Dati giudiziari e GDPR, quando il trattamento è ammesso - Agenda Digitale

La categoria dei dati giudiziari o, meglio, dei “dati personali relativi a condanne penali e reati”, è da tempo oggetto di particolare cura da parte delle normative che, a livello sovranazionale e domestico, si sono occupate di personal data protection. Ovviamente la tutela dei dati giudiziari è più stringente, in quanto tale categoria di dati può determinare discriminazioni per i soggetti interessati.Indice degli argomenti

Dati giudiziari e tutela rafforzata nelle normative europeeTrattamento dati giudiziari dopo il GDPRArt. 2-octies e decreto ministeriale mancanteLe eccezioni per Pubblica Amministrazione e lavoro con minoriSoluzioni interpretative nel settore privatoTrattamento dati giudiziari e rischio di contrasto normativoDati giudiziari e tutela rafforzata nelle normative europeeGià nel 1981 la c.d. “Convenzione 108” del Consiglio d’Europa classificava “i dati a carattere personale relativi a condanne penali” tra le “categorie speciali di dati” rispetto alle quali era previsto un divieto di elaborazione automatica derogabile dalla normativa interna soltanto in presenza di appropriate garanzie. Tanta era la delicatezza di tali informazioni che la Convenzione le poneva sullo stesso piano di quelle «che rivelano l’origine razziale, le opinioni politiche, le convinzioni religiose o altre convinzioni», nonché dei «dati a carattere personale relativi alla salute o alla vita sessuale».Prima del Regolamento 2016/679 “GDPR”, il D. Lgs. 196/2003, all’art. 27, ammetteva la liceità del trattamento dei dati giudiziari con un ragionevole bilanciamento degli interessi di tutela dei soggetti interessati e corretto esercizio dell’attività economica: in tal senso intervenne anche il Garante per la Protezione dei Dati che, con l’Autorizzazione Generale n. 07/2016, ne disciplinava i casi e le modalità di trattamento, consentendo tra l’altro l’utilizzo dei predetti dati nell’ambito dei rapporti di lavoro. Tale previsione risultava preziosa ai fini della assunzione del personale con particolare riguardo a tutti quei settori dove il requisito di onorabilità costituiva una precauzione necessaria per mettere al sicuro i datori di lavoro e il personale stesso.Con l’entrata in vigore del GDPR (ai sensi dell’art. 10) e dell’art. 2-octies del D.lgs 196/2003 novellato dal Dlgs 101/2018 il trattamento dei dati giudiziari è ammissibile solo in presenza di due condizioni: “Il trattamento dei dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento che prevedano garanzie adeguate per i diritti e le libertà degli interessati.Da questa disposizione emergono due principi fondamentali:Divieto Generale: In linea di principio, il trattamento di tali dati da parte di soggetti privati è vietato.Eccezioni Limitate: Il trattamento è consentito solo in due ipotesi: Quando avviene sotto il controllo dell’autorità pubblica. Quando è autorizzato da una norma di legge, del diritto dell’Unione o di uno Stato membro, che deve prevedere “garanzie appropriate” per i diritti e le libertà degli interessati.La Corte di Giustizia dell’Unione Europea ha confermato la necessità di un’interpretazione restrittiva di queste condizioni, sanzionando normative nazionali che non rispettavano pienamente i dettami dell’articolo 10 del GDPR [Judgment of the Court (Full Court) of 21 April 2026.].Art. 2-octies e decreto ministeriale mancanteVa rilevato che in Italia il decreto di adeguamento del Codice privacy ha espressamente introdotto l’art. 2 octies che regolamenta il trattamento anche di tale categoria di dati, specificando che: “In mancanza delle predette disposizioni di legge o di regolamento, i trattamenti dei dati” giudiziari e le relative garanzie sono individuati con “decreto del Ministro della giustizia, da adottarsi, ai sensi dell’articolo 17, comma 3, della legge 23 agosto 1988, n. 400, sentito il Garante”.Il Ministero ha elaborato una bozza di Decreto, sulla quale il Garante per la Protezione dei Dati ha espresso un parere favorevole con il provvedimento del 24 giugno 2021 (doc. web n. 9682603), segnalando le modifiche e le integrazioni necessarie.Ad oggi, il citato Decreto ministeriale non ha avuto una concreta attuazione, non essendo stato ancora emanato e incredibilmente, ad oggi, la problematica del vuoto normativo, non è stata ancora risolta.Le eccezioni per Pubblica Amministrazione e lavoro con minoriPer completezza occorre chiarire che nulla osta alla raccolta dei dati giudiziari nella Pubblica Amministrazione e nel lavoro a contatto con i minori dove già sono previste, in via eccezionale, norme di legge autorizzative al trattamento dei dati giudiziari.Infatti, nella Pubblica Amministrazione il fondamento giuridico è dato dal d.p.r. 487/1994 che all’art. 2 comma 3 prevede che “Non possono accedere agli impieghi coloro che siano esclusi dall’elettorato politico attivo e coloro che siano stati destituiti o dispensati dall’impiego presso una pubblica amministrazione”. Tale norma si estende anche ai contratti di formazione e lavoro nonché ai contratti di somministrazione di lavoro a tempo determinato (art. 36 d.lgs. 165/2001).In ragione di tale disposizione si desume una base di autorizzazione al trattamento dei dati giudiziari nella fase di partecipazione al concorso e nel corso dello svolgimento del rapporto con la Pubblica Amministrazione. Quando si tratti di un lavoro a contatto con minori, opera invece l’art. 2 del d.lgs. n. 39/2014 secondo il quale i soggetti che intendono impiegare una persona per lo svolgimento di attività professionali o attività volontarie organizzate che comportino contatti diretti e regolari con minori devono richiedere il certificato penale del casellario giudiziale (c.d. certificato antipedofilia).Soluzioni interpretative nel settore privatoA fronte del predetto vuoto normativo gli interpreti possono cercare di proporre diverse soluzioni per tentare di sopperire alla mancanza di un adeguato intervento attuativo del legislatore o del Governo. Ad esempio una soluzione in uso in alcune organizzazioni private è quella di richiedere un’autocertificazione ai sensi del d.p.r. n. 445/2000, prassi in cui il lavoratore dichiara di non avere condanne o procedimenti penali in corso.Un’altra soluzione teorica sarebbe quella di conservare le misure previste dalla Autorizzazione Generale n. 7/2016, attribuendole una sorta di ultrattività nell’attesa dei futuri provvedimenti (che è ragionevole pensare non se ne discosteranno sensibilmente sul piano sostanziale).In tale caso, i datori di lavoro, dovrebbero adottare un criterio adeguato alla conservazione dei dati, che tenga conto di alcuni requisiti minimi quali ad esempio: l’accesso ad essi solo a personale autorizzato, una durata di trattamento limitata alla effettiva necessità di detenzione del dato, la conservazione in ambienti sicuri, la distruzione dei dati non più necessari.Trattamento dati giudiziari e rischio di contrasto normativoIn conclusione, finché non interverrà il decreto ministeriale sopra richiamato o siano rintracciate norme di legge o regolamenti che autorizzino il trattamento dei dati giudiziari, l’acquisizione di tali dati potrebbe essere in contrasto con l’ordinamento interno e con quello comunitario anche qualora sia ammesso da una specifica previsione del contratto collettivo.Peraltro, dopo critiche e sollecitazioni intervenute da più parti, la pubblicazione del decreto del Ministro della Giustizia si spera che dovrebbe arrivare a breve, richiamando, a grandi linee, l’impostazione seguita dal Garante della privacy nei suoi precedenti provvedimenti: autorizzando il trattamento dei dati giudiziari sulla base di una previsione del contratto collettivo.