Il trattamento dei dati giudiziari dei lavoratori dipendenti da parte del datore di lavoro (i.e. condanne penali, reati e connesse misure di sicurezza) è stato ridefinito con l’avvento del GDPR.
Disciplinato fino a quel momento dall’autorizzazione Generale del Garante, con il recepimento del Regolamento, il trattamento dei dati giudiziari nel contratto di lavoro viene bloccato, in quanto, nel nuovo assetto normativo cessa l’efficacia prescrittiva di detta autorizzazione.
Di conseguenza, in applicazione del GDPR, si manifesta l’impossibilità da parte dei datori di lavoro privati di trattare dati giudiziari dei dipendenti, non sussistendo, invece. alcun divieto per le assunzioni nella PA e nei rapporti di lavoro a contatto con i minori. Vediamo di seguito le ragioni di questo cambiamento.
Indice degli argomenti
Trattamento dei dati giudiziari dei dipendenti: la normativa
La disciplina è mutata in relazione all’applicazione dell’art. 10 del GDPR poiché “il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, del Regolamento, deve avvenire sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati”
Il legislatore europeo demanda perciò ad una specifica norma di legge, affinché possa abilitare tali trattamenti, affinché predisponga le c.d. “garanzie appropriate” a tutela degli interessati. L’autorizzazione del Garante perde di efficacia e diversamente da quanto era previsto nel quadro normativo previgente, cessando di produrre effetti giuridici in applicazione dell’art. 21, comma 3 D.lgs. n. 101/2018, non costituisce più la base giuridica[1].
Il Codice novellato non prevede trattamenti dei dati giudiziari in assenza di specifiche disposizioni di legge o di regolamento e in assenza di appropriate garanzie per i diritti e le libertà degli interessati (art. 2-octies, comma 3, lett. C), del Codice).
Il legislatore ha previsto, oltre alle ipotesi espressamente individuate da specifiche disposizioni normative, il trattamento di tali dati consentendoli in attuazione di specifici protocolli d’intesa per la prevenzione e contrasto delle fenomeni di criminalità organizzata da parte del Ministero degli interni o delle prefetture (previa l’acquisizione del parere del Garante e la specificazione della “tipologia di dati trattati e operazioni eseguite”, così come chiarito nell’articolo 22, comma 12, D.lgs. 101/2018).
In assenza “delle predette disposizioni di legge o di regolamento, i trattamenti dei dati sono individuati con decreto del Ministro della giustizia, da adottarsi, ai sensi dell’articolo 17, comma 3, della legge 23 agosto 1988, n. 400, sentito il Garante”.
La liceità del trattamento
Il tema della liceità del trattamento è un nodo cruciale. Il quadro normativo previgente, infatti, consentiva al datore di lavoro il trattamento dei dati del dipendente ove ciò fosse previsto dal Contratto Collettivo Nazionale del Lavoro (CCNL). Ma questa valida base giuridica cessa di esistere nel nuovo assetto normativo, in applicazione dell’articolo 10 del GDPR.
Inoltre, il Garante della Protezione dei Dati Personali ha precisato con due provvedimenti del 22 maggio 2018 che il contratto collettivo non può costituire una valida base giuridica per il trattamento dai giudiziari, in ragione della genericità con cui in tale documento, si fa riferimento al trattamento dei dati contenuti nel certificato penale e carichi pendenti e della circostanza per cui lo stesso risulta sprovvisto dei riferimenti alle specifiche esigenze di onorabilità legate allo svolgimento di determinati incarichi[2].
Sul tema delle garanzie e più specificatamente del bilanciamento tra Privacy e Statuto dei Lavoratori si segnala anche la Sentenza della Cassazione, Sez. Lavoro, del 17 luglio 2018 che ha dichiarato illegittima la richiesta del certificato dei carichi pendenti al momento dell’assunzione, in assenza di una contrattazione collettiva.
Sebbene la Cassazione abbia aperto al trattamento dei dati giudiziari in virtù di un’esplicita previsione del CCNL, è però confermato che con il citato D.lgs. 101 la contrattazione collettiva ha cessato di essere fondamento per la legittimità.
Il Garante per la protezione dei dati personali, nel corso del 2018 aveva espresso pareri negativi ritenendo non legittimo: il trattamento in applicazione del contratto collettivo e quello nella circostanza di necessità di adempiere al contratto di servizio.
Entrambi i casi rientrerebbero tra le basi giuridiche di cui dell’Art. 6, paragrafo 1 del. Che anche il consenso del lavoratore, non possa assurgere a base giuridica è chiarito nel parere WP29 2/2017 del Gruppo di Lavoro ex Art. 2.
Pur mostrando un’inedita apertura verso il trattamento dei dati dei lavoratori da parte dei datori di lavoro, l’opinione rilevava la necessità di porre un bilanciamento dei diversi interessi in gioco che nella fattispecie di questo rapporto sono in sintesi descritte “per la maggior parte delle attività di trattamento svolte sul posto di lavoro, la base giuridica non può e non dovrebbe essere il consenso dei dipendenti in considerazione della natura del rapporto tra datore di lavoro e dipendente (…) un eventuale diniego di quest’ultimo potrebbe causare allo stesso un pregiudizio”.
Nell’art. 8 dello “Statuto dei Lavoratori” è consentito il trattamento dei dati relativi a condanne penali e reati per valutare l’attitudine lavorativa del candidato, ma la rilevanza di tale dato nel contesto della valutazione sebbene, riconosciuta dalla giurisprudenza del giudice del lavoro è comunque delimitata dalle garanzie per i diritti e le libertà che dovrebbe fornire il datore all’interessato – significativa è l’analogia con le c.d. “appropriate garanzie” del Regolamento[3].
I datori di lavoro potranno fondare il trattamento su una specifica previsione di legge o di Regolamento emanato ai sensi di legge che consenta loro di trattare i dati giudiziari dei loro interlocutori, precisando che il legislatore italiano ha voluto dare rilevanza a quelle autorizzazioni derivanti da fonti normative primarie (Leggi, Decreti-legge, Decreti Legislativi) e secondarie (Regolamenti) e che sono invece esclusi codici di condotta o forme di autoregolamentazione.
Fermo restando che i provvedimenti di rango normativo dovranno ad ogni modo prevedere garanzie appropriate per i diritti e le libertà degli interessati[4].
Trattamento dei dati giudiziari dei dipendenti: il caso della PA
La pubblica amministrazione nell’atto di assumere i lavoratori trova invece come fondamento giuridico l’art. 2, comma 3, del DPR 487/1994, in quanto “non possono accedere agli impieghi coloro che siano esclusi dall’elettorato politico attivo e coloro che siano stati destituiti o dispensati dall’impiego presso una pubblica amministrazione”.
Nonché l’art. 36 del D.lgs. 165/2001, all’atto di assunzione del personale assimilabile alle forme di lavoro flessibile (determinato, contratti di formazione e lavoro e contratti di somministrazione di lavoro a tempo determinato).
Anche le attività professionali o le attività volontarie organizzate che comportino contatti diretti e regolari con minori possono richiedere il certificato penale del casellario giudiziale al fine di verificare l’esistenza di specifici reati in osservanza dell’art. 25-bis. DPR 313/2002.
La prassi nelle organizzazioni private è quella di richiedere l’autocertificazione ai sensi del d.p.r. 445/2000; non è però chiaro se l’autodichiarazione così resa potrebbe essere o meno comparata al certificato, contenente i dati giudiziari così come regolarmente rilasciato dal Tribunale.
Anche nel settore postale, ai sensi dell’art. 4 del DM 75/2000, il titolare deve accedere ai dati giudiziari in quanto essendo “titolare di autorizzazione è tenuto a non impiegare personale che risulti condannato a pena detentiva per delitto non colposo superiore ai sei mesi o sottoposto a misure di sicurezza e di prevenzione”.
In relazione a quanto finora detto, in alcuni ambiti e settori, il datore di lavoro privato si trova per ora di fronte ad un ostacolo: mostrandosi conforme alla disciplina vigente rischia di assumere personale che potrebbe mettere a rischio attività lavorative delicate (oltre a quelle che riguardano il lavoro coi minori) creando danni ingestibili.
Eppure, soluzioni per il trattamento dei dati giudiziari dei dipendenti nella prospettiva del bilanciamento degli interessi in gioco sarebbero auspicabili.
NOTE
- Autorizzazione Generale del Garante n. 7/2016 avrebbe dovuto cessare immediatamente la propria efficacia a seguito dell’introduzione del GDPR, tuttavia è stata rimandata all’approvazione del D.lgs. 101/2018 per adeguamento della normativa nazionale alle disposizioni del Regolamento, e al provvedimento 424 del 19 luglio 2018 con il quale si è ritenuto che le garanzie e le misure di cui alle Autorizzazioni generali per taluni trattamenti di dati sensibili e di dati giudiziari, dovessero restare in vigore fino all’adozione di eventuali misure all’interno del decreto legislativo di adeguamento. Con tale ultimo provvedimento il legislatore italiano ha previsto all’articolo 21, comma 3, che le autorizzazioni generali del Garante per la protezione dei dati personali adottate prima della data di entrata in vigore del decreto che non risultassero più compatibili con le disposizioni del Regolamento (l’Autorizzazione 7/2016 rientrava fra queste) e cessassero di avere efficacia. ↑
- Provvedimento del Garante 314 e 315 del 22 maggio 2018. ↑
- Legge 300/1970, Statuto dei lavoratori. Il trattamento è consentito solo per valutazione dell’attitudine professionale del lavoratore, con il rispetto dei principi costituzionali di cui agli artt. 2, 3, 21 e 41 della Costituzione; vi è sempre possibilità del lavoratore/candidato di richiedere in sede giudiziale il risarcimento del danno per la mancata assunzione o per il licenziamento intervenuto in violazione del divieto ex art. 8 statuto del lavoratori; vi sono delle sanzioni penali all’articolo 38 dello Statuto dei Lavoratori nel caso in cui il Datore di Lavoro non rispetti i limiti di cui all’articolo 8. ↑
- Nei provvedimenti di rango normativo potremmo includere: D.lgs. 58/1998 TUF; D.lgs. 385/1993 TUB; D.lgs. 209/2005 Codice delle Assicurazioni Private. ↑
