Il Garante Privacy, con provvedimento del 23 novembre scorso, ha approvato
un regolamento contenente le linee guida sul trattamento di
dati personali (anche sensibili) dei lavoratori, nell’ambito della gestione
del rapporto di lavoro.
Le linee guida sono state adottate con particolare riferimento ai
datori di lavoro privati, ma enucleano una serie di principi generali applicabili
anche ai datori di lavoro pubblici.
Questo il sommario delle linee guida, di seguito riportate per esteso.
1. Premessa.
1.1. Scopo delle linee guida.
1.2. Ambiti considerati.
2. Il rispetto dei principi di protezione dei dati personali.
2.1. Liceita’, pertinenza, trasparenza.
2.2. Finalita’.
3. Titolare e responsabile del trattamento.
3.1. Titolare e responsabile.
3.2. Gruppi di imprese.
3.3. Medico competente.
4. Dati biometrici e accesso ad «aree riservate».
4.1. Nozione.
4.2. Sistemi di rilevazione biometrica.
4.3. Misure di sicurezza e tempi di conservazione.
4.4. Verifica preliminare.
5. Comunicazione e diffusione di dati personali.
5.1. Comunicazione.
5.2. Intranet aziendale.
5.3. Diffusione.
5.4. Cartellini identificativi.
5.5. Modalita’ di comunicazione.
6. Dati idonei a rivelare lo stato di salute di lavoratori.
6.1. Dati sanitari.
6.2. Assenze per ragioni di salute.
6.3. Denuncia all’Inail.
6.4. Altre informazioni relative alla salute.
6.5. Comunicazioni all’Inps.
7. Informativa.
8. Misure di sicurezza.
8.1. Dati sanitari.
8.2. Incaricati.
8.3. Misure fisiche ed organizzative.
9. Esercizio dei diritti previsti dall’art. 7 del Codice e riscontro
del datore di lavoro.
9.1. Diritto di accesso.
9.2. Riscontro del datore di lavoro.
9.3. Tempestivita’ del riscontro.
9.4. Modalita’ del riscontro.
9.5. Dati personali e documentazione.
9.6. Aggiornamento dei dati personali a richiesta del lavoratore
. . . . . . .
Garante per la protezione dei dati personali
Provvedimento del 23
novembre
2006
Linee guida in materia di trattamento di dati personali di lavoratori
per finalita’ di gestione del rapporto di lavoro alle dipendenze di
datori di lavoro privati
Il Garante per la protezione dei dati personali;
Nella riunione odierna, in
presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del
dott. Giovanni Buttarelli, segretario generale;
Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in
materia di protezione dei dati personali), con particolare
riferimento all’art. 154, comma 1, lettera h);
Esaminate le istanze (segnalazioni, reclami e quesiti) di
lavoratori, organizzazioni sindacali ed imprese, pervenute in materia
di trattamento di dati personali di lavoratori operanti alle
dipendenze di datori di lavoro privati;
Viste le pronunce adottate dall’Autorita’ in ordine a specifiche
operazioni di trattamento di dati personali effettuate nell’ambito
della gestione del rapporto di lavoro, anche a seguito di ricorso
degli interessati;
Ritenuta l’opportunita’ di procedere alla definizione, in tale
contesto, di un quadro unitario di misure ed accorgimenti necessari e
opportuni in grado di fornire ulteriori orientamenti utili per i
datori di lavoro e i lavoratori in ordine alle operazioni di
trattamento di dati personali connesse alla gestione del rapporto di
lavoro, individuando, a tal fine, i comportamenti piu’ appropriati da
adottare;
Rilevata l’esigenza che tale quadro sia riassunto in alcune linee
guida, suscettibili di periodico aggiornamento, di cui verra’ curata
la piu’ ampia pubblicita’, anche attraverso il sito Internet
dell’Autorita’ (https://www.garanteprivacy.it);
Ritenuta la necessita’ che le misure e gli accorgimenti relativi al
trattamento di dati biometrici di cui al punto 4 delle Linee guida di
cui al successivo dispositivo siano altresi’ oggetto di una
prescrizione del Garante ai sensi degli articoli 17, 154, comma 1,
lettera c) e 167, comma 2 del Codice, considerati i maggiori rischi
specifici che tale trattamento pone per i diritti e le liberta’
fondamentali, nonche’ per la dignita’ dell’interessato;
Viste le osservazioni formulate dal segretario generale ai sensi
dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Mauro Paissan;
Delibera:
1. di adottare le «Linee guida in materia di trattamento di dati
personali di lavoratori per finalita’ di gestione del rapporto di
lavoro alle dipendenze di datori di lavoro privati», di cui al
documento che e’ allegato quale parte integrante della presente
deliberazione (Allegato 1);
2. di prescrivere ai titolari del trattamento interessati
l’adozione delle misure e degli accorgimenti per il trattamento di
dati biometrici di cui al punto 4 delle medesime Linee guida, ai
sensi degli articoli 17, 154, comma 1, lettera c) e 167, comma 2, del
Codice;
3. che copia del presente provvedimento, unitamente alle
menzionate «Linee guida», sia trasmessa al Ministero della
giustizia-Ufficio pubblicazione leggi e decreti, per la sua
pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai
sensi dell’art. 143, comma 2, del Codice.
Roma, 23 novembre 2006
Il presidente: Pizzetti
Il relatore: Paissan
Il segretario generale: Buttarelli
. . . . . . .
Allegato 1
Garante per la protezione dei dati personali
Linee guida in materia di trattamento di dati personali di lavoratori
per finalita’ di gestione del rapporto di lavoro alle dipendenze di
datori di lavoro privati (Deliberazione n. 53 del 23 novembre 2006)
1. Premessa.
1.1. Scopo delle linee guida.
Per fornire indicazioni e
raccomandazioni con riguardo alle operazioni di trattamento
effettuate con dati personali (anche sensibili) di lavoratori
operanti alle dipendenze di datori di lavoro privati il Garante
ravvisa l’esigenza di adottare le presenti linee guida, suscettibili
di periodico aggiornamento, nelle quali si tiene conto, altresi’, di
precedenti decisioni dell’Autorita’.
Le indicazioni fornite non pregiudicano l’applicazione delle
disposizioni di legge o di regolamento che stabiliscono divieti o
limiti piu’ restrittivi in relazione a taluni settori o a specifici
casi di trattamento di dati (articoli 113, 114 e 184, comma 3, del
Codice).
1.2. Ambiti considerati.
Le tematiche prese in considerazione si
riferiscono
prevalentemente alla comunicazione e alla diffusione dei
dati, all’informativa che il datore di lavoro deve rendere ai
lavoratori (art. 13 del Codice), ai dati idonei a rivelare lo stato
di salute e il diritto d’accesso.
Le operazioni di trattamento riguardano per lo piu’:
– dati anagrafici di lavoratori (assunti o cessati dal
servizio), dati biometrici, fotografie e dati sensibili riferiti
anche a terzi, idonei in particolare a rivelare il credo religioso o
l’adesione a sindacati; dati idonei a rivelare lo stato di salute, di
regola contenuti in certificati medici o in altra documentazione
prodotta per giustificare le assenze dal lavoro o per fruire di
particolari permessi e benefici previsti anche nei contratti
collettivi;
– informazioni piu’ strettamente connesse allo svolgimento
dell’attivita’ lavorativa, quali la tipologia del contratto (a tempo
determinato o indeterminato, a tempo pieno o parziale, etc.); la
qualifica e il livello professionale, la retribuzione individuale
corrisposta anche in virtu’ di provvedimenti «ad personam»;
l’ammontare di premi; il tempo di lavoro anche straordinario; ferie e
permessi individuali (fruiti o residui); l’assenza dal servizio nei
casi previsti dalla legge o dai contratti anche collettivi di lavoro;
trasferimenti ad altra sede di lavoro; procedimenti e provvedimenti
disciplinari.
I medesimi dati sono:
– contenuti in atti e documenti prodotti dai lavoratori in sede
di assunzione (rispetto ai quali, con riferimento alle informazioni
raccolte mediante annunci contenenti offerte di lavoro, questa
Autorita’ si e’ gia’ pronunciata o nel corso del rapporto di
lavoro;
– contenuti in documenti e/o file elaborati dal (o per conto
del) datore di lavoro in pendenza del rapporto di lavoro per
finalita’ di esecuzione del contratto e successivamente raccolti e
conservati in fascicoli personali, archivi cartacei o elettronici
aziendali;
– resi disponibili in albi e bacheche o, ancora, nelle intranet
aziendali.
2. Il rispetto dei principi di protezione dei dati personali.
2.1. Liceita’, pertinenza, trasparenza.
Le predette informazioni
di carattere personale possono essere trattate dal datore di lavoro
nella misura in cui siano necessarie per dare corretta esecuzione al
rapporto di lavoro; talvolta, sono anche indispensabili per attuare
previsioni contenute in leggi, regolamenti, contratti e accordi
collettivi.
In ogni caso, deve trattarsi di informazioni pertinenti e non
eccedenti e devono essere osservate tutte le disposizioni della
vigente disciplina in materia di protezione dei dati personali che
trae origine anche da direttive comunitarie.
2.2. Finalita’.
Il trattamento di dati personali riferibili a
singoli lavoratori, anche sensibili, e’ lecito,
se
finalizzato
ad
assolvere obblighi derivanti dal contratto individuale (ad
esempio,
per verificare l’esatto adempimento della prestazione o commisurare
l’importo della retribuzione, anche per lavoro straordinario, o dei
premi da corrispondere, per quantificare le ferie e i permessi, per
appurare la sussistenza di una causa legittima di assenza).
Alcuni scopi sono altresi’ previsti dalla contrattazione
collettiva per la determinazione di circostanze relative al rapporto
di lavoro individuale (ad esempio, per la fruizione di permessi o
aspettative sindacali e periodi di comporto o rispetto alle
percentuali di lavoratori da assumere con particolari tipologie di
contratto) o, ancora, dalla legge (quali, ad esempio, le
comunicazioni ad enti previdenziali e assistenziali).
Se queste finalita’ sono in termini generali lecite, occorre
pero’ rispettare il principio della compatibilita’ tra gli scopi
perseguiti (art. 11, comma 1, lettera b), del Codice): lo scopo
perseguito in concreto dal datore di lavoro sulla base del
trattamento di dati personali non deve essere infatti incompatibile
con le finalita’ per le quali i medesimi sono stati raccolti.
3. Titolare e responsabile del trattamento.
3.1. Titolare e responsabile.
Ai fini della protezione dei dati
personali assume un ruolo rilevante identificare le figure
soggettive
che a diverso titolo possono trattare i dati, definendo chiaramente
le rispettive attribuzioni, in particolare, quelle del titolare e del
responsabile del trattamento (articoli 4, comma 1, lettera f) e g),
28 e 29 del Codice).
In linea di principio, per individuare il titolare del
trattamento rileva l’effettivo centro di imputazione del rapporto di
lavoro, al di la’ dello schema societario formalmente adottato.
Peraltro, specie nelle realta’ imprenditoriali piu’ articolate,
questa identificazione puo’ risultare non sempre agevole e tale
circostanza costituisce in qualche caso un ostacolo anche per
l’esercizio dei diritti di cui all’art. 7.
3.2. Gruppi di imprese.
Le societa’ che appartengono a gruppi di
imprese individuati in conformita’ alla legge
(art.
2359
cod. civ.,
decreto legislativo 2 aprile 2002, n. 74) hanno di regola
una
distinta ed autonoma titolarita’ del trattamento in relazione ai dati
personali dei propri dipendenti e collaboratori (articoli 4, comma 1,
lettera f) e 28 del Codice).
Tuttavia, nell’ambito dei gruppi, le societa’ controllate e
collegate possono delegare la societa’ capogruppo a svolgere
adempimenti in materia di lavoro, previdenza ed assistenza sociale
per i lavoratori indicati dalla legge: tale attivita’ implica la
designazione della societa’ capogruppo quale responsabile del
trattamento ai sensi dell’art. 29 del Codice.
Analoga soluzione (art. 31, comma 2, deceto legislativo n.
276/2003) deve essere adottata per i trattamenti di dati personali,
aventi identica natura, effettuati nell’ambito dei consorzi di
societa’ cooperative (nei quali a tal fine puo’ essere altresi’
designata una delle societa’ consorziate).
3.3. Medico competente.
Considerazioni ulteriori devono essere
svolte in relazione a taluni specifici trattamenti che possono o
devono essere effettuati all’interno dell’impresa in conformita’ alla
disciplina in materia di sicurezza e igiene del lavoro.
Tale disciplina, che attua anche alcune direttive comunitarie e
si colloca nell’ambito del piu’ generale quadro di misure necessarie
a tutelare l’integrita’ psico-fisica dei lavoratori (art. 2087 cod.
civ.), pone direttamente in capo al medico competente in materia di
igiene e sicurezza dei luoghi di lavoro la sorveglianza sanitaria
obbligatoria (e, ai sensi degli articoli 16 e 17 del decreto
legislativo n. 626/1994, il correlativo trattamento dei dati
contenuti in cartelle cliniche).
In quest’ambito, il medico competente effettua accertamenti
preventivi e periodici sui lavoratori (art. 33 del decreto del
Presidente della Repubblica n. 303/1956; art. 16, decreto legislativo
n. 626/1994) e istituisce (curandone l’aggiornamento) una cartella
sanitaria e di rischio (in conformita’ alle prescrizioni contenute
negli articoli 17, 59-quinquiesdecies, comma 2, lettera b),
59-sexiesdecies e 70 decreto legislativo n. 626/1994).
Detta cartella e’ custodita presso l’azienda o l’unita’
produttiva, «con salvaguardia del segreto professionale, e
[consegnata in] copia al lavoratore stesso al momento della
risoluzione del rapporto di lavoro, ovvero quando lo stesso ne fa
richiesta» (art. 4, comma 8, decreto legislativo n. 626/1994); in
caso di cessazione del rapporto di lavoro le cartelle sono trasmesse
all’Istituto superiore prevenzione e sicurezza sul lavoro-Ispesl
(art. 72-undecies, comma 3, decreto legislativo n. 626/1994), in
originale e in busta chiusa.
In relazione a tali disposizioni, il medico competente e’
deputato a trattare i dati sanitari dei lavoratori, procedendo alle
dovute annotazioni nelle cartelle sanitarie e di rischio, e curando
le opportune misure di sicurezza per salvaguardare la segretezza
delle informazioni trattate in rapporto alle finalita’ e modalita’
del trattamento stabilite. Cio’, quale che sia il titolare del
trattamento effettuato dal medico.
Alle predette cartelle il datore di lavoro non puo’ accedere,
dovendo soltanto concorrere ad assicurarne un’efficace custodia nei
locali aziendali (anche in vista di possibili accertamenti ispettivi
da parte dei soggetti istituzionalmente competenti), ma, come detto,
«
con salvaguardia del segreto professionale».
Il datore di lavoro, sebbene sia tenuto, su parere del medico
competente (o qualora il medico lo informi di anomalie imputabili
all’esposizione a rischio), ad adottare le misure preventive e
protettive per i lavoratori interessati, non puo’ conoscere le
eventuali patologie accertate, ma solo la valutazione finale circa
l’idoneita’ del dipendente (dal punto di vista sanitario) allo
svolgimento di date mansioni.
In tal senso, peraltro, depongono anche le previsioni legislative
che dispongono la comunicazione all’Ispesl della cartella sanitaria e
di rischio in caso di cessione (art. 59-sexiesdecies, comma 4,
decreto legislativo n. 626/1994) o cessazione del rapporto di lavoro
(art. 72-undecies, decreto legislativo n. 626/1994), precludendosi
anche in tali occasioni ogni loro conoscibilita’ da parte del datore
di lavoro.
4. Dati biometrici e accesso ad «aree riservate».
4.1. Nozione.
In piu’ circostanze, anche ricorrendo al
procedimento previsto dall’art. 17 del Codice, e’ stato
prospettato
al Garante l’utilizzo di dati biometrici sul luogo di lavoro, con
particolare riferimento all’impiego di tali informazioni per accedere
ad aree specifiche dell’impresa.
Si tratta di dati ricavati dalle caratteristiche fisiche o
comportamentali della persona a seguito di un apposito procedimento
(in parte automatizzato) e poi risultanti in un modello di
riferimento. Quest’ultimo consiste in un insieme di valori numerici
ricavati, attraverso funzioni matematiche, dalle caratteristiche
individuali sopra indicate, preordinati all’identificazione personale
attraverso opportune operazioni di confronto tra il codice numerico
ricavato ad ogni accesso e quello originariamente raccolto.
L’uso generalizzato e incontrollato di dati biometrici, specie se
ricavati dalle impronte digitali, non e’ lecito. Tali dati, per la
loro peculiare natura, richiedono l’adozione di elevate cautele per
prevenire possibili pregiudizi a danno degli interessati, con
particolare riguardo a condotte illecite che determinino l’abusiva
«
ricostruzione» dell’impronta, partendo dal modello di riferimento, e
la sua ulteriore «utilizzazione» a loro insaputa.
L’utilizzo di dati biometrici puo’ essere giustificato solo in
casi particolari, tenuto conto delle finalita’ e del contesto in cui
essi sono trattati e, in relazione ai luoghi di lavoro, per
presidiare accessi ad «aree sensibili», considerata la natura delle
attivita’ ivi svolte: si pensi, ad esempio, a processi produttivi
pericolosi o sottoposti a segreti di varia natura o al fatto
che particolari locali siano destinati alla custodia di beni,
documenti segreti o riservati o oggetti di valore.
4.2. Sistemi di rilevazione biometrica.
Inoltre, nei casi in cui
l’uso dei dati biometrici e’ consentito, la centralizzazione in una
banca dati delle informazioni personali (nella forma del predetto
modello) trattate nell’ambito del descritto procedimento di
riconoscimento biometrico risulta di regola sproporzionata e non
necessaria. I sistemi informativi devono essere infatti configurati
in modo da ridurre al minimo l’utilizzazione di dati personali e da
escluderne il trattamento, quando le finalita’ perseguite possono
essere realizzate con modalita’ tali da permettere di identificare
l’interessato solo in caso di necessita’ (articoli 3 e 11 del
Codice).
In luogo, quindi, di modalita’ centralizzate di trattamento dei
dati biometrici, deve ritenersi adeguato e sufficiente avvalersi di
sistemi efficaci di verifica e di identificazione biometrica basati
sulla lettura delle impronte digitali memorizzate, tramite il
predetto modello cifrato, su un supporto posto nell’esclusiva
disponibilita’ dell’interessato (una smart card o un dispositivo
analogo) e privo di indicazioni nominative riferibili a quest’ultimo
(essendo sufficiente attribuire a ciascun dipendente un codice
individuale).
Tale modalita’ di riconoscimento, infatti, e’ idonea ad
assicurare che possano accedere all’area riservata solo coloro che,
autorizzati preventivamente, decidano su base volontaria di avvalersi
della predetta carta o del dispositivo analogo. Il confronto delle
impronte digitali con il modello memorizzato sulla carta o sul
dispositivo puo’ essere realizzato ricorrendo a comuni procedure di
confronto sulla carta o dispositivo stesso, evitando cosi’ la
costituzione di un archivio di delicati dati biometrici. Del resto,
in caso di smarrimento della carta o dispositivo, sono allo stato
circoscritte le possibilita’ di abuso rispetto ai dati biometrici ivi
memorizzati.
4.3. Misure di sicurezza e tempi di conservazione.
I dati
personali necessari per realizzare il modello possono essere trattati
esclusivamente durante la fase di registrazione; per il loro
utilizzo, il titolare del trattamento deve raccogliere il preventivo
consenso informato degli interessati.
In aggiunta alle misure di sicurezza minime prescritte dal
Codice, devono essere adottati ulteriori accorgimenti a protezione
dei dati, impartendo agli incaricati apposite istruzioni scritte alle
quali attenersi, con particolare riguardo al caso di perdita o
sottrazione delle carte o dispositivi loro affidati.
I dati memorizzati devono essere accessibili al personale
preposto al rispetto delle misure di sicurezza all’interno
dell’impresa, per l’esclusiva finalita’ della verifica della loro
osservanza (rispettando peraltro la disciplina sul controllo a
distanza dei lavoratori: art. 4, comma 2, legge 20 maggio 1970, n.
300, richiamato dall’art. 114 del Codice).
I dati raccolti non possono essere di regola conservati per un
arco di tempo superiore a sette giorni e vanno assicurati, anche
quando tale arco temporale possa essere lecitamente protratto, idonei
meccanismi di cancellazione automatica dei dati.
4.4. Verifica preliminare.
Resta salva, per fattispecie
particolari o in ragione di situazioni eccezionali non considerate
in
questa sede, la presentazione da parte di titolari del trattamento
che intendano discostarsi dalle presenti prescrizioni, di apposito
interpello al Garante, ai sensi dell’art. 17 del Codice.
5. Comunicazione e diffusione di dati personali.
5.1. Comunicazione.
La conoscenza dei dati personali relativi ad
un lavoratore da parte
di terzi e’ ammessa se l’interessato vi
acconsente.
Se il datore di lavoro non puo’ avvalersi correttamente di uno
degli altri presupposti del trattamento equipollenti al consenso
(art. 24 del Codice), non puo’ prescindersi dal consenso stesso per
comunicare dati personali (ad esempio, inerenti alla circostanza di
un’avvenuta assunzione, allo status o alla qualifica ricoperta,
all’irrogazione di sanzioni disciplinari o a trasferimenti del
lavoratore) a terzi quali:
– associazioni (anche di categoria) di datori di lavoro, o di
ex dipendenti (anche della medesima istituzione);
– conoscenti, familiari e parenti.
Fermo restando il rispetto dei principi generali sopra richiamati
in materia di trattamento di dati personali (cfr. punto 2), rimane
impregiudicata la facolta’ del datore di lavoro di disciplinare le
modalita’ del proprio trattamento designando i soggetti, interni o
esterni, incaricati o responsabili del trattamento, che possono
acquisire conoscenza dei dati inerenti alla gestione del rapporto di
lavoro, in relazione alle funzioni svolte e a idonee istruzioni
scritte alle quali attenersi (articoli 4, comma 1, lettere g) e h),
29 e 30). Cio’, ove necessario, anche mediante consegna di copia di
documenti all’uopo predisposti.
E’ altresi’ impregiudicata la facolta’ del datore di lavoro di
comunicare a terzi in forma realmente anonima dati ricavati dalle
informazioni relative a singoli o gruppi di lavoratori: si pensi al
numero complessivo di ore di lavoro straordinario prestate o di ore
non lavorate a livello aziendale o all’interno di singole unita’
produttive, agli importi di premi aziendali di risultato individuati
per fasce, o qualifiche/livelli professionali, anche nell’ambito di
singole funzioni o unita’ organizzative).
5.2. Intranet aziendale.
Allo stesso modo, il consenso del
lavoratore e’ necessario per pubblicare informazioni
personali allo
stesso riferite (quali fotografia, informazioni anagrafiche o
curricula) nella intranet aziendale (e a maggior ragione in
Internet), non risultando tale ampia circolazione di dati personali
di regola «necessaria per eseguire obblighi derivanti dal contratto
di lavoro» (art. 24, comma 1, lettera b), del Codice). Tali obblighi
possono trovare esecuzione indipendentemente da tale particolare
forma di divulgazione che comunque, potendo a volte risultare
pertinente (specie in realta’ produttive di grandi dimensioni o
ramificate sul territorio), richiede il preventivo consenso del
singolo dipendente, salva specifica disposizione di legge.
5.3. Diffusione.
In assenza di specifiche disposizioni normative
che
impongano al datore di lavoro la diffusione di dati personali
riferiti ai lavoratori (art. 24, comma 1, lettera a) o la
autorizzino, o comunque di altro presupposto ai sensi dell’art. 24
del Codice, la diffusione stessa puo’ avvenire solo se necessaria per
dare esecuzione a obblighi derivanti dal contratto di lavoro (art.
24, comma 1, lettera b) del Codice). E’ il caso, ad esempio,
dell’affissione nella bacheca aziendale di ordini di servizio, di
turni lavorativi o feriali, oltre che di disposizioni riguardanti
l’organizzazione del lavoro e l’individuazione delle mansioni cui
sono deputati i singoli dipendenti.
Salvo che ricorra una di queste ipotesi, non e’ invece di regola
lecito dare diffusione a informazioni personali riferite a singoli
lavoratori, anche attraverso la loro pubblicazione in bacheche
aziendali o in comunicazioni interne destinate alla collettivita’ dei
lavoratori, specie se non correlate all’esecuzione di obblighi
lavorativi. In tali casi la diffusione si pone anche in violazione
dei principi di finalita’ e pertinenza (art. 11 del Codice), come
nelle ipotesi di:
– affissione relativa ad emolumenti percepiti o che fanno
riferimento a particolari condizioni personali;
– sanzioni disciplinari irrogate o informazioni relative a
controversie giudiziarie;
– assenze dal lavoro per malattia;
– iscrizione e/o adesione dei singoli lavoratori ad
associazioni.
5.4. Cartellini identificativi.
Analogamente, si possono
determinare altre forme di diffusione di dati personali quando
dette
informazioni debbano essere riportate ed esibite su cartellini
identificativi appuntati ad esempio sull’abito o sulla divisa del
lavoratore (di solito, con lo scopo di migliorare il rapporto fra
operatori ed utenti o clienti).
Al riguardo, questa Autorita’ ha gia’ rilevato, in relazione
allo svolgimento del rapporto di lavoro alle dipendenze di soggetti
privati, che l’obbligo di portare in modo visibile un cartellino
identificativo puo’ trovare fondamento in alcune prescrizioni
contenute in accordi sindacali aziendali, il cui rispetto puo’ essere
ricondotto alle prescrizioni del contratto di lavoro. Tuttavia, in
relazione al rapporto con il pubblico, si e’ ravvisata la
sproporzione dell’indicazione sul cartellino di dati personali
identificativi (generalita’ o dati anagrafici), ben
potendo spesso risultare sufficienti altre informazioni (quali codici
identificativi, il solo nome o il ruolo professionale svolto), per
se’ sole in grado di essere d’ausilio all’utenza.
5.5. Modalita’ di comunicazione.
Salvi i casi in cui forme e
modalita’ di divulgazione di dati personali discendano da
specifiche
previsioni (cfr. art. 174, comma 12, del Codice), il datore di
lavoro deve utilizzare forme di comunicazione individualizzata con il
lavoratore, adottando le misure piu’ opportune per prevenire
un’indebita comunicazione di dati personali, in particolare se
sensibili, a soggetti diversi dal destinatario, ancorche’ incaricati
di talune operazioni di trattamento (ad esempio, inoltrando le
comunicazioni in plico chiuso o spillato; invitando l’interessato a
ritirare personalmente la documentazione presso l’ufficio competente;
ricorrendo a comunicazioni telematiche individuali).
Analoghe cautele, tenendo conto delle circostanze di fatto,
devono essere adottate in relazione ad altre forme di comunicazione
indirizzate al lavoratore dalle quali possano desumersi vicende
personali.
6. Dati idonei a rivelare lo stato di salute di lavoratori.
6.1. Dati sanitari.
Devono essere osservate cautele particolari
anche nel trattamento dei dati sensibili del lavoratore (art. 4,
comma 1, lettera d), del Codice) e, segnatamente, di quelli dati
idonei a rivelarne lo stato di salute. Tra questi ultimi, puo’
rientrare l’informazione relativa all’assenza dal servizio per
malattia, indipendentemente dalla circostanza della contestuale
enunciazione della diagnosi.
Per tali informazioni, l’ordinamento appresta anche fuori della
disciplina di protezione dei dati personali particolari accorgimenti
per contenere, nei limiti dell’indispensabile, i dati dei quali il
datore di lavoro puo’ venire a conoscenza per dare esecuzione al
contratto (cfr. gia’ l’art. 8 della legge n. 300/1970).
In questo contesto, la disciplina generale contenuta nel Codice
deve essere coordinata ed integrata, come si e’ visto (cfr. punto
3.3.), con altre regole settoriali o speciali.
Resta comunque vietata la diffusione di dati sanitari (art. 26,
comma 5, del Codice).
6.2. Assenze per ragioni di salute.
Con specifico riguardo al
trattamento di dati idonei a rivelare lo stato di salute
dei
lavoratori, la normativa di settore e le disposizioni contenute nei
contratti collettivi giustificano il trattamento dei dati relativi ai
casi di infermita’ (e talora a quelli inerenti all’esecuzione di
visite specialistiche o di accertamenti clinici) che determini
un’incapacita’ lavorativa (temporanea o definitiva, con la
conseguente sospensione o risoluzione del contratto). Non
diversamente, il datore di lavoro puo’ trattare dati relativi a
invalidita’ o all’appartenenza a categorie protette, nei modi e per
le finalita’ prescritte dalla vigente normativa in materia.
A tale riguardo, infatti, sussiste un quadro normativo articolato
che prevede anche obblighi di comunicazione in capo al lavoratore e
di successiva certificazione nei confronti del datore di lavoro e
dell’ente previdenziale della condizione di malattia: obblighi
funzionali non solo a giustificare i trattamenti normativi ed
economici spettanti al lavoratore, ma anche a consentire al datore di
lavoro, nelle forme di legge, di verificare le reali condizioni di
salute del lavoratore.
Per attuare tali obblighi viene utilizzata un’apposita
modulistica, consistente in un attestato di malattia da consegnare al
datore di lavoro con la sola indicazione dell’inizio e della durata
presunta dell’infermita’: c.d. «prognosi» e in un certificato di
diagnosi da consegnare, a cura del lavoratore stesso, all’Istituto
nazionale della previdenza sociale (Inps) o alla struttura pubblica
indicata dallo stesso Istituto d’intesa con la regione, se il
lavoratore ha diritto a ricevere l’indennita’ di malattia a carico
dell’ente previdenziale.
Tuttavia, qualora dovessero essere presentati dai lavoratori
certificati medici redatti su modulistica diversa da quella sopra
descritta, nella quale i dati di prognosi e di diagnosi non siano
separati, i datori di lavoro restano obbligati, ove possibile, ad
adottare idonee misure e accorgimenti volti a prevenirne la ricezione
o, in ogni caso, ad oscurali.
6.3. Denuncia all’Inail.
Diversamente, per dare esecuzione ad
obblighi di comunicazione relativi a dati sanitari,
in taluni casi il
datore di lavoro puo’ anche venire a conoscenza delle condizioni di
salute del lavoratore. Tra le fattispecie piu’ ricorrenti deve
essere annoverata la denuncia all’Istituto assicuratore (Inail)
avente ad oggetto infortuni e malattie professionali occorsi ai
lavoratori; essa, infatti, per espressa previsione normativa, deve
essere corredata da specifica certificazione medica (articoli 13 e 53
decreto del Presidente della Repubblica n. 1124/1965).
In tali casi, pur essendo legittima la conoscenza della diagnosi
da parte del datore di lavoro, resta fermo a suo carico l’obbligo di
limitarsi a comunicare all’ente assistenziale esclusivamente le
informazioni sanitarie relative o collegate alla patologia denunciata
e non anche dati sulla salute relativi ad altre assenze che si siano
verificate nel corso del rapporto di lavoro, la cui eventuale
comunicazione sarebbe eccedente e non pertinente con la conseguente
loro inutilizzabilita’, trattandosi di dati non rilevanti nel caso
oggetto di denuncia (art. 11, commi 1 e 2 del Codice).
6.4. Altre informazioni relative alla salute.
A tali fattispecie
devono essere aggiunti altri casi nei quali puo’, parimenti,
effettuarsi un trattamento di dati relativi alla salute del
lavoratore (e finanche di suoi congiunti), anche al fine di
permettergli di godere dei benefici di legge (quali, ad esempio,
permessi o periodi prolungati di aspettativa con conservazione del
posto di lavoro): si pensi, ad esempio, a informazioni relative a
condizioni di handicap.
Allo stesso modo, il datore di lavoro puo’ venire a conoscenza
dello stato di tossicodipendenza del dipendente, ove questi richieda
di accedere a programmi riabilitativi o terapeutici con conservazione
del posto di lavoro (senza retribuzione), atteso l’onere di
presentare (nei termini prescritti dai contratti collettivi)
specifica documentazione medica al datore di lavoro (ai sensi
dell’art. 124, commi 1 e 2, decreto del Presidente della Repubblica
n. 309/1990).
6.5. Comunicazioni all’Inps.
E’ altresi’ legittima la
comunicazione di dati idonei a rivelare lo stato di salute
dei
lavoratori che il datore di lavoro faccia ai soggetti pubblici (enti
previdenziali e assistenziali) tenuti a erogare le prescritte
indennita’ in adempimento a specifici obblighi derivanti dalla legge,
da altre norme o regolamenti o da previsioni contrattuali, nei limiti
delle sole informazioni indispensabili.
In particolare, il datore di lavoro puo’ comunicare all’Istituto
nazionale della previdenza sociale (Inps) i dati del dipendente
assente, anche per un solo giorno, al fine di farne controllare lo
stato di malattia (art. 5, commi 1 e 2, legge 20 maggio 1970, n. 300)
29; a tal fine deve tenere a disposizione e produrre, a richiesta,
all’Inps, la documentazione in suo possesso. Le eventuali visite di
controllo sullo stato di infermita’ del lavoratore, ai sensi
dell’art. 5 della legge 20 maggio 1970, n. 300, o su richiesta
dell’Inps o della struttura sanitaria pubblica da esso indicata, sono
effettuate dai medici dei servizi sanitari indicati dalle regioni
(art. 2, l. n. 33/1980 cit.).
7. Informativa.
Il datore di lavoro e’ tenuto a rendere al lavoratore, prima di
procedere al trattamento dei dati personali che lo riguardano (anche
in relazione alle ipotesi nelle quali la legge non richieda il suo
consenso), un’informativa individualizzata completa degli elementi
indicati dall’art. 13 del Codice.
Con particolare riferimento a realta’ produttive nelle quali, per
ragioni organizzative (ad esempio, per l’articolata dislocazione sul
territorio o per il ricorso consistente a forme di out-sourcing) o
dimensionali, puo’ risultare difficoltoso per il singolo lavoratore
esercitare i propri diritti ai sensi dell’art. 7 del Codice, e’
opportuna la designazione di un responsabile del trattamento
appositamente deputato alla trattazione di tali profili (o di
responsabili esterni alla societa’, che effettuino, ad esempio,
l’attivita’ di gestione degli archivi amministrativi dei dipendenti),
indicandolo chiaramente nell’informativa fornita.
8. Misure di sicurezza.
8.1. Dati sanitari.
Il datore di lavoro titolare del trattamento
e’ tenuto ad adottare ogni misura di sicurezza,
anche minima,
prescritta dal Codice a protezione dei dati personali dei dipendenti
comunque trattati nell’ambito del rapporto di lavoro, ponendo
particolare attenzione all’eventuale natura sensibile dei medesimi
(art. 31 e ss. e Allegato B) al Codice).
Dette informazioni devono essere conservate separatamente da ogni
altro dato personale dell’interessato; cio’, deve trovare attuazione
anche con riferimento ai fascicoli personali cartacei dei dipendenti
(ad esempio, utilizzando sezioni appositamente dedicate alla custodia
dei dati sensibili, inclusi quelli idonei a rivelare lo stato di
salute del lavoratore, da conservare separatamente o in modo da non
consentirne una indistinta consultazione nel corso delle ordinarie
attivita’ amministrative).
Del pari, nei casi in cui i lavoratori producano spontaneamente
certificati medici su modulistica diversa da quella descritta al
punto 6.2., il datore di lavoro non puo’, comunque, utilizzare
ulteriormente tali informazioni (art. 11, comma 2, del Codice) e deve
adottare gli opportuni accorgimenti per non rendere visibili le
diagnosi contenute nei certificati (ad esempio, prescrivendone la
circolazione in busta chiusa previo oscuramento di tali
informazioni); cio’, al fine di impedire ogni accesso abusivo a tali
dati da parte di soggetti non previamente designati come incaricati o
responsabili (art. 31 e ss. del Codice).
8.2. Incaricati.
Resta fermo l’obbligo del datore di lavoro di
preporre alla custodia dei dati personali dei
lavoratori apposito
personale, specificamente incaricato del trattamento, che «deve avere
cognizioni in materia di protezione dei dati personali e ricevere una
formazione adeguata. In assenza di un’adeguata formazione degli
addetti al trattamento dei dati personali il rispetto della
riservatezza dei lavoratori sul luogo di lavoro non potra’ mai essere
garantito».
8.3. Misure fisiche ed organizzative.
Il datore di lavoro deve
adottare, tra l’altro (cfr. articoli 31 ss. del Codice),
misure
organizzative e fisiche idonee a garantire che:
– i luoghi ove si svolge il trattamento di dati personali dei
lavoratori siano opportunamente protetti da indebite intrusioni;
– le comunicazioni personali riferibili esclusivamente a
singoli lavoratori avvengano con modalita’ tali da escluderne
l’indebita presa di conoscenza da parte di terzi o di soggetti non
designati quali incaricati;
– siano impartite chiare istruzioni agli incaricati in ordine
alla scrupolosa osservanza del segreto d’ufficio, anche con riguardo
a dipendenti del medesimo datore di lavoro che non abbiano titolo per
venire a conoscenza di particolari informazioni personali;
– sia prevenuta l’acquisizione e riproduzione di dati personali
trattati elettronicamente, in assenza di adeguati sistemi di
autenticazione o autorizzazione e/o di documenti contenenti
informazioni personali da parte di soggetti non autorizzati;
– sia prevenuta l’involontaria acquisizione di informazioni
personali da parte di terzi o di altri dipendenti: opportuni
accorgimenti, ad esempio, devono essere presi in presenza di una
particolare conformazione o dislocazione degli uffici, in assenza di
misure idonee volte a prevenire la diffusione delle informazioni (si
pensi al mancato rispetto di distanze di sicurezza o alla trattazione
di informazioni riservate in spazi aperti, anziche’ all’interno di
locali chiusi).
9. Esercizio dei diritti previsti dall’art. 7 del Codice e riscontro
del datore di lavoro.
9.1. Diritto di accesso.
I lavoratori interessati possono
esercitare nei confronti del datore di lavoro i diritti
previsti
dall’art. 7 del Codice (nei modi di cui agli articoli 8 e ss.), tra
cui il diritto di accedere ai dati che li riguardano (anziche’, in
quanto tale, all’intera documentazione che li contiene 34), di
ottenerne l’aggiornamento, la rettificazione, l’integrazione, la
cancellazione, la trasformazione in forma anonima o il blocco se
trattati in violazione di legge, di opporsi al trattamento per motivi
legittimi.
La richiesta di accesso che non faccia riferimento ad un
particolare trattamento o a specifici dati o categorie di dati, deve
ritenersi riferita a tutti i dati personali che riguardano il
lavoratore comunque trattati dall’amministrazione (art. 10) e puo’
riguardare anche informazioni di tipo valutativo, alle condizioni
e nei limiti di cui all’art. 8, comma 5.
Tra essi non rientrano notizie di carattere contrattuale o
professionale che non hanno natura di dati personali in qualche modo
riferibili a persone identificate o identificabili.
9.2. Riscontro del datore di lavoro.
Il datore di lavoro
destinatario della richiesta e’ tenuto a fornire un riscontro
completo alla richiesta del lavoratore interessato, senza limitarsi
alla sola elencazione delle tipologie di dati detenuti, ma
comunicando in modo chiaro e intelligibile tutte le informazioni in
suo possesso.
9.3. Tempestivita’ del riscontro.
Il riscontro deve essere
fornito nel termine di 15 giorni dal ricevimento
dell’istanza
dell’interessato (ritualmente presentata 38); il termine piu’ lungo,
pari a trenta giorni, puo’ essere osservato, dandone comunicazione
all’interessato, solo se le operazioni necessarie per un integrale
riscontro sono di particolare complessita’ o se ricorre altro
giustificato motivo (art. 146 del Codice).
Pertanto il datore di lavoro, specie nelle realta’ produttive di
grande dimensione 39, deve pertanto predisporre procedure
organizzative adeguate per dare piena attuazione alle disposizioni
del Codice in materia di accesso ai dati e all’esercizio degli altri
diritti, anche attraverso l’impiego di appositi programmi finalizzati
ad una accurata selezione dei dati relativi a singoli lavoratori,
nonche’ alla semplificazione delle modalita’ e alla compressione dei
tempi per il riscontro.
9.4. Modalita’ del riscontro.
Il riscontro puo’ essere fornito
anche oralmente; tuttavia, in presenza di una specifica
istanza, il
datore di lavoro e’ tenuto a trasporre i dati su supporto cartaceo o
informatico o a trasmetterli all’interessato per via telematica (art.
10).
Muovendo dalla previsione dell’art. 10, comma 1, del Codice,
secondo cui il titolare deve predisporre accorgimenti idonei «a
semplificare le modalita’ e a ridurre i tempi per il riscontro al
richiedente», puo’ risultare legittima la richiesta dell’interessato
di ricevere la comunicazione dei dati in questione presso la propria
sede lavorativa o la propria abitazione.
9.5. Dati personali e documentazione.
Come piu’ volte dichiarato
dal Garante 41, l’esercizio del diritto di accesso consente
di
ottenere, ai sensi dell’art. 10 del Codice, solo la comunicazione dei
dati personali relativi al richiedente detenuti dal titolare del
trattamento e da estrarre da atti e documenti; non permette invece di
richiedere a quest’ultimo il diretto e illimitato accesso a documenti
e ad intere tipologie di atti, o la creazione di documenti allo stato
inesistenti negli archivi, o la loro innovativa aggregazione secondo
specifiche modalita’ prospettate dall’interessato o, ancora, di
ottenere, sempre e necessariamente, copia dei documenti detenuti,
ovvero di pretendere particolari modalita’ di riscontro (salvo quanto
previsto per la trasposizione dei dati su supporto cartaceo: cfr.
art. 10, comma 2, del Codice).
Specie nei casi in cui e’ elevata la mole di informazioni
personali detenute dal titolare del trattamento, il diritto di
accesso ai dati puo’ essere soddisfatto mettendo a disposizione
dell’interessato il fascicolo personale, dal quale successivamente
possono essere estratte le informazioni personali.
La scelta circa l’eventuale esibizione o consegna in copia di
atti e documenti contenenti i dati personali richiesti puo’ essere
effettuata dal titolare del trattamento nel solo caso in cui
l’estrapolazione dei dati personali da tali documenti risulti
particolarmente difficoltosa per il titolare medesimo; devono
essere poi omessi eventuali dati personali riferiti a terzi (art. 10,
comma 4, del Codice). L’adozione di tale modalita’ di riscontro
non comporta l’obbligo in capo al titolare di fornire copia di tutti
i documenti che contengano i medesimi dati personali
dell’interessato, quando gli stessi dati siano conservati in piu’
atti, lettere o note.
Nel fornire riscontro ad una richiesta di accesso formulata ai
sensi degli articoli 7 e 8 del Codice, il titolare del trattamento
deve, poi, comunicare i dati richiesti ed effettivamente detenuti, e
non e’ tenuto a ricercare o raccogliere altri dati che non siano
nella propria disponibilita’ e non siano oggetto, in alcuna forma, di
attuale trattamento da parte dello stesso (o perche’ originariamente
trattati e non piu’ disponibili, ovvero perche’, come nel caso di
dati contenuti nella corrispondenza intercorsa, in qualunque forma,
tra dipendenti di un determinato datore di lavoro, non siano mai
stati nell’effettiva e libera disponibilita’ di quest’ultimo (si
pensi al caso di dati contenuti nella corrispondenza intercorsa tra
dipendenti) – al di la’ dei profili di tutela della segretezza
della corrispondenza che pur vengono in rilievo – non competerebbero
le decisioni in ordine alle loro finalita’ e modalita’ di trattamento
(cfr. art. 4, comma 1, lettera f), del Codice).
9.6. Aggiornamento.
Infine, il lavoratore puo’ ottenere
l’aggiornamento dei dati personali a se’ riferiti.
In ordine, poi, all’eventuale richiesta di rettifica dei dati
personali indicati nel profilo professionale del lavoratore, la
medesima puo’ avvenire solo in presenza della prova dell’effettiva e
legittima attribuibilita’ delle qualifiche rivendicate
dall’interessato, ad esempio in base a «decisioni o documenti del
datore di lavoro o di terzi, obblighi derivanti dal contratto di
lavoro, provvedimenti di organi giurisdizionali relativi
all’interessato o altri titoli o atti che permettano di ritenere
provata, agli effetti e sul piano dell’applicazione della [disciplina
di protezione dei dati personali], la richiesta dell’interessato»
(che puo’ comunque far valere in altra sede, sulla base di idoneo
materiale probatorio, la propria pretesa al riconoscimento della
qualifica o mansione rivendicata).