Incontro Garante Privacy
Comunicato Incontro Federpol – Garante Privacy
Una delegazione composta dal Presidente Nazionale Federpol Luciano Tommaso Ponzi, il Delegato Privacy Alberto Paoletti, i Consulenti Privacy Avv. Rocco Panetta ed Avv. Tommaso Mauro sono stati ricevuti dal Vice-segretario Generale dell’Autorità Garante per la protezione dei dati personali, dott. Daniele De Paoli Dirigente del Dipartimento realtà economiche e produttive e dal Dirigente Servizio affari legislativi e istituzionali dott. Mario de Bernart per una approfondita disanima delle principali problematiche relativeall’applicazione in ambito investigativo privato del regolamento generale sulla protezione dei dati, n. 2016/679 (GDPR).
Queste le tematiche dell’incontro:
Formulazione di una proposta di Revisione delle attuali Regole deontologiche
Nell’ambito dell’incontro è stata anzitutto avanzata la proposta di inviare al Garante una proposta di revisione delle attuali regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria.
Federpol si farà carico di questa proposta, indicando all’Autorità le principali osservazioni ed esigenze dellacategoria, inclusi gli aspetti di seguito descritti.
Esonero dal rilascio dell’informativa ex artt. 13 e 14 GDPR
Riconsiderazione dell’obbligo di rilascio dell’informativa da parte degli Investigatori privati (in particolare nei casi di dati personali raccolti presso l’interessato), che dovrebbe poter essere escluso quando ciò renda impossibile o addirittura pericolosa per il professionista l’attività di ricerca della prova, anche in vista della tutela giurisdizionale di diritti di rango pari o superiore a quello della protezione dei dati personali che,attraverso l’attività investigativa, si intendono tutelare.
È stato evidenziato il rischio che l’obbligo di rilascio dell’informativa a carico degli investigatori privati
favorisca lo svolgimento delle medesime attività da parte di privati cittadini, con evidenti minori garanzie di una corretta attività investigativa, della genuinità della prova e della tutela delle parti coinvolte: questi ultimi, infatti, risulterebbero esclusi dell’ambito di applicazione della normativa privacy in virtù dell’art. 2.2, lett. c) GDPR.
In un’ottica comparativa, le attività di investigazione privata, in quanto preordinate alla tutela giurisdizionaledi un diritto, dovrebbero godere della medesima esimente prevista per la professione giornalistica,tenuto conto del rango costituzionale dei beni giuridici sottesi all’esercizio di tale attività, quali, a titolo meramente esemplificativo, il diritto alla prova, alla difesa ed all’effettività della tutela giurisdizionale, nel rispetto dell’art. 24 Cost. tenuto anche conto che i dati raccolti dall’investigatore privato non sonodestinati ad una sistematica diffusione.
Conservazione dei Dati
Le Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria, in merito alla Conservazione dei dati, prescrivono all’art. 10c.2.3 che: “Una volta conclusa la specifica attività investigativa, il trattamento deve cessare in ogni sua forma, fatta eccezione per l’immediata comunicazione al difensore o al soggetto che ha conferito l’incarico, i quali possono consentire, anche in sede di mandato, l’eventuale conservazione temporanea di materiale strettamente personale dei soggetti che hanno curato l’attività svolta, ai soli fini dell’eventuale dimostrazione della liceità, trasparenza e correttezza del proprio operato. Se è stato contestato il trattamento il difensore o il soggetto che ha conferito l’incarico possono anche fornire all’investigatore il materiale necessario per dimostrare la liceità, trasparenza e correttezza del proprio operato, per il tempo a ciò strettamente necessario.
La sola pendenza del procedimento al quale l’investigazione è collegata, ovvero il passaggio ad altre fasi di giudizio in attesa della formazione del giudicato, non costituiscono, di per se stessi, una giustificazione valida per la conservazione dei dati da parte dell’investigatore privato.
Come è notorio, i processi si celebrano dopo moltissimi anni dall’attività di indagine svolta dall’investigatore privato e può accadere che il Cliente o l’Avvocato committenti non reperiscano più la relazione investigativaricevuta dal Detective privato il quale, a sua volta non può conservare il Report salvo che (i) sia statoall’uopo autorizzato dal soggetto che ha conferito l’incarico, e (ii) esclusivamente ai fini di una “conservazione temporanea di materiale strettamente personale dei soggetti che hanno curato l’attività svolta, ai soli fini dell’eventuale dimostrazione della liceità, trasparenza e correttezza del proprio operato”;pertanto, in sede di testimonianza potrebbe essere impossibile per l’investigatore privato risalire al proprio
Report, e magari anche ricordare – a distanza di anni – l’attività in concreto svolta, con gravissimo pregiudizio per il buon esito del procedimento. La delegazione ha pertanto richiesto una revisione di queste norme in un ottica volta a favorire il raggiungimento della verità processuale.
Esonero dall’obbligo di nomina del Responsabile per la Protezione dei Dati (DPO)
Con riguardo alla figura del Responsabile per la Protezione dei Dati (DPO), la Federpol ha ritenutoauspicabile che l’Illustrissima Autorità Garante, nell’ambito dell’operazione di revisione del Codice delleInvestigazioni, si esprima anche in merito alla non riconducibilità degli Investigatori privati nel novero di quei soggetti titolari del trattamento in capo ai quali l’art. 37.1 GDPR pone l’obbligo di nomina di un DPO. Tuttavia, in considerazione della astrattezza dell’espressione «su larga scala», sarebbe più che mai opportuno che l’Autorità ricolleghi l’obbligatorietà della nomina del DPO ad un parametro preciso, soprattutto al fine di assicurarsi che le agenzie di investigazioni piccole, medie o grandi, ritenute soggette al tale obbligo, non omettano la nomina sulla base di libere ed arbitrarie interpretazioni, ciò soprattutto ai fini di protezione dei dati personali degli interessati.
Infatti è stato rappresentato che molte agenzie di investigazioni autorizzate ex art. 134 TULPS possonoanche svolgere, nell’ambito delle proprie attività, servizi di informazione commerciale, tuttavia come attività residua e non principale: pertanto si ritiene che possa essere opportuno chiarire, nel Codice delleInvestigazioni, l’insussistenza dell’obbligo di nomina del DPO in tali casi, tenuto conto sia del numero dirapporti informativi emessi dalle agenzie di investigazioni che della incidenza che tali attività residue hanno sul fatturato di queste ultime.
Analoga osservazione potrebbe essere svolta, infine, con riferimento alle attività di recupero crediti, che pure potrebbero essere svolte dalle agenzie di investigazioni, sempre in maniera del tutto limitata e residuale. Anche in relazione a tale attività si ritiene, dunque, che possa essere opportuno chiarirel’inapplicabilità dell’obbligo di nomina del DPO previsto dall’art. 37 GDPR, ovvero individuare un parametro oggettivo – che potrebbe consistere, anche in tal caso, nella soglia di fatturato superiore al valore €300.000,00 – ( o altro importo superiore) come fu previsto in merito all’informativa da inserire nel proprio sitoweb per le Informazioni Commerciali.
Nomina Responsabile e Sub Responsabile
È stato prospettato ai Funzionari del Garante anche il problema della nomina dell’Investigatore Privato aResponsabile del trattamento dei dati personali ai sensi dell’articolo 28 del Regolamento (UE) 2016/679 per lo svolgimento di indagini in ambito civile, da parte del Titolare del trattamento.
Il Titolare può comunque autorizzare il Responsabile (Fornitore – Investigatore privato) ad avvalersi di soggetti terzi per lo svolgimento dei Servizi, indicati nel Contratto, e, quindi, a subdelegare il trattamento dei Dati Personali, solo nel rispetto delle disposizioni previste dalla norma.
Il Fornitore (Investigatore privato) può essere obbligato contrattualmente a comunicare i nominativi dei Sub- responsabili (agenzie corrispondenti) verificando che le stesse presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a rispettare i requisiti del GDPR e a garantire la tutela dei diritti dell’interessato, e svolgendo opportune verifiche e indagini, inviando al Titolare del trattamento la copia del contratto tra responsabile e Sub-responsabile unitamente ad una descrizione dei risultatidell’attività di indagine svolta.
Talecomunicazione al Titolare del trattamento dei dati personali (Cliente) dei nominatividei Sub- responsabili, ai quali vengono subappaltate le indagini, permette al Titolare di conoscere tutta la filiera e quindi rivolgersi magari in futuro direttamente ai sub responsabili per risparmiare sulla tariffa.
È evidente che tale obbligo è di grave pregiudizio per una normale attività professionale e di impresa, eanche tale circostanza è stata pertanto portata da Federpol all’attenzione dell’Autorità.
