Prevenzione dei reati e trattamento di dati relativi a condanne penali

Indice:

1. Premessa

2. I termini della questione

3. L’attuazione dell’art 2-octies in relazione al Decreto Legislativo 231/2001

 

1. Premessa

Intendo segnalare e commentare brevemente la nota n. 9/2020 di Assonime su “Trattamento dei dati relativi a condanne penali e reati da parte delle imprese: verso l’attuazione dell’articolo 2-octies del Codice privacy”, con riguardo alla possibilità di tale trattamento nell’ambito della compliance con il Decreto Legislativo 231/2001.

 

2. I termini della questione

Per effettuare una due diligence su un terzo soggetto con il quale entra in rapporto, una società potrebbe voler acquisire dati personali del terzo, di tipo giudiziario (precedenti condanne, anche a carico della persona giuridica; procedimenti penali pendenti).

Quali regole occorre seguire in tema di protezione dei dati personali?

In precedenza, l’argomento rientrava nel disposto dell’articolo 27 del Codice privacy e dell’Autorizzazione generale del Garante n. 7/2016[1].

Ad oggi entra in gioco l’art 2-octies Codice privacy (Principi relativi al trattamento di dati relativi a condanne penali e reati), secondo cui il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza che non avviene sotto il controllo dell’autorità pubblica, è consentito solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati.

Il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza è consentito se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, riguardanti, in particolare:

a) l’adempimento di obblighi e l’esercizio di diritti da parte del titolare o dell’interessato in materia di diritto del lavoro o comunque nell’ambito dei rapporti di lavoro;

b) l’adempimento degli obblighi previsti da disposizioni di legge o di regolamento in materia di mediazione finalizzata alla conciliazione delle controversie civili e commerciali;

c) la verifica o l’accertamento dei requisiti di onorabilità, requisiti soggettivi e presupposti interdittivi nei casi previsti dalle leggi o dai regolamenti;

d) l’accertamento di responsabilità in relazione a sinistri o eventi attinenti alla vita umana, nonche’ la prevenzione, l’accertamento e il contrasto di frodi o situazioni di concreto rischio per il corretto esercizio dell’attività assicurativa, nei limiti di quanto previsto dalle leggi o dai regolamenti in materia;

e) l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

f) l’esercizio del diritto di accesso ai dati e ai documenti amministrativi, nei limiti di quanto previsto dalle leggi o dai regolamenti in materia;

g) l’esecuzione di investigazioni o le ricerche o la raccolta di informazioni per conto di terzi ai sensi dell’articolo 134 del testo unico delle leggi di pubblica sicurezza;

h) l’adempimento di obblighi previsti da disposizioni di legge in materia di comunicazioni e informazioni antimafia o in materia di prevenzione della delinquenza di tipo mafioso e di altre gravi forme di pericolosità sociale, nei casi previsti da leggi o da regolamenti, o per la produzione della documentazione prescritta dalla legge per partecipare a gare d’appalto;

i) l’accertamento del requisito di idoneità morale di coloro che intendono partecipare a gare d’appalto, in adempimento di quanto previsto dalle vigenti normative in materia di appalti;

l) l’attuazione della disciplina in materia di attribuzione del rating di legalità delle imprese;

m) l’adempimento degli obblighi previsti dalle normative vigenti in materia di prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo.

In mancanza delle predette disposizioni di legge o di regolamento, i trattamenti dei dati nonché le garanzie sono individuati con decreto del Ministro della giustizia.

Di certo il Decreto Legislativo 231 non contiene tale autorizzazione; inoltre, il decreto menzionato non è stato ancora emanato.

 

3. L’attuazione dell’art 2-octies in relazione al Decreto Legislativo 231/2001

L’attuazione dell’articolo 2-octies del Codice privacy è di grande importanza per rimuovere ogni incertezza e colmare le lacune riguardo alla copertura normativa del trattamento dei dati personali relativi alle condanne penali, ai reati e alle connesse misure di sicurezza dopo il superamento dell’autorizzazione generale del Garante privacy n. 7/2016.

Secondo Assonime, il decreto ministeriale dovrebbe considerare direttamente il trattamento di dati giudiziari necessario in attuazione di istituti previsti dall’ordinamento a cui viene riconosciuto un valore nell’interesse generale, con particolare riferimento al Decreto Legislativo n. 231/2001 e alle norme a livello nazionale, europeo e internazionale volte alla prevenzione dell’illegalità e della corruzione.

Come è noto, il Decreto Legislativo n. 231 in tema di responsabilità amministrativa degli enti, richiede a questi ultimi di adottare presidi organizzativi (“Modelli organizzativi”) adeguati a prevenire la commissione di una serie di reati all’interno dell’impresa, che comporterebbero responsabilità “penali” (e sanzioni pecuniarie ed interdittive) per l’impresa stessa.

Per quanto riguarda le società in controllo pubblico (se non quotate), l’adozione delle misure di prevenzione della corruzione costituisce un obbligo ai sensi della legge n. 190/2012 (e con le specificazioni contenute nella Delibera ANAC 1134/2017).

La nota Assonime aggiunge che le buone pratiche OCSE su controlli interni, etica e compliance prevedono che i programmi di compliance anticorruzione includano una “due diligence ben documentata” relativa alla selezione delle controparti a rischio.

Tali best practices sono state sostanzialmente recepite nello standard ISO 37001 sulla costruzione di sistemi aziendali anticorruzione.

L’autorizzazione normativa al trattamento potrebbe essere fornita direttamente dal decreto ministeriale, facendo riferimento al trattamento dei dati relativi a condanne penali o reati o alle connesse misure di detenzione che risulti necessario per la prevenzione della responsabilità penale dell’impresa ai sensi del decreto legislativo n. 231/2001 oppure in attuazione di modelli organizzativi per la prevenzione e il contrasto della corruzione.

Ciò consentirebbe alle imprese – secondo Assonime - di acquisire dati giudiziari, analogamente a quanto già avviene per gli appalti pubblici, anche per attività di tipo privatistico al fine di esercitare un maggiore controllo nel contesto dei processi di qualificazione dei fornitori: si pensi alle procedure dirette a identificare le imprese o i professionisti sulla base di standard qualitativi, di requisiti oggettivi e soggettivi previsti dalle policy aziendali.

Ovviamente, pur con l’auspicata copertura normativa in attuazione dell’articolo 2-octies, resterebbe ferma l’esigenza di rispettare i principi del GDPR, in particolare quello della minimizzazione del trattamento, previa verifica della necessità e proporzionalità dello stesso.

Infine, il documento ricorda che le imprese che operano come stazioni appaltanti ai sensi della disciplina dei contratti pubblici, siano esse a partecipazione pubblica o meno, attivano normalmente anche appalti e meccanismi di gara di tipo privatistico dovendo soddisfare le necessità ordinarie determinate dall’attività d’impresa:

“Se la ratio delle norme sui contratti pubblici è quella di contrastare l’infiltrazione della criminalità organizzata nell’attività d’impresa, lo stesso approccio che è obbligatorio per i contratti pubblici (applicare le cause di esclusione dell’articolo 80) dovrebbe essere consentito più in generale per tutti gli appalti relativi a lavori, servizi e forniture”.

Andrebbe, pertanto, considerata la possibilità di fornire espressa copertura normativa anche al trattamento di dati relativi a condanne penali, reati e connesse misure di sicurezza negli appalti di natura privatistica al fine della verifica su base volontaria delle cause di esclusione di cui all’articolo 80 del Codice appalti.

 

[1] L’articolo 27 consentiva il trattamento dei dati giudiziari da parte di privati o di enti pubblici economici soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specificasse le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili. Con l’autorizzazione generale n. 7/2016, il Garante aveva indicato una serie di ambiti nei quali, rispettando specifiche prescrizioni ivi contenute e fermi restando i principi generali della disciplina tra cui quello della minimizzazione del trattamento dei dati personali, il trattamento dei dati giudiziari era legittimo (rapporti di lavoro; attività di associazioni e fondazioni; attività dei liberi professionisti; imprese bancarie e assicuratrici; attività di investigazione privata; produzione della documentazione prescritta dalla legge per partecipare a gare d’appalto; accertamento dell’idoneità morale di coloro che intendono partecipare a gare di appalto; adempimento degli obblighi previsti dalle disposizioni in materia di comunicazione e certificazioni antimafia; attuazione della disciplina in materia di attribuzione del rating di legalità delle imprese).