I LIMITI DELL’ASSUNZIONE: LA RICHIESTA DI DATI GIUDIZIARI AL CANDIDATO
Si è spesso parlato di modalità di assunzione più o meno opinabili, che talvolta, peraltro sempre più frequentemente, si avvalgono di algoritmi che selezionano determinati curricula sulla base di “parole chiave”. La decisione finale appartiene al datore di lavoro e alla discrezionalità, facendo riferimento a requisiti che vanno dalle qualifiche ritenute più importanti sino ad approdare a criteri più “personali”, quali l’affidabilità, la compatibilità caratteriale ecc.
Il processo di selezione implica infatti delle valutazioni sia oggettive che soggettive, del tutto legittime, ma che devono fare i conti con le relative conseguenze in ambito privacy. Proprio per questa ragione (e per i motivi che seguiranno) i dati forniti dal candidato devono essere necessari e pertinenti al solo fine perseguito dall’azienda, ossia l’assunzione.
Ma partiamo dalla disamina dell’originaria normativa in materia di privacy, al fine di chiarificare le disposizioni odierne.
L’art. 11 lett. d del d.lgs. 196/2003 stabiliva che i dati oggetto di trattamento dovevano essere “pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati”, sancendo il tuttora fondamentale principio di proporzionalità.
La lettera del, seppur abrogato, art. 11 è chiaramente ripresa dall’attuale art. 5 del Regolamento UE 2016/679 (d’ora innanzi GDPR), la cui lett. c stabilisce che i dati debbano essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”, sancendo il principio della minimizzazione dei dati.
Le due norme sopra richiamate, in effetti, chiariscono qualsiasi dubbio in relazione alla quantità (ma anche alla qualità) dei dati che è necessario raccogliere dall’interessato: non tutti, indiscriminatamente, ma solo quelli necessari per le finalità stabilite anzitempo dal titolare del trattamento.
Tuttavia, se anche i dati raccolti sono proporzionati rispetto alle finalità, v’è la necessità che il trattamento sia anche lecito, rispettoso, cioè, di tassative basi di legittimità, di cui all’art. 6 del GDPR, tra cui il consenso (lett. a) e legittimo interesse (lett. f). Il consenso, in particolare deve essere prestato dall’interessato in maniera trasparente ed intellegibile e concernere una o più specifiche finalità. Si tratta di una base di legittimità “residuale” e poco conveniente al titolare, in quanto il consenso, generalmente, può sempre essere revocato dall’interessato. Più problematico è il legittimo interesse, che il titolare deve far valere sulla base di un test di bilanciamento che comprovi la prevalenza del suo interesse a trattare il dato rispetto ai diritti e libertà fondamentali dell’interessato.
V’è da specificare che l’analisi sopra riproposta riguarda situazioni in cui i dati oggetto di trattamento non afferiscano a categorie particolari: in quest’ultimo caso, infatti, gli artt. 9 e 10 GDPR stabiliscono un generale divieto al trattamento, salve determinate circostanze. In particolare, l’art. 10 GDPR (“Trattamento dei dati personali relativi a condanne penali e reati”), statuisce che “Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati (…)”. Ben si comprende, pertanto, come il titolare non abbia diritto, neppure giustificato dalle basi di legittimità di cui all’art. 6, di trattare un tale tipo di dato.
A comprova della considerazione da ultimo svolta vale la pena citare taluni (dei numerosi) provvedimenti dal Garante Privacy italiano accomunati dalla medesima casistica e dalla medesima risoluzione della controversia.
Nei casi trattati, infatti, le società richiedevano l’autorizzazione al trattamento dei dati giudiziari dei propri dipendenti, in relazione allo svolgimento di taluni servizi, quali la logistica, il deposito e gestione della movimentazione a magazzino di determinati prodotti, oppure nell’ambito dell’attività di fornitura dei servizi informatici, o allo svolgimento di servizi di pulizia, portierato, custodia ecc. (v. nel dettaglio provvedimenti Garante Privacy nn. 314, 315 e 317 del 22 maggio 2018).
Ebbene, in tutti i casi sopra citati il Garante ha sostenuto che le società non avessero indicato “un’idonea base giuridica (legislativa o regolamentare) per l’effettuazione dei prospettati trattamenti, né in ogni caso risultano applicabili al caso concreto disposizioni dell’ordinamento che prevedano il trattamento dei dati giudiziari dei dipendenti in relazione alle attività svolte dalla società”, specificando altresì che “la consegna del certificato del casellario giudiziale da parte del socio lavoratore, sebbene la società abbia delimitato le fattispecie di reato ritenute rilevanti ai fini della valutazione di idoneità allo svolgimento delle mansioni svolte, consente la visibilità da parte della società di tutti i dati contenuti nel certificato stesso, in violazione dei principi di necessità e pertinenza rispetto alle finalità perseguite”.
È chiaro come, non essendo il datore di lavoro autorizzato a richiedere determinati dati ai propri dipendenti, a maggior ragione il divieto permarrebbe anche nel caso di coloro che si limitassero a presentare una candidatura, peraltro non tutelati da tutti quei diritti propri del dipendente.
Non costituisce un’obiezione alle suddette affermazioni l’Autorizzazione del Garante Privacy n. 7/2016 del 15 dicembre 2016, relativa al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici, la quale autorizzava il trattamento dei dati giudiziari per determinate finalità di rilevante interesse pubblico. Detta autorizzazione, infatti, è venuta a cadere nel momento in cui è divenuto operativo il GDPR e, in attesa di un provvedimento del Garante che la rinnovi (avendo già rinnovato larga parte delle autorizzazioni), i dati giudiziari già raccolti richiedono una particolare cautela nel trattamento.
Ne deriva, pertanto, che la richiesta del certificato del casellario giudiziale da parte delle aziende ai “prossimi” loro dipendenti potrebbe, tra le altre, far sorgere delle implicazioni non indifferenti sia sul profilo giuslavoristico che sul profilo civile, penale, amministrativo e privacy.
Peraltro, sarebbe auspicabile che tutte quelle aziende che già dispongano di tali dati presso i loro archivi o decidano, in qualsivoglia modo, di ricevere indicazioni in tal senso, si dotassero di un DPO nonché di una serie di ulteriori processi che assicurino un’adeguata protezione dei dati.
avv. Valeria Quadranti, Guerrino Pescali
