NEWS

Il certificato del casellario giudiziale contiene dati personali anche se non vi è scritto nulla. Sanzione da 2 milioni di euro per Amazon

Per l’assunzione di vettori autonomi come prestatori di servizi, in Spagna Amazon chiedeva ai candidati vari documenti, tra cui anche un certificato di assenza di precedenti penali. E se tale prassi poteva già sembrare invasiva, il certificato di casellario giudiziale veniva pure inviato ad altre filiali della multinazionale con sede al di fuori dell'Unione Europea. Dal procedimento N. PS/00267/2020 condotto dall’autorità di controllo per la protezione dei dati iberica (AEPD) ne è infine scaturita una sanzione da 2 milioni di euro per la filiale del colosso dell’e-commerce americano.

L'AEPD è l'autorità di controllo per la protezione dei dati personali spagnola, equivalente del nostro Garante per la Privacy

Quando il caso era stato sollevato dai sindacati, all’epoca dei fatti Amazon aveva motivato che la verifica sulla fedina penale dei candidati era necessaria per assicurare un livello adeguato dei propri standard qualitativi e "per garantire la sicurezza e la fiducia dei clienti", e si era difesa sostenendo che il certificato acquisito veniva conservato per soli due mesi e non forniva espressamente dettagli sui possibili precedenti penali dei vettori autonomi, perché in definitiva si trattava di un foglio bianco il quale si limitava ad attestare che nel casellario giudiziale non risultava “nulla” a carico dell’interessato. Inoltre, la società aveva dichiarato di aver regolarmente informato gli interessati che dette informazioni avrebbero potuto essere trasferite a determinati soggetti collegati ad Amazon e situati al di fuori dello Spazio Economico Europeo.

Tuttavia, il garante spagnolo aveva ribadito che tali tipologie di certificati devono essere considerati a tutti gli effetti dati personali, in quanto “informazioni riguardante una persona fisica identificata o identificabile”, nella fattispecie particolarmente protetti dal Gdpr perché comunque di natura giudiziaria anche se attestanti l’assenza di precedenti penali.

Dopo aver indagato sulla questione, l'AEPD ha infine concluso che la Amazon Road Transport Spain SL abbia violato l'art. 10 del Regolamento UE 2016/679 in relazione al trattamento di dati di natura penale mediante il consenso dell’interessato, classificando l’infrazione come “molto grave”. Infatti, secondo il predetto articolo del Gdpr il trattamento dei dati personali relativi a condanne penali e reati per finalità diverse da quelle di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, può avvenire “soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati”, motivo per cui Amazon non era legittimata a richiedere il certificato di casellario giudiziale a coloro che si candidavano per collaborare con la società.

Sanzione per violazione della privacy da 2 milioni di euro per Amazon in Spagna

Per tali motivi, il garante per la privacy spagnolo ha ordinato ad Amazon Road di adeguarsi alla normativa sulla protezione dei dati personali entro un mese, confermando entro la stessa scadenza di aver ottemperato a tale obbligo, proponendo una sanzione di 2 milioni di euro, alla quale la società potrà valutare se fare o meno ricorso all'Alta Corte Nazionale, anche se da parte sua Amazon Road ha comunque precisato che aveva smesso di richiedere i certificati giudiziali già dal marzo 2020, e che di fatto si era già adeguata ancor prima della conclusione del procedimento sanzionatorio.

Note sull'Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Il sexting coinvolge sempre più spesso anche i minori
Next La richiesta della copia della carta di identità può violare la privacy. Società sanzionata per mezzo milione di euro

Privacy Day Forum: il servizio di Ansa

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy