Privacy dei dati giudiziari: cosa dice la legge

In un recente caso posto all’attenzione del Garante è tornata ad evidenziarsi la delicata problematica della Privacy sul luogo di lavoro.

Con il provvedimento n.267 del 15.06.2017 il Garante per la protezione dei dati personali si è pronunciato sulla liceità del trattamento dei dati giudiziari dei lavoratori dipendenti da parte di una società privata; in particolare la M.F.M. S.p.a., in qualità di Titolare del trattamento, interpellava il Garante per ottenere l’autorizzazione al trattamento dei dati giudiziari dei propri dipendenti contenuti nel certificato generale del casellario generale.

Il Garante ha innanzitutto richiamato la legge applicabile al caso concreto:  a norma dell’art. 27 del D. Lgs. 196/2003 (Codice in materia di protezione dei dati personali), i soggetti privati possono trattare i dati giudiziari soltanto se autorizzati da espressa disposizione di legge o da provvedimento del Garante che descrivano compiutamente le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e le operazioni eseguibili.

In secondo luogo, il Garante ha precisato che un siffatto trattamento può essere autorizzato solo qualora risulti indispensabile per “adempiere o esigere l’adempimento di specifici obblighi o eseguire specifici compiti previsti da leggi, dalla normativa dell’Unione europea, da regolamenti o da contratti collettivi, anche aziendali, e ai soli fini della gestione del rapporto di lavoro”, richiamando una sua precedente decisione avente il medesimo oggetto (Autorizzazione n. 7/2016).

Alla luce di tali presupposti, l’Autorità per la protezione dei dati personali ha ritenuto di dover rigettare l’istanza di autorizzazione presentata dalla società M.F.M. S.p.a. perchè priva del necessario supporto probatorio richiesto ai fini della sussistenza dei requisiti richiesti (aventi sia natura legislativa che regolamentare e/o contrattuale) per utilizzare i dati personali dei propri dipendenti; non è stata infatti ritenuta sufficiente la motivazione allegata dalla società istante, che aveva avanzato la richiesta sulla scorta di uno stipulando contratto di appalto con terzi, i quali richiedevano la trasmissione dei dati personali (ed in particolare quelli giudiziari, ovvero risultanti dal certificato generale del casellario) dei suoi lavoratori dipendenti.

Alla luce della sua prossima entrata in vigore, una prima analisi del nuovo Regolamento UE/679/2016 in materia di protezione dei dati personali (GDPR, General Data Protection Regulation) ha evidenziato come in esso non sia presente una formale bipartizione tra titolari privati o pubblici, ma solo l’indicazione delle modalità e della tipologia di trattamento eseguibile.

Per comprendere la reale portata innovativa del GDPR nel settore del trattamento dei dati da parti di soggetti pubblici e/o privati dovranno attendersi le prime risultanze della sua applicazione in concreto.