La disciplina europea ed italiana del trattamento dei dati personali nei registri fallimentari

I registri fallimentari e, fra essi, quelli istituiti

e quello

, contengono, fra le informazioni pubblicamente accessibili, anche dati personali relativi ai debitori e ai soggetti incaricati della gestione della loro crisi nell'ambito di procedure concorsuali, quali curatori, commissari e giudici.

Il trattamento di tali dati, come accade per tutti i dati personali, deve avvenire nel rispetto delle norme vigenti in materia negli Stati membri, nel rispetto di quanto previsto dalla Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, volte, come noto, a bilanciare il difficile equilibrio fra il diritto all'informazione e il diritto ad un trattamento dei dati personali dei soggetti interessati (v. Focarelli, La privacy. Proteggere i dati personali oggi, Bologna, par. 8.2, 2015; Zeno Zencovich, Uso a fini privati di dati personali in mano pubblica, in Dir. Inf. 2003, 197-2001).

Il trattamento dei dati personali da parte degli Stati membri

I registri relativi alle procedure di insolvenza comportano il trattamento di dati personali, il

– analogamente a quanto previsto dalla

del Parlamento Europeo e del Consiglio del 13 giugno 2012 con riguardo ai registri centrali, commerciali e delle imprese e alla loro interconnessione – detta norme specifiche (artt. 78 – 83) in merito al trattamento dei dati personali da parte degli Stati membri e della Commissione.

Tali norme trovano fondamento nelle sopra ricordate norme in materia di trattamento dei dati personali, e, più specificamente, nelle osservazioni svolte dall'Autorità Garante Europea per il trattamento dei dati personali nel parere in data 27 marzo 2013 e di alcuni precedenti giurisprudenziali della Corte dei Diritti Umani (vedasi, ad esempio, la decisione della corte di Giustizia dei Diritti Umani n. 77924/01, 77955/01 and 77962/01 Albanese; Campagnano v Italy, ECtHR par. 23), fondati sull'art. 8 della Carta dei diritti fondamentali dell'Unione Europea (c.d. “Carta di Nizza”) del 7 dicembre 2000.

In particolare, con riguardo al trattamento dei dati personali – e, quindi, anche nell'ambito dei registri nazionali istituiti ai sensi dell'

nonché in occasione della interconnessione dei registri medesimi tramite il portale E-justice ai sensi dell'

– gli Stati membri sono tenuti al rispetto delle norme attuative della Direttiva 95/46/CE in materia di trattamento dei dati personali, a condizione che non siano interessati i trattamenti di cui all'art. 3, paragrafo 2, della Direttiva medesima (art. 78 Regolamento 848).

La responsabilità, ai sensi della Direttiva n. 95/46/CE, della raccolta e della conservazione dei dati nelle banche dati nazionali e delle decisioni prese per rendere tali dati disponibili nel registro interconnesso consultabile attraverso il portale europeo della giustizia elettronica grava sugli Stati membri (

). A tal fine, essi sono tenuti

(i)

ad assicurare l'attuazione delle misure tecniche tese a garantire la sicurezza dei dati personali trattati nei registri fallimentari nazionali di cui all'articolo 24;

(ii)

a verificare che il responsabile del trattamento, designato dalla legge nazionale, garantisca il rispetto dei principi della qualità dei dati, in particolare l'esattezza e l'aggiornamento dei dati conservati nei registri fallimentari nazionali;

(iii)

ad informare gli interessati in maniera tale da consentire loro di esercitare i loro diritti, in particolare il diritto alla cancellazione dei dati, come pure del periodo di accessibilità fissato per i dati personali conservati nei registri fallimentari. E ciò al fine di evitare che l'impossibilità di aggiornare o cancellare i dati personali relativi ad un debitore possa pregiudicare le sue relazioni sociali ed economiche con il mondo esterno, violando il diritto alla vita privata dell'individuo.

Segue. Disposizioni specifiche per i debitori persone fisiche

Ove il debitore sia una persona fisica che esercita un'attività imprenditoriale o professionale indipendente, nei registri fallimentari dovrà figurare solamente un numero di iscrizione, inteso come il numero di iscrizione unico dell'attività del debitore imprenditoriale o professionale indipendente pubblicato nel registro del commercio, se del caso (premessa 77), nell'osservanza dei principi di necessità e proporzionalità del trattamento.

L'accesso a informazioni relative a persone fisiche che non esercitano un'attività imprenditoriale o professionale indipendente, invece, dovrà essere subordinato a criteri di ricerca supplementari, quali il numero di identificazione personale del debitore, l'indirizzo, la data di nascita o la circoscrizione del giudice competente; ovvero a una domanda presentata a un'autorità competente o alla verifica di un legittimo interesse (premessa 79).

Gli Stati membri non saranno, invece, tenuti ad inserire nei loro registri fallimentari informazioni relative a debitori persone fisiche che non esercitano un'attività imprenditoriale o professionale indipendente (art. 24.4 Reg. 848/2015). In tal caso, le informazioni pertinenti sono fornite ai creditori dal giudice competente dello Stato di apertura della procedura di insolvenza ovvero dall'amministratore delle procedure di insolvenza nominato da tale giudice mediante una nota individuale ai sensi dell'art. 54.2 Reg. 848/2015.

Segue. Il trattamento dei dati personali da parte della Commissione Europea

Con riguardo, invece, al trattamento dei dati personali contenuti nei registri nazionali da parte della Commissione, tramite il portale della giustizia elettronica (e-justice), spetta alla Commissione stessa:

(i)

esercitare le funzioni di responsabile del trattamento ai sensi dell'art. 2, lett. d), Reg. (CE) n. 45/2001 conformemente alle sue responsabilità definite all'art. 80 del Reg. 848/2015;

(ii)

definire le politiche necessarie e applicare le soluzioni tecniche del caso per adempiere alle proprie responsabilità entro i limiti della funzione di responsabile del trattamento;

(iii)

attuare le misure tecniche necessarie a garantire la sicurezza dei dati personali in transito, in particolare la riservatezza e l'integrità di qualsiasi trasmissione da e verso il portale europeo della giustizia elettronica.

Inoltre, fatte salve le informazioni da fornire agli interessati ai sensi degli artt. 11 e 12 Reg. (CE) n. 45/2001, la Commissione informa gli interessati, mediante pubblicazione attraverso il portale europeo della giustizia elettronica, circa il suo ruolo nel trattamento dei dati e gli scopi del trattamento dei dati.

Per quanto concerne le informazioni provenienti da banche dati nazionali interconnesse, i dati personali sono conservati nelle banche dati nazionali gestite dagli Stati membri o da altri organismi, mentre nessun dato personale degli interessati è conservato nel portale europeo della giustizia elettronica. Tali dati sono accessibili attraverso il portale europeo della giustizia elettronica fino a che restano accessibili ai sensi del diritto nazionale.

Restano salve le disposizioni contenute nel Reg. (CE) n. 45/2001 del Parlamento europeo e del Consiglio del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari nonché la libera circolazione di tali dati; restano altresì impregiudicate le responsabilità degli Stati membri e di altri organismi relativamente al contenuto e al funzionamento delle banche dati nazionali interconnesse da essi gestite.

Considerazioni generali

Anche la pubblicazione delle informazioni nel Registro, come pure in ogni altro pubblico registro, dovrà rispettare i limiti alla conoscibilità dei dati previsti dalle leggi e dai regolamenti. In particolare, la pubblicazione dovrà avvenire nel rispetto delle norme in materia di protezione dei dati personali e della normativa comunitaria in materia di riutilizzo delle informazioni del settore pubblico.

Come già accade, in generale, per il trattamento dei dati personali in ambito concorsuale (cfr. Corno, Archivi e banche di dati personali nel fallimento. Prime considerazioni di diritto italiano, in Contr. e impr.2002, 729 ss), anche il trattamento dei dati personali contenuti nei documenti e negli atti pubblici pubblicati nel Registro deve avvenire nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali (art. 2 del Codice) (sul tema: Garante per la protezione dei dati personali, Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, Registro dei provvedimenti n. 243 del 15 maggio 2014), nel rispetto di quanto dispone il Reg. (CE) n. 848/2015 già sommariamente ricordato.

I dati personali trattati nel Registro sono dati identificativi, personali e giudiziari relativi alle procedure concorsuali. In altre parole, trattasi di dati che riguardano "informazioni riguardanti provvedimenti giudiziari dichiarativi di fallimento e di altre procedure concorsuali

30 novembre 2006

Con riguardo a tali dati:

• il Ministro della Giustizia dovrà operare quale titolare del trattamento. In quanto tale, è legittimato al trattamento dei dati personali degli interessati, senza necessità del loro consenso, ai sensi dell'

  art. 24, co

  mma

  1, lett. c), del D.Lgs.

  n.

  196/2003

  ; osserva i presupposti e i limiti stabiliti dal

  D.

  Lgs.

  n.

  196

  /2003

  , anche in relazione alla diversa natura dei dati, secondo quanto previsto dalla legge e dai regolamenti (

  art. 18 D.Lgs.

  n.

  196/2003

  ); è tenuto a ridurre al minimo l'utilizzazione dei dati personali e di dati identificativi; deve garantire la qualità dei dati pubblici utilizzati, salvaguardando la integrità, correttezza ed esattezza dei medesimi, anche una volta che siano fuoriusciti dal settore pubblico (in tal senso v. Carloni, Titolarità dei dati pubblici, in Ponti (cur.), Il regime dei dati pubblici. Esperienze europee e ordinamento nazionale, Rimini, 2008, 253 ss.); deve valutare la nomina di eventuali responsabili del trattamento e adottare le misure minime di sicurezza, al fine di evitare un trattamento dei dati contenuti nei documenti pubblicati contrario ai principi della normativa a protezione del trattamento dei dati personali. Inoltre, come evidenziato all'

  art. 47, comma

  1,

  C

  odice della Privacy

  , talune disposizioni non si applicano al trattamento dei dati per ragioni di giustizia: di conseguenza, il Ministro della giustizia non sarà tenuto a consentire all'interessato di esercitare i suoi diritti circa le modalità di esercizio dei dati, e non dovrà fornire riscontro alle sue domande (artt. 9-10); non sarà stilato alcun codice deontologico circa la sua attività (art. 12); non dovrà dare alcuna informativa per il trattamento dei dati (art. 13); non sarà tenuto alla distruzione o cessione dei dati in caso di cessazione del trattamento (art. 16); non dovrà sottostare alle regole ulteriori per il trattamento dei dati da parte di soggetti pubblici (artt.18-22); non dovrà sottostare alle regole riguardanti la notificazione del trattamento (artt. 37-38); infine, non si potrà svolgere alcun procedimento davanti al Garante della privacy (artt. 145-151).

• i curatori, i commissari giudiziali e i liquidatori giudiziali, come pure i debitori ammessi alle procedure concorsuali relative, quali interessati dal trattamento dei dati personali contenuti nel Registro, potranno invocare le tutele previste dalla normativa in vigore quali, ad esempio, il diritto all'informazione (

  art. 7,

  10

  e

  13 D.Lgs.

  n.

  196

  /

  2003

  ), il diritto di accesso ai propri dati ed, eventualmente, di correzione o cancellazione di dati personali errati (

  art. 7 D.Lgs. n. 196

  /

  2003

  ), il diritto di opposizione, in particolare in caso di riutilizzo per scopi commerciali, esercitabile anche senza alcuna particolare giustificazione (

  art. 7 del D.Lgs.

  n.

  196

  /

  2003

  che ha recepito l'art. 14 della Direttiva n. 95/46/CE).

Resta salvo, in ogni caso, quanto verrà previsto dal Codice deontologico e di buona condotta ai sensi dell'art. 61 del Codice in materia di trattamento dei dati personali, non ancora predisposto e approvato, relativo alla raccolta e al trattamento dei dati personali provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici.

Il riutilizzo dei dati personali contenuti nel Registro. Il Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale

Il rispetto della normativa vigente in materia di trattamento dei dati personali dovrà avvenire anche in sede di riutilizzo delle informazioni contenute nel Registro a fini commerciali, laddove comporti il trattamento di dati personali da parte di soggetti che prestano a terzi servizi di informazione commerciale a ciò autorizzati (

e successive modificazioni, recante il Testo Unico delle Leggi di Pubblica Sicurezza e relativi Regolamenti di attuazione). Tali soggetti, in quanto titolari del trattamento dei dati personali contenuti nei documenti del settore pubblico, dovranno rispettare i principi contenuti nella normativa in materia di trattamento di dati personali secondo quanto previsto dal ricordato Codice del trattamento dei dati personali (Alovisio e Bossi, Protezione dei dati personali e riutilizzo dell'informazione del settore pubblico), salvi i diritti degli interessati esercitabili non solo nei confronti del Ministro della Giustizia, ma, altresì, dei soggetti che prestano a terzi servizi di informazione commerciale.

Al fine di un più corretto utilizzo di tale normativa, nel mese di settembre 2015 il Garante per il trattamento dei dati personali ha predisposto il sopra ricordato Codice di deontologia e di buona condotta, ai sensi dell'art. 118 del Codice in materia di trattamento dei dati personali e di altre norme ivi contenute.

Tale Codice, sottoscritto da soggetti privati operanti nel settore relativo alle attività di informazione commerciale, è destinato a tutti i soggetti che prestano a terzi servizi di informazione commerciale ed è applicabile al trattamento di dati personali provenienti da pubblici registri, elenchi, atti o documenti conoscibili o pubblicamente accessibili da chiunque (c.d. fonti pubbliche), nonché al trattamento avente ad oggetto i dati personali forniti direttamente dagli interessati, effettuato dai soggetti che prestano a terzi servizi per finalità d'informazione commerciale.

Prima della approvazione del Codice ora citato, il Garante per il trattamento dei dati personali aveva avuto modo di pronunciarsi in diverse occasioni, in presenza di censure relative alla violazione della normativa sul trattamento dei dati personali in materia di trattamento di dati personali con riguardo alla pubblicazione di informazioni relative al loro accesso a procedure concorsuali.

Il Codice di deontologia e buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale (redatto nel rispetto degli artt. 12 e 154, comma 1, lett. e), del Codice in materia di protezione dei dati personali,

) consente, ora, di affrontare particolari aspetti del trattamento di dati personali per ragioni di giustizia, connessi alla trattazione giudiziaria di affari e controversie (cfr. art. 47 Codice in materia di protezione dei dati personali), effettuato nello svolgimento dell'attività di informazione commerciale.

Il Codice fa riferimento, nello specifico, a quella particolare forma di trattamento di dati personali che consiste nell'associare e nell'utilizzare le informazioni provenienti da fonti pubbliche, che si riferiscono ai già ricordati eventi negativi, per l'elaborazione di informazioni valutative riferite al soggetto censito.

Il trattamento interessato riguarda dati personali giudiziari provenienti da fonti pubbliche o da quelle pubblicamente e generalmente accessibili da chiunque, interessati dai ricordati eventi negativi (quali, ad es., fallimenti o procedure concorsuali, pregiudizievoli, ipoteche o pignoramenti, protesti) e, in particolare: (a) dati personali relativi al soggetto censito e ai soggetti ad esso legati sul piano giuridico e/o economico, relativamente ad imprese o società nelle quali lo stesso interessato rivesta o abbia rivestito, fino ad un anno prima, la carica di titolare di ditta individuale ovvero di socio di società di persone o di capitali; ovvero (b) in caso di soggetto censito diverso da persona fisica, i dati personali relativi a persone fisiche che ricoprono cariche e qualifiche nell'ambito del soggetto censito ovvero che detengano partecipazioni al capitale del soggetto censito in misura rilevante, incluse quelle su dati negativi relative ad imprese o società connesse a tali persone fisiche.

Le informazioni relative a fallimenti e procedure concorsuali non possono essere conservate dal fornitore, ai fini dell'erogazione dei servizi di informazione commerciale, per un periodo di tempo superiore a 10 anni dalla data di apertura del fallimento. Decorso tale periodo, le predette informazioni potranno essere ulteriormente utilizzate dal fornitore solo qualora risultino presenti altre informazioni relative ad un successivo fallimento ovvero risulti avviata una nuova procedura fallimentare o concorsuale relativa al soggetto censito o ad altro soggetto connesso, in considerazione del nuovo interesse pubblico alla informazione. In tal caso il trattamento può protrarsi per un periodo massimo di 10 anni dalle loro rispettive aperture.

Tale disposizione costituisce un riconoscimento del diritto dell'interessato a non restare indeterminatamente esposto a possibili danni ulteriori al suo onore e alla sua reputazione derivanti dalla reiterata pubblicazione di una notizia in passato legittimamente divulgata (c.d. “diritto all'oblio”) (la bozza di Regolamento approvata il 18 dicembre 2015 - concernente "la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati"

all'art. 17 disciplina il diritto all'oblio, inteso come possibilità per un interessato di ottenere la cancellazione dei propri dati personali in presenza di uno dei seguenti motivi: (a) i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; (b) l'interessato revoca il consenso su cui si fonda il trattamento, oppure il periodo di conservazione dei dati autorizzato è scaduto e non sussiste altro motivo legittimo per trattare i dati; (c) l'interessato si oppone al trattamento di dati personali ai sensi del succitato articolo; ovvero (d) il trattamento dei dati non è conforme al Regolamento per altri motivi. In questi casi, e in assenza di una delle eccezioni indicati all'art. 17 par. 3 della stessa bozza di Regolamento, il titolare del trattamento provvede senza ritardo alla cancellazione dei dati)

;

).