Trattamenti di dati giudiziari contenuti nel casellario giudiziale del soggetto partecipante ad un bando

Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo

Massima (1) – La stazione appaltante, titolare del trattamento, deve compiere una valutazione preventiva sulla idoneità delle informazioni circa eventuali condanne penali relative ai candidati, ad incidere in concreto sull’attività che dovrà essere svolta in caso di affidamento mediante bando, avendo particolare riguardo alla natura del reato commesso, alla gravità del fatto, al tempo trascorso dalla condanna, così da non trattare dati giudiziari dei candidati non pertinenti e non eccedenti rispetto alle finalità del trattamento.

Massima (2) – Il trattamento di dati giudiziari effettuato mediante estrazione e comunicazione della copia del certificato del casellario giudiziale dell’interessato ad un soggetto terzo comporta una irragionevole compressione del diritto alla riservatezza dell’interessato, qualora tale comunicazione non sia strettamente indispensabile per le finalità legittimamente perseguite dal titolare del trattamento che effettua la comunicazione.

Massima (3) – La comunicazione di copia del certificato del casellario giudiziale dell’interessato ad un soggetto terzo, qualora ciò non sia in concreto strettamente indispensabile per le finalità perseguite dal titolare del trattamento, rappresenta una violazione dei principi di pertinenza e non eccedenza – ovvero del principio di minimizzazione dei dati – e delle prescrizioni impartite con l’Autorizzazione n.7/2016 relativa al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici (non abrogata a seguito dell’entrata in vigore del GDPR).

Provvedimento: GPDP, Docweb n. 9742485 del 16 dicembre 2021

Link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9742485

Keywords: Bandi di gara, dati giudiziari dei candidati, dati relativi a condanne penale e reati, casellario giudiziale, trasmissione, comunicazione a terzi, principio di pertinenza, principio di non eccedenza, principio di minimizzazione, valutazione preventiva, finalità del trattamento.

Riferimenti normativi: Artt. 3, 11, co. 1, lett. d), 21, co. 1, e 27 del Codice Privacy (testo vigente al tempo della vicenda di cui al provvedimento); artt. 5, par.1, lett. c), 6, par.1, e 10 GDPR; art. 2-octies del Codice Privacy (testo attualmente vigente); Autorizzazione del Garante n. 7/2016 (Autorizzazione al trattamento dei dati giudiziari da parte di privati, enti pubblici economici e di soggetti pubblici).

Data del commento: 20 giugno 2022

Massime e Commento di Giulia Ceredi

1. Il caso

Nel marzo 2018 una società per azioni, dopo aver selezionato tramite apposito bando il professionista a cui era stato affidato il ruolo di sindaco supplente, nel compiere una successiva attività di verifica in ordine ai requisiti dichiarati dall’interessato ha provveduto ad estrarre il certificato dal casellario giudiziale a questi relativo e, infine, lo ha trasmesso anche ad altra società per la quale il medesimo soggetto ricopriva il ruolo di sindaco effettivo. Poiché dal certificato risultava l‘esistenza di una sentenza di applicazione della pena su richiesta delle parti ex artt. 44 e 445 c.p.p., divenuta irrevocabile, relativa a reati di rifiuto di atti d’ufficio ex art. 328, co. 1, c.p., la società induceva l’interessato alle dimissioni dall’incarico, benché l’ipotesi di reato non fosse tra quelle considerate dalla normativa di settore (art. 80 del d.lgs. 50/2016, in tema di esclusione dalla partecipazione a una procedura di appalto o concessione), invocata nel bando e nella modulistica sottoposta preliminarmente al candidato in sede di selezione.

L’interessato (il sindaco) ha presentato reclamo al Garante, ritenendo tali trattamenti illeciti sotto il profilo della protezione dei dati personali, lamentando altresì di aver subito un «gravissimo danno alla reputazione, alla stima, al decoro e all’onore personale e professionale» e di essere stato illecitamente «estromesso ipso facto dall’incarico sia di sindaco supplente sia di sindaco effettivo nella diversa società».

L’Autorità Garante, a seguito di una complessa motivazione, ha ritenuto illecita la condotta della società titolare del trattamento, per violazione dei principi di necessità, pertinenza e non eccedenza e per violazione delle disposizioni contenute nell’Autorizzazione n. 7/2016 (Autorizzazione al trattamento dei dati giudiziari da parte di privati, enti pubblici economici e di soggetti pubblici), come meglio chiarito nei paragrafi seguenti.

2. Le questioni

Le principali questioni affrontate nel caso in esame sono così riassumibili: (i) valutazione preventiva, da parte della stazione appaltante, sulla pertinenza della richiesta di estrazione del certificato dal casellario giudiziale relativo al soggetto vincitore di bando per il ruolo di sindaco e (ii) valutazione sulla non eccedenza, rispetto alle finalità del trattamento, della trasmissione o comunicazione dei dati giudiziari ivi riportati, una volta acquisiti, ad una società terza.

2.1. Valutazione preventiva sulla pertinenza della richiesta di estrazione del certificato del casellario giudiziale dell’interessato

In merito alla prima questione, il Garante, nel provvedimento in esame, ha chiarito che la società titolare del trattamento, nell’affidare l’incarico di sindaco, avrebbe dovuto procedere alla valutazione della reale incidenza di determinate fattispecie di reato rispetto all’affidabilità del soggetto all’uopo selezionato, sia in sede di predisposizione del modulo da sottoporre ai candidati sindaci, sia successivamente in sede di verifica dei dati e delle circostanze ivi dichiarate dai candidati stessi; il tutto ai sensi degli artt. 3, 11, co. 1, lett. d), 21, co. 1, e 27 del Codice Privacy vigente al momento dei fatti, ora artt. 5, par. 1, lett. d), e 10 del GDPR e art. 2-octies Codice Privacy riformato a seguito del d.lgs. 101/2016, oltre che dell’Autorizzazione del Garante n. 7/2016, relativa al trattamento dei dati giudiziari da parte di privati, enti pubblici economici e di soggetti pubblici (da ritenersi tuttora vigente: cfr. GPDP, provvedimento in tema autorizzazioni generali, registro dei provvedimenti n. 424 del 19 luglio 2018, GPDP, Docweb n. 9026901).

La predetta normativa, tra l’altro, considera lecito il trattamento se questo avviene nel rispetto del principio di necessità, pertinenza e non eccedenza, ovvero del principio di minimizzazione dei dati, secondo cui «i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati».Nel caso di specie tale principio va rapportato alla peculiare normativa di settore, tra cui, in primis, l’art. 80 d.lgs. 50/2016, relativo ai casi di esclusione da procedure d’appalto o concessione, richiamato anche nella modulistica usata dalla stazione appaltante per la procedura di selezione del candidato destinato a ricoprire il ruolo di sindaco. Nell’ambito dei reati menzionati nel predetto articolo, la cui condanna (anche con sentenza di applicazione della pena su richiesta delle parti ex artt. 444 e 445 c.p.p.) costituirebbe motivo di esclusione, non era tuttavia menzionata l’ipotesi di reato relativa al rifiuto di atti d’ufficio ex art. 328, co. 1, c.p., non indicata dal candidato ma emersa dalla successiva verifica effettuata dalla società.

Ci si deve interrogare, dunque, se il trattamento del dato giudiziario in questione sia o meno pertinente rispetto alla procedura di selezione incardinata dalla società.

Ciò anche in ragione della Linee Guida ANAC n. 6 di attuazione del d.lgs. 50/2016, ove viene chiarito che, al di là dell’indicazione dei reati di cui all’art. 80 del cit. d.lgs., «rilevano quali autonome cause di esclusione gli illeciti professionali gravi accertati con provvedimento esecutivo, tali da rendere dubbia l’integrità del concorrente intesa come moralità professionale», anche ove riferibili a «condanne non definitive, per una serie di reati diversi da quelli enucleati dall’art. 80 comma 1».

Inoltre, con l’Autorizzazione del n. 7/2016, sopra citata, il Garante ha ribadito la liceità del trattamento di dati giudiziari «ai fini dell’accertamento del requisito di idoneità morale di coloro che intendono partecipare a gare d’appalto, in adempimento di quanto previsto dalla normativa in materia di appalti» [Capo V, punto 2, lett. e), Aut. n. 7/2016, cit.], con l’ulteriore precisazione che «Possono essere trattati i soli dati essenziali per finalità per le quali è ammesso il trattamento e che non possano essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa» (Capo VII, punto1 , Aut. n. 7/2016, cit.).

Nel corso dell’attività istruttoria l’Autorità garante ha tuttavia accertato che la società, al tempo dell’emissione del bando per l’assegnazione del ruolo di sindaco supplente, aveva predisposto una modulistica, sottoposta ai candidati e sottoscritta anche dall’interessato, in cui si faceva esclusivamente riferimento ai reati di cui all’art. 80 d.lgs. 50/2016, senza menzionare l’ulteriore necessità di indagare altri profili, inclusi i gravi illeciti professionali pregressi. Seppur contemplati al co. 5 dell’art. 80 cit., tale disposizione non è univocamente applicabile alla figura del sindaco supplente ed è anzi espressamente escluso da Cons. Stato, sez. V, 3 dicembre 2018, n. 6866.

Sicché la società appaltante avrebbe dovuto predisporre in termini maggiormente univoci, chiari e pertinenti secondo la normativa sopra ricordata, la modulistica da sottoporre ai candidati sindaci e solo nei limiti dei dati effettivamente essenziali e pertinenti per il raggiungimento della finalità del trattamento avrebbe potuto effettuare le successive verifiche. Ad ulteriore conferma, è stato espressamente escluso che il candidato avesse consapevolmente celato la condanna subita, non menzionandola nel modulo; piuttosto, tale informazione non era stata oggetto di richiesta tramite la modulistica predisposta dalla società appaltante.

Il Garante, sul punto, conclude il proprio iter argomentativo, chiarendo che «Pertanto, anche alla luce di tali complessive indicazioni, la società avrebbe dovuto procedere a una valutazione sulla reale idoneità in concreto della condanna risultata a carico del reclamante, in relazione alla natura del reato commesso, alla gravità del fatto, al tempo trascorso dalla condanna, ad incidere sulla attività oggetto di affidamento da parte dell’operatore economico, prima di procedere alla richiesta e successivamente alla comunicazione di dati, di tipo giudiziario, riferiti al reclamante» (GPDP, Docweb n. 9742485 del 16 dicembre 2021, in esame).

Dall’istruttoria effettuata dal Garante è emersa, invece, la contraddittorietà della condotta tenuta dalla società appaltante, la quale, da un lato, non ha ritenuto inizialmente il reato rilevante ai fini dell’affidabilità del futuro sindaco supplente, tanto da escludere la richiesta di quel dato giudiziario nella modulistica sottoposta agli aspiranti candidati, ma dall’altro, ne ha poi ritenuto la rilevanza quando ha proceduto con la verifica mediante estrazione del casellario giudiziale.

Il contegno sopra descritto è la dimostrazione che la società ha completamente omesso una valutazione circa la pertinenza o meno del dato rispetto alla valutazione della futura figura professionale, tanto che le due condotte tenute dalla società (omessa richiesta del dato all’interessato e successiva estrazione del dato aliunde) sono in evidente antitesi, palesandosi così l’assoluta illiceità del trattamento.

Si sarebbe giunti ad analoghe conclusioni anche applicando la normativa attualmente vigente.

2.2. Valutazione preventiva sulla non eccedenza, rispetto alle finalità del trattamento, della comunicazione a terzi dei dati riportati nel certificato del casellario giudiziale dell’interessato

Per quanto riguarda la questione relativa alla trasmissione di dati verso terzi (in questo caso, verso altra società), la società titolare avrebbe dovuto verificare preliminarmente la liceità di questo trattamento e la sua rispondenza ai principi in materia di protezione dei dati personali, con particolare riguardo al principio di limitazione delle finalità e minimizzazione dei dati, ora fissati all’art. 5, par. 1, lett. b) e c), GDPR.

Anche con riferimento a questa seconda questione, sia applicando la normativa vigente all’epoca dei fatti sia l’attuale GDPR si sarebbe giunti ad analoga declaratoria di illiceità del trattamento.

Ai sensi dell’art. 6, par.4, GDPR il trattamento per una finalità differente da quella per cui i dati sono stati raccolti deve essere basato sul consenso dell’interessato o deve essere previsto da un atto legislativo dell’Unione o degli Stati membri (salvo non vi sia, per tale diversa finalità, una specifica condizione di liceità di cui agli artt. 6 e 9 GDPR). Inoltre, il titolare è obbligato a tenere conto, fra l’altro, «della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10» e «delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati».

Nel caso in esame, i dati personali risultanti dal certificato del casellario giudiziale sono stati acquisiti dalla società appaltante per l’attività di verifica in ordine al possesso dei requisiti soggettivi dell’operatore economico risultante vincitore del bando (con i limiti sulla pertinenza e sull’essenzialità di tali informazioni già discussi nel precedente paragrafo). Tali operazioni sono state svolte nell’ambito del trattamento dei dati volto a soddisfare una finalità specifica, ossia selezionare il candidato da reclutare per il ruolo di sindaco supplente. La società titolare del trattamento avrebbe potuto lecitamente utilizzare i dati personali dell’interessato, nei predetti limiti dell’essenzialità e della pertinenza, solamente per tale finalità e non qualsivoglia altra finalità, ben diversa e totalmente ingiustificata, che ha portato alla successiva trasmissione o comunicazione dei dati risultanti dal casellario giudiziale ad una società terza.

Nel caso specifico l’attività istruttoria compiuta dall’Autorità garante ha, infatti, evidenziato (i) l’assenza di valido consenso prestato dall’interessato a qualsivoglia trattamento, così come (ii) l’assenza di un atto legislativo che consentisse alla società di comunicare a terzi il dato giudiziario acquisito o di qualsivoglia altra condizione di liceità del trattamento di cui agli artt. 6 e 9 GDPR; nonché (iii) la totale assenza di valutazioni preliminari, da parte della società titolare del trattamento, circa la rispondenza dell’operazione posta in essere (la comunicazione a terzi dei dati dell’interessato) rispetto ai principi in materia di protezione dei dati, il tutto ulteriormente aggravato dal fatto che oggetto del trattamento illecito erano i dati relativi a condanne penali e reati, di per sé in grado di incidere negativamente, come poi è avvenuto, nella sfera personale dell’interessato, il quale è stato estromesso dall’incarico di sindaco che aveva in essere con la società destinataria della comunicazione.

A tal riguardo il Garante, nel provvedimento che qui si commenta (Docweb n. 9742485 del 16 dicembre 2021) ha avuto modo di chiarire che il trattamento di dati giudiziari effettuato mediante estrazione e comunicazione della copia del certificato del casellario giudiziale dell’interessato ad un soggetto terzo comporta una irragionevole compressione del diritto alla riservatezza dell’interessato, qualora tale comunicazione non sia strettamente indispensabile per le finalità legittimamente perseguite dal titolare del trattamento che effettua la comunicazione e che la trasmissione di copia del certificato del casellario giudiziale dell’interessato ad un soggetto terzo, qualora ciò non sia in concreto strettamente indispensabile per le finalità perseguite dal titolare del trattamento, rappresenta una violazione dei principi di pertinenza e non eccedenza – ovvero del principio di minimizzazione dei dati – e delle prescrizioni impartite con l’Autorizzazione n. 7/2016 relativa al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici (non abrogata a seguito dell’entrata in vigore del GDPR).

Il reclamo pertanto è stato dichiarato fondato anche con riferimento a questa ulteriore attività di trattamento.

3. Precedenti

Non sono stati rinvenuti precedenti con particolare riferimento al rapporto società-sindaco (effettivo o supplente).

Il Garante per la protezione dei dati personali è stato però più volte chiamato ad esaminare i trattamenti di dati giudiziari effettuati da parte di società chiarendone limiti e modalità.

Fra i provvedimenti più importanti in materia di dati giudiziari si vedano, ad es., GPDP, Docweb n. 6558837 del 15 giugno 2017 (con il quale il Garante ha rigettato l’istanza di autorizzazione di una società relativa al trattamento di dati giudiziari dei propri dipendenti) e GPDP, Docweb n. 9005869 del 22 maggio 2018 (con il quale il Garante ha rigettato la richiesta di autorizzazione ad accedere al casellario giudiziale dei propri dipendenti, solo per i reati di furto, lesioni personali dolose e percosse, da parte della società datrice di lavoro, richiamando l’ Autorizzazione 7/2016).

4. Bibliografia

Per un approfondimento sul trattamento dei dati relativi a condanne penali e reati in ambito lavorativo, ove in particolare si renda necessaria la verifica di requisiti di onorabilità ovvero la assenza di presupposti interdittivi, per poter ricoprire una determinata posizione lavorativa o un determinato incarico, si veda G. Errani, Il trattamento di dati relativi a condanne penali e reati, in G. Finocchiaro (a cura di), La protezione dei dati personali in Italia. Regolamento UE n. 26/679 e d. lgs. 10 Agosto 2018, n. 101, Bologna, 2019, pp. 293 ss.; P. Corso, Disposizioni in materia di trattamento dei dati del casellario giudiziale, in Diritto penale e processo, 1999, 11, pp. 1381-1384.

Per un approfondimento sulle differenze terminologiche tra «dati giudiziari» di cui al Codice privacy e «dati relativi a condanne penali e reati» di cui al GDPR, si rinvia a G. Errani, Il trattamento di dati relativi a condanne penali e reati, cit., pp. 278 ss.Sui dati relativi a condanne penali e reati e sul loro statuto giuridico si veda anche M. Bassini, Trattamento dei dati personali relativi a condanne penali e reati (sub art. 10 GDPR), in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, Milano, 2021, pp. 262 ss.