Registro dei provvedimenti
n. 267 del 15 giugno 2017
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice");
VISTO, in particolare, l'art. 4, comma 1, lett. e), del Codice, contenente la definizione di "dati giudiziari";
CONSIDERATO che, ai sensi dell'art. 27 del Codice, i soggetti privati possono trattare i dati giudiziari soltanto se autorizzati da espressa disposizione di legge o da provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili;
VISTA l'autorizzazione del Garante n. 7/2016 al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici (pubblicata in G.U. n. 303 del 29 dicembre 2016 e in www.garanteprivacy.it, doc. web n. 5803630), nella quale il Garante si è riservato di adottare ogni altro provvedimento per i trattamenti non considerati nella medesima (cfr. Capo VII, punto 5);
VISTA la richiesta di Manutencoop Facility Management S.p.A. (MFM) volta ad ottenere, ai sensi dell'art. 41 del Codice, l'autorizzazione al trattamento dei dati giudiziari dei propri dipendenti da effettuare in qualità di titolare del trattamento mediante la raccolta ed il successivo trattamento del certificato tratto dal "casellario giudiziale […], fornito dal lavoratore stesso a MFM, la quale provvederà a comunicare alla società appaltante quanto risultante (anche qualora il casellario giudiziale non riporti alcun provvedimento)", posto che tale trattamento, riferito ai dipendenti della società "che dovranno operare in ambito ferroviario […] inquadrati come manovale e pulitore di impianti fissi e a bordo treni" è prospettato "in vista di uno stipulando contratto di appalto con terzi" (svolgendo MFM il ruolo di soggetto appaltatore); l'articolo 3 di tale schema di contratto di appalto predisposto dalla società prevede che "l'Appaltatore si impegna altresì a richiedere a ciascun lavoratore da impiegare nell'appalto - prima del suo effettivo impiego – il certificato generale del casellario giudiziale in corso di validità e a segnalare tempestivamente al Committente il nominativo di coloro a carico dei quali risultano sentenze di condanna passate in giudicato nonché i reati ascritti e la pena comminata, nel rispetto comunque delle disposizioni di legge contenute nel D. lgs. n. 196/2003";
VISTO che, secondo quanto rappresentato dalla società nell'istanza, una società appaltante avrebbe motivato l'inserimento di una siffatta clausola contrattuale "con la necessità di vagliare, con proprio gradimento o meno, lo status dei lavoratori di MFM che andranno a svolgere le proprie mansioni presso le sedi della società appaltante stessa";
VISTE le precisazioni fornite dalla società in ordine alla tipologia dei dati giudiziari che sarebbero oggetto del prospettato trattamento in relazione alla finalità indicata (secondo quanto rappresentato si tratterebbe, senza ulteriore specificazione, di dati relativi a: "reati contro le persone, la sicurezza dei beni ed il patrimonio");
VISTO che il trattamento dei dati giudiziari dei lavoratori contenuti nel certificato generale del casellario (in particolare: nominativo del dipendente, provvedimenti di condanna definitivi ed alcuni provvedimenti definitivi in materia civile ed amministrativa) verrebbe effettuato mediante "la raccolta del casellario in formato cartaceo direttamente dal lavoratore, previo il suo specifico consenso, il cui contenuto […] sarebbe comunicato alla committente" ed il documento verrebbe poi archiviato "nella cartella del dipendente e conservat[o] per tutta la durata del rapporto di lavoro";
RILEVATO che tale richiesta di autorizzazione viene giustificata dalla società in quanto funzionale ad ottemperare alla richiesta contrattuale dell'azienda committente;
RILEVATO che con la citata Autorizzazione n. 7/2016 il Garante ha autorizzato i datori di lavoro al trattamento dei dati giudiziari, qualora questo sia "indispensabile per […] adempiere o esigere l'adempimento di specifici obblighi o eseguire specifici compiti previsti da leggi, dalla normativa dell'Unione europea, da regolamenti o da contratti collettivi, anche aziendali, e ai soli fini della gestione del rapporto di lavoro";
RILEVATO che la società non ha indicato – né altrimenti risulta - una base giuridica (legislativa, regolamentare o contrattuale) adeguata a legittimare il trattamento da parte di MFM di dati giudiziari nel caso concreto alla stregua di quanto previsto dalla citata Autorizzazione; in particolare, nel CCNL della mobilità/area contrattuale attività ferroviarie (20 luglio 2012) e nel contratto aziendale di gruppo FS, integrativo del CCNL, indicati dalla società, non rilevano disposizioni da cui emerge l'indispensabilità del trattamento dei dati giudiziari dei dipendenti per lo svolgimento di determinate attività;
RILEVATO altresì che la società non ha indicato – né altrimenti risulta – una idonea base giuridica in relazione alla prospettata comunicazione dei dati giudiziari alla società appaltante, e che non ha fornito sufficienti elementi istruttori al fine di poter effettuare una compiuta valutazione del caso;
RITENUTO quindi che non sussistono allo stato i presupposti per l'adozione di una autorizzazione specifica al trattamento dei dati giudiziari nei termini prospettati nella richiesta formulata dalla società;
VISTI gli artt. 27 e 41 del Codice;
VISTI gli atti d'ufficio;
VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Antonello Soro;
TUTTO CIÒ PREMESSO IL GARANTE
rigetta l'istanza di autorizzazione formulata da Manutencoop Facility Management S.p.A. (MFM) relativa al trattamento dei dati giudiziari dei propri dipendenti.
Ai sensi degli artt. 152 del Codice e 10, d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 15 giugno 2017
IL PRESIDENTE
Soro
IL RELATORE
Soro
IL SEGRETARIO GENERALE
Busia