Diritti interna

Doveri interna

ricerca avanzata

Provvedimento del 22 maggio 2018 [9005857]

[doc. web n. 9005857]

Provvedimento del 22 maggio 2018

Registro dei provvedimenti
n. 315 del 22 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”);

VISTO, in particolare, l'art. 4, comma 1, lett. e), del Codice, contenente la definizione di "dati giudiziari";

CONSIDERATO che, ai sensi dell'art. 27 del Codice, i soggetti privati possono trattare i dati giudiziari soltanto se autorizzati da espressa disposizione di legge o da provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili;

VISTO l’art. 10 del Regolamento generale sulla protezione dei dati (UE) 2016/679, contenente disposizioni sul “trattamento dei dati personali relativi a condanne penali e reati”;

VISTA l'autorizzazione del Garante n. 7/2016 al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici (pubblicata in G.U. n. 303 del 29 dicembre 2016 e in www.garanteprivacy.it, doc. web n. 5803630, efficace fino al 24 maggio 2018);

VISTA la richiesta di Ariete società cooperativa (con sede in Modugno, Bari, di seguito, la società) volta ad ottenere, ai sensi dell'art. 41 del Codice, l'autorizzazione al trattamento dei dati giudiziari dei propri dipendenti in relazione allo svolgimento di servizi di “pulizia, di portierato e custodia, facchinaggio, servizi di manutenzione” anche presso soggetti pubblici (quali, a titolo esemplificativo, tribunali, caserme, ospedali, strutture portuali);

VISTO che il trattamento dei dati giudiziari, che avverrebbe attraverso “l’esibizione dei certificati penali e dei carichi pendenti […] in fase preassuntiva e/o da parte del lavoratore”, si renderebbe necessario nei casi in cui le stazioni appaltanti richiedano “l’esibizione” dei predetti certificati quale condizione per la stipula del contratto;

VISTO che il trattamento dei dati giudiziari sarebbe altresì necessario per “prevenire [l’affidamento di] mansioni che richiedono requisiti di particolare affidabilità e/o onorabilità” a personale non idoneo nonché a “tutelare l’immagine ed il buon nome della società”;

VISTO che, secondo quanto rappresentato dalla società “alcuni CCNL, come quello relativo al personale dipendente da imprese esercenti servizi di pulizia e servizi integrati o come quello applicabile ai «portuali», già prevedono, tra i documenti che il lavoratore deve presentare all’atto dell’assunzione, il certificato generale del casellario”;

VISTO inoltre che, secondo quanto rappresentato dalla società, i dati sarebbero “conservati per la durata del rapporto [di lavoro] e comunicati alle sole stazioni appaltanti che ne dovessero fare espressa richiesta”;

RILEVATO che il citato art. 10 del Regolamento generale sulla protezione dei dati 2016/679 (pienamente applicabile a partire dal 25 maggio 2018) stabilisce che: “il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati”;

RILEVATO che con la citata Autorizzazione n. 7/2016 il Garante ha autorizzato i datori di lavoro al trattamento dei dati giudiziari, qualora questo sia “indispensabile per […] adempiere o esigere l'adempimento di specifici obblighi o eseguire specifici compiti previsti da leggi, dalla normativa dell’Unione europea, da regolamenti o da contratti collettivi, anche aziendali, e ai soli fini della gestione del rapporto di lavoro”;

RITENUTO che la società non abbia indicato un’idonea base giuridica (legislativa o regolamentare) per l’effettuazione dei prospettati trattamenti, né in ogni caso risultano applicabili al caso concreto disposizioni dell’ordinamento che prevedano il trattamento dei dati giudiziari dei dipendenti in relazione alle attività svolte dalla società (analogamente a quanto espressamente previsto dal legislatore per determinate attività; v. ad es.: art. 25-bis, D.P.R. 14.11.2002, n. 313 in relazione allo svolgimento di attività professionali o volontarie organizzate che comportino contatti diretti e regolari con minori; art. 76, d. lgs. 7.9.2005, n. 209 e succ. mod. e D.M. 11.11.2011, n. 220 con riferimento ai soggetti che svolgono funzioni di amministrazione, di direzione e di controllo presso le imprese di assicurazione e di riassicurazione; D.M. 29.7.2015, art. 2, comma 4, con riferimento ai dipendenti del titolare di un’autorizzazione generale nel settore postale);

RITENUTO che il riferimento effettuato dalla società al contratto collettivo nazionale di lavoro delle aziende del settore imprese di pulizia e servizi integrati/multiservizi (senza peraltro chiarire se alla luce della concreta tipologia del rapporto di lavoro intercorrente con i soci lavoratori tali disposizioni siano o meno applicabili agli stessi) non sia idoneo, parimenti, a costituire nel caso specifico adeguata base giuridica del trattamento, alla luce di quanto stabilito dalla richiamata disciplina europea di imminente piena applicazione nell’ordinamento; in ogni caso la citata disciplina, espressione dell’autonomia collettiva, appare generica laddove si limita a prevedere la possibilità di acquisire dati giudiziari indipendentemente dal tipo di mansioni svolte dal dipendente (pur con riferimento ad un comparto assai vasto e variegato quanto alla tipologia di attività ivi ricomprese e tuttavia relativo per lo più ad attività che non si connotano per la particolare delicatezza delle operazioni di trattamento che i lavoratori di regola effettuano nello svolgimento delle proprie mansioni);

RILEVATO, inoltre, che la società non ha individuato tassativamente e in applicazione del principio di indispensabilità il novero delle fattispecie al ricorrere delle quali ritenere il lavoratore inidoneo allo svolgimento di determinate attività;

RILEVATO altresì che la società non ha indicato – né altrimenti risulta – una idonea base giuridica in relazione alla prospettata comunicazione dei dati giudiziari alla società appaltante e che non ha fornito sufficienti elementi al fine di poter effettuare una compiuta valutazione del caso;

RITENUTO quindi che non sussistono allo stato i presupposti per l’adozione di una autorizzazione specifica al trattamento dei dati giudiziari nei termini prospettati nella richiesta formulata dalla società;

VISTI gli artt. 27 e 41 del Codice;

VISTI gli atti d'ufficio;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

TUTTO CIÒ PREMESSO IL GARANTE

rigetta l’istanza di autorizzazione formulata da Ariete società cooperativa relativa al trattamento dei dati giudiziari dei propri dipendenti. 

Roma, 22 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia