Trattamento dei dati giudiziari e privacy del dipendente: il Garante apre a tutele maggiori

Il Garante per la Privacy ha espresso parere favorevole sullo schema di regolamento, predisposto dal Ministero della Giustizia, che disciplina il trattamento dei dati giudiziari in una pluralità di ambiti e contesti.Il Garante privacy ha espresso parere favorevole sullo schema di regolamento, predisposto dal Ministero della Giustizia, che disciplina il trattamento dei dati giudiziari in una pluralità di ambiti e contesti, con particolare attenzione ai rapporti lavorativi.

La bozza di regolamento recepisce buona parte delle indicazioni fornite dal Garante nel corso di diverse interlocuzioni con il Ministero, rafforzando considerevolmente le tutele previste per gli interessati. In tal senso, il documento definisce un complesso di garanzie minime e coerenti nei principali settori nei quali possono essere trattati dati giudiziari: dall’ambito forense a quello lavoristico, dalla verifica dei requisiti di onorabilità a quella della solidità e affidabilità di soggetti privati, dal settore assicurativo a quello delle professioni intellettuali o della ricerca storica e statistica, oppure nella mediazione e conciliazione delle controversie civili e commerciali nonché nella conduzione di investigazioni private.

Il testo prescrive, inoltre, l’allineamento per tutti i titolari ai principi di proporzionalità e di minimizzazione previsti all’art. 5 del Regolamento (UE) 2016/679 (GDPR). Di conseguenza, il trattamento dei dati giudiziari dovrà sostanziarsi esclusivamente nella misura e per il tempo strettamente necessario rispetto alla finalità perseguita. Chi tratta i dati, dovrà costantemente verificare l’affidabilità delle fonti, adottando specifiche garanzie volte a garantire l’esattezza dei dati trattati, che dovranno essere sempre aggiornati rispetto, tra l’altro, all’evoluzione della posizione giudiziaria dell’interessato.

Al fine di rafforzare ulteriormente le garanzie previste nello schema di regolamento, il Garante ha comunque espresso ulteriori osservazioni. In particolare, ha richiesto che (i) le garanzie introdotte con il decreto siano previste come parametro di riferimento minimo anche per quei trattamenti che vengono svolti in ambito pubblico sulla base di previsioni normative diverse; (ii) sia prestata particolare attenzione ai dati giudiziari raccolti da fonti aperte in caso di trattamenti svolti a fini di verifica della solidità, solvibilità ed affidabilità nei pagamenti. In tali casi si dovrebbero ammettere, quali legittime fonti di raccolta, solo i siti internet istituzionali, nonché quelli di ordini professionali e di associazioni di categoria. Le fonti qualificate dalle quali i dati sono acquisibili sono limitate alle sentenze definitive – anche rese ai sensi dell’articolo 444 del codice di procedura penale – decreti penali di condanna divenuti irrevocabili, provvedimenti definitivi di applicazione di misure di prevenzione.

Particolare attenzione è, inoltre, rivolta al tema controverso del trattamento dei dati giudiziari nell’ambito lavorativo. In linea con la posizione delle autorità di controllo europee, il Garante Privacy sottolinea la necessità di conformare lo schema di regolamento ai principi di cui all’art. 5 del GDPR. Inoltre, il parere del Garante sottolinea come il consenso dell’interessato non possa essere considerato una base giuridica legittima per il trattamento dei dati giudiziari; questo aspetto vale in particolare nel contesto lavorativo, dove il dipendente si trova in una posizione di vulnerabilità rispetto al datore di lavoro. Una posizione che, come reiterato dalle autorità di controllo europee e dallo stesso European Data Protection Board nelle Linee guida 5/2020, è tale da non garantire una libera espressione della volontà dell’interessato.

Il parere, infine, introduce quale ulteriore garanzia per i trattamenti in ambito lavoristico, lo svolgimento di una valutazione d’impatto sulla protezione dei dati, che individui segnatamente le categorie di personale o le specifiche posizioni per le quali si rende necessario trattare dati giudiziari per finalità di verifica di requisiti soggettivi anche di onorabilità, nel rispetto del principio di proporzionalità. Tale posizione è avvalorata nelle Linee guida a suo tempo adottate dall’allora Gruppo di Lavoro “Articolo 29”, in considerazione del carattere “vulnerabile” dell’interessato-lavoratore (“Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento ‘possa presentare un rischio elevato’ ai sensi del regolamento 2016/679”) e nel provvedimento del Garante n. 467 dell’11 ottobre 2018, relativamente ai trattamenti di dati giudiziari transfrontalieri.

L’Autorità ha poi rilevato l’importanza di disciplinare anche i trattamenti svolti da soggetti no-profit, per finalità di mediazione e conciliazione delle controversie civili e commerciali, nonché quelli per finalità di accesso a sistemi o aree sensibili in determinati ambiti, particolarmente rilevanti nel contesto socio-economico attuale.

Su un simile argomento può essere interessante l’articolo “I margini di legittimità dell’accesso ai dati di traffico telefonico”.