Con il parere del 24 giugno 2021 il Garante Privacy ha fornito nuove indicazioni in merito al trattamento dei dati giudiziari, in base allo schema di regolamento del Ministero della Giustizia in materia di trattamento dei dati personali. Con il GDPR e la pubblicazione del Dlgs 101/18, infatti, la base legale per il trattamento dei dati giudiziari era limitata alla sola previsione di legge. Questa circostanza, insieme al mancato rinnovo dell’autorizzazione generale in materia, ostacolava le imprese nella corretta gestione dei dati giudiziari di candidati e dipendenti.
I principi da rispettare
Sulla base del parere del Garante, il trattamento dei dati giudiziari deve oggi rispettare alcuni principi di fondo. Il suggerimento operativo per i datori di lavoro è dunque quello di verificare preventivamente che i propri processi aziendali e le parti interessate siano in grado di garantire il rispetto di questi principi.
La verifica potrebbe anche eseguirsi con un semplice attività di self-assessment (auto valutazione).
- deve svolgersi unicamente con operazioni e logiche proporzionate agli obblighi, compiti o finalità per i quali è autorizzato il trattamento;
- deve limitarsi ai soli dati necessari per realizzare le finalità previste, sempre che non possano essere soddisfatte, caso per caso, mediante il trattamento di dati anonimizzati o di dati personali di natura diversa;
- deve essere sottoposta a verifica periodica dell’esattezza e all’aggiornamento dei dati stessi, nonché alla verifica della loro loro adeguatezza, pertinenza e necessità rispetto alle finalità perseguite;
- deve prevedere, salva diversa disposizione di legge, la cancellazione dei dati non adeguati, non pertinenti o non più necessari.
La conservazione dei dati giudiziari
Il regolamento del Ministero individua in due anni dalla cessazione del rapporto di lavoro il termine per la conservazione dei dati, fatta salva naturalmente l’esigenza di ulteriore conservazione a fini di tutela giurisdizionale dei diritti. Tale termine potrebbe ritenersi proporzionato in ragione delle peculiarità del contesto. Per esempio per i crediti retributivi la legge prevede la sospensione del decorso del termine prescrizionale in costanza di rapporto di lavoro, con la conseguenza di dover conservare i dati, successivamente alla cessazione del rapporto lavorativo, per un tempo congruo, in ragione della possibilità di eventuali contenziosi.
Tuttavia, a prescindere da ipotesi particolari (come quella appena sopra richiamata ed alcune altre) il Garante avverte anche che, in via generale, tale previsione astratta di un termine fisso, potrebbe risultare secondo i casi eccessivamente rigido o, per converso, troppo esteso. Il consiglio è dunque quello collegare i tempi di conservazione allo scopo sotteso al trattamento, terminato il quale si dovrebbe procedere alla cancellazione. Dal punto di vista concreto, l’impresa dovrà analizzare e individuare le ragioni per le quali richiede i dati giudiziari ai propri dipendenti o aspiranti tali e poi valutare, in relazione a dette finalità, se debba conservarli e per quanto tempo.
Facendo un esempio: l’azienda vuole capire se il candidato in ragione della mansione per la quale debba essere assunto abbia subito condanne o abbia procedimenti penali concernenti uno specifico reato che ne impedirebbero l’assunzione (autista/guida in stato di ebbrezza, amministratore di sistema/reati informatici, ecc.). Verificata l’assenza di condizioni ostative, il titolare del trattamento, una volta assunto il dipendente, dovrebbe procedere alla cancellazione dei dati giudiziari.
Il consenso al trattamento dati giudiziari
Il presupposto di base del trattamento dei dati giudiziari può essere eseguito soltanto sulla base di una legge o di un regolamento, ma il consenso non è una base giuridica valida nell’ambito dei trattamenti svolti per la gestione del rapporto di lavoro. Richiamando infatti l’art. 7 e considerando 42 e 43 del Regolamento, il Parere del “Gruppo Articolo 29” n. 2 del 2017 sul trattamento dei dati sul posto di lavoro, il provvedimento n. 198 del 2021, l’Autorità ricorda che in questi casi il consenso subisce una forte attenuazione del requisito della libertà in ragione dell’asimmetria del rapporto fra titolare e interessato in simili contesti.
Sarà fondamentale che venga predisposta una informativa adeguata e ben chiara da fornire al dipendente/interessato che gli spieghi in modo semplice e chiaro le ragioni per cui gli viene richiesto di fornire i dati giudiziari. Ragioni che devono conformarsi alle indicazioni che stiamo commentando. Nelle ipotesi in cui, tanto per la gestione dei rapporti di lavoro che per le fasi di assunzione, qualora l’impresa si rivolga a soggetti esterni, dovranno essere predisposti tutti i necessari processi, procedure e garanzie tali da tutelare l’interessato.
La valutazione di impatto (DPIA)
Con particolare riferimento ai trattamenti svolti per la verifica di requisiti soggettivi, di onorabilità e di presupposti interdittivi, l’Autorità suggerisce, quale ulteriore garanzia per i trattamenti in ambito lavoristico, lo svolgimento di una valutazione d’impatto sulla protezione dei dati, che individui segnatamente le categorie di personale o le specifiche posizioni per le quali si rende necessario trattare dati giudiziari (Linee guida concernenti la valutazione di impatto sulla protezione dei dati ed il provvedimento del Garante n. 467 dell’11 ottobre 2018).
=> GDPR: software gratuito per la DPIA nelle PMI
Ci sono molte ipotesi (anche espressamente richiamate: società operanti nel settore del rating, i soggetti autorizzati all’accesso a sistemi, archivi o locali in cui siano conservati informazioni o documenti contrassegnati da particolari esigenze di riservatezza, ecc.) che giustificano il trattamento prolungato dei dati giudiziari da parte del titolare al fine di verificare la permanenza dei su richiamati requisiti soggettivi. Sebbene l’indicazione di porre in essere un DPIA sia indicata dal Garante solo nel caso di ipotesi particolari, è opportuno comunque procedere a tale valutazione di impatto. Non soltanto per una maggiore aderenza alla legge, ma anche e soprattutto come ausilio alla predisposizione degli livelli elevati di sicurezza e integrità dei sistemi di gestione dei dati giudiziari.
Conclusioni
Con il parere del Garante e con il Regolamento del Ministero della Giustizia anche le imprese possono trattare i dati giudiziari sulla base di specifiche indicazione e basi giuridiche. Questo, però, richiede che il titolare del trattamento ponga in essere, in concreto, tutte quelle misure tecniche ed organizzative tali da garantire al meglio i diritti degli interessati.
Dal punto di vista aziendale, queste indicazioni hanno delle immediate ricadute tecnico-operative che in sintesi richiedono al titolare del trattamento di adottare e documentare procedure e misure organizzative necessarie nel rispetto del principio di accountability (responsabilità e responsabilizzazione). Ciò significa che l’impresa deve essere in gradi di dimostrare e giustificare le ragioni per cui ha inteso trattare i dati giudiziari nonché i criteri e le garanzie predisposte per la gestione dell’intero ciclo di vita di quei dati.