Nuove sul trattamento dei dati giudiziari: il parallelismo tra Spagna e Italia
Lo scorso 11 febbraio, l’Agencia Española de Protección de Datos (“AEPD”) pubblicava il provvedimento sanzionatorio di 2 milioni di euro nei confronti di Amazon Spagna per la richiesta del certificato del casellario giudiziale nei confronti dei dipendenti1; contemporaneamente, in Italia, il 15 febbraio, il Consiglio di Stato emanava parere sullo schema di regolamento recante l’individuazione dei trattamenti dei dati personali relativi a condanne penali e reati e le relative appropriate garanzie ai sensi dell’art. 2-octies, comma 2, del Codice Privacy.
Si osserva, quindi, che il trattamento dei dati giudiziari sta assumendo il ruolo di protagonista dopo anni di silenzio sul tema, presentando nuove sfide, nonché criticità che meritano un approfondimento.
Brevi cenni sulla normativa europea sul trattamento dei dati giudiziari
Con l’entrata in vigore del Regolamento UE 679/2016, anche detto “GDPR”, il trattamento dei dati giudiziari è stato disciplinato dall’art. 10 e dal Considerando n. 192.
In particolare, l’art. 10 GDPR prevede che il trattamento relativo a condanne penali e ai reati o connesse misure di sicurezza deve avvenire in presenza di una delle basi giuridiche di cui all’art. 6 del GDPR e di una delle seguenti condizioni: o sotto il controllo di un’autorità pubblica oppure se il diritto dell’Unione europea o quello di uno degli Stati membri ne fornisce un’espressa autorizzazione.
Inoltre, il Considerando n. 19 specifica che il trattamento dei dati giudiziari di cui all’art. 10 fa riferimento unicamente a quello svolto da parte dei soggetti privati. Difatti, il trattamento dei dati giudiziari da parte di soggetti pubblici rientra nella disciplina di cui alla legge al D. Lgs. n. 51 del 2018, attuativo della Direttiva UE 680/2016, in materia di trattamenti dei dati personali da parte delle autorità competenti di prevenzione, indagine, accertamento e perseguimento di reati o esecuzioni di sanzioni penali3.
Risulta che, insieme ai dati appartenenti alle categorie particolari di cui all’art. 9 del GDPR, i dati identificati in dati giudiziari sono oggetto di una tutela più stringente ed implicante degli adempimenti più gravosi in capo al titolare e al responsabile del trattamento. La ratio di una maggiore tutela deve essere individuata nel possibile rischio, in termini di probabilità e gravità, che dal trattamento di questa tipologia di dati possa derivare un danno fisico, materiale o immateriale, per i diritti e le libertà delle persone fisiche.
Cosa è successo in Spagna?
L’Unione generale dei lavoratori (Unión General de Trabajadores, ‘UGT’) presentava reclamo di fronte all’AEPD contro Amazon Spagna (“Amazon” o “Società”), con riferimento al fatto che, nel corso del processo di assunzione dei dipendenti, Amazon richiedeva ai potenziali candidati di presentare il certificato del casellario giudiziale. La Società, infatti, chiedeva, sulla base del legittimo interesse, di poter verificare la presenza di precedenti dei dipendenti con mansione di “autisti di veicoli”, al fine di proteggere l’incolumità dei clienti con i quali sarebbero entrati in contatto.
In particolare, il trattamento dei dati giudiziari dei candidati dipendenti, per il tramite del certificato del casellario giudiziale, era compiuto sulla base del consenso del futuro dipendente. Nel corso del processo di assunzione, ai candidati era richiesto di creare un account su di una piattaforma adibita di gestione e di titolarità Amazon e di caricare il certificato, previo consenso del candidato dipendente. Inoltre, il consenso era richiesto anche per il trasferimento dei dati – inclusi quelli giudiziari – anche nei confronti di soggetti terzi, residenti al di fuori dello Spazio economico europeo (“SEE”), sulla base di standard contractual clauses.
Amazon si difendeva sostenendo che ai candidati era richiesto solo un certificato “negativo”, ossia una dichiarazione di assenza di precedenti, non costituendo – a sua detta – un trattamento di dati giudiziari.
L’Autorità spagnola accoglieva il reclamo presentato dall’UGT, sulla scorta delle motivazioni che seguono.
In primo luogo, secondo quanto previsto dall’Art. 10 del Regolamento e dall’art. 10 della Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (“Ley Orgánica”)4, l’AEPD affermava che anche il certificato negativo attestante l’assenza di precedenti a proprio carico contiene dati personali. Pertanto, per aversi un lecito trattamento degli stessi, le condizioni previste nei già menzionati articoli avrebbero dovuto essere rispettate. Tuttavia, l’AEPD osservava che in Spagna non vi è né nel diritto dell’UE né nel diritto spagnolo una norma che autorizzi il trattamento e che, di conseguenza, gli argomenti di Amazon, basati sulla finalità del legittimo interesse e sulla necessità del trattamento, non possono essere accolti.
In particolare, l’AEPD si concentrava sul legittimo interesse, segnalando che – anche qualora per assurdo volesse ammettersi la liceità di tale base giuridica – Amazon non aveva in ogni caso provveduto a dare prova del bilanciamento effettuato tra il legittimo interesse e gli altri diritti ed interessi in gioco, tenendo in considerazione anche i principi di cui all’art. 5 del GDPR, soprattutto quello di minimizzazione. Con riguardo invece al consenso, l’AEPD rilevava che per aversi la validità e la liceità, è necessario che sia libero, valido ed inequivocabile. In questo caso, invece, i candidati non avrebbero avuto la possibilità di rifiutarsi nel rendere il consenso al rilascio del certificato del casellario giudiziale, in quanto imposto nella fase pre-contrattuale. Vi è di più. A parere dell’autorità spagnola, Amazon non avrebbe nemmeno reso nemmeno un’adeguata informativa nei confronti degli interessati, nel rispetto degli artt. 13 e 14 del GDPR.
Con riferimento al consenso richiesto per il trasferimento dei dati nei confronti di terzi localizzati al di fuori del SEE, l’autorità spagnola ha rilevato che, anche con riferimento a questo caso, il consenso non possa ritenersi valido ai sensi dell’art. 49 del GDPR, in combinato disposto con l’art. 7 del GDPR, in quanto il consenso era richiesto all’interno del contratto senza la possibilità di rifiutare e senza alcuna preliminare informazione riguardo ai potenziali rischi derivanti dal trasferimento dei dati5.
Pertanto, a fronte di tali motivi, l’Autorità ha irrogato una sanzione di euro 2,000,000 per aver violato degli artt. 6, 10 del GDPR e dell’art. 10 della Ley Orgánica, a fronte della richiesta – in assenza di una valida e lecita base giuridica – dei certificati del casellario giudiziali nel corso del processo di assunzione dei dipendenti, illecitamente6.
Che cosa succede in Italia?
In Italia, in materia di trattamento dei dati giudiziari, il legislatore è intervenuto con il D. Lgs. 101 del 2018, modificativo del codice privacy di cui al D.lgs. 196/2003, introducendo una norma ad hoc, ossia l’art. 2-octies.
In particolare, il comma 1 dell’art. 2-octies riproduce l’art. 10 del GDPR, prevedendo che il trattamento dei dati giudiziari può avvenire in subordine alle condizioni predette, ossia: i) sulla base di una delle condizioni di liceità ai sensi dell’art. 6 del GDPR; ii) sotto il controllo dell’autorità pubblica o se autorizzato da legge del diritto dell’UE o nazionale, in presenza di garanzie adeguate. La differenza con l’art. 10 GDPR sta nel fatto che il trattamento dei dati giudiziari può avvenire anche nel caso in cui sia autorizzato da un regolamento, nei casi previsti dalla legge.
L’art. 2-octies, al comma 2, inoltre, prevede che, in mancanza di disposizioni di legge o di un regolamento, il trattamento dei dati giudiziari e le relative garanzie sono individuati dal decreto del Ministero della giustizia da adottarsi, ai sensi dell’articolo 17, co. 3, della legge 23 agosto 1988, n. 400, sentita l’Autorità Garante per la protezione dei dati personali (il “Garante”)7. A tal riguardo, il Ministero della giustizia ha presentato uno schema di regolamento recante l’individuazione dei trattamenti di dati personali relativi a condanne penali e reati e delle relative garanzie appropriate ai sensi dell’articolo 2-octies, comma 2. Difatti, lo schema di regolamento dovrebbe consistere nel contenuto del decreto di cui all’art. 2-octies, co. 2.
Nello schema di regolamento sono specificati gli ambiti entro i quali il trattamento dei dati giudiziari – in assenza di un’autorizzazione da parte della legge o di un regolamento – è da considerare lecito. Tali ambiti riproducono quelli dell’art. 2-octies, co. 3, tra i quali, a titolo esemplificativo: i) trattamento di dati giudiziari in ambito lavorativo; ii) trattamento di dati giudiziari al fine di verificare o accertare i requisiti di onorabilità, soggettivi e presupposti interdittivi; iii) trattamento di dati giudiziari al fine di accertare, esercitare o difendere un diritto in sede giudiziaria etc.
Secondo quanto previsto dalla procedura di approvazione del decreto, il Garante è stato interpellato con riguardo allo schema di regolamento e ha reso parere favorevole circa il contenuto, suggerendo alcune integrazioni. Allo stesso modo, il Consiglio di Stato ha reso parere che, seppur favorevole, ha rivelato forti criticità circa la formulazione di alcune disposizioni.
Il Ministero della giustizia, quindi, in seguito all’interpello delle autorità, è tenuto a procedere alla revisione dello schema di regolamento che, alla luce delle numerose indicazioni, cambierà indubbiamente nel suo contenuto.
In particolare, a parere di chi scrive e in ragione altresì delle argomentazioni del Consiglio di Stato, sembrano esservi numerose incertezze sull’interpretazione delle disposizioni contenute nello schema di regolamento. Merita segnalare con particolar attenzione la difficoltà nell’individuazione della base giuridica legittimante il trattamento dei dati giudiziari. Difatti, le disposizioni contenute nello schema di regolamento dovrebbero fungere da base giuridica legittimante, nei casi in cui non vi è una legge e/o un regolamento.
Tuttavia, a parte l’assenza di una chiarezza del dettato letterale, ciò che creerebbe confusione è il costante rinvio nelle disposizioni dello schema di Regolamento al GDPR e alle condizioni di cui all’art. 10, nonché ad una legge o un regolamento autorizzativi che non esistono.
Parallelismo: quali tratti comuni?
Nonostante trattasi di due “casi” differenti, ciò che emerge chiaramente è un quadro controverso in Europa in relazione al trattamento dei dati giudiziari.
Da un lato, in Spagna, vi è il mancato adeguamento al quadro legislativo in vigore – che riflette quanto previsto dal GDPR e non ha subito integrazioni dalla legge nazionale – da parte di una grande multinazionale; dall’altro lato, in Italia, un sistema normativo sulla disciplina dei dati giudiziari in evoluzione che affronta numerose criticità, nel tentativo di rispondere a quanto richiesto dell’art. 2-octies, co. 2 sin dalla sua entrata in vigore nel 2018. Ed è da questo parallelismo che, nel complesso, sembrerebbe emergere una difficoltà nell’applicazione, nell’interpretazione e nell’evoluzione della normativa vigente in ambito di trattamento dei dati giudiziari, normativa che vorrebbe rispondere alle vecchie e nuove necessità presenti all’interno della società, ma che fatica a farlo.
Fabiola Iraci Gambazza
5 In verità, il trasferimento come regolamentato dalle SCC concluse da Amazon con i terzi è da ritenersi lecito, secondo quanto previsto dall’art. 46 del GDPR.
6 L’AEPD ha ordinato ad Amazon anche la produzione della documentazione al fine di accertare che le procedure in atto da parte di Amazon siano compliant con il GDPR. Nello specifico, è necessario dare prova del fatto che Amazon non richiede il certificato del casellario giudiziale e che i dati precedentemente raccolti per il tramite del casellario sono stati effettivamente distrutti.
7 In assenza di un decreto, il Garante ha provveduto a chiarire che per il trattamento da parte di privati, di enti pubblici economici non si applicava la precedente Autorizzazione Generale del Garante n. 7/2016, ma le Autorizzazioni generali adottate in data 15 dicembre 2016 ed efficaci dal 1° gennaio 2017 fino al 24 maggio 2018 per alcuni trattamenti di dati sensibili e di dati giudiziari.
