Autorizzazioni al trattamento dati personali inerenti le condanne penali

Trattamento dati relativi a condanne penali, solo se autorizzato dal diritto Ue o dagli Stati membri

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Garante per la protezione dei dati personali: provvedimento n. 314 del 22/05/2018

Un’azienda privata può trattare dati personali relativi alle condanne penali dei dipendenti, solo se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri.

Riferimenti normativi: artt. 41, 27 del Codice in materia di protezione dei dati personali; art 10 del Regolamento generale sulla protezione dei dati 2016/679

Fatto

Una società specializzata nell’ambito delle attività di fornitura dei servizi informatici si era rivolta al Garante per la protezione dei dati personali per ottenere l’autorizzazione a trattare i dati giudiziari dei propri dipendenti che svolgevano mansioni riconducibili alle attività proprie dell’amministratore di sistema.

La Società aveva avanzato la richiesta di autorizzazione al trattamento dei dati giudiziari dei propri dipendenti sulla base di un precedente provvedimento dello stesso Garante che aveva posto l’accento sulla necessità che le mansioni riconducibili alle attività proprie dell’amministratore di sistema fosse ricoperta da soggetti in possesso di determinate caratteristiche personali.

Inoltre la Società aveva motivato la propria richiesta di autorizzazione sulla base di quanto stipulato nel contratto di appalto con una società terza, il quale prevedeva che i dipendenti e collaboratori dovevano consegnare, con una periodicità quinquennale, alla società i dati contenuti nel certificato penale del casellario giudiziale. Questi venivano custoditi in un apposito archivio con accesso controllato. In particolare la Società appaltante doveva effettuare un controllo dei precedenti penali del personale che sarebbe stato incaricato dello svolgimento dei servizi informatici, così da astenersi dall’assegnare all’esecuzione delle predette mansioni i dipendenti che risultavano avere annotazioni sul certificato in relazione a determinati crimini o infrazioni, quali ad esempio corruzione, frode, appropriazione indebita, furto, violazione delle leggi sulla sicurezza, reati di violenza, crimini informatici.

La Società, in ultimo, aveva poi fatto presente al Garante l’esistenza di una norma all’interno del contratto collettivo nazionale applicato ai propri lavoratori (vale a dire quello del settore metalmeccanico per le lavoratrici e lavoratori addetti all’industria metalmeccanica privata e all’installazione di impianti) secondo la quale il datore di lavoro aveva la facoltà di richiedere il certificato penale del lavoratore.

La decisione del Garante

Il Garante, valutate le risultanze istruttorie, ha ritenuto non accoglibile la richiesta avanzata dalla Società di fornitura di servizi informatici relativa all’autorizzazione al trattamento dei dati giudiziari dei propri dipendenti, evidenziando che la Società con il contratto di appalto di servizi non aveva individuato tassativamente ed in applicazione del principio di indispensabilità il novero delle fattispecie al ricorrere delle quali ritenere il lavoratore inidoneo allo svolgimento di determinate attività.

Il Garante nel motivare la sua decisione ha ricordato che il trattamento dei dati personali relativi alle condanne penali e ai reati, o a connesse misure di sicurezza può avvenire soltanto sotto il controllo dell’autorità pubblica, oppure può essere effettuato se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri, che preveda garanzie appropriate per i diritti e le libertà degli interessati.

Il Garante ha, poi, chiarito che, seppur con un precedente provvedimento esso stesso aveva autorizzato i datori di lavoro al trattamento dei dati giudiziari, aveva condizionato tale autorizzazione alla necessità che il trattamento fosse indispensabile per adempiere o esigere l’adempimento di specifici obblighi o eseguire specifici compiti previsti da leggi, dalla normativa dell’Unione Europea, da regolamenti o da contratti collettivi, anche aziendali, ed ai soli fini della gestione del rapporto di lavoro.

Nel caso di specie il Garante ha rilevato come la Società non aveva indicato un’idonea base giuridica, sia essa legislativa o regolamentare, che sostenesse la necessità dell’effettuazione dei trattamenti dei dati giudiziari, riscontrando altresì che non risultavano applicabili al caso concreto le disposizioni dell’ordinamento che prevedono il trattamento dei dati giudiziari dei dipendenti in relazione alle attività svolte dalla Società.

Inoltre, secondo il convincimento del Garante il rinvio al contratto collettivo nazionale operato dalla Società non era idoneo a costituire, nel caso di specie, un adeguata base giuridica del trattamento, in quanto la norma richiamata, espressione dell’autonomia collettiva, appariva generica, limitandosi (i) a prevedere la possibilità di acquisire dati giudiziari indipendentemente dal tipo di mansioni svolte dal dipendente e (ii) a rinviare alla norma del codice di procedura penale, che a sua volta si limita ad individuare il contenuto dei certificati rilasciati dal casellario giudiziale.

Volume consigliato 

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!