La previgente previsione normativa all’introduzione del GDPR prevedeva la possibilità del datore di lavoro di richiedere, sia al momento dell’assunzione sia durante il rapporto di lavoro con il dipendente, il certificato generale del casellario giudiziale e il certificato dei carichi pendenti che rientrano, ai sensi del GDPR, fra i c.d. dati personali relativi a condanne o notizie di reato.
In seguito all’entrata in vigore del GDPR, ai sensi dell’Art. 10 del Regolamento Europeo 679/2016, il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.
Il provvedimento del Garante per la protezione dei dati n. 497 del 13 dicembre 2018, che individua le prescrizioni contenute nelle Autorizzazioni generali nn. 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016 che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, precisa che:
“L’autorizzazione generale al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici n. 7/2016 non rientra tra quelle richiamate dall’art. 21, comma 1, d.lgs. n. 101/2018 ed ha, pertanto, cessato di produrre effetti giuridici alla data del 19 settembre 2018”: di conseguenza è vietato trattare dati relativi a condanne penali da parte del datore di lavoro, salvo che ciò non sia espressamente consentito da una norma di legge, nei casi previsti dalla legge, da regolamenti o da decreti del Ministro della giustizia.