Azienda Privacy

Dati Giudiziari di dipendenti e collaboratori: quali sono i limiti e le possibilità dopo il GDPR?

2 luglio 2019

di Michela BARBAROSSA

Come noto l’avvento del Reg. Eu 679/2016 (GDPR)(1), ha innovato molti settori del diritto della protezione dei dati personali ed in particolare, ha modificato moltissimo la possibilità per il datore di lavoro di trattare i dati giudiziari (i.e. condanne penali, reati e connesse misure di sicurezza) dei lavoratori, collaboratori e fornitori.

Prima dell’avvento del GDPR era l’autorizzazione Generale del Garante n. 7/2016(2) (Autorizzazione al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici) a disciplinare la materia.

Tale autorizzazione, però, a seguito dell’introduzione del GDPR avrebbe dovuto cessare immediatamente la propria efficacia se non fosse che il Garante, nelle more dell’approvazione del D.Lgs 101/2018 di adeguamento della normativa nazionale alle disposizioni del Regolamento, ha emanato il provvedimento 424 del 19 luglio 2018(3) con il quale ha ritenuto che le garanzie e le misure di cui alle Autorizzazioni generali per taluni trattamenti di dati sensibili e di dati giudiziari, dovessero restare in vigore fino all’adozione di eventuali misure all’interno del decreto legislativo di adeguamento.

Ed è proprio con tale ultimo provvedimento che il legislatore italiano ha previsto all’articolo 21, comma 3, che le autorizzazioni generali del Garante per la protezione dei dati personali adottate prima della data di entrata in vigore del decreto che non risultassero più compatibili con le disposizioni del Regolamento – e l’autorizzazione 7/2016 rientrava fra queste – cessassero di avere efficacia.

Pertanto, nel nuovo assetto normativo, l’autorizzazione Generale al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici) ha cessato di avere efficacia prescrittiva e, conseguentemente i datori di lavoro non potranno più trattare i dati giudiziari dei dipendenti.

Dunque, quali soluzioni si prospettano per le aziende che intendono trattare i dati giudiziari dei propri interlocutori?

In via generale l’art. 10 del Regolamento UE 2016/679 prevede che il trattamento di dati personali relativi a condanne penali e reati sia sottoposto ad una verifica rinforzata. Ed infatti, si prevede che esso sia lecito solo quando sono rispettate – congiuntamente – le seguenti condizioni:

  • 1) vi sia una delle basi giuridiche di cui all’art. 6, paragrafo 1 del GDPR (consenso dell’interessato, trattamento necessario per dare esecuzione ad un contratto di cui l’interessato è parte o di misure precontrattuali adottate su richiesta dello stesso, trattamento necessario per adempiere ad un obbligo di legge sussistente in capo al Titolare, trattamento necessario per la salvaguardia di interessi vitali dell’interessato o di altra persona fisica; trattamento necessario per lo svolgimento di un compito di interesse pubblico o per il perseguimento di un legittimo interesse del Titolare).
  • 2) deve avvenire soltanto sotto il controllo dell’autorità pubblica oppure deve essere autorizzato dal diritto dell’Unione o degli Stati membri e che preveda garanzie appropriate per i diritti e le libertà degli interessati.

Con riguardo al primo requisito vale la pena segnalare che il Garante della Protezione dei Dati Personali, con due provvedimenti del 22 maggio 2018(4)(5) ha precisato che non può costituire una valida base giuridica per il trattamento il Contratto Collettivo Nazionale del Lavoro in ragione della genericità con cui in tale documento si fa riferimento al trattamento dei dati contenuti nel certificato penale e carichi pendenti e della circostanza per cui lo stesso risulta sprovvisto dei riferimenti alle specifiche esigenze di onorabilità legate allo svolgimento di determinati incarichi.

Rispetto al secondo requisito, invece, occorre precisare che la dottrina, da più parti, ritiene che l’autorizzazione da parte del diritto nazionale già risulti presente ai sensi dell’art. 8 del c.d. “Statuto dei Lavoratori” (L. 300/1970)(6) che consente di trattare i dati relativi a condanne penali e reati per valutare l’attitudine lavorativa. La rilevanza del c.d. “dato giudiziario” nella valutazione dell’attitudine lavorativa del candidato è, del resto, ampiamente riconosciuta dalla giurisprudenza consolidata del giudice del lavoro, che ha altresì delimitato le possibilità di trattamento, fornendo di fatto delle garanzie per i diritti e le libertà dell’interessato (infatti, il trattamento è consentito solo per valutazione dell’attitudine professionale del lavoratore, con il rispetto dei principi costituzionali di cui agli artt. 2, 3, 21 e 41 della Costituzione(7); vi è sempre possibilità del lavoratore/candidato di richiedere in sede giudiziale il risarcimento del danno per la mancata assunzione o per il licenziamento intervenuto in violazione del divieto ex art. 8 statuto del lavoratori; vi sono delle sanzioni penali all’articolo 38 dello Statuto dei Lavoratori nel caso in cui il Datore di Lavoro non rispetti i limiti di cui all’articolo 8).

A tutto ciò si aggiunga che l’art. 2-octies del D.Lgs. 196/2003, introdotto dal D.Lgs 101/2018(8), ha ribadito (al comma 1) che, “il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, del Regolamento, che non avviene sotto il controllo dell’autorità pubblica, è consentito, ai sensi dell’articolo 10 del medesimo Regolamento, solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati” e, (al comma 2), che “in mancanza delle predette disposizioni di legge o di regolamento, i trattamenti dei dati di cui al comma 1 nonché le garanzie di cui al medesimo comma sono individuate con decreto del Ministro della giustizia, da adottarsi, ai sensi dell’articolo 17, comma 3, della legge 23 agosto 1988, n. 400(9), sentito il Garante.

Appare molto importante segnalare che il Legislatore Italiano ha voluto dare rilevanza solo a quelle autorizzazioni derivanti da fonti normative primarie (Leggi, Decreti-legge, Decreti Legislativi) e secondarie (Regolamenti previsti da norma di legge), escludendo pertanto codici di condotta o forme di autoregolamentazione.

Conseguentemente, i datori di lavoro che possono attualmente vantare una specifica previsione di legge o di Regolamento emanato ai sensi di legge che consenta loro di trattare i dati giudiziari dei loro interlocutori (come, ad esempio il TUF(10), il TUB(11) e l’art. 76 del Codice delle Assicurazioni Private(12)), potranno trattare tali dati, sempre che tali provvedimenti di rango normativo prevedano garanzie appropriate per i diritti e le libertà degli interessati.

I restanti datori di lavoro potranno:

  • a) ritenere di essere autorizzati al trattamento dei dati personali relativi a condanne penali e reati ai sensi dell’articolo 8 dello Statuto dei Lavoratori (che è, appunto, una norma di legge);
  • b) attendere che venga emanato un decreto del Ministero della Giustizia che individui garanzie appropriate per i diritti e le libertà degli interessati.

 


 

Per approfondimenti, consultare i seguenti link:

(1)  Regolamento (UE) 2016/679

(2)  Autorizzazione Generale del Garante n. 7/2016

(3)  Provvedimento del Garante 424 del 19 luglio 2018

(4)  Provvedimento del Garante 314 del 22 maggio 2018

(5)  Provvedimento del Garante 315 del 22 maggio 2018

(6)  Legge 300/1970, Statuto dei lavoratori

(7)  Costituzione della Repubblica Italiana

(8)  D.Lgs. 101/2018

(9)  Legge 23 agosto 1988, n. 400

(10) D.Lgs. 58/1998, TUF

(11) D.Lgs. 385/1993, TUB

(12) D.Lgs. 209/2005, Codice delle Assicurazioni Private



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *