Domanda da Massimo F.

Buongiorno,
potete aiutarmi a capire che cosa comporta la violazione delle Regole deontologiche da parte di un investigatore privato? Sono stati commessi dei reati? E’ stata violata la privacy della persona investigata?

(Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 – 19 dicembre 2018)

In particolare la violazione dei commi 2,3 e 4 dell’Art. 8 Capo IV – Trattamenti da parte di investigatori privati che di seguito elenco:

2. L’investigatore privato non può intraprendere di propria iniziativa investigazioni, ricerche o altre forme di raccolta dei dati. Tali attività possono essere eseguite esclusivamente sulla base di apposito incarico conferito per iscritto e solo per le finalità di cui alle presenti regole.
3. L’atto d’incarico deve menzionare in maniera specifica il diritto che si intende esercitare in sede giudiziaria, ovvero il procedimento penale al quale l’investigazione è collegata, nonché i principali elementi di fatto che giustificano l’investigazione e il termine ragionevole entro cui questa deve essere conclusa.
4. L’investigatore privato deve eseguire personalmente l’incarico ricevuto e può avvalersi solo di altri investigatori privati indicati nominativamente all’atto del conferimento dell’incarico, oppure successivamente in calce a esso qualora tale possibilità sia stata prevista nell’atto di incarico. Restano ferme le prescrizioni predisposte ai sensi dell’art. 2-septies del d.lgs. n. 196/2003 e art. 21 del d.lgs. n. 101/2018 relative al trattamento delle particolari categorie di dati personali di cui all’art. 9, par. 1, del Regolamento (UE) 2016/679.

Grazie per un’eventuale risposta

Risposta Dott. Alfredo Sanfelice, Socio MTS consulenze – consulente compliance integrata (privacy, antiriciclaggio e 231/01) e DPO.

Dott. Gaetano Mastropierro, Socio MTS consulenze – consulente compliance integrata (privacy, antiriciclaggio e 231/01) e DPO.

Gentilissimo per rispondere al suo quesito è opportuna una premessa utile, peraltro, a far comprendere lo scopo delle regole deontologiche in tema di trattamento dati personali. Quelle relative ai trattamenti effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria traggono origine dal precedente Codice di deontologia e di buona condotta relativo agli stessi trattamenti che costitutiva l’allegato A.6 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196) nella formulazione ante d.lgs. 10 agosto 2018, n. 101.

Il Garante per la protezione dei dati personali, infatti, come previsto dall’art. 20, comma 4, del citato d.lgs. 101/2018, dopo aver verificato la conformità al Regolamento UE 2016/679 del Codice di deontologia e di buona condotta, lo ha ritenuto compatibile con il GDPR. Conseguentemente tale codice è stato riportato nell’allegato A del codice in materia di protezione dei dati personali, aggiornato con le disposizioni del d.lgs. 101/2018 con la nuova denominazione di regole deontologiche.

Lo scopo di queste regole è fissare le condizioni di liceità dei trattamenti dei dati alle quali si riferiscono con la conseguenza che il loro rispetto è condizione essenziale di liceità e correttezza del trattamento, come previsto dall’art. 2-quater del d.lgs. 101/2018. Ciò significa che se nell’intraprendere investigazioni, ricerche o altre forme di raccolta dei dati l’investigatore privato osserva le regole deontologiche suddette il trattamento potrà considerarsi non solo conforme alla legge e finalizzato ad uno scopo legittimo, ma anche rispettoso di norme etiche quanto alle modalità di raccolta e di utilizzo dei dati personali.

La conduzione da parte dell’investigatore privato di indagini ed accertamenti in contrasto con le regole deontologiche, anche quelle che Lei cita, integra una violazione dell’art. 2-quater del d.lgs. 101/2018 sanzionata ai sensi del combinato disposto dell’art. 166, comma 2 del codice della privacy (D.lgs. 196/2003) e dell’art. 83, paragrafo 5 del regolamento UE 2016/679 con una sanzione amministrativa fino a 10 milioni di euro o fino al 2 % del fatturato annuo dell’esercizio precedente.

Con riferimento, poi, al quesito finalizzato a conoscere se la violazione delle regole deontologiche integri anche la commissione di reati va valutata in concreto la condotta posta in essere dall’investigatore alla luce delle fattispecie penalmente rilevanti previste dal codice della privacy agli articoli 167, 167-bis e 167-ter, che prevedono in ogni caso che siano state realizzate con dolo specifico e cioè con il fine di trarre per se o per altri profitto ovvero di arrecare danno o nocumento all’interessato.

L’acquisizione, ad esempio, con mezzi fraudolenti di un archivio automatizzato contenente dati oggetto di trattamento su larga scala per conto di un committente, salvo che costituisca un più grave reato, è punito con la reclusione da uno a quattro anni (art. 167-ter).

Si deve altresì evidenziare che le fattispecie ricomprese nei menzionati reati contengono una specifica clausola di riserva connessa all’eventualità che i fatti non costituiscano più grave reato. In detti casi, quindi, la previsione penale applicabile non sarà quella relativa alla fattispecie “privacy” ma a quella della fattispecie considerata più grave (principio di sussidiarietà della fattispecie “privacy”). Ovviamente ogni puntuale valutazione circa la sussistenza della clausola di riserva dovrà essere realizzata alla luce di tutte le circostanze dei fatti in esame.

Dott. Alfredo Sanfelice, Socio MTS consulenze – consulente compliance integrata (privacy, antiriciclaggio e 231/01) e DPO.

Dott. Gaetano Mastropierro, Socio MTS consulenze – consulente compliance integrata (privacy, antiriciclaggio e 231/01) e DPO.