Provvedimento del 22 maggio 2018 [9005869]
Provvedimento del 22 maggio 2018 [9005869]
Condividi[doc. web n. 9005869]
Provvedimento del 22 maggio 2018
Registro dei provvedimenti
n. 316 del 22 maggio 2018
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”);
VISTO, in particolare, l'art. 4, comma 1, lett. e), del Codice, contenente la definizione di "dati giudiziari";
CONSIDERATO che, ai sensi dell'art. 27 del Codice, i soggetti privati possono trattare i dati giudiziari soltanto se autorizzati da espressa disposizione di legge o da provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili;
VISTO l’art. 10 del Regolamento generale sulla protezione dei dati (UE) 2016/679, contenente disposizioni sul “trattamento dei dati personali relativi a condanne penali e reati”;
VISTA l'autorizzazione del Garante n. 7/2016 al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici (pubblicata in G.U. n. 303 del 29 dicembre 2016 e in www.garanteprivacy.it, doc. web n. 5803630, efficace fino al 24 maggio 2018);
VISTA la richiesta di Confezioni Sarmatesi società cooperativa (con sede a Piacenza, di seguito, la società) volta ad ottenere, ai sensi dell'art. 41 del Codice, l'autorizzazione al trattamento dei dati giudiziari dei propri dipendenti in relazione allo svolgimento per conto terzi di “servizi di logistica, deposito e gestione della movimentazione a magazzino di un’elevata quantità di prodotti finiti, talvolta anche di notevole valore economico [..], tra i quali si annoverano cosmetici, vestiario e accessori vari”;
VISTO che il trattamento dei dati giudiziari si renderebbe necessario considerato che “all’interno dei depositi presso cui opera la cooperativa si reiterano […] episodi di furto di detti beni, furti che arrecano […] un notevole danno alla società”; tali episodi, secondo quanto rappresentato dalla società, hanno altresì “minato la serenità dell’ambiente di lavoro, poiché l’azienda si è vista costretta ad interrompere attività di verifica e di indagine per timore di ritorsioni”;
VISTO inoltre che la società ritiene necessario acquisire il “certificato del casellario giudiziale, limitato ai soli reati di furto, lesioni personali dolose e percosse”, ritenuto “efficace ai fini del della tutela del patrimonio e delle persone nonché pertinente con la valutazione dell’attitudine professionale del lavoratore per la verifica dei requisiti di idoneità ed affidabilità del soggetto”, ciò “esclusivamente per i rapporti contrattuali in divenire” e ad esclusione di ogni forma di “comunicazione e/o diffusione” dei certificati;
VISTO che la società ritiene di poter effettuare il trattamento dei dati giudiziari dei propri soci lavoratori in base all’articolo 2527 del codice civile “che prevede il diritto per la società di inserire all’interno dell’atto costitutivo dei requisiti per l’ammissione dei nuovi soci”;
RILEVATO che il citato art. 10 del Regolamento generale sulla protezione dei dati 2016/679 (pienamente applicabile a partire dal 25 maggio 2018) stabilisce che: “il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati”;
RILEVATO che con la citata Autorizzazione n. 7/2016 il Garante ha autorizzato i datori di lavoro al trattamento dei dati giudiziari, qualora questo sia “indispensabile per […] adempiere o esigere l'adempimento di specifici obblighi o eseguire specifici compiti previsti da leggi, dalla normativa dell’Unione europea, da regolamenti o da contratti collettivi, anche aziendali, e ai soli fini della gestione del rapporto di lavoro”;
RITENUTO che la società non abbia indicato un’idonea base giuridica (legislativa o regolamentare) per l’effettuazione dei prospettati trattamenti, né in ogni caso risultano applicabili al caso concreto disposizioni dell’ordinamento che prevedano il trattamento dei dati giudiziari dei dipendenti in relazione alle attività svolte dalla società (analogamente a quanto espressamente previsto dal legislatore per determinate attività; v. ad es.: art. 25-bis, D.P.R. 14.11.2002, n. 313 in relazione allo svolgimento di attività professionali o volontarie organizzate che comportino contatti diretti e regolari con minori; art. 76, d. lgs. 7.9.2005, n. 209 e succ. mod. e D.M. 11.11.2011, n. 220 con riferimento ai soggetti che svolgono funzioni di amministrazione, di direzione e di controllo presso le imprese di assicurazione e di riassicurazione; D.M. 29.7.2015, art. 2, comma 4, con riferimento ai dipendenti del titolare di un’autorizzazione generale nel settore postale);
RITENUTO che il riferimento effettuato dalla società all’articolo 2527 del codice civile non sia idoneo, parimenti, a costituire nel caso specifico adeguata base giuridica del trattamento poiché, pur prescindendo dalla valutazione sull’idoneità dell’atto costitutivo di una società a costituire una base giuridica ricompresa tra quelle menzionate dall’ordinamento vigente, la società non ha comunque rappresentato di aver previsto tale specifico requisito di onorabilità tra le condizioni di ammissione alla cooperativa;
RITENUTO inoltre che la consegna del certificato del casellario giudiziale da parte del socio lavoratore, sebbene la società abbia delimitato le fattispecie di reato ritenute rilevanti ai fini della valutazione di idoneità allo svolgimento delle mansioni svolte, consente la visibilità da parte della società di tutti i dati contenuti nel certificato stesso, in violazione dei principi di necessità e pertinenza rispetto alle finalità perseguite (v. artt. 3 e 11, comma 1, lett. d) del Codice);
RITENUTO quindi che non sussistono allo stato i presupposti per l’adozione di una autorizzazione specifica al trattamento dei dati giudiziari nei termini prospettati nella richiesta formulata dalla società;
VISTI gli artt. 27 e 41 del Codice;
VISTI gli atti d'ufficio;
VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE la prof.ssa Licia Califano;
TUTTO CIÒ PREMESSO IL GARANTE
rigetta l’istanza di autorizzazione formulata da Confezioni Sarmatesi società cooperativa relativa al trattamento dei dati giudiziari dei propri dipendenti.
Roma, 22 maggio 2018
IL PRESIDENTE
Soro
IL RELATORE
Califano
IL SEGRETARIO GENERALE
Busia
