Cookie free: nessun "biscotto" per spiare i lettori

Decreto 101, dati giudiziari dei dipendenti: di male in peggio

Privacy e sicurezza - Paolo Ricchiuto* - 12 ottobre 2018

Con il nuovo regime disegnato dal GDPR e dal novellato Codice privacy si aggrava il problema dell'acquisizione, da parte del datore di lavoro, dei dati relativi alle condanne o ai procedimenti penali dei dipendenti.

Prima della pubblicazione del leggendario dlgs 101/18, avevamo segnalato l'esistenza di un grave problema operativo, relativo alla legittimità, in sede di assunzione di un dipendente, dell'acquisizione dei dati personali relativi a condanne penali già passate in giudicato (il cosiddetto casellario giudiziale) o a procedimenti penali pendenti (il cosiddetto certificato dei carichi pendenti). Si veda  GDPR, impossibile trattare dati giudiziari: la legge non c'è, del 25 giugno scorso.

Esisteva infatti una disarmonia patente tra il regime del Codice privacy, vecchia versione, che al suo art. 27 prevedeva come presupposto di liceità per il trattamento di questo tipo di dati anche un provvedimento del Garante, ed il diversissimo regime disegnato dal GDPR, a norma del cui art.10, con riferimento ai dati "relativi a condanne penali e reati", è chiaramente previsto che solo una norma di legge possa abilitare al trattamento, togliendo al provvedimento del Garante la possibilità di porsi come fonte autonoma di legittimazione.

C’era quindi un prima e c'è un dopo (l’ennesimo), rispetto alla data di applicazione del GDPR:

- prima, un datore di lavoro poteva appoggiarsi legittimamente all'autorizzazione generale n. 7 (da ultimo rinnovata dall’Autorità nel dicembre 2016), nella quale il Garante aveva abilitato i datori di lavoro al trattamento dei dati giudiziari dei dipendenti, ove ciò fosse previsto da un contratto collettivo nazionale di lavoro (CCNL);

- dopo, con il GDPR, questa dinamica non può più operare, essendo completamente diverso il substrato normativo imposto dal legislatore europeo, che solo all'esistenza di una norma di legge (o di regolamento) assegna il ruolo salvifico di fonte legittimante. Di tal che anche la disposizione del contratto collettivo che abiliti al trattamento dei dati giudiziari dei neo-assunti, pur se richiamata da un provvedimento del Garante (l'autorizzazione generale n 7, ove la considerasse ancora in vita sulla base del considerando 171 del GDPR), non poteva più considerarsi sufficiente.

Ora, rispetto a questo scenario, il decreto 101 non fa che confermare l'esistenza del problema. Anzi, lo rende ancora più evidente.

E infatti l’art. 2-octies, introdotto nel Codice privacy, legittima, sì, il trattamento dei dati relativi a condanne penali e reati, anche ove previsto da un contratto collettivo, ma ciò, attenzione, solo, sempre e comunque a condizione che a monte esista una norma di legge che regola la fattispecie (vedi. art. 2 octies nel combinato disposto dei commi 1, 2 e 3).

Se una norma non c’è, allora non esiste contrattazione collettiva che tenga.

Eccola, allora, un’ ulteriore, enorme voragine che si apre nell’ordito illeggibile delle norme con le quali ci stiamo misurando. Con l’unico, consueto, disgustoso risultato, di avere di fronte una sola alternativa: rispettare la legge, e rimanere paralizzati (anche in ambiti delicatissimi, in cui assumere un farabutto può creare danni ingestibili); oppure violarla apertamente, sperando di non esser pizzicati.

Se è questa, la rivoluzione del GDPR e del decreto di armonizzazione, allora sì, ridateci il Codice!

* Avvocato in Roma