Estratto SIG – Dati relativi a condanne penali e reati
I dati relativi a condanne penali e reati ricevono dal GDPR un’accentuata protezione a causa della delicatezza delle informazioni che ne sono oggetto e dell’elevato impatto che esse possono produrre sui diritti e le libertà degli interessati. Secondo la CGUE, questo tipo di informazioni «possono costituire un’ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, garantiti dagli articoli 7 e 8 della Carta [v., in tal senso, sentenza del 24 settembre 2019, GC e a. (Deindicizzazione di dati sensibili), C‑136/17, EU:C:2019:773, punto 44]» in quanto i dati dell’articolo 10 «riguardano condotte che suscitano la disapprovazione della società, la concessione di un accesso a simili dati può comportare la stigmatizzazione dell’interessato e costituire, in tal modo, una grave ingerenza nella sua vita privata o professionale» (C-439/19, p. 74-75).
Figura – Disciplina dei dati personali relativi a condanne penali e reati.
Origini
Le origini dell’articolo 10 GDPR si rispecchiano nell’articolo 8, paragrafo 5, della direttiva 95/46/CE. Il paragrafo 5, che riguardava questo tipo di dati, era inserito nell’articolo 10 rubricato “Trattamenti riguardanti categorie particolari di dati” che conteneva la disciplina sia dei dati cosiddetti “sensibili” sia di quelli “giudiziari”: entrambi si connotano per la delicata natura di tali informazioni, ancorchè ciascuna di tali categorie è destinataria di una specifica disciplina. Il GDPR ha inteso distinguere la regolamentazione in due distinti articoli, l’articolo 9 per quelle che il regolamento denomina “categorie particolari di dati” e l’articolo 10 per i “dati relativi a condanne penali e reati e connesse misure di sicurezza”.
Ambito applicativo dell’art. 10
Diversamente dal codice italiano previgente, il GDPR non specifica cosa debba intendersi per “condanne penali e reati”. Quindi, un primo quesito riguarda l’ambito applicativo della norma, cioè stabilire quali siano i dati personali che sono soggetti alla disciplina di maggior rigore prevista dall’articolo 10.
Natura dell’illecito
L’informazione riguardante l’illecito che cade nel perimetro applicativo dell’articolo 10 GDPR è dichiaratamente di natura penale. In primo luogo lo si desume dal lessico utilizzato dal legislatore “condanne penali e reati”; anche se il riferimento ai “reati” non lo si ritrova in tutte le versioni linguistiche del regolamento (GGUE, C-439/19, p.77).
L’articolo 8, paragrafo 5, della direttiva 95/46/CE lasciava a ciascuno Stato membro il compito di valutare se le norme speciali in materia di dati relativi alle condanne penali e ai reati dovessero estendersi ai dati relativi alle sanzioni e agli illeciti amministrativi; in alcune legislazioni nazionali, attuative della direttiva, ciò è effettivamente avvenuto1.
Durante l’iter di approvazione del GDPR, il Parlamento UE aveva proposto di includere nella categoria dei dati di cui all’articolo 10 anche le “sanzioni amministrative” senza che tale proposta venisse accolta nella versione finale. Di conseguenza, la CGUE ritiene «che il legislatore dell’Unione, omettendo deliberatamente di includere l’aggettivo «amministrativo» nell’articolo 10 del RGPD, ha inteso riservare la maggiore protezione prevista da tale disposizione al solo ambito penale.» (C-439/19, p. 78).
Nozione di reato
Riguardo alla nozione di “reato” viene in soccorso la direttiva 2016/680 relativa ai trattamenti di dati personali operati dalla autorità competenti per la prevenzione e il contrasto ai reati e per la sicurezza pubblica (cosiddetta “direttiva di polizia”). Il Considerando (13) di questa direttiva afferma che «un reato ai sensi [di tale] direttiva dovrebbe costituire un concetto autonomo del diritto dell’Unione come interpretato dalla Corte di giustizia dell’Unione europea». Nè il GDPR «contiene alcun rinvio ai diritti nazionali quanto alla portata dei termini contenuti nell’articolo 10 di quest’ultimo, in particolare dei termini «reati» e «condanne penali».» (CGUE, C-430/19, punto 82).
Diritto UE come fonte interpretativa
Quindi, per stabilire cosa si intenda per “penale” e cosa sia “reato”, occorre rifarsi al diritto dell’Unione piuttosto che a quello degli Stati membri.
L’individuazione della fonte interpretativa nel diritto dell’Unione deriva dalla primazia dello stesso rispetto al diritto degli Stati membri ed alla conseguente necessità che il primo sia interpretato in modo autonomo e uniforme (sentenze del 19 settembre 2000, Linster, C‑287/98, EU:C:2000:468, punto 43, e del 1° ottobre 2019, Planet49, C‑673/17, EU:C:2019:801, punto 47 e, da ultimo, Lettonia, C-439/19, punto 81). Inoltre, come evidenziato dalla CGUE, «[d]al considerando 10 del GDPR emerge, poi, che quest’ultimo mira a contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia garantendo un livello coerente ed elevato di protezione delle persone fisiche con riguardo al trattamento dei dati personali, il che presuppone che tale livello di protezione sia equivalente ed omogeneo in tutti gli Stati membri.» (C-439/19, punto 83).