giudiziario (cfr., ad esempio, l'art. 379-bis c.p.p.) e ilimiti e i doveri derivanti dal segreto professionale e dal fedele espletamentodell'incarico ricevuto (cfr. artt. 380 e 381 c.p.), può comunicare a terzi datipersonali solo ove ciò risulti necessario per finalità di tuteladell'assistito, limitatamente ai dati strettamente funzionali all'esercizio deldiritto di difesa della parte e nel rispetto dei diritti e della dignitàdell'interessato e di terzi;

relativamente ai dati personaliacquisiti e trattati nell'espletamento dell'incarico ricevuto da una parte,assume personalmente le responsabilità e gli obblighi relativi al profilo dellasicurezza prescritti dal Codice, relativamente sia alle "misure idonee epreventive" (art. 31) sia alle "misure minime" (artt. da 33 a 35e disciplinare tecnico allegato B) al Codice; art. 169 del Codice); ovel'incarico comporti il trattamento con strumenti elettronici di dati sensibilio giudiziari, è tenuto a redigere il documento programmatico sulla sicurezza(art. 33, comma 1, lett. g) e punto 19. del disciplinare tecnico allegato B));

deve incaricare per iscrittogli eventuali collaboratori, anche se adibiti a mansioni di carattereamministrativo, che siano addetti alla custodia e al trattamento, in qualsiasiforma, dei dati personali (art. 30 del Codice), impartendo loro preciseistruzioni sulle modalità e l'ambito del trattamento loro consentito e sullascrupolosa osservanza della riservatezza dei dati di cui vengono a conoscenza.