Il recepimento del GDPR blocca indirettamente il trattamento dei dati giudiziari nei contratti di lavoro. Al momento, le imprese italiane sono infatti tuttora in attesa di un decreto del ministero della Giustizia che legittimi il trattamento in questione nei rapporti di lavoro in tutte le ipotesi oggi non previste dalla legge.
Il vecchio regime privacy all’art 27 del D.Lgs 196/2003 prevedeva che il trattamento dei dati giudiziari fosse consentito anche se autorizzato (oltre che dalla legge) da un Provvedimento del Garante.
Il datore di lavoro, in sede di assunzione di un dipendente provvedeva pertanto all’acquisizione dei dati personali relativi a condanne penali passate in giudicato o ai procedimenti penali dei dipendenti nei casi previsti dal Garante Privacy. Il testo di riferimento era la relativa Autorizzazione generale del Garante (l’ultima AutGen n. 7/2016 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e soggetti pubblici).
Tale autorizzazione recitava: “Il trattamento deve essere indispensabile per: adempiere o esigere l’adempimento di specifici obblighi o eseguire specifici compiti previsti da leggi, dalla normativa dell’Unione europea, da regolamenti o da contratti collettivi, anche aziendali, e ai soli fini della gestione del rapporto di lavoro, anche autonomo o non retribuito od onorario; verificare, limitatamente ai dati strettamente necessari, i requisiti di onorabilità dei dipendenti di società operanti nel settore del rating”.
Dati giudiziari, come siamo arrivati al blocco
L’ipotesi più frequente era pertanto la richiesta di un certificato rilasciato dal Tribunale allorché previsto dal Contratto Collettivo Nazionale di Lavoro. Si pensi alle ipotesi previste dal CCNL Banche.
Quindi in sede preassuntiva, dopo lo screening inziale, e solo dopo aver individuato il candidato da assumere, era lecito raccogliere dati giudiziari ove espressamente previsto dal relativo CCNL.
Con la pubblicazione del GDPR e prima della pubblicazione del dlgs 101/18 vi era un problema operativo relativo alla legittimità poiché vi era una disarmonia tra il regime del Codice privacy, art. 27 ed il diversissimo regime introdotto dal GDPR, a norma dell’art.10.
Con l’introduzione del Reg. UE 2016/679 infatti il trattamento dei dati giudiziari deve avvenire soltanto sotto il controllo dell’Autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.
Il Garante Privacy a luglio 2019 con specifico Provvedimento ha affermato che l’Autorizzazione Generale al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici ha cessato di produrre effetti giuridici alla data del 19 settembre 2018, data di entra in vigore del D.lgs n.101.
Garante Privacy senza poteri sui dati giudiziari
Tale D.lgs ha modificato il vecchio Codice Privacy e, con riferimento ai dati “relativi a condanne penali e reati”, ha chiaramente previsto che solo una norma di legge possa abilitare al trattamento, togliendo al provvedimento del Garante la possibilità di porsi come fonte autonoma di legittimazione.
L’ ‘art. 2-octies del D.Lgs. 101/2018 ha infatti stabilito che il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza è consentito solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati.
“In mancanza delle predette disposizioni di legge o di regolamento, i trattamenti dei dati sono individuate con decreto del Ministro della giustizia, da adottarsi, ai sensi dell’articolo 17, comma 3, della legge 23 agosto 1988, n. 400, sentito il Garante”. Se una legge non c’è non esiste contrattazione collettiva che tenga.
Lavoro, dati giudiziari nella PA
Nella Pubblica Amministrazione il fondamento giuridico è dato dal DPR 487/1994. La norma prevede all’art 2 comma 3 che “non possono accedere agli impieghi coloro che siano esclusi dall’elettorato politico attivo e coloro che siano stati destituiti o dispensati dall’impiego presso una pubblica amministrazione”. Al pari dei dipendenti della PA, ai sensi del D.lgs 165/2001, art 36, anche il personale assunto a tempo determinato o con forme di lavoro flessibile (es. contratti di formazione e lavoro e contratti di somministrazione di lavoro a tempo determinato) presso la PA, deve essere impiegato con le medesime modalità delle amministrazioni pubbliche. Nulla osta pertanto alla raccolta dei dati giudiziari.
Lavori con i minori: nessun problema
Qualora si tratti invece di un lavoro a contatto con i minori non sorgono dubbi. L’ipotesi è infatti espressamente prevista dal art 2 del D.lgs 39/2014: il certificato penale del casellario giudiziale deve essere richiesto per lo svolgimento di attività professionali o attività volontarie organizzate che comportino contatti diretti e regolari con minori, al fine di verificare l’esistenza di specifici reati.
Dati giudiziari, la via dell’autocertificazione
E’ prassi in alcune organizzazioni private richiedere un’autocertificazione ai sensi del d.p.r. 445/2000. Tralasciando la dubbia utilizzabilità di una dichiarazione del genere in ambito privatistico, chi ha incontrato il Garante afferma anche che non è percorribile la via della raccolta, da parte del datore di lavoro, di un’autocertificazione in cui il lavoratore dichiara di non avere condanne o procedimenti penali in corso. Il Garante considererebbe tale documento al pari di un certificato rilasciato dal Tribunale ovvero un documento contenente dati giudiziari.
La via dell’art 8 dello Statuto dei lavoratori
Alcuni datori di lavoro ritengono di essere autorizzati al trattamento dei dati giudiziari ai sensi dell’articolo 8 dello Statuto dei Lavoratori (L.300/70). L’art 8 in realtà afferma semplicemente esserci un divieto di indagini su fatti “non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”. Il trattamento del c.d. “dato giudiziario” sarebbe dunque rilevante nella valutazione dell’attitudine lavorativa del candidato. Tale rilevanza è, del resto, riconosciuta dalla giurisprudenza del giudice del lavoro.
Sul bilanciamento fra privacy e art 8 dello Statuto dei Lavoratori è intervenuta una Sentenza della Cassazione. Civ., Sez. Lavoro, n. 1902 del 17 luglio 2018 che ha ritenuto illegittima, se non prevista esplicitamente dalla contrattazione collettiva, la richiesta del certificato dei carichi pendenti al momento dell’assunzione.
Tale sentenza, che sembrerebbe dunque aprire una possibilità di raccolta dei dati giudiziari, in virtù di una espressa previsione del CCNL, risulta comunque insufficiente a fondare la legittimità del trattamento a seguito della emanazione, un mese dopo, del già citato D.Lgs 101/08 (pubblicata in Gazzetta Ufficiale il 4/09/2018).
