Trattamento dati relativi a condanne penali, solo se autorizzato dal diritto Ue o dagli Stati membri

Garante per la protezione dei dati personali: provvedimento n. 314 del 22/05/2018

Un’azienda privata può trattare dati personali relativi alle condanne penali dei dipendenti, solo se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri.

Riferimenti normativi: artt. 41, 27 del Codice in materia di protezione dei dati personali; art 10 del Regolamento generale sulla protezione dei dati 2016/679

Fatto

Una società specializzata nell’ambito delle attività di fornitura dei servizi informatici si era rivolta al Garante per la protezione dei dati personali per ottenere l’autorizzazione a trattare i dati giudiziari dei propri dipendenti che svolgevano mansioni riconducibili alle attività proprie dell’amministratore di sistema.

La Società aveva avanzato la richiesta di autorizzazione al trattamento dei dati giudiziari dei propri dipendenti sulla base di un precedente provvedimento dello stesso Garante che aveva posto l’accento sulla necessità che le mansioni riconducibili alle attività proprie dell’amministratore di sistema fosse ricoperta da soggetti in possesso di determinate caratteristiche personali.

Inoltre la Società aveva motivato la propria richiesta di autorizzazione sulla base di quanto stipulato nel contratto di appalto con una società terza, il quale prevedeva che i dipendenti e collaboratori dovevano consegnare, con una periodicità quinquennale, alla società i dati contenuti nel certificato penale del casellario giudiziale. Questi venivano custoditi in un apposito archivio con accesso controllato. In particolare la Società appaltante doveva effettuare un controllo dei precedenti penali del personale che sarebbe stato incaricato dello svolgimento dei servizi informatici, così da astenersi dall’assegnare all’esecuzione delle predette mansioni i dipendenti che risultavano avere annotazioni sul certificato in relazione a determinati crimini o infrazioni, quali ad esempio corruzione, frode, appropriazione indebita, furto, violazione delle leggi sulla sicurezza, reati di violenza, crimini informatici.

La Società, in ultimo, aveva poi fatto presente al Garante l’esistenza di una norma all’interno del contratto collettivo nazionale applicato ai propri lavoratori (vale a dire quello del settore metalmeccanico per le lavoratrici e lavoratori addetti all’industria metalmeccanica privata e all’installazione di impianti) secondo la quale il datore di lavoro aveva la facoltà di richiedere il certificato penale del lavoratore.

La decisione del Garante

Il Garante, valutate le risultanze istruttorie, ha ritenuto non accoglibile la richiesta avanzata dalla Società di fornitura di servizi informatici relativa all’autorizzazione al trattamento dei dati giudiziari dei propri dipendenti, evidenziando che la Società con il contratto di appalto di servizi non aveva individuato tassativamente ed in applicazione del principio di indispensabilità il novero delle fattispecie al ricorrere delle quali ritenere il lavoratore inidoneo allo svolgimento di determinate attività.

Il Garante nel motivare la sua decisione ha ricordato che il trattamento dei dati personali relativi alle condanne penali e ai reati, o a connesse misure di sicurezza può avvenire soltanto sotto il controllo dell’autorità pubblica, oppure può essere effettuato se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri, che preveda garanzie appropriate per i diritti e le libertà degli interessati.

Il Garante ha, poi, chiarito che, seppur con un precedente provvedimento esso stesso aveva autorizzato i datori di lavoro al trattamento dei dati giudiziari, aveva condizionato tale autorizzazione alla necessità che il trattamento fosse indispensabile per adempiere o esigere l’adempimento di specifici obblighi o eseguire specifici compiti previsti da leggi, dalla normativa dell’Unione Europea, da regolamenti o da contratti collettivi, anche aziendali, ed ai soli fini della gestione del rapporto di lavoro.

Nel caso di specie il Garante ha rilevato come la Società non aveva indicato un’idonea base giuridica, sia essa legislativa o regolamentare, che sostenesse la necessità dell’effettuazione dei trattamenti dei dati giudiziari, riscontrando altresì che non risultavano applicabili al caso concreto le disposizioni dell’ordinamento che prevedono il trattamento dei dati giudiziari dei dipendenti in relazione alle attività svolte dalla Società.

Inoltre, secondo il convincimento del Garante il rinvio al contratto collettivo nazionale operato dalla Società non era idoneo a costituire, nel caso di specie, un adeguata base giuridica del trattamento, in quanto la norma richiamata, espressione dell’autonomia collettiva, appariva generica, limitandosi (i) a prevedere la possibilità di acquisire dati giudiziari indipendentemente dal tipo di mansioni svolte dal dipendente e (ii) a rinviare alla norma del codice di procedura penale, che a sua volta si limita ad individuare il contenuto dei certificati rilasciati dal casellario giudiziale.

Volume consigliato 

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento