È dal 19 settembre 2018 che manca uno provvedimento autorizzatorio specifico in materia di trattamento dei dati giudiziari da parte di privati, enti pubblici economici e soggetti pubblici. Gli istituti assicurativi sono tra le attività maggiormente colpite da questa situazione, che potrebbe condurre ad una paralisi del settore.
Come far fronte a questa esigenza? La risposta dei nostri consulenti, Avv.ti Sarah Ungaro e Mario Montano.
La situazione pregressa
L’autorizzazione generale n. 7/2016 del Garante Privacy (Autorizzazione al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici) ha cessato di produrre effetti a partire dal 19 settembre 2018, ai sensi dell’art. 21, comma 3, D. Lgs. 101/2018.
L’art. 2-octies, D.Lgs 196/2003, in attuazione di quanto previsto dall’art. 10, GDPR, afferma che il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza è consentito se avviene sotto il controllo dell’autorità pubblica, a meno che il trattamento non sia autorizzato da:
- una norma di legge o di regolamento (se previsto dalla legge);
- un decreto del Ministro della Giustizia, in mancanza di una norma di legge o di regolamento.
La situazione attuale
Ad oggi non sono stati adottati provvedimenti legislativi o regolamentari che autorizzino il trattamento dei dati di cui all’art. 10, GDPR e che prevedano garanzie appropriate per i diritti e le libertà degli interessati. Manca uno specifico provvedimento autorizzatorio e il rischio è di paralizzare l’attività da parte degli istituti assicurativi.
Per far fronte a questa esigenza si potrebbe valutare l’opportunità di continuare ad applicare le prescrizioni contenute nel Provvedimento del Garante n. 7/2016, adattandole alle norme del Regolamento 2016/679/UE (GDPR) e del D.Lgs. n. 196/2003 (Codice in materia di protezione dei dati personali), così come modificato dal D.Lgs. n. 101/2018, in ottica di accountability da parte del Titolare del trattamento.
Riconoscimento del Cliente: la base giuridica del trattamento
Le condizioni di liceità del trattamento dei dati giudiziari sono quelle di cui all’art. 6, par. 1, GDPR, come richiamato dallo stesso art. 10. Così, nell’ambito delle procedure di riconoscimento del cliente, ai fini antiriciclaggio o antifrode, la base giuridica sarà l’adempimento di un obbligo legale.
I provvedimenti da escludere
A differenza dei dati personali di cui all’art. 10, GDPR, i provvedimenti di condanna o di altra natura sul piano amministrativo o civile non rientrano nella categoria dei dati giudiziari e nemmeno in quelle categorie particolari di dati personali di cui all’art. 9, GDPR.
Pertanto, ai fini del loro trattamento valgono le disposizioni generali contenute nel GDPR e nel Codice in materia di protezione dei dati personali.
Hai dubbi? Contattaci!
Lo Studio Legale Lisi è una realtà professionale multidisciplinare, specializzata sulle principali tematiche legate al rapporto – in perenne divenire – tra il diritto e le nuove tecnologie. I nostri professionisti sono a tua disposizione per attività di consulenza, assistenza e redazione di pareri, contratti e documenti nei diversi ambiti che caratterizzano il settore dell’ICT Law, tra cui la compliance legale specifica per Istituti Bancari e Assicurativi.
Per scriverci, compila i campi qui sotto