Nello scenario attuale risulta sempre più importante mettere in evidenza, stante la complessità del tema e la vastità delle fonti connesse, i rischi e le criticità correlati ad una prassi di trattamento di dati personali certamente generalizzata in ambito lavorativo ma, spesso, non supportata da un sufficiente grado di consapevolezza e aderenza alle prescrizioni normative in materia.
Fonti normative
I dati personali riportati all’interno del certificato del casellario giudiziale appartengono, come noto, al genus dei “dati personali relativi a condanne penali e reati” di cui all’articolo 10 del Regolamento UE 2016/679 (di seguito, “GDPR”), a mente del quale, il relativo trattamento può aver luogo soltanto sotto il controllo dell’autorità pubblica o se autorizzato dal diritto dell’Unione o degli Stati membri, approntando adeguate garanzie per i diritti e le libertà degli interessati coinvolti.
In via analoga, in ambito nazionale l’articolo 2-octies del D. Lgs. n. 196/2003 (di seguito, “Codice Privacy”) prevede che il trattamento dei dati in esame, laddove non avvenga sotto il controllo dell’autorità pubblica, debba essere autorizzato da una fonte normativa (i.e. “da una norma di legge o, nei casi previsti dalla legge”). Tale autorizzazione, si precisa, deve coesistere con l’eventuale adempimento di obblighi e/o esercizio di diritti da parte del titolare nell’ambito dei rapporti di lavoro; tanto nei limiti stabiliti da leggi, regolamenti e contratti collettivi.
Ancora, sempre a mente del Codice Privacy, qualora la predetta fonte normativa risultasse assente, le ipotesi di trattamento legittimate – e le relative garanzie per gli interessati – sarebbero da individuarsi per mezzo di un apposito “decreto del Ministro della giustizia, da adottarsi, ai sensi dell’articolo 17, comma 3, della legge 23 agosto 1988, n. 400, sentito il Garante”.
Proprio in forza di tale assunto, il Ministero della Giustizia, di concerto con il Ministero dell’Interno, sottoponeva (ormai circa due anni fa) al vaglio del Garante Privacy e del Consiglio di Stato il proprio schema di regolamento recante la disciplina del trattamento dei dati personali relativi a condanne penali e reati ai sensi dell’articolo 2-octies del Codice Privacy. Dopo aver incassato il parere dei predetti organi (in dettaglio: si veda il parere del Garante Privacy del 24.6.2021 ed il parere del Consiglio di Stato del 15.2.2022), i quali “suggerivano” di apportare una serie di implementazioni al testo, non si sono registrate nuove iniziative da parte del Ministero competente.
Valutazioni del Garante Privacy
Il predetto parere sullo schema di regolamento ministeriale (di seguito, il “Parere”), fornisce una serie di spunti estremamente utili ai fini della valutazione dell’orientamento del Garante Privacy in relazione ad una fattispecie di trattamento dati che, con tutta evidenza, potrebbe risultare foriera di conseguenze assai impattanti nei riguardi dei dipendenti (anche potenziali) e che, al contempo, risulta certamente foriera di un rischio per il datore di lavoro (basti pensare al rischio derivante dalla mera archiviazione di dati giudiziari relativi all’intera popolazione aziendale).
Il Parere, in primo luogo, ribadisce come il trattamento dei dati giudiziari presenti delle peculiarità, in quanto, come si evince dall’articolo 10 GDPR, è solo la fonte pubblicistica (diritto UE o degli Stati membri) a poterlo autorizzare. I presupposti di liceità di cui all’articolo 6, paragrafo 1, richiamati dallo stesso articolo 10, devono pertanto ritenersi assorbiti dal requisito della necessaria previsione normativa del trattamento, che il legislatore interno ha declinato nella fonte legislativa o regolamentare.
Ne deriva che la concorrenza di presupposti di liceità diversi, circostanza che, ad esempio, potrebbe verificarsi nell’ipotesi in cui il titolare decidesse di avvalersi di un consenso ai fini del trattamento, determinerebbe possibili antinomie ponendosi, in più, in contrasto con un contesto, quale quello del trattamento dei dati giudiziari, in cui la fonte legittimante è solo quella normativa. A tanto si aggiunga che “il consenso non appare riferibile ai trattamenti svolti nell’ambito del rapporto di lavoro (oltre che, in generale e con riferimento ad altre norme del decreto, in ambito pubblico), in ragione dell’attenuazione che il requisito della libertà del consenso stesso subisce, a motivo dell’asimmetria del rapporto fra titolare e interessato in simili contesti”.
Tra le ulteriori garanzie suscettibili di introduzione si potrebbe richiamare anche l’effettuazione della valutazione di impatto ex art. 35 GDPR in considerazione del carattere “vulnerabile” dell’interessato-lavoratore, prevedendo, quale ulteriore garanzia per i trattamenti in ambito lavoristico, lo svolgimento di una valutazione d’impatto sulla protezione dei dati, che individui segnatamente le categorie di personale o le specifiche posizioni per le quali si rende necessario trattare dati giudiziari per finalità di verifica di requisiti soggettivi anche di onorabilità, nel rispetto del principio di proporzionalità.
Il caso Amazon in Spagna
Da ultimo, è interessante soffermarsi su una pronuncia della “Agencia Española de Protección de Datos” (di seguito, “AEPD”), che, proprio nell’ambito del rapporto datore di lavoro/dipendente, fornisce degli utili spunti interpretativi nel contesto generale del trattamento di dati giudiziari, specie se derivanti dal casellario giudiziale o da fonti allo stesso “equiparabili”.
In particolare, il procedimento “PS/00267/202010” posto all’attenzione dell’autorità spagnola prendeva le proprie mosse a seguito del reclamo presentato dal rappresentante di un sindacato spagnolo, il quale deduceva che, nel corso della procedura avviata per l’assunzione di vettori autonomi da parte della società “Amazon Road Transport Spain S.L. (la “Amazon”)” – ovviamente riconducibile al colosso statunitense – si richiedeva di fornire certificati del casellario giudiziale da cui risultasse l’assenza di precedenti penali. A giustificazione di tale trattamento, Amazon evidenziava come tale richiesta risultasse, in realtà, circoscritta all’ottenimento di un c.d. “certificato negativo”, limitato, pertanto, a contenere l’informazione che l’interessato non avesse ricevuto sentenze di condanna in sede penale, per l’effetto non determinandosi alcun trattamento di “dati giudiziari” per come intesi ai sensi dell’art. 10 GDPR. In forza di tale interpretazione, Amazon rinveniva la base giuridica del descritto trattamento sia nel proprio legittimo interesse– dal momento che, in tale maniera, avrebbe garantito un livello adeguato dei propri standard di assunzione finalizzato all’incremento della fiducia dei clienti – sia nell’esecuzione del rapporto contrattuale – che, eventualmente, sarebbe sorto con gli autotrasportatori. Peraltro, questi ultimi acconsentivano al trattamento dei loro dati personali durante la procedura propedeutica all’assunzione.
L’AEPD respingeva le argomentazioni difensive del titolare partendo dal presupposto per cui, anche nell’ipotesi di raccolta di un certificato del casellario giudiziale “negativo”, ricorrerebbero i presupposti di cui all’art. 10 GDPR e, per l’effetto, la sussistenza delle relative garanzie affinché il trattamento dei dati personali possa dirsi lecito. In particolare, l’autorità ravvisa come tale informazione di carattere negativo, al pari di quelle di carattere “positivo”, possa essere fornita – a mente della normativa nazionale – solo compatibilmente con quanto previsto dal “Sistema dei registri amministrativi di supporto all’Amministrazione della Giustizia”, ove si prevede che, al ricorrere delle condizioni normativamente previste, i soggetti preposti possano “certificare” i dati personali contenuti nei Registri centrali dei condannati, delle misure cautelari e delle pene non definitive e, al contempo, “firmare” certificazioni negative rispetto alle persone che non sono iscritte negli stessi. Sempre a mente dell’AEPD, aderire al ragionamento sostenuto da Amazon avrebbe creato un precedente legittimante la facoltà, per qualsiasi società, di creare un database di soggetti con fedina penale “immacolata”, in evidente contrasto con l’articolo 10 GDPR, a mente del quale “[…] Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica”.
Le accertate violazioni comportavano, quindi, l’emissione di un provvedimento sanzionatorio nei confronti di Amazon per € 2 milioni.
Conclusioni
Dal quadro sin qui delineato emerge chiaramente come il trattamento dei dati giudiziari in sede di assunzione vada necessariamente affiancato ad un “giustificativo normativo”, che non può tradursi nella generica esigenza per il datore di lavoro di svolgere delle adeguate verifiche su un potenziale assunto. Al contempo, potrebbe risultare ostativo rispetto alle esigenze del titolare – ad esempio derivanti dall’adesione ad un Modello 231 – quella di inibire qualsivoglia facoltà di screening (rispetto all’assenza di condanne penali) precedente all’assunzione.
Rinvenire un punto di equilibrio all’interno delle descritte esigenze non appare certo un compito di pronta soluzione ma, al contempo, le figure all’uopo preposte dovrebbero focalizzarsi sugli interessi e i diritti coinvolti nelle descritte attività di trattamento. Un maggiore margine di chiarezza consentirebbe una più attenta valutazione del rischio (anche sanzionatorio) da parte dei titolari del trattamento/datori di lavoro e, al contempo, schermerebbe i lavoratori (inquadrati dal Garante Privacy stesso come “interessati vulnerabili”) da eventuali effetti discriminatori derivanti da un trattamento di dati giudiziari potenzialmente privo di legittimazione e proporzionalità.