Con il parere del 24 giugno 2021 il Garante (sullo schema di regolamento del Ministero della giustizia in materia di trattamento dei dati personali) fornisce nuove e fondamentali indicazioni in merito al trattamento dei dati giudiziari.
Capiremo: quali dati trattare, come gestirli, come conservarli, quali misure operative adottare in azienda.
Il presupposto
Con il GDPR e, successivamente, con la pubblicazione del Dlgs 101/18 la base legale per il trattamento dei dati giudiziari era stata limitato alla sola previsione di legge.
Questa circostanza, insieme alla mancata rinnovazione dell’autorizzazione generale in materia, hanno di fatto limitato fortemente, se non addirittura impedito, le imprese di poter trattare i dati giudiziari dei candidati e dei dipendenti.
L’idea alla base di questa scelta era evidente quella di salvaguardare, con particolar forza i diritti e le libertà degli interessati evitando il più possibile eventuali discriminazioni.
I principi fondamentali
Sulla base del parere del Garante il trattamento dei dati giudiziari dovrà rispettare in primo luogo i seguenti principi:
- svolgersi unicamente con operazioni e con logiche proporzionate agli obblighi, ai compiti o alle finalità per i quali è autorizzato il trattamento;
- limitarsi ai soli dati necessari per realizzare le finalità previste, sempre che le stesse non possano essere soddisfatte, caso per caso, mediante il trattamento di dati anonimizzati o di dati personali di natura diversa;
- essere sottoposti ad una verifica periodica dell’esattezza e dell’aggiornamento dei dati, nonché della loro adeguatezza, pertinenza e necessità rispetto alle finalità perseguite nei singoli casi.
- Procedere, salva diversa disposizione di legge, alla cancellazione dei dati che risultino non adeguati, non pertinenti o non più necessari.
Suggerimento operativo:
Prima di cominciare a trattare dati giudiziari dei dipendenti o dei candidati, occorre verificare che i propri processi aziendali e tutte le parti interessate siano in grado di garantire il rispetto di questi principi. Verifica che potrebbe anche eseguirsi con un semplice attività di self-assessment.
La conservazione dei dati.
Il regolamento del Ministero, individua in due anni dalla cessazione del rapporto di lavoro il termine per la conservazione dei dati, fatta salva naturalmente l’esigenza di ulteriore conservazione a fini di tutela giurisdizionale dei diritti.
Tale termine potrebbe ritenersi proporzionato in ragione delle peculiarità del contesto.
Per esempio per i crediti retributivi la legge prevede la sospensione del decorso del termine prescrizionale in costanza di rapporto di lavoro, con la conseguenza di dover conservare i dati, successivamente alla cessazione del rapporto lavorativo, per un tempo congruo, in ragione della possibilità di eventuali contenziosi.
Tuttavia, a prescindere da ipotesi particolari (come quella appena sopra richiamata ed alcune altre) il Garante avverte anche che, in via generale, tale previsione astratta di un termine fisso, potrebbe risultare secondo i casi eccessivamente rigido o, per converso, troppo esteso.
Suggerimento operativo:
Come evidenzia l’Autorità i tempi di conservazione dovrebbero essere collegati allo scopo sotteso al trattamento, terminato il quale si dovrebbe procedere alla cancellazione.
Dal punto di vista concreto quindi l’impresa dovrà analizzare ed individuare le ragioni per le quali richiede i dati giudiziari ai propri dipendenti e poi valutare, in relazione a dette finalità se debba conservarli, per quanto tempo e quando cancellarli.
Facendo un esempio: l’azienda vuole capire se il candidato in ragione della mansione per la quale debba essere assunto abbia subito condanne o abbia procedimenti penali concernenti uno specifico reato che ne impedirebbero l’assunzione (autista/guida in stato di ebbrezza, amministratore di sistema/reati informatici, ecc.). Verificata l’assenza di condizioni ostative, il titolare del trattamento, una volta assunto il dipendente, dovrebbe procedere alla cancellazione dei dati giudiziari.
Il consenso.
Il Garante ricorda non solo che il presupposto di base del trattamento dei dati giudiziari è che lo stesso può essere eseguito soltanto sulla base di una legge o di un regolamento, ma anche che il consenso non è una base giuridica valida nell’ambito dei trattamenti svolti per la gestione del rapporto di lavoro.
Richiamando, infatti, l’art. 7 e considerando 42 e 43 del Regolamento, il Parere del “Gruppo Articolo 29” n. 2 del 2017 sul trattamento dei dati sul posto di lavoro, il provvedimento n. 198 del 2021, l’Autorità ricorda che in questi casi il consenso subisce una forte attenuazione del requisito della libertà in ragione dell’asimmetria del rapporto fra titolare e interessato in simili contesti.
Suggerimento operativo:
Sarà fondamentale che venga predisposta una informativa adeguata e ben chiara da fornire al dipendente/interessato che gli spieghi in modo semplice e chiaro le ragioni per cui gli viene richiesto di fornire i dati giudiziari. Ragioni che devono conformarsi alle indicazioni che stiamo commentando.
Si badi che, nelle ipotesi in cui tanto per la gestione dei rapporti di lavoro che per le fasi di assunzione, qualora l’impresa si rivolta a soggetti esterni, non solo -come noto- questo dovrà essere indicato in informativa, ma dovranno essere predisposti tutti i necessari processi, procedure e garanzie tali da tutelare l’interessato.
La valutazione di impatto (DPIA)
Con particolare riferimento ai trattamenti svolti per la verifica di requisiti soggettivi, di onorabilità e di presupposti interdittivi, l’Autorità suggerisce, quale ulteriore garanzia per i trattamenti in ambito lavoristico, lo svolgimento di una valutazione d’impatto sulla protezione dei dati, che individui segnatamente le categorie di personale o le specifiche posizioni per le quali si rende necessario trattare dati giudiziari (Linee guida concernenti la valutazione di impatto sulla protezione dei dati ed il provvedimento del Garante n. 467 dell’11 ottobre 2018).
Ci sono molte ipotesi infatti (anche espressamente richiamate: società operanti nel settore del rating, i soggetti autorizzati all’accesso a sistemi, archivi o locali in cui siano conservati informazioni o documenti contrassegnati da particolari esigenze di riservatezza, ecc) che giustificano il trattamento prolungato dei dati giudiziari da parte del titolare al fine di verificare la permanenza dei su richiamati requisiti soggettivi.
Suggerimento operativo:
Sebbene l’indicazione di porre in essere un DPIA sia indicata dal Garante solo nel caso di ipotesi particolari, è opportuno comunque procedere a tale valutazione di impatto.
Non soltanto per una maggiore aderenza alla legge, ma anche e soprattutto come ausilio alla predisposizione degli livelli elevati di sicurezza e integrità dei sistemi di gestione dei dati giudiziari.
Conclusioni.
Con il parere del Garante e con il regolamento del ministero della giustizia anche le imprese potranno nuovamente trattare i dati giudiziari sulla base di specifiche indicazione e basi giuridiche.
Tutto questo, però potrà avvenire solo se il titolare del trattamento porrà in essere, in concreto tutte quelle misure tecniche ed organizzative tali da garantire al meglio i diritti degli interessati.
Dal punto di vista aziendale, queste indicazioni, come abbiamo visto, hanno delle immediate ricadute tecnico-operative che in sintesi richiedono al titolare del trattamento di adottare e documentare tutte le procedure e le misure organizzative necessarie nel rispetto del principio di accountability (responsabilità e responsabilizzazione).
Ciò significa che l’impresa deve essere in gradi di dimostrare e giustificare le ragioni per cui ha inteso trattare i dati giudiziari nonché i criteri e le garanzie predisposte per la gestione dell’intero ciclo di vita di quei dati.
