Dati relativi a condanne penali e reati

• GPDP, Docweb 9768363, 11.5.2022 (3)

  Massima (3) – I trattamenti di dati personali effettuati per finalità di acquisizione e gestione di segnalazioni di condotte illecite (c.d. whistleblowing) vanno censiti nel registro delle attività di trattamento di cui all’art. 30 GDPR, che deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. La tenuta del registro è funzionale al rispetto del principio di “responsabilizzazione” del titolare (art. 5, par. 2, GDPR), in quanto costituisce uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno dell’organizzazione del titolare. Ciò risulta particolarmente rilevante con riguardo alle attività di valutazione e di analisi del rischio, costituendo, pertanto, un adempimento preliminare rispetto a tali attività.

• GDPD, Docweb 9768363, 11.5.2022 (2)

  Massima (2) – Nell’ambito della disciplina relativa alla tutela del dipendente pubblico che segnala illeciti e di quella in materia di whistleblowing riferita ai soggetti privati, andata ad integrare la normativa in materia di responsabilità amministrativa delle persone giuridiche, il titolare del trattamento (considerata anche la particolare delicatezza delle informazioni potenzialmente trattate e la “vulnerabilità” degli interessati nel contesto lavorativo), anche quando utilizza prodotti o servizi realizzati da terzi oltre all’assolvimento dell’obbligo di rendere adeguate informazioni agli interessati deve eseguire, anche avvalendosi del supporto del responsabile della protezione dei dati ove nominato, una valutazione dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, ovvero si pongono in contrasto con specifiche norme di settore previste dall’ordinamento.

• GPDP, Docweb 9768363, 11.5.2022 (1)

  Massima (1) – In caso di adozione di un sistema di whistleblowing, il titolare del trattamento, in applicazione del principio di “liceità, correttezza e trasparenza”, ha l’obbligo di fornire preventivamente a tutta la platea dei possibili soggetti interessati (tra cui il segnalante, il soggetto segnalato e i terzi comunque coinvolti nei fatti segnalati) specifiche informazioni sul trattamento dei dati personali e deve adottare misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 del GDPR.

• La tutela dell’identità del segnalante nel quadro della disciplina dettata in materia di segnalazioni di condotte illecite (“whistleblowing”)

  GPDP, Docweb n. 9768363 dell’11 maggio 2022 | Massime e Commento di Luca Petrone

• GPDP, Docweb 9742485, 16.12.2021 (2)

  Massima (2) – Il trattamento di dati giudiziari effettuato mediante estrazione e comunicazione della copia del certificato del casellario giudiziale dell’interessato ad un soggetto terzo comporta una irragionevole compressione del diritto alla riservatezza dell’interessato, qualora tale comunicazione non sia strettamente indispensabile per le finalità legittimamente perseguite dal titolare del trattamento che effettua la comunicazione.

• GPDP, Docweb 9742485, 16.12.2021 (3)

  Massima (3) – La comunicazione di copia del certificato del casellario giudiziale dell’interessato ad un soggetto terzo, qualora ciò non sia in concreto strettamente indispensabile per le finalità perseguite dal titolare del trattamento, rappresenta una violazione dei principi di pertinenza e non eccedenza – ovvero del principio di minimizzazione dei dati – e delle prescrizioni impartite con l’Autorizzazione n.7/2016 relativa al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici (non abrogata a seguito dell’entrata in vigore del GDPR).

• GPDP, Docweb 9742485, 16.12.2021 (1)

  Massima (1) – La stazione appaltante, titolare del trattamento, deve compiere una valutazione preventiva sulla idoneità delle informazioni circa eventuali condanne penali relative ai candidati, ad incidere in concreto sull’attività che dovrà essere svolta in caso di affidamento mediante bando, avendo particolare riguardo alla natura del reato commesso, alla gravità del fatto, al tempo trascorso dalla condanna, così da non trattare dati giudiziari dei candidati non pertinenti e non eccedenti rispetto alle finalità del trattamento.

• Trattamenti di dati giudiziari contenuti nel casellario giudiziale del soggetto partecipante ad un bando

  GPDP, Docweb n. 9742485 del 16 dicembre 2021 | Massime e Commento di Giulia Ceredi

• GPDP, Docweb 9737121, 16.12.2021 (5)

  Massima (5) – Al fine di contemperare i diritti della persona (in particolare il diritto alla riservatezza) con la libertà di manifestazione del pensiero, la disciplina in materia di protezione dei dati personali prevede specifiche garanzie e cautele nel caso di trattamenti effettuati per finalità giornalistiche, confermando la loro liceità, anche laddove essi si svolgano senza il consenso degli interessati, purché avvengano nel rispetto dei diritti, delle libertà fondamentali e della dignità delle persone alle quali si riferiscono i dati trattati (cfr. artt. 136 ss. e art. 102, comma 2, lett. a), del Codice) e sempre che si svolgano nel rispetto del principio dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico (art. 6 delle “Regole deontologiche relative al trattamento di dati personali nell’esercizio dell’attività giornalistica”, pubblicate in G.U. 4 gennaio 2019, n. 3).

• GPDP, Docweb 9737121, 16.12.2021 (4)

  Massima (4) – Non può costituire una causa di giustificazione rispetto all’eccedenza informativa posta in essere la circostanza della presenza in rete di numerose informazioni riguardanti l’interessata – per la verità quasi tutte molto datate – posto che l’aliquid novi è costituito dalla ripubblicazione della notizia, ovvero da una rinnovata diffusione della stessa a distanza di un lasso di tempo particolarmente rilevante per finalità di rievocazione storica, peraltro amplificata dalla successiva divulgazione dell’articolo anche con altri mezzi.