g-docweb-display Portlet

Provvedimento del 22 maggio 2018 [9005845]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9005845]

Provvedimento del 22 maggio 2018

Registro dei provvedimenti
n. 314 del 22 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”);

VISTO, in particolare, l'art. 4, comma 1, lett. e), del Codice, contenente la definizione di "dati giudiziari";

CONSIDERATO che, ai sensi dell'art. 27 del Codice, i soggetti privati possono trattare i dati giudiziari soltanto se autorizzati da espressa disposizione di legge o da provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili;

VISTO l’art. 10 del Regolamento generale sulla protezione dei dati (UE) 2016/679, contenente disposizioni sul “trattamento dei dati personali relativi a condanne penali e reati”;

VISTA l'autorizzazione del Garante n. 7/2016 al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici (pubblicata in G.U. n. 303 del 29 dicembre 2016 e in www.garanteprivacy.it, doc. web n. 5803630, efficace fino al 24 maggio 2018);

VISTA la richiesta di BlueIt S.p.A. (di seguito, la società) volta ad ottenere, ai sensi dell'art. 41 del Codice, l'autorizzazione al trattamento dei dati giudiziari dei propri dipendenti che, nell’ambito dell’attività di fornitura di servizi informatici, svolgono mansioni “riconducibili alle attività proprie dell’amministratore di sistema”; ciò visto anche che il provvedimento del Garante del 27 novembre 2008 (“Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, doc. web n. 1577499) “ha posto l’accento sulla necessità che tale mansione sia ricoperta da soggetti in possesso di determinate caratteristiche personali”;

VISTO che il trattamento prospettato, avente ad oggetto i dati contenuti nel certificato penale del casellario giudiziale consegnato alla società da “dipendenti e collaboratori”, sarebbe necessario per ottemperare a quanto previsto nel contratto di appalto di servizi informatici stipulato con una società (IBM Italia S.p.A.); in particolare tale contratto (stipulato in data 1.5.2013) prevede che l’appaltante effettui “un controllo dei precedenti penali del proprio personale” incaricato dello svolgimento di servizi informatici, astenendosi in particolare dall’assegnare all’esecuzione delle predette mansioni i dipendenti che, all’esito del predetto controllo, risultino avere annotazioni sul certificato in relazione a: “a) crimini o infrazioni (ad esempio corruzione, frode, appropriazione indebita, furto, violazione delle leggi sulla sicurezza), reati di violenza (inclusi ma non limitati ad abusi sessuali o abusi su minori) o crimini informatici e/o crimini correlati all’occupazione; b) l’esistenza di restrizioni (…) che potrebbero impedire o porre limitazioni alla capacità del personale del Fornitore  ad eseguire i servizi previsti dal presente accordo base”;

VISTO che, secondo quanto rappresentato dalla società, i certificati del casellario, custoditi in “apposito archivio ad accesso controllato”, dovrebbero essere consegnati dai dipendenti con periodicità quinquennale;

VISTO altresì che la società ha dichiarato di applicare ai contratti di lavoro con i propri dipendenti il Contratto collettivo nazionale di lavoro settore metalmeccanico per le lavoratrici e i lavoratori addetti all'industria metalmeccanica privata e alla installazione di impianti, il quale nella Sezione Quarta, Titolo primo, art. 3 prevede, tra l’altro, che “ai sensi dell'art. 689 del Codice di procedura penale e nei limiti di cui all'art. 8 della legge n. 300 del 20 maggio 1970, il datore di lavoro potrà richiedere il certificato penale del lavoratore”;

RILEVATO che il citato art. 10 del Regolamento generale sulla protezione dei dati 2016/679 (pienamente applicabile a partire dal 25 maggio 2018) stabilisce che: “il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati”;

RILEVATO che con la citata Autorizzazione n. 7/2016 il Garante ha autorizzato i datori di lavoro al trattamento dei dati giudiziari, qualora questo sia “indispensabile per […] adempiere o esigere l'adempimento di specifici obblighi o eseguire specifici compiti previsti da leggi, dalla normativa dell’Unione europea, da regolamenti o da contratti collettivi, anche aziendali, e ai soli fini della gestione del rapporto di lavoro”;

RITENUTO che la società non abbia indicato un’idonea base giuridica (legislativa o regolamentare) per l’effettuazione dei prospettati trattamenti, né in ogni caso risultano applicabili al caso concreto disposizioni dell’ordinamento che prevedano il trattamento dei dati giudiziari dei dipendenti in relazione alle attività svolte dalla società (analogamente a quanto espressamente previsto dal legislatore per determinate attività; v. ad es.: art. 25-bis, D.P.R. 14.11.2002, n. 313 in relazione allo svolgimento di attività professionali o volontarie organizzate che comportino contatti diretti e regolari con minori; art. 76, d. lgs. 7.9.2005, n. 209 e succ. mod. e D.M. 11.11.2011, n. 220 con riferimento ai soggetti che svolgono funzioni di amministrazione, di direzione e di controllo presso le imprese di assicurazione e di riassicurazione; D.M. 29.7.2015, art. 2, comma 4, con riferimento ai dipendenti del titolare di un’autorizzazione generale nel settore postale);

RITENUTO che il rinvio al contratto collettivo nazionale di lavoro indicato dalla società non sia idoneo, parimenti, a costituire nel caso specifico adeguata base giuridica del trattamento, alla luce di quanto stabilito dalla richiamata disciplina europea di imminente piena applicazione nell’ordinamento; in ogni caso la citata disciplina, espressione dell’autonomia collettiva, appare generica laddove si limita a prevedere la possibilità di acquisire dati giudiziari indipendentemente dal tipo di mansioni svolte dal dipendente (pur con riferimento ad un comparto assai vasto e variegato quanto alla tipologia di attività ivi ricomprese) tramite, peraltro, il rinvio alla norma del codice di procedura penale (ora abrogata e confluita negli artt. 23-27, D.P.R. 14.11.2002, n. 313) che si limita ad individuare il contenuto dei certificati rilasciati all’interessato dal casellario giudiziale;

RITENUTO, inoltre, che la società con il contratto di appalto di servizi non abbia individuato tassativamente e in applicazione del principio di indispensabilità il novero delle fattispecie al ricorrere delle quali ritenere il lavoratore inidoneo allo svolgimento di determinate attività (si veda in proposito il generico riferimento ai “reati di violenza” o a “crimini correlati all’occupazione” nonché l’indicazione solo esemplificativa di alcune fattispecie);

RITENUTO quindi che non sussistono allo stato i presupposti per l’adozione di una autorizzazione specifica al trattamento dei dati giudiziari nei termini prospettati nella richiesta formulata dalla società;

VISTI gli artt. 27 e 41 del Codice;

VISTI gli atti d'ufficio;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano; 

TUTTO CIÒ PREMESSO IL GARANTE

rigetta l’istanza di autorizzazione formulata da BlueIt S.p.A. relativa al trattamento dei dati giudiziari dei propri dipendenti. 

Roma, 22 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia