È legittimo richiedere il certificato del casellario giudiziale ai potenziali dipendenti? L’AEDP spagnola sanziona Amazon Road Transport Spain

di Rossella Bucca -

Lo scorso 11 febbraio, l’Autorità spagnola per la protezione dei dati personali (“AEPD”) ha pubblicato la sua decisione nel procedimento n. PS-00267-2020, con cui ha inflitto una sanzione di 2.000.000,00 di euro ad Amazon Road Transport Spain S.L., per aver richiesto a potenziali dipendenti un certificato “negativo” riguardante i  precedenti penali.


La tesi difensiva di Amazon Road

L’AEPD, a seguito del reclamo presentato dal rappresentante di un sindacato spagnolo (“Unión General de Trabajadores”, UGT), appurava che, nel corso della procedura avviata per l’assunzione di vettori autonomi, la società “Amazon Road Transport Spain S.L.” richiedeva certificati del casellario giudiziale da cui risultasse l’assenza di precedenti penali.

Secondo la multinazionale, la raccolta di tali documenti, seppur contenenti informazioni di carattere “negativo”, rinveniva la propria base giuridica sia nel legittimo interesse della società – che avrebbe, così, garantito un livello adeguato dei propri standard anche per la sicurezza e la fiducia dei clienti – sia nell’esecuzione del rapporto contrattuale – che, eventualmente, sarebbe sorto con gli autotrasportatori. Peraltro, questi ultimi acconsentivano al trattamento dei loro dati personali durante la procedura di assunzione. La società, inoltre, si era difesa, sostenendo che il trattamento in questione non fosse inquadrabile nella fattispecie di cui all’art. 10 del Regolamento UE 2016/679 (“GDPR”), in quanto i certificati, proprio perché “negativi”, non fornivano alcuna informazione in ordine alla commissione di reati.

Le conclusioni dell’AEDP

L’AEPD ha respinto le argomentazioni difensive di Amazon Road Transport, affermando che, anche nell’ipotesi di produzione di certificato del casellario giudiziale “negativo”, è necessario che ricorrano i presupposti di cui  all’art. 10 GDPR per garantire che il trattamento dei dati personali sia lecito. Gli elementi previsti dalla norma non ricorrono nel caso di specie, tanto che neppure l’organismo preposto al rilascio della licenza di trasporto aveva richiesto tale tipologia di informazioni ai potenziali autotrasportatori. L’autorità garante spagnola ha, vieppiù, affermato che aderire al ragionamento sostenuto dalla multinazionale avrebbe creato un precedente avente ad oggetto la facoltà, per qualsiasi società, di creare un database di soggetti con fedina penale “immacolata”, in evidente contrasto con l’articolo 10 su citato, a mente del quale “il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica”. Motivo per cui le argomentazioni di Amazon in merito alla necessità di tale trattamento per l’esecuzione di un contratto, il perseguimento del proprio legittimo interesse o il consenso dell’interessato erano incongruenti alla fattispecie in esame. Di più: i contratti di lavoro non erano stati ancora conclusi al momento della richiesta del certificato; non erano state fornite prove documentali in ordine all’espletamento del giudizio di bilanciamento degli interessi in gioco; i potenziali dipendenti non avevano manifestato libero consenso al trattamento dei dati personali, non essendo stati informati coerentemente a quanto previsto dall’art. 13 del GDPR.

La sanzione

Per questi motivi, l’AEPD ha sanzionato la società per la somma di 2.000.000,00 di euro, intimando l’interruzione di tale tipologia di richieste, la cancellazione di tutte le informazioni relative ai certificati già forniti, oltre all’adozione di processi “compliant” agli articoli 6 e 10 del GDPR per il trattamento di dati personali.