Michele Centrone

Il trattamento dei dati giudiziari dopo il GDPR

Share on linkedin
Share on twitter
Share on facebook

Spesso, all’atto dell’assunzione di un nuovo dipendente, viene acquisita da parte delle aziende una copia del certificato del casellario giudiziale in cui sono annotate le eventuali condanne riportate dal candidato.

Anche ove l’acquisizione di tale certificato si ponga come attuazione di una misura di due diligence introdotta nell’ambito del sistema di gestione anticorruzione ai sensi della norma ISO 37001:2016, la legittimità dell’acquisizione dei dati giudiziari deve essere sottoposta ad attenta verifica in considerazione del mutamento del quadro normativo in materia di privacy.

Il vecchio regime privacy all’art 27 del D.Lgs 196/2003 prevedeva che il trattamento dei dati giudiziari fosse consentito anche se autorizzato – oltre che dalla legge – da un Provvedimento del Garante.

L’Autorizzazione generale del Garante n. 7/2016 – relativa al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e soggetti pubblici – recitava: “Il trattamento deve essere indispensabile per: adempiere o esigere l’adempimento di specifici obblighi o eseguire specifici compiti previsti da leggi, dalla normativa dell’Unione europea, da regolamenti o da contratti collettivi, anche aziendali, e ai soli fini della gestione del rapporto di lavoro, anche autonomo o non retribuito od onorario; verificare, limitatamente ai dati strettamente necessari, i requisiti di onorabilità dei dipendenti di società operanti nel settore del rating…”

Quindi era lecito – ad esempio in sede preassuntiva, dopo lo screening inziale e dopo aver individuato il candidato da assumere – raccogliere dati giudiziari ove espressamente previsto dal relativo CCNL e salvo gli altri limiti previsti dalla detta Autorizzazione generale.

Con l’introduzione del Regolamento UE 2016/679, il trattamento dei dati giudiziari deve avvenire soltanto nella ricorrenza di una delle basi giuridiche di cui all’art. 6 par. 1 del GDPR e sotto il controllo dell’Autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.

L’autorizzazione generale al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici n. 7/2016, alla luce della disciplina applicabile ai medesimi dati contenuta nel Regolamento e nel Codice (art. 10 Regolamento; 2-octies del Codice e art. 21 del d.lgs. n. 101/2018), ha cessato di produrre effetti giuridici alla data del 19 settembre 2018.

Il Codice Privacy, come modificato dal D.Lgs 101, prevede ora che solo una norma di legge possa abilitare al trattamentotogliendo al provvedimento del Garante la possibilità di porsi come fonte autonoma di legittimazione

In particolare l’art. 2-octies del D.Lgs. 101/2018 ha infatti stabilito che il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza è consentito solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati.

“In mancanza delle predette disposizioni di legge o di regolamento, i trattamenti dei dati sono individuate con decreto del Ministro della giustizia, da adottarsi, ai sensi dell’articolo 17, comma 3, della legge 23 agosto 1988, n. 400, sentito il Garante”.

Tale Decreto Ministeriale tutt’ora manca… quindi – salvo i casi in cui un provvedimento normativo lo preveda (ad esempio DPR 487/1994 per i dipendenti della P.A.; D.Lgs. 165/2001 per il personale assunto a tempo determinato o con forme di lavoro flessibile presso la P.A.;  D.Lgs. 39/2014 per le attività che comportino contatti diretti e regolari con minori) – il trattamento dei dati giudiziari  non può ritenersi consentito nell’attuale quadro normativo, salvo che ricorra una delle basi giuridiche di cui all’art. 6, paragrafo 1 del GDPR e, altresì, che esso avvenga sotto il controllo dell’autorità pubblica oppure essere autorizzato dal diritto dell’Unione o degli Stati membri e che preveda garanzie appropriate per i diritti e le libertà degli interessati.

Dunque non è sufficiente che tale trattamento sia necessario per la conformità a standard normativi (esempio ISO 37001:2016), i quali non sono equiparabili a provvedimenti normativi e restano di applicazione volontaria.

Il Regolamento recante norme per l’individuazione dei requisiti di onorabilità e professionalità degli esponenti aziendali delle banche e delle cause di sospensione (DM 161/1998) e il Regolamento recante norme per l’individuazione dei requisiti di onorabilità dei partecipanti al capitale sociale delle banche (DM 144/1998) possono essere ritenuti fondamento giuridico normativo adeguato a consentire il trattamento dei dati giudiziari ma limitatamente agli ambiti in essi richiamati e solo per i soggetti in essi individuati (partecipanti al capitale di banche ovvero amministratori, direttori e soggetti che ricoprono cariche equivalenti; amministratore, sindaco e direttore generale in banche).

Per quanto attiene, invece, agli altri dirigenti e ai dipendenti di tali enti bancari, nonché in genere ai dipendenti delle aziende private, la questione del trattamento dei dati giudiziari rimane di difficile soluzione, atteso il sopra descritto “vuoto” normativo.

Per tali enti, dunque, l’alternativa che si pone è la seguente: a) attendere che venga emanato un decreto del Ministero della Giustizia che individui garanzie appropriate per i diritti e le libertà degli interessati; b) procedere al trattamento dei dati personali relativi a condanne penali e reati ai sensi dell’articolo 8 dello Statuto dei Lavoratori (che è, appunto, una norma di legge), nei limiti e con le possibili conseguenze da ciò derivanti.

L’art 8 dello Statuto dei Lavoratori, ponendo il divieto al datore di lavoro di effettuare, ai fini dell’assunzione o nel corso del rapporto, indagini “su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”, sembrerebbe quindi consentire indagini su fatti rilevanti per la valutazione dell’attitudine alle specifiche mansioni.

Fermo il divieto di richiedere i carichi pendenti (che in quanto relativi a processi non ancora conclusi in via definitiva, lederebbero il principio di presunzione di innocenza), il semplice dettato dell’art. 8 non sembra tuttavia autorizzare la richiesta del certificato penale (o casellario giudiziale), nel quale potrebbero essere elencati reati non rilevanti ai fini della valutazione dell’attitudine alle specifiche mansioni.

Sicché l’indagine, eventualmente assolta con la richiesta di un’autodichiarazione da parte del candidato/lavoratore, dovrebbe essere in ogni caso limitata alle fattispecie di reato specificamente attinenti alle mansioni da svolgere, non essere svolta genericamente alla totalità dei candidati ma piuttosto mirata agli specifici profili o posizioni da ricoprire e, comunque, limitata ad affermazioni negative senza richiedere, invece, dettagli sulle condanne.

Va considerato che anche tali autodichiarazioni – siano o meno eseguite ai sensi del D.P.R. N. 445/2000 – costituiscono trattamento di dati personali giudiziari.

Altresì, deve considerarsi che, benché  vi sia sempre la possibilità per il lavoratore/candidato di richiedere in sede giudiziale il risarcimento del danno per la mancata assunzione o per il licenziamento intervenuto in violazione del divieto ex art. 8 statuto del lavoratori e che vi siano delle sanzioni penali all’art. 38 dello Statuto dei Lavoratori nel caso in cui il Datore di Lavoro non rispetti i limiti di cui all’art. 8, tali circostanze potrebbero non essere ritenute sufficienti ad integrare quelle “garanzie appropriate per i diritti e le libertà degli interessati” previste dall’art. 10 GDPR.

Pertanto, quando anche possa darsi prova ex post che la richiesta di dati giudiziari al candidato/lavoratore sia necessaria per la valutazione della sua attitudine professionale ad uno specifico profilo o mansione, allo stato non può affermarsi con certezza che il trattamento dei dati giudiziari possa in ogni circostanza essere riconosciuto lecito.

Vuoi saperne di più?

Scopri tutti gli approfondimenti tematici disponibili. Approfittane subito!

Vuoi saperne di più sulla compliance?

Nell’area riservata trovi tanti vantaggi esclusivi
Michele Centrone

Michele Centrone

Avvocato del Foro di Roma con ultra ventennale esperienza nel contenzioso giudiziario in ambito del diritto civile, societario, lavoro e famiglia. Formato “Auditor 231, Componente OdV 231 e Specialista 231”. Cultore della materia in ambito Privacy e GDPR. Cura la progettazione, l’implementazione e l’aggiornamento di sistemi di controllo interno in materia di Responsabilità Amministrativa degli Enti, Anticorruzione e Protezione dei dati personali (GDPR). È Professional presso PK Consulting S.r.l. e Probitas S.r.l..

Iscriviti a Portale 231

Il portale di riferimento della compliance in Italia

I nostri dati sono in pericolo?

I cyber criminali stanno sfruttando la situazione attuale e la nostra sensibilità alle tematiche Covid-19 per attaccare i dati contenuti nei nostri PC. Ce lo

Leggi di più »

Iscriviti alla Newsletter

Agosto: 2020
L M M G V S D
 12
3456789
10111213141516
17181920212223
24252627282930
31  

Articoli correlati

GDPR

I nostri dati sono in pericolo?

I cyber criminali stanno sfruttando la situazione attuale e la nostra sensibilità alle tematiche Covid-19 per attaccare i dati contenuti nei nostri PC. Ce lo

Leggi di più »

Mettiti alla prova!
Quanto ne sai
di compliance?

Fai il test per scoprirlo subito

Torna su