>>>Leggi l’ordinanza ingiunzione n. 315 del 6 ottobre 2022<<<

1. Il decreto

Il decreto legislativo 7/2016 ha abrogato una serie di reati ed ha introdotto al loro posto degli illeciti civili con sanzioni pecuniarie. Inoltre, ha disciplinato la reiterazione dell’illecito, che si verifica allorquando, entro 4 anni dalla commissione di un illecito, la stessa persona compia un’altra violazione sottoposta a sanzione pecuniaria civile della stessa indole della prima, accertata con provvedimento esecutivo. Per verificare la presenza di una reiterazione dell’illecito, infine, il citato decreto legislativo ha previsto l’istituzione di un apposito registro informatizzato dove sono conservati tutti i provvedimenti in materia di sanzioni pecuniarie, demandando ad un apposito decreto del Ministro della giustizia la disciplina della sua tenuta.
In applicazione di detto decreto legislativo, quindi, il Ministero della Giustizia ha richiesto al Garante per la protezione dei dati personali un parere sullo schema di decreto emanato per disciplinare la tenuta del suddetto registro.

2. Lo schema di decreto sul registro

Lo schema di decreto sottoposto all’esame del Garante si compone di 6 articoli.
Nel primo articolo è previsto che il registro dei provvedimenti di applicazione delle sanzioni pecuniarie civili sia istituito per poter applicare la norma sulla reiterazione dell’illecito, su base nazionale.
L’articolo 2 stabilisce che il sistema informativo del registro debba permettere agli uffici competenti di poter iscrivere, eliminare, trasmettere e conservare i dati in questione attraverso delle tecnologie informatiche nonché tutte le attività che riguardano la formazione dei relativi certificati e i rapporti con gli utenti, in modo tale da garantire il rispetto dei principi di completezza, aggiornamento, esattezza e sicurezza dei dati.
L’articolo 3 prevede che il capo di ciascun ufficio giudiziario, con riferimento a tutte le utenze che sono assegnate all’ufficio, debba individuare uno o più funzionari abilitati ad operare sul registro e tra questi un referente che assume la responsabilità della gestione degli accessi al sistema e che rilasci i certificati delle iscrizioni contenute nel registro. Inoltre, viene previsto che ogni operazione compiuta sul registro debba essere memorizzata in appositi file di log e conservata per cinque anni.
L’articolo 4 stabilisce che devono essere iscritti nel registro i provvedimenti di applicazioni delle sanzioni pecuniarie che siano passati in giudicato (cioè rispetto ai quali non sia più possibile esperire l’appello o il ricorso in cassazione) e che tali provvedimenti siano iscritti solo per estratto contenente i dati indicati nel comma 2 dell’art. 6 del citato decreto legislativo 7/2016. Inoltre, il soggetto abilitato a procedere all’iscrizione nel registro deve verificare che il provvedimento di applicazione della sanzione pecuniaria contenga i dati utili per l’estratto da iscrivere nel registro e se verifica che ci sono dati mancanti o incompleti deve segnalare la cosa al giudice che ha emesso il provvedimento ai fini della sua correzione.
L’articolo 5 stabilisce che le iscrizioni debbono essere eliminate dal registro dopo che sono decorsi 10 anni dalla commissione della violazione oppure in caso di morte della persona a cui essi si riferiscono oppure se il provvedimento iscritto è stato revocato oppure lo stesso non fosse ancora passato in giudicato.
Infine, l’articolo 6 prevede che gli uffici che esercitano la giurisdizione acquisiscono dal registro il certificato di tutte le iscrizioni esistenti riferite ad un determinato soggetto e lo inseriscono nel fascicolo del processo in cui si discute dell’irrogazione di una sanzione pecuniaria nei confronti di tale soggetto. Inoltre, la norma prevede che l’interessato abbia il diritto di ottenere il certificato relativo alle iscrizioni che lo riguardano, rivolgendosi a qualunque ufficio giudiziario di primo grado. 

3. Il parere del Garante

In primo luogo, il Garante ha ritenuto non in linea con la normativa privacy l’art. 5 dello schema di decreto, disciplinante la durata di conservazione nel registro dei dati relativi ai provvedimenti di applicazione delle sanzioni pecuniarie.
Infatti, secondo il Garante, il decreto legislativo 7/2016 stabilisce che la reiterazione dell’illecito sussiste soltanto qualora il soggetto abbia compiuto una violazione della stessa indole nei 4 anni precedenti a quella oggetto del procedimento dove si discute dell’applicazione di una sanzione pecuniaria. Pertanto, il termine decennale di conservazione delle iscrizioni nel registro appare non in linea con il principio della limitazione della conservazione dei dati rispetto alla finalità perseguita, come previsto dal Regolamento europeo per la protezione dei dati personali (GDPR).
In secondo luogo, il Garante ha ritenuto che il medesimo articolo 5 non rispetti il principio della privacy by default previsto dal citato GDPR. Infatti, posto che viene ivi previsto che sia il soggetto abilitato della cancelleria del giudice che ha emesso il provvedimento a curare l’eliminazione delle iscrizioni obsolete, sarebbe invece più in linea con il citato principio della protezione dei dati per impostazione predefinita che tale cancellazione avvenisse attraverso un procedimento automatizzato al termine dello scadere del periodo di conservazione dei dati sopra previsto.
In terzo luogo, il Garante ha evidenziato come il decreto in esame dovrebbe prevedere delle specifiche garanzie per permettere agli interessati di esercitare i diritti di cui agli art. 15-22 del GDPR, soprattutto per permettere di assicurare il rispetto del principio di esattezza dei dati. A tal fine, quindi, il decreto dovrebbe stabilire le modalità per individuare il soggetto competente a fornire riscontro alle richieste di esercizio dei diritti da parte degli interessati e a disciplinare con apposite procedure la gestione delle relative istanze nonché a fornire a detti interessati l’informativa sui loro diritti e sulle modalità per esercitarli.
In quarto luogo, il Garante inviata il Ministero a inviargli la bozza del Decreto del direttore dei sistemi informativi automatizzati del ministero stesso che questi dovrà adottare per disciplinare le regole di funzionamento tecniche del sistema informativo del registro.
Infine, il Garante ha richiesto al Ministero di effettuare una valutazione di impatto del trattamento sulla protezione dei dati personali, prima di dare inizio al trattamento (quindi alla tenuta del registro), in quanto i dati che saranno ivi conservati sono a tutti gli effetti ritenuti dati relativi a “reati” ai sensi dell’art. 10 del GDPR.