La violazione di Amazon Spagna sul trattamento dei dati giudiziari

La tematica concernente il trattamento dei dati giudiziari è da sempre una problematica viva nonché attuale in tutti gli Stati facenti parte dell’Unione Europea.

Dopo anni di silenzio soltanto negli ultimi mesi si è iniziato ad affrontare la questione, aprendo la porta a non poche criticità e sfide meritevoli di approfondimento.

In particolare, si è assistito ad una forte e consapevole presa di posizione da parte dell’Agencia Española de Protección de Datos (“AEPD”), la quale ha adottato un provvedimento sanzionatorio pari a 2 milioni di euro contro Amazon Spagna.

La causa che ha portato il Garante ad assumere tale decisione è dovuta all’illecita richiesta da parte della società di fornire un certificato attestante l’assenza di precedenti penali, dati riconducibili al casellario giudiziale della persona, a probabili e futuri dipendenti della società.

GDPR e Dati giudiziari

Facendo una panoramica generale sulla disciplina giuridica, appare opportuno partire dal Regolamento 679/2016, anche conosciuto come GDPR, dove il trattamento dei dati giudiziari è disciplinato dall’art. 10 e dal Considerando n. 19.

L’art. 10 del Regolamento UE 679/2016 prevede che il trattamento di dati giudiziari, ossia relativo a condanne penali e a reati, o connesse misure di sicurezza, debba considerarsi lecito solo qualora fondato sulle basi giuridiche previste dall’art. 6 GDPR e avvenga in presenta di alcune condizioni, quali:

• Sotto il controllo di una pubblica autorità;
• Se il diritto unionale, o di uno degli Stati membri, autorizza tale trattamento, tuttavia fornendo adeguate garanzie ai diritti e alle libertà degli interessati.

Dal canto suo invece, il Considerando n. 19 del medesimo Regolamento specifica che quanto prescritto dall’art. 10 sia soltanto applicabile ai casi in cui il trattamento avvenga da parte di soggetti privati, poiché, qualora questo fosse svolto da un’autorità pubblica, la disciplina di riferimento è il D.Lgs. n. 51 del 2018, esecutorio della Direttiva UE 680/2016 in materia di trattamenti dei dati personali da parte delle autorità competenti di prevenzione, indagine, accertamento e perseguimento di reati o esecuzioni di sanzioni penali.

I dati giudiziari rientrano in una particolare categoria di dati meritevoli di tutela più imponente a favore dell’interessato, incrementando anche il grado di responsabilità che viene posta in capo al titolare di trattamento.

Tale protezione è così prescritta poiché valutata sulla base del rischio, equivalente alla probabilità di accadimento di un determinato evento per la gravità che ne segue, rispetto agli eventuali danni sulle libertà e i diritti delle persone.

Ciò che è accaduto in Spagna è a riprova della sensibilità di trattamento cui questi dati debbano essere oggetto.

Tuttavia, è utile partire dall’analisi della vicenda nel merito.

Trattamento dati giudiziari e la vicenda Amazon: cosa è accaduto

Tutto iniziò a seguito di un reclamo presentato dall’Unione Generale dei Lavoratori (Unión General de Trabajadores) all’Agencia Española de Protección de Datos, Autorità Garante spagnola volta alla protezione dei dati personali, avente ad oggetto l’esposizione di un avvenimento poco trasparente posto in essere da Amazon Spagna.

Quest’ultima, infatti, durante l’iter adottato per l’assunzione dei dipendenti, richiedeva l’estratto del casellario giudiziale ai candidati alla posizione attinente alla conduzione di veicoli.

Le modalità utilizzate sono propriamente quelle che ci si aspetterebbe da una Superstar firm: gli esaminati, infatti, dovevano creare un account a proprio nome su una piattaforma targata Amazon adibita ah hoc per questa finalità, caricandovi, successivamente, il certificato che attestasse l’assenza di precedenti giudiziari.

Tutto avveniva a seguito del rilascio del consenso dell’interessato.

Il reclamo da parte dell’Unione generale dei lavoratori spagnoli è stato accolto dall’Autorità nazionale preposta.

È possibile ravvisare tali aspetti:

• Amazon dichiarava di attuare tale procedura sulla base del legittimo interesse, poiché l’intenzione era quella di preservare l’incolumità dei clienti da probabili personaggi ‘pericolosi’ alla guida;
• L’interessato era chiamato a prestare il consenso attraverso l’account creatosi;
• Il consenso veniva anche richiesto per il trasferimento dei dati, giudiziari e non, a paesi terzi, anche oltre i confini dello Spazio economico europeo, trasferimento che veniva pattuito attraverso la stipulazione delle famose clausole contrattuali (standard contract clauses) con gli Stati esteri, necessarie al fine di colmare quella porzione fondamentale di tutela non garantita in alcuni Stati stranieri.
• La società sosteneva che il certificato non trattasse dati giudiziari, bensì, si limitasse a dichiarare l’assenza di precedenti penali a carico del candidato.

A fronte di ciò, il Garante spagnolo si è pronunciato.

Innanzitutto, per quanto concerne la questione del legittimo interesse l’Autorità ha sostenuto la mancata prova a sostegno dell’effettivo interesse che la società potrebbe avere nel trattare quella determinata categoria di dati rispetto ai diritti fondamentali a tutela della persona.

Il bilancio tra questi due elementi non risulta, pertanto, equilibrato. In particolare, vi sarebbe una violazione del principio di minimizzazione (art. 5 GDPR), il quale è volto a garantire una corrispondenza tra i dati trattati e le finalità per le quali vengono richiesti.

Inoltre, il consenso, al fine di essere considerato come una base giuridica valida e lecita, è necessario che sia reso in modo libero. Nel caso di Amazon ciò non si è verificato, in quanto i candidati non sarebbero stati così liberi, in fase precontrattuale, di negarlo, in aggiunta al fatto che la società non avrebbe nemmeno fornito un’informativa privacy conforme a quanto previsto dagli art. 13-14 GDPR.

Lo stesso problema sollevato rispetto all’ambito precontrattuale si riscontra nel contesto del rilascio del consenso per il trasferimento dei dati all’estero, avvenuto, anche in questo caso, senza previa informazione all’interessato in merito ad eventuali rischi che potrebbero nascere a seguito del trasferimento di dati a terzi.

Infine, anche in merito al contenuto dell’estratto casellario, il Garante non ha ammesso ragioni: nonostante si presenti un ‘certificato negativo’ di eventuali carichi penali pendenti in capo al candidato, come dichiarato dalla società, esso contiene dati personali.

Pertanto, a fronte delle motivazioni esposte, nel febbraio 2022 l’AEPD ha provveduto a sanzionare Amazon Spagna per 2 milioni di euro, a fronte della violazione degli articoli 6, 10 GDPR e 10 della Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales.

Trattamento dati giudiziari: cosa succede in Italia?

In Italia, attraverso il D. Lgs. 101 n. 2018, il legislatore ha potuto introdurre una norma ad hoc, andando a modificare il Codice Novellato in merito al trattamento dei dati giudiziari, ossia, l’art. 2-octies (‘principi relativi al trattamento di dati relativi a condanne penali e reati’), il quale riprende l’impronta dell’art. 10 del GDPR.

Infatti, secondo l’art. 2-octies comma 1, il trattamento dei dati giudiziari è lecito qualora si basi su una delle condizioni previste dall’art. 6 GDPR, oppure, quando si verifichi sotto il controllo di pubblica autorità o sia autorizzato da Regolamento UE o da Legge nazionale, il tutto in presenza di garanzie adeguate.

Il comma 2 del medesimo articolo dispone che, in assenza di specifica autorizzazione di regolamenti europei o leggi nazionali, è a carico del Ministero della Giustizia individuare i trattamenti dei dati di cui al comma 1 nonché le garanzie, ai sensi dell’art. 17 comma 3, della legge 23 agosto 1988, n. 400, dopo aver richiesto opinione al Garante.

Rispetto a quanto stabilito dal Ministero, uno degli ambiti tra cui il trattamento dei dati giudiziari è lecito, è proprio quello lavorativo.

A fronte del parere favorevole emesso dal Garante circa il contenuto di quanto presentato dal Ministero della Giustizia, anche il Consiglio di Stato si è espresso positivamente, seppur sollevando non poche problematiche sull’interpretazione di alcune disposizioni, attinenti all’individuazione delle basi giuridiche che legittimerebbero il trattamento dei dati giudiziari.

Dunque, appare chiaro che la questione in Italia è ancora tutta da valutare, cercando di raggiungere una soluzione univoca che possa fornire un’adeguata tutela a favore dell’interessato in tema di dati giudiziari.

(1 votes, average: 5,00 out of 5)
Loading...