Trattamento dei dati personali relativi a condanne penali e reati di Fernando Rubino - Sinergetica Consulting s.r.l.
La questione, attualmente assai dibattuta in dottrina, nasconde qualche insidia, soprattutto derivante dal fatto che non è ancora definita la produzione regolamentare nazionale che chiarisca il perimetro autorizzativo per questo tipo di trattamento; dunque, fino a quel momento è opportuno muoversi in questi ambiti con la massima prudenza, al fine di minimizzare i rischi di non compliance. Anzitutto il testo dell art.10 Reg.: "Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell'articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica." Con il Regolamento viene meno la categoria dei dati giudiziari, sostituita ora dai dati relativi a condanne penali e reati, il cui trattamento può essere svolto solo sotto il controllo dell Autorità pubblica o in base alle specifiche norme del Regolamento o di norme nazionali. All attuazione dell articolo 10 provvede, in via generale, l articolo 2- octies del Codice privacy oggi vigente (D.Lgs 196/2003, come novellato dal D.Lgs 101/2018), che individua i principi relativi al trattamento di dati personali inerenti a condanne penali e a reati. La liceità di tale trattamento, ove non sia svolto sotto il controllo di un autorità pubblica, è subordinata alla sussistenza di una disposizione di legge o di regolamento che lo autorizzi e che preveda garanzie appropriate per i diritti degli interessati. Va da sé che qualora il trattamento venga svolto sotto il controllo di un Autorità pubblica, cioè, ad es., nello svolgimento di indagini e nelle attività amministrative connesse, la liceità è garantita dalla veste istituzionale rivestita da chi effettua il trattamento medesimo, mentre per quanto riguarda il trattamento di questa categoria di dati da parte di un soggetto privato, l art. 2-octies del Codice privacy
stabilisce che i trattamenti dei dati di cui al comma 1 nonché le garanzie di cui al medesimo comma sono individuati con decreto del Ministro della giustizia, da adottarsi, ai sensi dell'articolo 17, comma 3, della legge 23 agosto 1988, n. 400, sentito il Garante. Va annotato che con la vigenza del Codice privacy prima della novella del settembre scorso, e cioè fino al 25 maggio di quest anno, valeva l'autorizzazione generale del Garante n. 7/2016 al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici (pubblicata in G.U. n. 303 del 29 dicembre 2016 e in www.garanteprivacy.it, doc. web n. 5803630), che al Capo V - IMPRESE BANCARIE ED ASSICURATIVE ED ALTRI TITOLARI DEI TRATTAMENTI consentiva a tali categorie d impresa il trattamento di questo genere di dati, disciplinandone le modalità: questa autorizzazione, ai sensi dell'art. 22 del D.Lgs 101/2018, non è più efficace, e non si rilevano finora altre fonti di norme autorizzative. Di più, da taluni recenti provvedimenti ci si può aspettare sul tema un certo irrigidimento da parte del Garante, il quale ha respinto alcune richieste di autorizzazione specifica al trattamento delle tipologie di dati in esame, evidenziando che il richiedente non aveva individuato tassativamente ed in applicazione del principio di indispensabilità il novero delle fattispecie al ricorrere delle quali ritenere il lavoratore inidoneo allo svolgimento di determinate attività, che costituiva la ragione per la quale in definitiva il trattamento di dati personali relativi a reati o correlate misure di sicurezza veniva richiesto. Sulla delicata questione cfr. ex plurimis: provvedimenti del Garante nn. 314, 315 e 316 del 22 maggio 2018 - docc. 9005869, 9005857 e 9005845, ove il Garante ha rigettato l istanza di autorizzazione in tutti e tre i casi ivi trattati e contenenti una richiesta di autorizzazione al trattamento dei dati personali relativi a condanne penali e reati (si veda in particolare il provvedimento n. 314, riferito a dipendenti che avrebbero dovuto esercitare un'attività di natura assimilabile a quella dell'amministratore di sistema). Sotto altro aspetto vedasi altresì Parere su uno schema di decreto legislativo
recante disposizioni per la revisione della disciplina del casellario giudiziale - 13 settembre 2018 (doc 9055083), ove si ribadisce la necessità che il trattamento dei dati giudiziari avvenga in base a disposizioni specifiche che lo regolamentino (leggi o regolamenti) ed in concorrenza di adeguate garanzie per i diritti e le libertà degli interessati. Un problema di carattere interpretativo, cui fare in questa sede solo un accenno, è rappresentato dal fatto che il Regolamento all art. 10 si riferisce alle condanne penali e ai reati o a connesse misure di sicurezza, tralasciando, ad es., i c.d. carichi pendenti, che spesso formano oggetto di trattamento per consentire l accesso a certi contratti di appalto o di servizi, ovvero per poter sottoscrivere contratti di lavoro. Ora, sembrerebbe, dalla lettera della legge, che questo genere di trattamento non rientri nel divieto di cui all art. 10, che parrebbe riferirsi solo a sentenze penali definitive (in effetti, Il certificato penale o fedina penale raccoglie le informazioni su tutte le condanne penali passate in giudicato, cioè definitive e, quindi, non più impugnabili, di ogni singolo cittadino, mentre non vi vengono annotati i procedimenti penali in corso; diverso dalla fedina penale è il certificato dei carichi pendenti, che permette di conoscere solo i procedimenti attualmente in corso a carico di un cittadino). In buona sostanza, attesa la posizione tradizionalmente piuttosto rigida del Garante sulla possibilità di riconoscere al Titolare del trattamento la facoltà di trattare dati del genere di quelli in esame, si ritiene opportuno muoversi in questo campo con grande cautela, almeno fino a quando non verranno emanate le norme regolamentari necessarie a diradare le fitte brume che avvolgono l argomento. Di conseguenza sembrerebbe altresì necessario, in via preventiva, per minimizzare i rischi di un trattamento di dati personali relativi a condanne penali, prevedere lo svolgimento di un'apposita DPIA. In proposito, torna utile scorrere l elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati personali ai sensi
dell art. 35, comma 4, del Regolamento, formulato dal Garante italiano (Delibera 11 ottobre 2018 del Garante per la protezione dei dati personali, pubblicata sulla Gazzetta Ufficiale Serie Generale n. 269 del 19 novembre 2018, ove al n. 10 dell allegato si legge: Trattamenti di categorie particolari di dati ai sensi dell art. 9, oppure di dati relativi a condanne penali e a reati di cui all art. 10 interconnessi con altri dati personali raccolti per finalità diverse." (doc 9059909). Il suggerimento, pertanto, in caso di trattamento di dati personali oggetto della presente disamina, resta quello di condurre una specifica valutazione d'impatto, che tenga nel debito conto la reale necessità di trattamento dei suddetti dati in relazione ai dipendenti, in considerazione soprattutto del fatto che, com è facile riscontrare per prassi diffusa nel settore del lavoro privato, frequentemente la raccolta di questi dati non trova fondamento in nessuna delle due condizioni: né una norma prevede la possibilità per i privati di acquisire informazioni circa i dati personali inscritti nel casellario giudiziale, né tanto meno potrà dirsi che la persona interessata possa prestare un consenso pieno a tale trattamento, poiché invero l attestazione del certificato del casellario giudiziale non potrà che essere forzosa, dal momento che, ove la persona si rifiutasse di concederlo, perderebbe a priori la possibilità di accedere all occupazione. Tale impostazione escluderebbe, comunque, un trattamento generalizzato inerente ai dati personali relativi a condanne penali e reati di tutti i dipendenti. Si riterrebbe altresì opportuno adottare un processo aziendale adeguato per la conservazione di tali dati che preveda: (i) l accesso ad essi solo per coloro che hanno titolo a conoscere le relative informazioni; (ii) una durata del trattamento limitata alla effettiva necessità di detenzione dei dati; (iii) la conservazione dei dati in ambienti sicuri, fisicamente ed informaticamente; (iv) la distruzione controllata e non reversibile dei dati non più necessari;
(v) un efficace processo di gestione dei diritti degli interessati. Il tutto opportunamente documentato mediante evidenze chiare e complete in maniera da rendere possibile giustificare in ottica di accountability l'utilizzo dei dati personali relativi a condanne penali e reati o a connesse misure di sicurezza.